MFT (Master File Table)
Что такое MFT (Master File Table)?
MFT (Master File Table)Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
Master File Table ($MFT) — это сердце файловой системы NTFS; каждый файл, каталог и даже сама MFT представлены записями фиксированного размера с атрибутами $STANDARD_INFORMATION, $FILE_NAME, $DATA и другими. Криминалисты парсят MFT, чтобы восстановить временные метки (четыре времени MACB в $SI и $FN), размеры, родительские связи, альтернативные потоки данных и резидентное содержимое мелких файлов. Удалённые записи часто остаются восстановимыми до их перезаписи, что делает MFT ключевым источником для построения таймлайнов и выявления антифорензики. Инструменты MFTECmd, analyzeMFT и Velociraptor извлекают и нормализуют записи для триажа.
● Примеры
- 01
Восстановление исходного имени и времени создания удалённого образца ВПО из резидентной записи $MFT.
- 02
Выявление timestomping путём сравнения временных меток $STANDARD_INFORMATION и $FILE_NAME в одной записи MFT.
● Частые вопросы
Что такое MFT (Master File Table)?
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает MFT (Master File Table)?
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
Как работает MFT (Master File Table)?
Master File Table ($MFT) — это сердце файловой системы NTFS; каждый файл, каталог и даже сама MFT представлены записями фиксированного размера с атрибутами $STANDARD_INFORMATION, $FILE_NAME, $DATA и другими. Криминалисты парсят MFT, чтобы восстановить временные метки (четыре времени MACB в $SI и $FN), размеры, родительские связи, альтернативные потоки данных и резидентное содержимое мелких файлов. Удалённые записи часто остаются восстановимыми до их перезаписи, что делает MFT ключевым источником для построения таймлайнов и выявления антифорензики. Инструменты MFTECmd, analyzeMFT и Velociraptor извлекают и нормализуют записи для триажа.
Как защититься от MFT (Master File Table)?
Защита от MFT (Master File Table) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MFT (Master File Table)?
Распространённые альтернативные названия: $MFT, Главная таблица файлов.
● Связанные термины
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 766
Порядок волатильности
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
● См. также
- № 1031Shellbags
- № 568Jump List (Списки переходов)
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388EZ Tools Эрика Циммермана