MFT(主文件表)
MFT(主文件表) 是什么?
MFT(主文件表)NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
主文件表($MFT)是 NTFS 文件系统的核心,每个文件、目录,甚至 MFT 自身,都由一条固定大小的记录表示,包含 $STANDARD_INFORMATION、$FILE_NAME、$DATA 等属性。取证分析人员通过解析 MFT 恢复时间戳($SI 与 $FN 中的四个 MACB 时间)、文件大小、父子关系、备用数据流以及小文件的常驻数据。被删除的记录在被复用前通常仍可恢复,使 MFT 成为构建时间线和检测反取证手段的关键来源。MFTECmd、analyzeMFT、Velociraptor 等工具可以提取并规范化记录,便于快速排查。
● 示例
- 01
通过常驻 $MFT 记录恢复已被擦除的恶意样本的原始文件名与创建时间。
- 02
比较同一 MFT 条目中 $STANDARD_INFORMATION 与 $FILE_NAME 的时间戳,检测时间戳篡改。
● 常见问题
MFT(主文件表) 是什么?
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。 它属于网络安全的 取证与应急响应 分类。
MFT(主文件表) 是什么意思?
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
MFT(主文件表) 是如何工作的?
主文件表($MFT)是 NTFS 文件系统的核心,每个文件、目录,甚至 MFT 自身,都由一条固定大小的记录表示,包含 $STANDARD_INFORMATION、$FILE_NAME、$DATA 等属性。取证分析人员通过解析 MFT 恢复时间戳($SI 与 $FN 中的四个 MACB 时间)、文件大小、父子关系、备用数据流以及小文件的常驻数据。被删除的记录在被复用前通常仍可恢复,使 MFT 成为构建时间线和检测反取证手段的关键来源。MFTECmd、analyzeMFT、Velociraptor 等工具可以提取并规范化记录,便于快速排查。
如何防御 MFT(主文件表)?
针对 MFT(主文件表) 的防御通常结合技术控制与运营实践,详见上方完整定义。
MFT(主文件表) 还有哪些其他名称?
常见的别称包括: $MFT, 主文件表。
● 相关术语
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 766
易失性顺序 (Order of Volatility)
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
● 参见
- № 1031Shellbags
- № 568跳转列表 (Jump Lists)
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388Eric Zimmerman 的 EZ Tools