web-dev-qa-db-ja.com

正しいフィールド名を使用してNTFS $ MFTを表示するにはどうすればよいですか?

NTFSマスターファイルテーブル を表示しようとしています。これまでに使用した各ツールはすべてのエントリを抽出しますが、STANDARD_INFORMATION_ONの代わりに$STANDARD_INFORMATIONなどの非標準ヘッダーを挿入します。

私は MFT2CSVntfswalk64 、および MFT_Parser を試しましたが、MFTをより低い形式で提供するツールが欲しいので、デコードせずにタイムスタンプを読み取ることができない場合でも、想定どおりにエントリを確認してください。

誰かがより正確で生のツールを知っていますか?

windowstoolsforensicsfile-systemntfs
7
Ninja2k

$ MFTレコードと$ MFTファイル全体を解析するツールを作成しました。 Pythonを読み書きできる場合は、必要なアーティファクトを好きな形でダンプするのは比較的簡単です。コードは次のとおりです。

https://github.com/dkovar/analyzeMFT

3
user2616771

このPDFを試してください: NTFS Forensics:A Programmers View of Raw Filesystem Data Extraction by Jason Medeiros、Grayscale Research 2008

それはあなたの質問に答えるべきです。また、 Hexエディター ...で画像を読み取ることもできます。

3
Chris