تحليلMFT

AnalyzeMFT هو برنامج نصي بلغة Python مصمم لترجمة جدول الملفات الرئيسية NTFS (MFT) إلى تنسيق يمكن قراءته والبحث فيه بواسطة الإنسان، مثل CSV. هذه الأداة مفيدة للطب الشرعي الرقمي، وتحليل نظام الملفات، وفهم بنية وحدات تخزين NTFS.

بدلاً من تشويش المشروع الرئيسي بميزات قد لا يريدها الناس، سأطلق مشروعين شقيقين هذا الأسبوع:

1. AnalyzeMFT-SQLite الذي يضيف جداول SQL كخيار تصدير. لقد وجدت أنه عند العمل مع ملفات MFT كبيرة جدًا، غالبًا ما يكون من الأسهل إدخالها في قاعدة بيانات مثل SQLite أو PostgreSQL وإجراء الاستعلامات/البحث باستخدام تلك الأدوات. يتيح لنا هذا أيضًا تقليل الحجم الإجمالي للتصدير النهائي باستخدام ملفات MFT الكبيرة لأنه يمكننا إعادة استخدام القيم والسمات.

2. CanalyzeMFT - هذا هو منفذ C/C++ الخاص بالمشروع. الهدف هو زيادة الأداء على أنظمة *nix (أو Windows إذا كنت تريد إنشاء النظام هناك). أهدف إلى استبعاد المكتبات المعتمدة على النظام (Windows.h) بحيث يمكن إنشاؤها بسهولة في كل مكان.

• تحليل ملفات NTFS MFT
• إنشاء مخرجات CSV لسجلات MFT
• إنشاء جدول زمني بتنسيق CSV
• إنتاج مخرجات bodyfile لتحليل الجدول الزمني
• دعم تقارير المنطقة الزمنية المحلية
• العديد من تنسيقات الإخراج - CSV، Body Files، JSON
• كشف الشذوذ (اختياري)
• إخراج التصحيح (اختياري)

• بايثون 3.x

1. انسخ هذا المستودع أو قم بتنزيل ملفات البرامج النصية.
2. تأكد من تثبيت Python 3.x على نظامك.

الاستخدام الأساسي:

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

الإصدار الحالي: 3.0.6.6

بنيامين كانس ([email protected])

حقوق الطبع والنشر لبنجامين كانس 2024

إذا كنت ترغب في المساهمة في هذا المشروع، يرجى إرسال طلب سحب أو فتح مشكلة في مستودع المشروع.

يتم توفير هذه الأداة كما هي، دون أي ضمانات. استخدمه على مسؤوليتك الخاصة وتأكد من حصولك على الأذونات اللازمة قبل تحليل أي أنظمة ملفات أو بيانات MFT.