analysierenMFT

AnalyzeMFT ist ein Python-Skript, das entwickelt wurde, um die NTFS-Masterdateitabelle (MFT) in ein für Menschen lesbares und durchsuchbares Format wie CSV zu übersetzen. Dieses Tool ist nützlich für die digitale Forensik, Dateisystemanalyse und das Verständnis der Struktur von NTFS-Volumes.

Anstatt das Hauptprojekt mit Funktionen zu überladen, die die Leute vielleicht nicht wollen, werde ich diese Woche zwei Schwesterprojekte veröffentlichen:

1. AnalyzeMFT-SQLite, das SQL-Tabellen als Exportoption hinzufügt. Ich habe festgestellt, dass es bei der Arbeit mit sehr großen MFT-Dateien oft einfacher ist, sie in eine Datenbank wie SQLite oder PostgreSQL zu laden und mit diesen Tools Abfragen/Suchen durchzuführen. Dadurch können wir auch die Gesamtgröße des eventuellen Exports bei großen MFT-Dateien reduzieren, da wir Werte und Attribute wiederverwenden können.

2. CanalyzeMFT – Dies ist eine C/C++-Portierung des Projekts. Das Ziel besteht darin, die Leistung auf *nix-Systemen (oder Windows, wenn Sie es dort erstellen möchten) zu steigern. Mein Ziel ist es, systemabhängige Bibliotheken (hust Windows.h) wegzulassen, damit es überall leicht erstellt werden kann.

• Analysieren Sie NTFS-MFT-Dateien
• Generieren Sie eine CSV-Ausgabe von MFT-Datensätzen
• Erstellen Sie eine Zeitleiste im CSV-Format
• Erzeugen Sie eine Bodyfile-Ausgabe für die Zeitachsenanalyse
• Unterstützung für lokale Zeitzonenberichte
• Viele Ausgabeformate – CSV, Body Files, JSON
• Anomalieerkennung (optional)
• Debugging-Ausgabe (optional)

• Python 3.x

1. Klonen Sie dieses Repository oder laden Sie die Skriptdateien herunter.
2. Stellen Sie sicher, dass Python 3.x auf Ihrem System installiert ist.

Grundlegende Verwendung:

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

Aktuelle Version: 3.0.6.6

Benjamin Cance ([email protected])

Copyright Benjamin Cance 2024

Wenn Sie zu diesem Projekt beitragen möchten, senden Sie bitte eine Pull-Anfrage oder öffnen Sie ein Problem im Repository des Projekts.

Dieses Tool wird im Ist-Zustand und ohne jegliche Gewährleistung bereitgestellt. Die Nutzung erfolgt auf eigene Gefahr und stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, bevor Sie Dateisysteme oder MFT-Daten analysieren.