analizarMFT

AnalyzeMFT es un script de Python diseñado para traducir la tabla de archivos maestros (MFT) NTFS a un formato legible por humanos y con capacidad de búsqueda, como CSV. Esta herramienta es útil para análisis forense digital, análisis de sistemas de archivos y comprensión de la estructura de volúmenes NTFS.

En lugar de saturar el proyecto principal con características que la gente quizás no quiera, esta semana lanzaré dos proyectos hermanos:

1. AnalyseMFT-SQLite que agrega tablas SQL como opción de exportación. Descubrí que cuando trabajo con archivos MFT muy grandes, a menudo es más fácil ingresarlos en una base de datos como SQLite o PostgreSQL y realizar consultas/búsquedas usando esas herramientas. Esto también nos permite reducir el tamaño total de la exportación final con archivos MFT grandes porque podemos reutilizar valores y atributos.

2. CanalyzeMFT: esta es una adaptación C/C++ del proyecto. El objetivo es aumentar el rendimiento en sistemas *nix (o Windows si desea compilarlo allí). Mi objetivo es dejar de lado las bibliotecas dependientes del sistema (tos Windows.h) para que se puedan construir fácilmente en todas partes.

• Analizar archivos NTFS MFT
• Generar salida CSV de registros MFT
• Crear línea de tiempo en formato CSV
• Producir resultados de archivos corporales para el análisis de la línea de tiempo
• Soporte para informes de zona horaria local
• Muchos formatos de salida: CSV, Body Files, JSON
• Detección de anomalías (opcional)
• Salida de depuración (opcional)

• Pitón 3.x

1. Clona este repositorio o descarga los archivos de script.
2. Asegúrese de tener Python 3.x instalado en su sistema.

Uso básico:

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

Versión actual: 3.0.6.6

Benjamín Cance ([email protected])

Copyright Benjamín Cance 2024

Si desea contribuir a este proyecto, envíe una solicitud de extracción o abra una incidencia en el repositorio del proyecto.

Esta herramienta se proporciona tal cual, sin garantías. Utilícelo bajo su propia responsabilidad y asegúrese de tener los permisos necesarios antes de analizar cualquier sistema de archivos o datos MFT.