analyserMFT

AnalyseMFT est un script Python conçu pour traduire la table de fichiers maîtres NTFS (MFT) dans un format lisible et consultable par l'homme, tel que CSV. Cet outil est utile pour l'investigation numérique, l'analyse du système de fichiers et la compréhension de la structure des volumes NTFS.

Plutôt que d'encombrer le projet principal avec des fonctionnalités dont les gens ne voudront peut-être pas, je publierai deux projets frères cette semaine :

1. AnalyseMFT-SQLite qui ajoute des tables SQL comme option d'exportation. J'ai découvert que lorsque l'on travaille avec des fichiers MFT très volumineux, il est souvent plus facile de les insérer dans une base de données telle que SQLite ou PostgreSQL et d'effectuer des requêtes/recherches à l'aide de ces outils. Cela nous permet également de réduire la taille totale de l'éventuelle exportation avec des fichiers MFT volumineux, car nous pouvons réutiliser les valeurs et les attributs.

2. CanalyseMFT - Il s'agit d'un portage C/C++ du projet. L'objectif est d'augmenter les performances sur les systèmes *nix (ou Windows si vous souhaitez les construire là-bas). Mon objectif est de laisser de côté les bibliothèques dépendantes du système (toux Windows.h) afin qu'elles soient facilement construites partout.

• Analyser les fichiers NTFS MFT
• Générer une sortie CSV des enregistrements MFT
• Créer une chronologie au format CSV
• Produire une sortie de fichier corps pour l'analyse de la chronologie
• Prise en charge des rapports de fuseau horaire local
• De nombreux formats de sortie : CSV, Body Files, JSON
• Détection d'anomalies (facultatif)
• Sortie de débogage (facultatif)

• Python 3.x

1. Clonez ce référentiel ou téléchargez les fichiers de script.
2. Assurez-vous que Python 3.x est installé sur votre système.

Utilisation de base :

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

Version actuelle : 3.0.6.6

Benjamin Cance ([email protected])

Copyright Benjamin Cance 2024

Si vous souhaitez contribuer à ce projet, veuillez soumettre une pull request ou ouvrir un ticket sur le référentiel du projet.

Cet outil est fourni tel quel, sans aucune garantie. Utilisez-le à vos propres risques et assurez-vous de disposer des autorisations nécessaires avant d'analyser des systèmes de fichiers ou des données MFT.