MFTを分析する
Bug
AnalyzeMFT は、NTFS マスター ファイル テーブル (MFT) を CSV などの人間が判読可能で検索可能な形式に変換するように設計された Python スクリプトです。このツールは、デジタル フォレンジック、ファイル システム分析、NTFS ボリュームの構造の理解に役立ちます。
メインプロジェクトを人々が望まないかもしれない機能で乱雑にするのではなく、今週 2 つの姉妹プロジェクトをリリースします。
AnalyzeMFT-SQLite は、エクスポート オプションとして SQL テーブルを追加します。非常に大きな MFT ファイルを扱う場合、多くの場合、ファイルを SQLite や PostgreSQL などのデータベースに取り込み、それらのツールを使用してクエリ/検索を実行する方が簡単であることがわかりました。これにより、値と属性を再利用できるため、大きな MFT ファイルを含む最終的なエクスポートの合計サイズを削減することもできます。
CanalyzeMFT - これはプロジェクトの C/C++ ポートです。目標は、*nix システム (または、そこに構築したい場合は Windows) でのパフォーマンスを向上させることです。システムに依存するライブラリ (Windows.h など) を省略して、どこでも簡単にビルドできるようにすることを目指しています。
基本的な使い方:
Usage: analyzeMFT.py -f -o [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-f FILE, --file=FILE MFT file to analyze
-o FILE, --output=FILE
Output file
-H, --hash Compute hashes (MD5, SHA256, SHA512, CRC32)
Export Options:
--csv Export as CSV (default)
--json Export as JSON
--xml Export as XML
--excel Export as Excel
--body Export as body file (for mactime)
--timeline Export as TSK timeline
--l2t Export as log2timeline CSV
Verbosity Options:
-v Increase output verbosity (can be used multiple times)
-d Increase debug output (can be used multiple times)
Error: No input file specified. Use -f or --file to specify an MFT file.
Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...
.......[CUT].........
Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.
MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv
現在のバージョン: 3.0.6.6
ベンジャミン・カンス ([email protected])
Copyright ベンジャミン・カンス 2024
このプロジェクトに貢献したい場合は、プル リクエストを送信するか、プロジェクトのリポジトリで問題をオープンしてください。
このツールは現状のまま提供され、保証はありません。自己責任で使用し、ファイル システムまたは MFT データを分析する前に必要な権限があることを確認してください。
