Página Inicial>Relacionado com a programação>Outro código-fonte
Baixar

AnalisarMFT

AnalyzeMFT é um script Python projetado para traduzir a tabela de arquivos mestre NTFS (MFT) em um formato legível e pesquisável, como CSV. Esta ferramenta é útil para análise forense digital, análise de sistema de arquivos e compreensão da estrutura de volumes NTFS.

Analisar Derivados MFT

Em vez de sobrecarregar o projeto principal com recursos que as pessoas podem não querer, lançarei dois projetos irmãos esta semana:

  1. AnalyzeMFT-SQLite que adiciona tabelas SQL como opção de exportação. Descobri que, ao trabalhar com arquivos MFT muito grandes, geralmente é mais fácil colocá-los em um banco de dados como SQLite ou PostgreSQL e realizar consultas/pesquisas usando essas ferramentas. Isso também nos permite reduzir o tamanho total da eventual exportação com arquivos MFT grandes porque podemos reutilizar valores e atributos.

  2. CanalyzeMFT – Esta é uma porta C/C++ do projeto. O objetivo é aumentar o desempenho em sistemas *nix (ou Windows, se você quiser construí-lo lá). Meu objetivo é deixar de fora as bibliotecas dependentes do sistema (tosse Windows.h) para que sejam facilmente construídas em qualquer lugar.

Características

  • Analisar arquivos NTFS MFT
  • Gerar saída CSV de registros MFT
  • Crie uma linha do tempo em formato CSV
  • Produza saída de bodyfile para análise de linha do tempo
  • Suporte para relatórios de fuso horário local
  • Muitos formatos de saída - CSV, Body Files, JSON
  • Detecção de anomalias (opcional)
  • Saída de depuração (opcional)

Requisitos

  • Python 3.x

Instalação

  1. Clone este repositório ou baixe os arquivos de script.
  2. Certifique-se de ter o Python 3.x instalado em seu sistema.

Uso básico: 

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

Saída 

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

Versionamento

Versão atual: 3.0.6.6

Autor

Benjamin Cance ([email protected])

Licença

Direitos autorais Benjamin Cance 2024

Contribuindo

Se você quiser contribuir com este projeto, envie uma solicitação pull ou abra um problema no repositório do projeto.

Isenção de responsabilidade

Esta ferramenta é fornecida no estado em que se encontra, sem quaisquer garantias. Use por sua conta e risco e certifique-se de ter as permissões necessárias antes de analisar qualquer sistema de arquivos ou dados MFT.

Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos
Comentários dos Usuários