анализироватьMFT

AnalyseMFT — это скрипт Python, предназначенный для перевода главной таблицы файлов NTFS (MFT) в удобочитаемый формат с возможностью поиска, например CSV. Этот инструмент полезен для цифровой криминалистики, анализа файловой системы и понимания структуры томов NTFS.

Вместо того, чтобы загромождать основной проект функциями, которые могут не понадобиться людям, на этой неделе я выпущу два дочерних проекта:

1. AnalyseMFT-SQLite, который добавляет таблицы SQL в качестве опции экспорта. Я обнаружил, что при работе с очень большими файлами MFT зачастую проще поместить их в базу данных, например SQLite или PostgreSQL, и выполнять запросы/поиск с помощью этих инструментов. Это также позволяет нам сократить общий размер конечного экспорта больших файлов MFT, поскольку мы можем повторно использовать значения и атрибуты.

2. CanalyzeMFT — это порт проекта на C/C++. Цель состоит в том, чтобы повысить производительность систем *nix (или Windows, если вы хотите ее там построить). Я стремлюсь исключить системно-зависимые библиотеки (кхе, Windows.h), чтобы их можно было легко собрать где угодно.

• Разбор файлов NTFS MFT
• Создать CSV-вывод записей MFT
• Создать временную шкалу в формате CSV
• Создание вывода bodyfile для анализа временной шкалы
• Поддержка отчетов по местному часовому поясу
• Множество форматов вывода — CSV, файлы тела, JSON.
• Обнаружение аномалий (опционально)
• Отладочный вывод (необязательно)

• Питон 3.x

1. Клонируйте этот репозиторий или загрузите файлы сценариев.
2. Убедитесь, что в вашей системе установлен Python 3.x.

Основное использование:

 Usage: analyzeMFT.py -f  -o  [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  MFT file to analyze
  -o FILE, --output=FILE
                        Output file
  -H, --hash            Compute hashes (MD5, SHA256, SHA512, CRC32)

  Export Options:
    --csv               Export as CSV (default)
    --json              Export as JSON
    --xml               Export as XML
    --excel             Export as Excel
    --body              Export as body file (for mactime)
    --timeline          Export as TSK timeline
    --l2t               Export as log2timeline CSV

  Verbosity Options:
    -v                  Increase output verbosity (can be used multiple times)
    -d                  Increase debug output (can be used multiple times)

Error: No input file specified. Use -f or --file to specify an MFT file.

 Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...

 .......[CUT].........

Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.

MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv

Текущая версия: 3.0.6.6.

Бенджамин Канс ([email protected])

Авторские права Бенджамина Канса, 2024 г.

Если вы хотите внести свой вклад в этот проект, отправьте запрос на включение или откройте проблему в репозитории проекта.

Этот инструмент предоставляется «как есть», без каких-либо гарантий. Используйте на свой страх и риск и убедитесь, что у вас есть необходимые разрешения, прежде чем анализировать любые файловые системы или данные MFT.