วิเคราะห์MFT
Bug
AnalyzeMFT เป็นสคริปต์ Python ที่ออกแบบมาเพื่อแปล NTFS Master File Table (MFT) ให้เป็นรูปแบบที่มนุษย์สามารถอ่านและค้นหาได้ เช่น CSV เครื่องมือนี้มีประโยชน์สำหรับการพิสูจน์หลักฐานดิจิทัล การวิเคราะห์ระบบไฟล์ และการทำความเข้าใจโครงสร้างของวอลุ่ม NTFS
แทนที่จะทำให้โปรเจ็กต์หลักยุ่งเหยิงด้วยฟีเจอร์ที่ผู้คนอาจไม่ต้องการ ฉันจะปล่อยโปรเจ็กต์พี่น้องสองโปรเจ็กต์ในสัปดาห์นี้:
AnalyzeMFT-SQLite ซึ่งเพิ่มตาราง SQL เป็นตัวเลือกการส่งออก ฉันพบว่าเมื่อทำงานกับไฟล์ MFT ที่มีขนาดใหญ่มาก มักจะง่ายกว่าที่จะนำไฟล์เหล่านั้นเข้าสู่ฐานข้อมูล เช่น SQLite หรือ PostgreSQL และทำการสืบค้น/ค้นหาโดยใช้เครื่องมือเหล่านั้น นอกจากนี้ยังช่วยให้เราลดขนาดรวมของการส่งออกในท้ายที่สุดด้วยไฟล์ MFT ขนาดใหญ่ได้ เนื่องจากเราสามารถนำค่าและแอตทริบิวต์มาใช้ซ้ำได้
CanalyzeMFT - นี่คือพอร์ต C/C++ ของโปรเจ็กต์ เป้าหมายคือการเพิ่มประสิทธิภาพบนระบบ *nix (หรือ Windows หากคุณต้องการสร้างระบบนั้น) ฉันตั้งเป้าที่จะละทิ้งไลบรารีที่ขึ้นอยู่กับระบบ (ไอ Windows.h) ดังนั้นจึงสร้างได้อย่างง่ายดายทุกที่
การใช้งานขั้นพื้นฐาน:
Usage: analyzeMFT.py -f -o [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-f FILE, --file=FILE MFT file to analyze
-o FILE, --output=FILE
Output file
-H, --hash Compute hashes (MD5, SHA256, SHA512, CRC32)
Export Options:
--csv Export as CSV (default)
--json Export as JSON
--xml Export as XML
--excel Export as Excel
--body Export as body file (for mactime)
--timeline Export as TSK timeline
--l2t Export as log2timeline CSV
Verbosity Options:
-v Increase output verbosity (can be used multiple times)
-d Increase debug output (can be used multiple times)
Error: No input file specified. Use -f or --file to specify an MFT file.
Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...
.......[CUT].........
Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.
MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv
เวอร์ชันปัจจุบัน: 3.0.6.6
เบนจามิน แคนซ์ ([email protected])
ลิขสิทธิ์เบนจามินแคนซ์ 2024
หากคุณต้องการมีส่วนร่วมในโปรเจ็กต์นี้ โปรดส่งคำขอดึงหรือเปิดปัญหาบนที่เก็บของโปรเจ็กต์
เครื่องมือนี้มีให้ตามที่เป็นอยู่ โดยไม่มีการรับประกันใดๆ คุณต้องยอมรับความเสี่ยงเองและให้แน่ใจว่าคุณมีสิทธิ์ที่จำเป็นก่อนที่จะวิเคราะห์ระบบไฟล์หรือข้อมูล MFT
