分析MFT
Bug
AnalyzeMFT 是一个 Python 脚本,旨在将 NTFS 主文件表 (MFT) 转换为人类可读和可搜索的格式,例如 CSV。该工具对于数字取证、文件系统分析和理解 NTFS 卷的结构非常有用。
我不会在主项目中添加人们可能不想要的功能,而是在本周发布两个姐妹项目:
AnalyzeMFT-SQLite 添加 SQL 表作为导出选项。我发现,在处理非常大的 MFT 文件时,将它们放入 SQLite 或 PostgreSQL 等数据库并使用这些工具执行查询/搜索通常更容易。这也使我们能够减少最终导出大型 MFT 文件的总大小,因为我们可以重用值和属性。
CanalyzeMFT - 这是该项目的 C/C++ 端口。目标是提高 *nix 系统(或者 Windows,如果您想在 Windows 上构建)上的性能。我的目标是省略系统相关的库(咳嗽 Windows.h),以便它可以轻松地在任何地方构建。
基本用法:
Usage: analyzeMFT.py -f -o [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-f FILE, --file=FILE MFT file to analyze
-o FILE, --output=FILE
Output file
-H, --hash Compute hashes (MD5, SHA256, SHA512, CRC32)
Export Options:
--csv Export as CSV (default)
--json Export as JSON
--xml Export as XML
--excel Export as Excel
--body Export as body file (for mactime)
--timeline Export as TSK timeline
--l2t Export as log2timeline CSV
Verbosity Options:
-v Increase output verbosity (can be used multiple times)
-d Increase debug output (can be used multiple times)
Error: No input file specified. Use -f or --file to specify an MFT file.
Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...
.......[CUT].........
Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.
MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv
当前版本:3.0.6.6
本杰明·坎斯 ([email protected])
版权所有本杰明·坎斯 2024
如果您想为此项目做出贡献,请提交拉取请求或在项目存储库上提出问题。
该工具按原样提供,不提供任何保证。使用风险由您自行承担,并确保您在分析任何文件系统或 MFT 数据之前拥有必要的权限。
