分析MFT
Bug
AnalyzeMFT 是一個 Python 腳本,旨在將 NTFS 主文件表 (MFT) 轉換為人類可讀和可搜尋的格式,例如 CSV。該工具對於數位取證、檔案系統分析和理解 NTFS 磁碟區的結構非常有用。
我不會在主專案中添加人們可能不想要的功能,而是在本週發布兩個姐妹專案:
AnalyzeMFT-SQLite 新增 SQL 表作為匯出選項。我發現,在處理非常大的 MFT 檔案時,將它們放入 SQLite 或 PostgreSQL 等資料庫並使用這些工具執行查詢/搜尋通常會更容易。這也使我們能夠減少最終導出大型 MFT 檔案的總大小,因為我們可以重複使用值和屬性。
CanalyzeMFT - 這是該專案的 C/C++ 連接埠。目標是提高 *nix 系統(或 Windows,如果您想在 Windows 上建置)上的效能。我的目標是省略系統相關的庫(咳嗽 Windows.h),以便它可以輕鬆地在任何地方建立。
基本用法:
Usage: analyzeMFT.py -f -o [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-f FILE, --file=FILE MFT file to analyze
-o FILE, --output=FILE
Output file
-H, --hash Compute hashes (MD5, SHA256, SHA512, CRC32)
Export Options:
--csv Export as CSV (default)
--json Export as JSON
--xml Export as XML
--excel Export as Excel
--body Export as body file (for mactime)
--timeline Export as TSK timeline
--l2t Export as log2timeline CSV
Verbosity Options:
-v Increase output verbosity (can be used multiple times)
-d Increase debug output (can be used multiple times)
Error: No input file specified. Use -f or --file to specify an MFT file.
Starting MFT analysis...
Processing MFT file: D:ISOsMFT_ImagesMFT
Processed 10000 records...
Processed 20000 records...
Processed 30000 records...
.......[CUT].........
Processed 310000 records...
MFT processing complete. Total records processed: 314880
Writing output in csv format to X:extracted.csv
Analysis complete.
MFT Analysis Statistics:
Total records processed: 314880
Active records: 171927
Directories: 99512
Files: 215368
Analysis complete. Results written to X:extracted.csv
目前版本:3.0.6.6
班傑明‧坎斯 ([email protected])
版權所有本傑明·坎斯 2024
如果您想為此專案做出貢獻,請提交拉取請求或在專案儲存庫上提出問題。
該工具按原樣提供,不提供任何保證。使用風險由您自行承擔,並確保您在分析任何檔案系統或 MFT 資料之前擁有必要的權限。
