[tutorial] enumerar todos os arquivos do windows MFT

Postagem de conteúdo sobre tecnicas forense e anti forense
Post Reply
User avatar
Kodo no Kami
Admin
Admin
Posts: 641
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

[tutorial] enumerar todos os arquivos do windows MFT

Post by Kodo no Kami » Sun Dec 04, 2016 5:27 pm

e ae galera nesse tutorial vou ensinar a enumerar todos os arquivos e diretorios do sistema windows pelo mft (master file tables), no caso o mft é um arquivo especial do windows sendo ele a tabela de entrada de arquivos das partições do tipo ntfs, é o arquivo mft que diz para o sistema que determinado arquivo esta dentro de algum diretorio especifico ou se ele é um arquivo ou diretorio e qual cluster inicia esse arquivo a data da criação e modificação e o tamanho entre outras informações muito relevante para forense, vamos dizer que o mft sabe onde voce esconde seus videos secretos kkk, quando um arquivo é apagado seu registro no mft pode prevalecer mesmo que o arquivo ja tenha sido sobrescrito e se o arquivo estiver integro basta mudar um byte certo no mft que o arquivo volta dos mortos ja que é o mft que diz para o sistema se o arquivo esta ou nao apagado, o arquivo mft é um arquivo não acessivel e ele é o primeiro arquivo do sistema sendo ele o inode 0, para gente extrair esse arquivo pelo windows voce pode usar um editor hexadecimal alguns permite ler o mft como tambem extrair o mesmo como por exemplo o winhex ou ate um dos melhores editores hex que eu conheço o hexeditor neo, outra forma é usando programas de forense como autopsy e alguns outros, no caso para extrair vou fazer pelo linux usando o icat da sleuthkit e para conveter o arquivo mft do formato bruto para um formato legivel vou usar o analyzeMFT, para começar vamos extrair com icat caso voce nao tenha o icat basta instalar ele com o comando

Code: Select all

sudo apt-get install sleuthkit
primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)

Code: Select all

sudo blkid
Image

no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair

Code: Select all

sudo icat /dev/sda2 0 > kodomft
Image

baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),

Code: Select all

git clone https://github.com/dkovar/analyzeMFT.git
Image

na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele

Code: Select all

sudo python setup install
Image

agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida

Code: Select all

analyzeMFT.py -f kodomft -o kodo.csv
Image

com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela

Image

bom galera os arquivos mft muito usados na forense \o

by kodo no kami
Image

Conheça o sistema e manipule ele, se limite ao sistema e seja manipulado por ele ~kodo no kami

meu perfil yahoo

Post Reply

Return to “Forense / Anti Forense”