Come posso visualizzare la MFT NTFS $ usando i nomi dei campi corretti?

Question

Come posso visualizzare la MFT NTFS $ usando i nomi dei campi corretti?

#1 da (3 voti)
#2 da (3 voti)

7

Sto cercando di visualizzare una tabella dei file master NTFS . Ogni strumento che ho usato finora estrae tutte le voci, ma inserisce intestazioni non standard come STANDARD_INFORMATION_ON invece di dire $STANDARD_INFORMATION .

Ho provato MFT2CSV , ntfswalk64 e MFT_Parser , ma mi piacerebbe uno strumento che mi dia la MFT in un formato più grezzo, così posso vedere le voci come suppongono di essere, anche se non riesco a leggere i timestamp senza decodificare.

Qualcuno sa uno strumento più accurato e crudo?

windows tools ntfs forensics file-system

posta Ninja2k 24.05.2013 - 22:33

fonte

2 risposte

3

Prova questo PDF: NTFS Forensics: una vista dei programmatori dell'estrazione dei dati grezzi del filesystem di Jason Medeiros, Ricerca in scala di grigi 2008

Dovrebbe rispondere alle tue domande. Inoltre, puoi leggere la tua immagine con un editor esadecimale ... Beh, buona fortuna.

risposta data 24.05.2013 - 23:32

fonte

Leggi altre domande sui tag windows tools ntfs forensics file-system

Costo stimato per rendere fattibile un attacco WPA2 a forza bruta Avvio di una sessione php sicura

score 3 · Accepted Answer

Ho scritto uno strumento che analizza i record $ MFT e l'intero file $ MFT. Se sei in grado di leggere e scrivere Python, sarebbe relativamente facile scaricare tutti gli artefatti che vuoi in qualsiasi forma li desideri. Il codice è qui:

link