¿Cómo puedo ver la MFS de NTFS usando los nombres de campo correctos?

Navega tus respuestas
7

Estoy intentando ver una tabla de archivo maestro NTFS . Cada herramienta que he usado hasta ahora extrae todas las entradas, pero coloca encabezados no estándar como STANDARD_INFORMATION_ON en lugar de decir $STANDARD_INFORMATION .

He intentado MFT2CSV , ntfswalk64 , y MFT_Parser , pero me gustaría una herramienta que me proporcione la MFT en un formato sin formato, para que pueda ver las entradas como se supone que deben ser, incluso si no puedo leer las marcas de tiempo sin descodificar.

¿Alguien sabe una herramienta más precisa y cruda?

    
pregunta Ninja2k 24.05.2013 - 22:33
fuente

2 respuestas

3

Escribí una herramienta que analiza los registros de $ MFT y el archivo completo de $ MFT. Si eres capaz de leer y escribir Python, sería relativamente fácil descartar cualquier artefacto que quieras en la forma en que lo desees. El código está aquí:

enlace

    
respondido por el user2616771 01.08.2013 - 01:32
fuente
3

Pruebe este PDF: NTFS Forensics: una vista de los programadores sobre la extracción de datos del sistema de archivos sin procesar por Jason Medeiros, Investigación en escala de grises 2008

Debería responder a sus preguntas. Además, puedes leer tu imagen con un editor Hex ... Bueno, buena suerte con eso.

    
respondido por el Chris 24.05.2013 - 23:32
fuente

Lea otras preguntas en las etiquetas

Costo estimado para hacer viable un ataque WPA2 de fuerza bruta Comenzando una sesión segura de php