Aujourd’hui nous allons revenir sur le fichier MFT que nous avons vu dans le chapitre précédent.

Ce fichier peut être considéré comme  un des points clés du système de fichiers NTFS, dans le sens ou il contient des informations sur tous les fichiers / dossiers présents sur le DD avec entre autres:

•         Nom long du fichier.
•         Nom au format 8.3.
•         Index (numéro d’ordre du fichier).
•         Taille du fichier.
•         Dates et heures de création / modification / accès.
•         Attributs du fichier.
•         Droits d’accès (voir ACL)
•         Liste des blocs (clusters) contenant le fichier.

Afin de l’analyser on peut utiliser analyseMFT pour l’explorer le contenu du fichier MFT (on spécifie à analyseMFT l’image ou se trouve notre fichier MFT) qui généra un CSV.

Ou utiliser MFTparser qui charge un fichier MFT puis crée une base sqLite étant explorable directement avec MFTparser.

Ce dernier étant plus performant (pour faire des recherches…) est celui que nous utiliserons.

Pour cela il faut d’abord exporter votre fichier $MFT depuis Autopsy.

Une fois l’export réalisé on lance MFTparser et on charge notre fichier MFT en cliquant sur : « Process MFT Record ».

Cette action va générer une base SQLite contenant toutes les informations de votre MFT, ainsi si vous désirez explorer à nouveau votre fichier MFT ultérieurement vous n’aurez qu’a faire « Load Previous Case » et sélectionner la base SQLite correspondant à votre MFT.

A ce moment plusieurs fenêtres devraient s’ouvrir:

« file type listing » liste les différents enregistrements, et permet d’effectuer une recherche sur un fichier précis rapidement.

Comme avec anlayseMFT vous pouvez générer un CSV avec les enregistrements MFT Allez sur « Temporal Analysis« , cochez les cases qui vous intéresse pour générer le CSV correspondant à votre MFT.

Record : corresponds au numéro d’enregistrement.

D’autre part avec MFTparser vous pouvez effectuer des recherches, cliquer sur un des enregistrements pour avoir plus d’informations sur ce dernier (date de création, dernier accès, modification…).

On lance regRipper sous une machine Windows en spécifiant le chemin de notre NTUSER.dat, puis dans plugin on sélectionne « ntuser ».

Une fois la ruche rippé, deux fichiers textes sont créés:

    Un contenant des logs (encadré en rouge sur l’image ci-dessous).

   L’autre contenant contenu du fichier NTUSER avec les informations qui nous intéressent (encadré en vert).

Parmi ces informations on peut retrouver les documents récents, on voit notre fichier « ailes.odt » créé par le suspect juste avant la copie du disque et toutes les informations sur le profil de la session ( application, bureau, environnement, connexion réseau, imprimante…).