Resultados 1 a 2 de 2

Tópico: [tutorial] enumerar todos os arquivos do windows MFT

  1. #1
    Membro
    Avatar de kodo no kami
    Data de Ingresso
    Mar 2017
    Posts
    37
    Thanked: 8
    Peso da Avaliação
    0

    [tutorial] enumerar todos os arquivos do windows MFT

    e ae galera nesse tutorial vou ensinar a enumerar todos os arquivos e diretorios do sistema windows pelo mft (master file tables), no caso o mft é um arquivo especial do windows sendo ele a tabela de entrada de arquivos das partições do tipo ntfs, é o arquivo mft que diz para o sistema que determinado arquivo esta dentro de algum diretorio especifico ou se ele é um arquivo ou diretorio e qual cluster inicia esse arquivo a data da criação e modificação e o tamanho entre outras informações muito relevante para forense, vamos dizer que o mft sabe onde voce esconde seus videos secretos kkk, quando um arquivo é apagado seu registro no mft pode prevalecer mesmo que o arquivo ja tenha sido sobrescrito e se o arquivo estiver integro basta mudar um byte certo no mft que o arquivo volta dos mortos ja que é o mft que diz para o sistema se o arquivo esta ou nao apagado, o arquivo mft é um arquivo não acessivel e ele é o primeiro arquivo do sistema sendo ele o inode 0, para gente extrair esse arquivo pelo windows voce pode usar um editor hexadecimal alguns permite ler o mft como tambem extrair o mesmo como por exemplo o winhex ou ate um dos melhores editores hex que eu conheço o hexeditor neo, outra forma é usando programas de forense como autopsy e alguns outros, no caso para extrair vou fazer pelo linux usando o icat da sleuthkit e para conveter o arquivo mft do formato bruto para um formato legivel vou usar o analyzeMFT, para começar vamos extrair com icat caso voce nao tenha o icat basta instalar ele com o comando

    Código:
    sudo apt-get install sleuthkit
    primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)

    Código:
    sudo blkid


    no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair

    Código:
    sudo icat /dev/sda2 0 > kodomft


    baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),

    Código:
    git clone https://github.com/dkovar/analyzeMFT.git


    na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele

    Código:
    sudo python setup install


    agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida

    Código:
    analyzeMFT.py -f kodomft -o kodo.csv


    com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela



    bom galera os arquivos mft muito usados na forense \o

    by kodo no kami

  2. O Usuário Diz Obrigado a kodo no kami Por Este Belo Post:

    Valterri (17-08-2017)

  3. #2
    Membro
    Avatar de Valterri
    Data de Ingresso
    Aug 2017
    Posts
    1
    Thanked: 0
    Peso da Avaliação
    0
    bem interessante mano, valew

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •  
Sobre a FH
O Melhor conteúdo Hacker
Acesso
Hacker Xadrez
FH
Coded By_Phishing