一、什么是MFT

MFT，全稱Master File Table，即主文件表，它是NTFS文件系統的核心。它是包含了NTFS卷中所有文件信息的數據庫，在$MFT 中每個文件（包括MFT本身）至少有一個MFT，記錄著該文件的各種信息。這些信息被稱為屬性。

NTFS使用MFT條目定義它們對應的文件，有關文件的所有信息，比如大小、時間、權限等都存在MFT條目中，或者由MFT條目描述存儲在MFT外部的空間中。

MFT由一個個MFT項（也稱為文件記錄(File Record)）組成，每個MFT項占用1024字節的空間。這個概念相當于Linux中的inode，File Record在$MFT文件中物理上是連續的，且從0開始編號，每個MFT項的前部幾十個字節有著固定的頭結構，用來描述本MFT項的相關信息。后面的字節存放著“屬性”。(-via 百度百科)

二、MFT與數據恢復

在正常情況下，MTF條目會隨著文件添加到NTFS卷中而增加，因此MFT的大小也會增加，當文件從NTFS卷中刪除時，其MFT條目會被標記為free（空閑），以準備被重復使用，此條目會繼續存在，直到它被新文件覆蓋。但MFT所占空間大小不會因為刪除文件而縮小。

例子：假如現在有100個MFT條目和一個文件X，現在刪除文件X并立即創建500個以上文件，那么文件X的MFT條目將會被覆蓋。雖然文件的內容可能存在與硬盤上，但包含名稱、元數據等的MFT條目將被覆蓋。

例子2：現在MFT有10000個條目，刪除1000個文件和立即添加2個新文件。此時，可以恢復998個條目。不過文件的數據是否可以恢復得看它們是否已被覆蓋。

這種文件數據和MFT條目分開的方式，會導致在刪除操作后存在以下幾種可能性：

1、文件被刪除，但MFT條目和文件數據是100%可恢復的，則刪除的文件可以100%被恢復。

2、文件被刪除，MFT條目可恢復，但部分文件數據被覆蓋，則該文件部分可被恢復。

3、文件被刪除，MFT條目可恢復，但是文件數據被100%覆蓋，則該文件不可恢復，但該文件相關屬性信息（名稱、日期、大小等信息）可被恢復。

4、文件被刪除，MFT條目和文件數據100%可恢復，但文件已100%丟失，這種情況下。取證調查可以揭示該文件的大量信息，但不是通過MFT，而是使用其他證物。

5、文件被刪除且MFT100%被覆蓋，但文件數據未100%被覆蓋。剩余的文件可以從磁盤上未分配的空間恢復。但雕刻數據的結果取決于碎片、可恢復數據的數量（可能是100%）和文件的性質。

當然，MFT被覆蓋時，存在非100%被覆蓋的情況，這種情況被稱為MFT文件松弛，標準上來說，MFT條目被分配1024字節的固定空間。如果MFT條目小于1024字節。比如1000字節，則剩下為額外松弛空間。比如一個只有200字節長的密碼文件，其文件數據也會被放置在MFT內，這種文件數據稱為常駐數據。而文件名稱、日期等元數據只占用大約500字節左右，如果刪除了文件并在其位置創建了新的MFT條目，且不包括常駐數據。這意味著即使這個文件被刪除，如果仔細檢查也能恢復。

三、$MFT文件在取證中的應用

題目來源：Cynet應急響應挑戰賽

題目描述：GOT公司的CTO在自己的筆記本上發現了可疑的活動。他說桌面上某些文件突然被移動了位置，而且其他文件似乎還在不合邏輯的日期被修改。他希望我們找出桌面上文件異常的相關證據。通過 一些技術檢查，我們發現他是對的。桌面文件有明顯的異常痕跡。請根據提供的$MFT文件找到與文件更改/修改相關的異常痕跡。

提示：1、找出受攻擊者影響的文件名稱及其原始創建時間。2、該文件位于桌面上。3、時間格式：DD-MM-YYYY HH:MM:SS ，文件名格式：filename.ext（ext是文件擴展名）

下載題目提供的文件

用Winhex打開可以查看其組成結構

我們可以通過$MFT解析軟件把MFT條目導出來

Mft2Csvhttps://github.com/jschicht/Mft2Csv

下載打開軟件，選擇$MFT文件，然后導出到csv文件

導出的條目會以csv文件的形式存放在軟件目錄下

打開導出的csv文件，就可以看到文件的名稱，日期，權限等各種信息

我們找到桌面上的相關文件

通過篩選，我們把要找的文件鎖定在19個相關文件內容中

通過觀察比較，發現其中一個文件時間有異常

0x0567DC00|GOOD|OK||88567|13|1|86832|1|Mod-File.txt|:UsersDFIRDesktopMod-File.txt|FILE|ALLOCATED|1|archive|archive|DOS+WIN32|0|2019-01-01 01:01:01.0000000|2019-01-01 01:01:01.0000000|2020-01-19 12:19:30.3933817|2019-01-01 01:01:01.0000000|0|2020-01-19 11:51:19.3290999|2020-01-19 11:51:25.8535572|2020-01-19 11:51:25.8539659|2020-01-19 11:51:25.8520885|1|0|0|0|20993824|||1|0||00||146907926|352|1024|0|0|0x0006|||||0|0|0|0|1368|0||||||||||||{817E2E08-3A9F-11EA-9223-000C2909356D}|NOT PRESENT|NOT PRESENT|NOT PRESENT|||||||||||||||||||||||||||||||||||||||1|0|1|1|0|0|0|1|0|0|0|0|0|0|0|0

上述項目對應的含義如下：

RecordOffset|Signature|IntegrityCheck|Style|HEADER_MFTREcordNumber|HEADER_SequenceNo|Header_HardLinkCount|FN_ParentReferenceNo|FN_ParentSequenceNo|FN_FileName|FilePath|HEADER_Flags|RecordActive|FileSizeBytes|SI_FilePermission|FN_Flags|FN_NameType|ADS|SI_CTime|SI_ATime|SI_MTime|SI_RTime|MSecTest|FN_CTime|FN_ATime|FN_MTime|FN_RTime|CTimeTest|FN_AllocSize|FN_RealSize|FN_EaSize|SI_USN|DATA_Name|DATA_Flags|DATA_LengthOfAttribute|DATA_IndexedFlag|DATA_VCNs|DATA_NonResidentFlag|DATA_CompressionUnitSize|HEADER_LSN|HEADER_RecordRealSize|HEADER_RecordAllocSize|HEADER_BaseRecord|HEADER_BaseRecSeqNo|HEADER_NextAttribID|DATA_AllocatedSize|DATA_RealSize|DATA_InitializedStreamSize|SI_HEADER_Flags|SI_MaxVersions|SI_VersionNumber|SI_ClassID|SI_OwnerID|SI_SecurityID|SI_Quota|FN_CTime_2|FN_ATime_2|FN_MTime_2|FN_RTime_2|FN_AllocSize_2|FN_RealSize_2|FN_EaSize_2|FN_Flags_2|FN_NameLength_2|FN_NameType_2|FN_FileName_2|GUID_ObjectID|GUID_BirthVolumeID|GUID_BirthObjectID|GUID_DomainID|VOLUME_NAME_NAME|VOL_INFO_NTFS_VERSION|VOL_INFO_FLAGS|FN_CTime_3|FN_ATime_3|FN_MTime_3|FN_RTime_3|FN_AllocSize_3|FN_RealSize_3|FN_EaSize_3|FN_Flags_3|FN_NameLength_3|FN_NameType_3|FN_FileName_3|DATA_Name_2|DATA_NonResidentFlag_2|DATA_Flags_2|DATA_LengthOfAttribute_2|DATA_IndexedFlag_2|DATA_StartVCN_2|DATA_LastVCN_2|DATA_VCNs_2|DATA_CompressionUnitSize_2|DATA_AllocatedSize_2|DATA_RealSize_2|DATA_InitializedStreamSize_2|DATA_Name_3|DATA_NonResidentFlag_3|DATA_Flags_3|DATA_LengthOfAttribute_3|DATA_IndexedFlag_3|DATA_StartVCN_3|DATA_LastVCN_3|DATA_VCNs_3|DATA_CompressionUnitSize_3|DATA_AllocatedSize_3|DATA_RealSize_3|DATA_InitializedStreamSize_3|STANDARD_INFORMATION_ON|ATTRIBUTE_LIST_ON|FILE_NAME_ON|OBJECT_ID_ON|SECURITY_DESCRIPTOR_ON|VOLUME_NAME_ON|VOLUME_INFORMATION_ON|DATA_ON|INDEX_ROOT_ON|INDEX_ALLOCATION_ON|BITMAP_ON|REPARSE_POINT_ON|EA_INFORMATION_ON|EA_ON|PROPERTY_SET_ON|LOGGED_UTILITY_STREAM_ON

在其文件日期修改日期和訪問日期上都很不正常，都是2019-01-01 01:01:01.0000000，通過比較FN Info Creation date(FN_CTime)和Std Info Creation date(SI_CTime)發現兩種時間不一致。(注：FN (FILE_NAME) ，SI (STANDARD_INFORMATION) )；而$FN只能由內核級進程修改，攻擊者想修改非常困難。

至此我們找出了被修改的文件是Mod-File.txt，文件的原始創建時間是19-01-2020 11:51:19

四、總結

攻擊者利用的是Timestomp技術。Timestomp 是一種修改文件時間戳（修改，訪問，創建和更改時間）的技術，通常用于模擬同一文件夾中的文件。該技術可以用在攻擊者修改或創建的文件上，使得它們在取證調查人員或文件分析工具面前更加隱蔽。Timestomp 可以與文件名偽裝（Masquerading）結合使用來隱藏惡意軟件和工具。（https://attack.mitre.org/techniques/T1070/006/）

本文涉及相關實驗：Linux系統取證 （本實驗主要介紹 Linux 環境下的磁盤取證和內存取證工具的使用包括 Ftkimage、xmount、Volatility等。）

合天智匯：合天網絡靶場、網安實戰虛擬環境

總結

以上是生活随笔為你收集整理的Windows 取证之$MFT的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。