我正在寻找一种方法来保存 NTFS 文件系统 MFT 的副本,以分析上次访问文件的日期以及完整的文件列表。我曾考虑使用 DD 来避免必须安装设备并且不修改上次访问 MFT 的日期(我需要知道上次使用光盘的时间)。
如果可能的话,我还想查看已删除文件的列表或能够通过命令对其进行过滤。
可以这样做吗?这种方法是否更适合调查上次访问的日期,还是我最好完整复制磁盘并使用某些软件进行分析?
答案1
通过谷歌快速搜索,您可以得到以下结果:
你需要侦探工具工具,以及分析MFTpip 模块
sudo apt install sleuthkit
sudo pip install analyzeMFT # install globally
这将给我们多媒体(其实不需要)和免疫学及免疫学工具
假设这/dev/sdx是您的磁盘。但您可以调整命令以在映像上运行它。
sudo mmls /dev/sdx
这将为您提供 NTFS 分区的偏移量,例如 1107968
然后,
sudo icat -o 1107968 /dev/sdx 0 > mft.raw
然后,
sudo analyzeMFT.py -f mft.raw -o mftanalyzed.csv
如果你有NTFS 分区的磁盘映像,这就足够了
icat -o 0 image.raw 0 > mft.raw
analyzeMFT.py -f mft.raw -o mftanalyzed.csv
我猜