في مقالة سابقة تعرفنا على super timeline وعرفنا ان هذا النوع من التحليل الزمني لا يعتمد فقط على metadata الخاص بالملفات وانما على اكثر من مصدر لبناء التسلسل الزمني للاحداث الخاص بالدليل . في هذه المقالة سوف نتعرف على كيفية بناء تسلسل زمني للاحداث في النظام ولكن خاص بأقراص NTFS والاستفاده من MFT$ الموجود في اقراص NTFS . هذا الملف يعتبر كنز من المعلومات للمحقيق الجنائيين لانه يحتوي على كل معلومات الملفات الموجوده داخل القرص ولايمكن الوصول اليه في الوضع الاعتيادي

في حالتنا لدينا وصول الى هذا الملف من خلال صورة النظام التي تم اخذها في مرحله Image Acquisition . السجلات في ملف MFT$ تكون active في حالة وجود الملف وتصبح inactive اذا تم حذف الملف

الصورة التاليه توضح سجل من سجلات ملف MFT$ باستخدام istat في SIFT, الرقم 0 في اخر الامر المستخدم داخل الصوره هو رقم السجل المراد عرضة ابتداً من offset 206848  .

 

 

كل سجل يحتوي على مجموعه من المعلومات الخاصه بالملفات  من اهم هذه المعلومات هي

  • STANDART_INFORMATION$
  • FILENAME$
  • DATA$

اول اثنين يحتويان على time stamps (معلومات التاريخ والوقت الخاصه بالملفات ) , كل ملف يحتوي على 8 معلومات عن الوقت والتاريخ اربعة منهم في STANDARD_INFORMATION$ واربعة اخرى في FILENAME$ هذه المعلومات معروفة بـ MACE .

  •   Modfied وهي معلومات الوقت الخاصة باخر تعديل على الملف يرمز لها بحرف M
  • Accessed وهي معلومات الوقت الخاصة باخر وقت تم قراءة الملف  ويرمز لها بحرف A
  • Created وهي معلومات الوقت الخاصه بوقت انشاء الملف ويرمز لها بحرف C
  • Entry Modified وتعني معلومات وقت اخر مره سجل MFT$ تم تعديله ويرمز لها بحرف  E

الان  بعد معرفة بعض المعلومات عن MFT$ والتي تعتبر كافية  يمكن البدء بتمرين عملي لتحليل قرص NTFS

نحتاج الى SIFT وبداخله صورة الدليل , سوف نستخدم اداة Mft2Csv لـ Joakim Schicht والتي تساعدنا في استخراج المعلومات من MFT$ .

سوف نقوم بعمل تعديل بسيط على SMB deamon لكي نجعل الصوره الخاصه بالدليل متوفره من خلال الشبكة باستخدام SMB .

 

كما هو موضح في الصوره اضفنا السطر الاخير لمشاركة الصوره الموصوله .

الان من خلال جهاز يعمل بنظام وندوز موجود في نفس الشبكة الموجود فيها SIFT Workstation يمكننا عرض والوصول الى الصوره من خلال CMD .

 

سوف نستخدم قرص Z للوصول الى الصوره , الان سوف نستخدم اداة  Mft2Csv الاداة لديها القدره لقراءة ملف MFT$ تعمل الادة في انظمه وندوز ولديها واجهة رسومية الاصدار الحالي هو v2.0.0.33

سوف نستخدم الامر التالي :

 

 

الامر واضح حيث تم تحديد القرص الموجوده فيه الصوره والـ time zone .

عند الانتهاء من انشاء الملف يمكن فتحه باستخدام Excel وتحليل التسلسل الزمني .

ترجمة لمقال : DIGITAL FORENSICS – NTFS METADATA TIMELINE CREATION

 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn