@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

MFTECmd と $EA

NTFSの$MFTファイルをパースするツール”MFTECmd”をEricさんがリリースしています。素晴らしいツールをありがとうございます!

<2018/6/27 Add>v0.2.6.0がリリースされています</add>

 

 セキュリティキャンプ2018でE6トラックを選択する若者達には、ぜひ調査で利用していただきたいツールです。

初めて利用するので、ツール利用方法の確認と、$EA属性が確認できるかを見てみます。

まず、サンプルの画像ファイルを準備します。 ファイルサイズは33.2KBです。

f:id:hideakii:20180623093110p:plain

この画像ファイルを、EaToolsを利用してNTFSの$EA属性へ保存します。 

f:id:hideakii:20180623094354p:plain

$MFTでFILEレコードを確認します。$EA属性が追加されている事を確認できます。

f:id:hideakii:20180623100551p:plain

DataRunの値から、クラスタ2009にデータが保存されている事が分かります。

Autopsy 4.7.0でも確認してみます。ストリームの名前が確認できないようですが、データが存在する事は識別できます。

f:id:hideakii:20180623102312p:plain

 

$MFTファイルをエクスポートし、MFTECmd 0.2.5.0でパースします。

f:id:hideakii:20180623095007p:plain

結果を確認します。SiFlags値が数字?

f:id:hideakii:20180623095439p:plain

<6/24 added>

SiFlags値が262176となっていました、$SI を参照すると下記の状態になっています。

f:id:hideakii:20180624073615p:plain

00 04 00 20

File attribute flagsを参照すると0x00000020 FILE_ATTRIBUTE_ARCHIVEは確認できますが、04 00 00は記載がありません。PowerMftの説明では、ea = 0x00040000となっていますね。

 

次のリリースではHasEAフラグが登場ということです。これは便利です!

 

 --deオプションを利用すれば、EA属性を確認できる事に気が付いていませんでした。

f:id:hideakii:20180624071426p:plain

MFTECmd.exe -f c:\case\MFT\$MFT --de 39-1

f:id:hideakii:20180624071639p:plain

 次のバージョンでは下記のようになるそうです。楽しみですね!

</added> 

 

もしかすると、私だけかもしれませんが、属性一覧と、DataRun値のパース結果が、MFTECmdの出力結果に含まれていると便利ではないでしょうか。

 

※上記で作成したサンプルVHDディスク  

 

参考URL:

  

binaryforay.blogspot.com

github.com

github.com

f:id:hideakii:20180623092515j:plain