Académique Documents
Professionnel Documents
Culture Documents
TP3 Analyse de L Image de HDD
TP3 Analyse de L Image de HDD
Windows et comment réaliser une chronologie des évènements, afin de mieux comprendre ce
Extrayez la MFT :
La MFT se situe à la racine du disque dur. Pour y accéder, il suffit d’utiliser le logiciel FTK
Imager. La copie d’écran ci-dessous nous montre la MFT sur le disque monté.
Maintenant que nous avons extrait la MFT, il ne nous reste plus qu’à exploiter ses données.
compris sa taille, son nom, ses horodatages, ses autorisations et, dans certains cas, ses
données.
pour pouvoir exploiter et décoder la MFT, il est possible d’utiliser l’outil open source Mft2Csv qui
va convertir le contenu de la MFT en fichier CSV. Beaucoup plus simple pour lire les données
vous pouvez télécharger Mft2Csv ici. Lorsque vous lancez Mft2Csv, il faut ensuite spécifier le
NB :En fonction de la taille de votre MFT, ce processus peut durer un certain temps.
Le principal fichier qui nous intéresse est le fichier du type "MFT_date_.csv". C'est le
fichier qui va contenir toutes les entrées de la MFT, et c'est lui qui va nous permettre
Windows utilise le système de fichiers NTFS (New Technology File System) qui
fichier système propre à NTFS. Il peut être extrait depuis chaque partition avec
Pour traiter les données de la MFT, l’outil Mft2Csv permet de décoder les données et
de générer un fichier CSV. Une fois les données extraites, une chronologie des
évènements qui ont eu lieu avant l'attaque pourra donc être réalisée.
Nous avons ici retrouvé la trace de notre fichier rad5163B.tmp.exe, ainsi que le
Enfin, nous savons que c'est un email malveillant qui a été reçu, et notre fichier zip
Glossaire :
/SICTime est
l'heure de
création du
fichier
d'horodatage.
(8 octets)
/SIATime est l'heure de modification du fichier d'horodatage. (8 octets)
/SIMTime est l'horodatage de l'heure de modification de l'entrée
MFT. (8 octets)
/SIRTime est l'horodatage de l'heure du dernier accès au fichier.
(8 octets