Attributs de l’index ($INDX / $i 30)

Dans le système de fichiers NTFS, le contenu d’un répertoire n’est pas stocké sous forme de liste simple. Au lieu de cela, ils sont organisés dans une structure de données sophistiquée en B-tree pour permettre un tri efficace et des recherches rapides. Cette structure est stockée dans des attributs spéciaux de l’enregistrement MFT du répertoire, connus collectivement sous le nom d’Index Attributes.

L’attribut principal d’index, identifié par son identifiant de type d’attribut dans les outils médico-légaux, sert essentiellement de table des matières du répertoire. Il contient une entrée pour chaque fichier et sous-répertoire résidant dans ce répertoire.$I30

Du point de vue DFIR, les attributs index sont inestimables car, comme le MFT, ils ne purgent pas immédiatement les informations sur les éléments supprimés. Leur structure interne et leur espace libre peuvent conserver les métadonnées sur les fichiers bien après que leurs enregistrements MFT principaux ont été écrasés.$I30

Emplacement et structure

Les informations d’index d’un annuaire sont stockées dans son propre enregistrement MFT. La structure est divisée en fonction de la taille du répertoire :

  • $INDEX_ROOT: Pour les petits annuaires, toutes les entrées d’index sont stockées directement dans cet attribut à l’intérieur même de l’enregistrement MFT. Cet attribut sert également de nœud racine de l’arbre B pour les répertoires plus grands.

  • $INDEX_ALLOCATION: Pour les répertoires plus grands qui ne peuvent pas tenir dans le , la structure en arbre B est étendue en clusters externes sur le disque, qui sont suivis par cet attribut.$INDEX_ROOT

Chaque entrée dans l’index contient un sous-ensemble de métadonnées copiées de l’attribut correspondant ($FN) dans son enregistrement MFT.$I30 $FILE_NAME

Métadonnées stockées

Une seule entrée dans l’index d’un annuaire stocke généralement :$I30

  • Fichier: Le nom du fichier ou du sous-répertoire.

  • Numéro de référence du fichier MFT : Un pointeur vers l’enregistrement MFT du fichier ou du sous-répertoire.

  • Taille du fichier : La taille logique du fichier.

  • Horodatages MACB : Un ensemble d’horodatages (Modifié, Accès, Modifié, Naissance) qui reflètent ceux de l’attribut du fichier.$FILE_NAME

Lorsqu’un fichier est supprimé, son entrée dans l’index du répertoire parent est marquée comme inactive mais n’est pas immédiatement annulée ou supprimée. Il reste dans la structure de l’arbre B jusqu’à ce que son espace soit nécessaire pour une nouvelle entrée, et même alors, les restes peuvent persister dans l’espace de jeu du tampon d’index.$I30

Valeur médico-légale

L’analyse des attributs, en particulier en se concentrant sur les entrées inactives et l’espace libre, permet de récupérer des preuves qui ne sont plus disponibles dans la MFT.$I30

  • Récupération des métadonnées des fichiers supprimés : C’est la valeur principale en analyse médico-légale. En « gravant » les structures d’index, les outils médico-légaux peuvent extraire ces entrées inactives. Cela permet de récupérer le nom de fichier, la taille, les attributs et les horodatages des fichiers dont les enregistrements MFT originaux ont été complètement écrasés et réutilisés. Cela fournit une preuve définitive qu’un fichier portant un nom spécifique a déjà existé dans ce répertoire.$I30 $FN

  • Chronologies corroborantes : Les horodatages contenus dans les entrées fournissent une autre source de données temporelles, reflétant les horodatages du fichier. Cela peut être utilisé pour corroborer ou construire des chronologies d’activité de fichiers dans le contexte spécifique de leur répertoire parent.$I30 $FN

  • Identifier les fichiers renommés : Bien que soit la source principale pour cela, examiner la séquence des entrées actives et inactives dans un index peut parfois fournir des indices sur des activités récentes de renommage dans un répertoire.$UsnJrnl

  • Contourner la falsification MFT : Dans un scénario hypothétique où un attaquant pourrait manipuler un enregistrement MFT sans déclencher d’autres journaux, l’entrée correspondante dans le répertoire parent pourrait conserver les métadonnées originales, non modifiées.$I30

Des outils spécialisés sont nécessaires pour une analyse efficace. Les utilitaires en ligne de commande ou les suites médico-légales comme EnCase et X-Ways Forensics disposent de modules conçus pour analyser ces structures complexes en B-tree et extraire des données d’entrées actives et inactives.$I30 INDXRipper

Points de réflexion (Concours SS)

Pour un ScreenSharer, l’analyse est une technique avancée, mais comprendre son potentiel est essentiel lorsqu’on traite un scénario suspecté de validation des preuves où d’autres artefacts échouent.$I30

  • Le dernier recours pour les fichiers supprimés : Imaginez qu’un joueur supprime une triche, vide la corbeille, puis crée suffisamment de nouveaux fichiers pour s’assurer que l’enregistrement MFT du triche est écrasé. Il se peut que le système s’enroule, et le VSS soit désactivé. Dans ce « pire scénario », analyser l’index du répertoire où se trouvait la triche (par exemple, le bureau) pourrait être la seule façon de récupérer le nom de fichier du triche et de prouver qu’il y a existé.$UsnJrnl $I30

  • Prouver l’existence : L’utilisation la plus puissante dans un SS est simple : prouver qu’un fichier nommé a existé à un moment donné sur le bureau de l’utilisateur. Même sans horodatage précis, cela peut être suffisant pour contredire les affirmations d’un joueur et justifier un bannissement, selon les règles du serveur.Vape.exe

  • Un outil pour le « professionnel » qui passe : Cette technique est particulièrement efficace contre les joueurs qui savent comment vaincre des artefacts médico-légaux plus courants. Elle démontre un niveau d’investigation plus profond capable de détecter même des tentatives sophistiquées de destruction de données.

PrécédentCopies Ombres de Volume (VSS)SuivantFlux de données alternatifs (ADS)

Mis à jour