Table maîtresse des fichiers

La Table de Fichiers Maîtresse (MFT) est le cœur du Système de Fichiers de Nouvelle Technologie (NTFS). C’est un fichier système spécial qui sert de base de données centrale ou d’index pour l’ensemble d’un volume. La MFT contient au moins un enregistrement, appelé segment d’enregistrement de fichier (FRS), pour chaque fichier et répertoire de ce volume. Cela inclut le MFT lui-même, qui possède sa propre entrée.

D’un point de vue DFIR, la MFT est la source ultime de vérité pour les métadonnées du système de fichiers. Il fournit un catalogue détaillé et structuré de presque tout ce qui existe — ou qui a récemment existé — sur un disque. L’analyse de la MFT est une étape fondamentale dans toute enquête médico-légale sur un système de fichiers.

Emplacement et structure

Le MFT est un fichier lui-même, généralement nommé , situé à la racine du volume NTFS. Il est généralement caché et inaccessible via des interfaces utilisateur standard comme l’Explorateur de fichiers.$MFT

• Structure: La MFT est composée d’une série d’enregistrements de taille fixe (généralement 1024 octets). Les premiers enregistrements sont réservés aux fichiers de métadonnées NTFS (par exemple, , , , ). Chaque enregistrement ultérieur est alloué à un fichier ou un répertoire au fur et à mesure de sa création.$MFT$LogFile$Volume$AttrDef

Lorsqu’un fichier est supprimé, son enregistrement MFT est marqué comme inactif mais n’est pas immédiatement écrasé. L’espace du disque devient disponible pour être réutilisé par un nouveau fichier. Cette « latence » dans l’écrasement offre une fenêtre critique aux analystes médico-légaux pour récupérer les métadonnées sur les fichiers supprimés.

Métadonnées et attributs stockés

Chaque enregistrement MFT agit comme une fiche détaillée, stockant des métadonnées cruciales sur son fichier ou répertoire correspondant sous forme d’attributs. Les attributs clés incluent :

• $STANDARD_INFORMATION ($SI) : Cet attribut contient un ensemble d’horodatages MACB (Modifié, Accédé, Modifié, Naissance), d’attributs de fichier (par exemple, Lecture seule, Caché, Système) et d’informations de propriété. Ce sont les horodatages les plus couramment affichés par le système d’exploitation.

• $FILE_NAME ($FN) : Cet attribut stocke le nom du fichier (en Unicode), la référence MFT de son répertoire parent, et, surtout, un ensemble séparé et indépendant d’horodatages MACB. Ces horodatages sont souvent moins susceptibles d’être modifiés simplement que les horodatages.$SI

• $DATA: Cet attribut contient le contenu réel du fichier. Pour les très petits fichiers (fichiers « résidents »), les données sont stockées directement dans l’enregistrement MFT lui-même. Pour les fichiers plus volumineux, cet attribut contient des pointeurs vers les emplacements physiques (clusters) sur le disque où les données sont stockées.

• Autres attributs : Le MFT stocke également des informations sur les permissions de sécurité (), les flux de données alternatifs (), et plus encore.$SECURITY_DESCRIPTOR $ATTRIBUTE_LIST

Valeur médico-légale

La MFT est un artefact indispensable pour reconstruire l’activité du système de fichiers et détecter toute altération (tamper).

• Catalogue de fichiers complet : L’analyse du MFT fournit une liste complète de tous les fichiers et répertoires actifs, ainsi que leurs métadonnées détaillées.

• Récupération des fichiers supprimés : En analysant les enregistrements MFT inactifs qui n’ont pas encore été écrasés, les analystes peuvent récupérer des métadonnées critiques sur les fichiers supprimés, y compris leurs noms originaux, leurs tailles et leurs horodatages, prouvant leur existence antérieure.

• Détection du timetomping : C’est un cas d’usage clé. Parce que la MFT stocke deux ensembles distincts d’horodatages ( et ), une différence entre eux est un indicateur classique et fort du timetomping. De nombreux outils anti-médico-légaux ne modifient que les horodatages plus accessibles, laissant les horodatages intacts comme preuve de la manipulation.$SI $FN $SI $FN

• Suivi des mouvements des fichiers : La référence du répertoire parent dans l’attribut aide à établir l’emplacement du fichier et peut être utilisée pour suivre les mouvements des fichiers dans le même volume.$FN

Des outils médico-légaux spécialisés comme ceux d’Eric Zimmerman ou des suites médico-légales comme FTK Imager sont nécessaires pour analyser le fichier MFT brut et présenter son contenu dans un format lisible par l’humain.MFTECmd

Points de réflexion (Concours SS)

Pour un ScreenSharer, le MFT est le livre de référence pour tous les fichiers du système et un outil principal pour exposer les contournements avancés.

• La vérité sur le terrain : Le MFT vous indique ce qui est vraiment sur le disque. Il peut révéler des fichiers cachés ou des répertoires qui ne sont pas visibles dans l’Explorateur de fichiers.

• Dénoncer le piétinement du temps : La capacité de comparer et de faire des horodatages est l’une des techniques les plus puissantes de l’arsenal d’un ScreenSharer. Si un joueur affirme qu’un fichier de triche est ancien, mais qu’une vérification du MFT révèle que l’horodatage du fichier (par exemple, 2019) est complètement différent de son horodatage (par exemple, la date d’aujourd’hui), vous disposez d’une preuve concluante de falsification.$SI $FN $SI $FN

• Récupération des informations du fichier supprimé : Même si un joueur supprime un triche par shift-delete, une analyse rapide du MFT pour les enregistrements inactifs pourrait récupérer le nom de fichier et les horodatages du tricheur, prouvant qu’il existait juste avant le partage d’écran.

• Identifier les dossiers des résidents : Les tricheurs utilisent parfois de très petits outils ou scripts. Si ces éléments sont « résidents » dans le MFT, ils pourraient ne pas occuper un cluster séparé sur le disque, ce qui les rend un peu plus difficiles à trouver avec les outils standards de gravure de fichiers. Un parse MFT complet les trouvera toujours.