Table maîtresse des fichiers ($MFT) - Le catalogue des fichiers

La Table de fichiers maîtresse () est le cœur absolu et la base de données centrale d’un volume NTFS. Il s’agit lui-même d’un fichier spécial contenant au moins une entrée, appelée enregistrement MFT (ou segment), pour chaque fichier et répertoire résidant sur ce volume. Chaque enregistrement MFT agit comme une fiche détaillée, stockant des métadonnées cruciales sur le fichier ou le répertoire correspondant. Ces métadonnées comprennent :$MFT

• Nom(s) de fichier (NTFS prend en charge plusieurs noms, par exemple, noms courts 8.3 et noms de fichiers longs)

• Taille du fichier (logique et physique)

• Attributs de fichier (par exemple, lecture seule, Caché, Système, Archive, Compressé, Chiffré)

• Autorisations de sécurité (ACL)

• Les horodatages fondamentaux du MACB (dans des attributs spécifiques comme et $STANDARD_INFORMATION$FILE_NAME)

• Des pointeurs (exécutions d’attributs) indiquant l’emplacement physique (clusters) sur le disque où le contenu réel du fichier est stocké. Pour les très petits fichiers, les données peuvent même être stockées directement dans l’enregistrement MFT lui-même (appelé fichier « résident »).$DATA

L’analyse (« analyse syntaxique ») fournit un catalogue complet de presque tout ce qui est présent (et souvent des éléments récemment supprimés dont les enregistrements n’ont pas encore été écrasés) sur le volume. C’est un artefact fondamental pour établir l’existence des fichiers, les chronologies et les attributs. Toute modification des métadonnées d’un fichier enregistrée dans son entrée MFT met à jour l’horodatage « (C) Modifié » du fichier.$MFT