dfir_ntfs


Предыдущая | Следующая

dfir_ntfs
[https://github.com/msuhanov/dfir_ntfs]

парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты

- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.