Introduction to MFTECmd - NTFS MFT and Journal Forensics

Поділитися
Вставка
  • Опубліковано 26 лип 2024
  • This is a long overdue follow-up to "NTFS Journal Forensics" from 2019. We'll take an in-depth look at both NTFS file system journals ($UsnJrnl and $LogFile), and we'll look at how to parse the $MFT and $UsnJrnl with Eric Zimmerman's MFTECmd. Then, we'll analyze the results with Timeline Explorer.
    ** If you enjoy this video, please consider supporting 13Cubed on Patreon at patreon.com/13cubed. **
    📖 Chapters
    00:00 - Intro
    06:00 - Using KAPE to Acquire NTFS $MFT and Journals
    10:33 - Using MFTECmd
    13:00 - Using Timeline Explorer to Analyze the Results
    20:36 - Recap
    🛠 Resources
    NTFS Journal Forensics:
    • NTFS Journal Forensics
    MFTECmd:
    ericzimmerman.github.io/#!ind...
    AboutDFIR's MFTECmd Guide:
    aboutdfir.com/toolsandartifac...
    #Forensics #DigitalForensics #DFIR #ComputerForensics #WindowsForensics
  • Наука та технологія

КОМЕНТАРІ • 19

  • @Random-ch9my
    @Random-ch9my Рік тому +4

    The quality of your videos is outstanding. Thank you for the excellent content. Truly a game changer.

  • @souhaibfahfouhi7355
    @souhaibfahfouhi7355 2 місяці тому

    masterpiece mentor

  • @jasonmatthewhillman9973
    @jasonmatthewhillman9973 7 місяців тому

    Thank you so much for putting this together. I teach CyberSecurity and my students really benefit from your hard work. You are appreciated my friend.

    • @13Cubed
      @13Cubed  7 місяців тому

      You're very welcome!

  • @chrisclark5135
    @chrisclark5135 3 роки тому +4

    Thanks as always for this very helpful content!

  • @magnusthorne
    @magnusthorne Рік тому +1

    This was a very useful video. Thanks!

  • @kareemh91
    @kareemh91 3 роки тому +3

    Thank you for your amazing content

  • @Emilsurf
    @Emilsurf 3 роки тому +1

    Great stuff!

  • @TrishLee
    @TrishLee 3 роки тому +2

    Really love this 👍

  • @shellz831
    @shellz831 Рік тому +1

    EXCELLENT EXCELLENT EXCELLENT VIDEO.

  • @leacossio
    @leacossio 10 місяців тому

    Awesome video

  • @edinatl2008
    @edinatl2008 3 роки тому +3

    Thanks

  • @sai1234g24
    @sai1234g24 2 роки тому

    Hi Sir,
    there are other files with the same entry number 152240 with extensions .mui and .temp. What are these files? Will usnjrnl re-use an entry number?

  • @alanharper5087
    @alanharper5087 2 роки тому

    I could not get this command to work. It generated a lot of red "A module name "module name" already exists error messages. I double checked my command and made no errors. I don't know why these error messages happened.

  • @ztipster
    @ztipster 2 місяці тому

    How I see these videos in order ? or it does not matter ?

    • @13Cubed
      @13Cubed  2 місяці тому +1

      See playlists: ua-cam.com/users/13cubedplaylists

  • @marcschweiz
    @marcschweiz Рік тому +1

    Great video but gKape is much easier to use.

    • @13Cubed
      @13Cubed  Рік тому

      Important to know how to use both, especially for acquisitions in which a GUI is not available.

  • @diskdoctorprague
    @diskdoctorprague 3 роки тому

    A tool called dfir_ntfs could also parse $LogFile. I recammand you check that one out if you don't know it yet...

Наступне
Автоматичне відтворення
Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation39:13Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation
Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation13Cubed
Переглядів 27 тис.
Anatomy of an NTFS FILE Record - Windows File System Forensics11:45Anatomy of an NTFS FILE Record - Windows File System Forensics
Anatomy of an NTFS FILE Record - Windows File System Forensics13Cubed
Переглядів 11 тис.
A File's Life - File Deletion and Recovery30:26A File's Life - File Deletion and Recovery
A File's Life - File Deletion and Recovery13Cubed
Переглядів 6 тис.
What it feels like cleaning up after a toddler.00:40What it feels like cleaning up after a toddler.
What it feels like cleaning up after a toddler.Daniel LaBelle
Переглядів 77 млн
Курс щасливого життя | Український серіал, що вражає та змінює світогляд | Серія 150:27Курс щасливого життя | Український серіал, що вражає та змінює світогляд | Серія 1
Курс щасливого життя | Український серіал, що вражає та змінює світогляд | Серія 1Телеканал ДІМ
Переглядів 511 тис.
БАБУШКИН КОМПОТ В СОЛО00:23БАБУШКИН КОМПОТ В СОЛО
БАБУШКИН КОМПОТ В СОЛО⚡️КАН АНДРЕЙ⚡️
Переглядів 13 млн
МАРИЯ ГОЛУБКИНА О ЕСТЕСТВЕННОСТИ #shorts00:35МАРИЯ ГОЛУБКИНА О ЕСТЕСТВЕННОСТИ #shorts
МАРИЯ ГОЛУБКИНА О ЕСТЕСТВЕННОСТИ #shortsЕлена Ханга
Переглядів 2,5 млн
CrowdStrike IT Outage Explained by a Windows Developer13:40CrowdStrike IT Outage Explained by a Windows Developer
CrowdStrike IT Outage Explained by a Windows DeveloperDave's Garage
Переглядів 2 млн
Windows MACB Timestamps (NTFS Forensics)28:09Windows MACB Timestamps (NTFS Forensics)
Windows MACB Timestamps (NTFS Forensics)13Cubed
Переглядів 26 тис.
80 Year Olds Share Advice for Younger Self12:2280 Year Olds Share Advice for Younger Self
80 Year Olds Share Advice for Younger SelfSprouht
Переглядів 1,4 млн
The ABCs of WMI - Finding Evil in Plain Sight15:56The ABCs of WMI - Finding Evil in Plain Sight
The ABCs of WMI - Finding Evil in Plain Sight13Cubed
Переглядів 17 тис.
6 Verbal Tricks To Make An Aggressive Person Feel Instant Regret11:456 Verbal Tricks To Make An Aggressive Person Feel Instant Regret
6 Verbal Tricks To Make An Aggressive Person Feel Instant RegretCharisma on Command
Переглядів 23 млн
NTFS Forensics and the Master File Table21:56NTFS Forensics and the Master File Table
NTFS Forensics and the Master File TableJonathan Adkins
Переглядів 56 тис.
Обзор файловых систем FAT, NTFS и UFS1:31:46Обзор файловых систем FAT, NTFS и UFS
Обзор файловых систем FAT, NTFS и UFSDmitry Ketov
Переглядів 20 тис.
Everything Starts with a Note-taking System21:23Everything Starts with a Note-taking System
Everything Starts with a Note-taking SystemMischa van den Burg
Переглядів 204 тис.
"Super Hidden" Files in Windows (Even Experts Don't Know About)13:23"Super Hidden" Files in Windows (Even Experts Don't Know About)
"Super Hidden" Files in Windows (Even Experts Don't Know About)ThioJoe
Переглядів 450 тис.
Генерация кадров, апскейл и задержка ввода. - Изучаем и тестируем FSR 3.119:00Генерация кадров, апскейл и задержка ввода. — Изучаем и тестируем FSR 3.1
Генерация кадров, апскейл и задержка ввода. - Изучаем и тестируем FSR 3.1i2HARD
Переглядів 44 тис.
Кронштейн для монитора | Больше свободного места на столе #shorts00:27Кронштейн для монитора | Больше свободного места на столе #shorts
Кронштейн для монитора | Больше свободного места на столе #shortsКлуб DNS
Переглядів 567 тис.
iPhone 15 Pro в реальной жизни24:07iPhone 15 Pro в реальной жизни
iPhone 15 Pro в реальной жизниHUDAKOV
Переглядів 443 тис.
Klavye İle Trafik Işığını Yönetmek #shorts00:18Klavye İle Trafik Işığını Yönetmek #shorts
Klavye İle Trafik Işığını Yönetmek #shortsOsman Kabadayı
Переглядів 6 млн
Just Connect Your TV and Watch All the World's Channels in Full HD Format14:45Just Connect Your TV and Watch All the World's Channels in Full HD Format
Just Connect Your TV and Watch All the World's Channels in Full HD FormatCreative Passion 88
Переглядів 782 тис.
iPhone, Galaxy или Pixel? 😎00:16iPhone, Galaxy или Pixel? 😎
iPhone, Galaxy или Pixel? 😎serg1us
Переглядів 1,3 млн
#engineering #diy #amazing #electronic #fyp00:59#engineering #diy #amazing #electronic #fyp
#engineering #diy #amazing #electronic #fypElectric Tech
Переглядів 2,1 млн
ОБСЛУЖИЛИ САМЫЙ ГРЯЗНЫЙ ПК01:00ОБСЛУЖИЛИ САМЫЙ ГРЯЗНЫЙ ПК
ОБСЛУЖИЛИ САМЫЙ ГРЯЗНЫЙ ПКVA-PC
Переглядів 2,3 млн