© 2025 Investigator.id. Created for free using WordPress and

Analisis NTFS Dengan MFT Explorer

Master File Table (MFT) adalah jantung dari NTFS. Dengan melakukan analisis terhadap MFT, investigator bisa mendapatkan petunjuk atas behaviour dari file system ataupun penggguna. MFT Explorer adalah salah satu tool yang berfungsi untuk membaca MFT. Analisis NTFS dengan MFT Explorer menekankan pada penguraian MFT untuk melihat jejak-jejak pengguna atas file system. MFT Explorer dapat diunduh pada tautan di bawah.

Ekstraksi MFT

File Master File Tabel terdapat pada root directory pada masing-masing partisi NTFS, dimana hanya terdapat satu MFT pada setiap partisi. Ekstraksi MFT dapat dilakukan dengan menggunakan FTK Imager dengan langkah-langkah sebagai berikut.

  1. Buka FTK Imager, lalu pilih menu File>Add Evidence Item.
  2. Pada jendela Select Source, pilih Physical Drive atau Logical Drive.
  3. Expand drive yang dipilih pada Evidence Tree
  4. Klik pada direktori [root], lalu perhatikan item-item yang muncul pada panel File List.
  5. Cari file MFT, sorot, klik kanan, lalu pilih Export Files. Simpan pada folder yang ditentukan.
MFT

File MFT diidentifikasi sebagai file sistem operasi yang krusial, sehingga kemungkinan secara default file berada pada keadaan hidden setelah diekspor. Buka folder tempat hasil ekspor MFT, lalu pastikan file MFT dapat terlihat, bila tidak terlihat maka lakukan langkah berikut.

  1. Pada windows Explorer, pilih menu View > Options
  2. Pada jendela Option, pilih tab View
  3. Pada Advance Settings, pilih “Show hidden files“, folders and drives dan uncheck pada “Hide protected operating system files
  4. Periksa kembali, seharusnya file MFT telah muncul

Bagaimana cara menggunakan FTK Imager dapat dilihat pada halaman lainnya.

Analisis MFT

Selanjutnya adalah menganalisis file dengan menggunakan MFT Explorer. Buka MFT Explorer, pilih menu File, lalu pilih Load MFT. Selanjutnya, cari file MFT yang telah diekstrak lalu klik Open. MFT Explorer kemuadian akan memproses (parsing) file MFT yang dipilih.

MFT Explorer

Hasil parsing dari MFT Explorer memperlihatkan bahwa MFT mencatat semua item yang terdapat di dalam root directory, termasuk MFT itu sendiri. Inspeksi file MFT dengan cara klik pada panel list, lalu perhatikan pada panel Overview.

MFT Explorer

Setiap item pada MFT dicatat dengan nomor Entry. MFT sendiri dicatat dengan nomor entry 0, diikuti oleh MFTMirr dengan nomor entry 1, lalu $LogFile dengan nomor entry 2 dan seterusnya. Hal ini dapat diartikan bahwa pada saat sebuah volume diformat dengan NTFS, item yang pertama dibuat adalah MFT lalu MFTMirr, LogFile dan seterusnya. Pada panel Overview juga disajikan beberapa atribut yang penting dalam mempelajari bagaimana NTFS bekerja, antara lain:

  1. Sequence, kombinasi nomor entry dan sequence membentuk nomor referensi file (ditulis entry-seq).
  2. Flags, menunjukkan status tertentu, misalnya Used menunjukkan bahwa entry MFT tersebut sedang digunakan atau Flags:Archive menunjukkan bahwa entry tersebut merupakan arsip atau file.
  3. Timestamp, menunjukkan waktu pembuatan file, waktu modifikasi terakhir dan waktu akses terakhir.
  4. Status resident dan non resident, status ini menunjukkan bagaimana data tersimpan di dalam file system. Resident data berarti data tersebut tersimpan di dalam MFT, sedangkan non resident berarti data tersebut tersimpan di dalam cluster tertentu diluar MFT. Data resident dapat berada di dalam MFT apabila ukuran data/file tersebut cukup kecil untuk disisipkan ke dalam entry MFT (sebuah entry MFT berukuran 1024 byte).
  5. Alamat cluster, menunjukkan alamat cluster pertama dari sebuah file.
  6. Ukuran, ukuran file disajikan dalam banyaknya cluster yang digunakan dan dalam ukuran bytes yang angkanya disajikan dalam ukuran hexadecimal.
  7. Parent directory, (pada bagian Parent MFT Record) menunjukkan nomor referensi dari directory/folder sebuah file berada.

Penghapusan File

Apa yang terjadi pada file system apabila pengguna menghapus file? Bagaimana pencatatan di dalam Master File Table? Untuk mengamati bagaimana file system mencatat perubahan ini, lakukan pembandingan MFT sebelum dan sesudah penghapusan file.

MFT Record Change

Pada MFT Explorer, sebuah file yang terhapus ditampilkan dengan tanda silang merah serta kolom Is Deleted yang tercentang. Nomor referensi file (Entry-seq) berubah, dimana nomor sequence bertambah satu dan flags berubah dari “InUse” menjadi “IsFree”. Perubahan status ini menjadi tanda bahwa entry tersebut dapat digunakan oleh file lainnya. Perubahan sequence menjadi 0x2 mencegah adanya file referensi ganda pada saat sebuah file dihapus dan entry tersebut akan dialokasikan untuk file yang baru.

Adanya perubahan nomor sequence juga memudahkan dalam investigasi untuk melihat file-file apa yang telah terhapus. Perhatikan pula bahwa transaksi tersebut tercatat pada $LogFile.

Pemulihan File Terhapus

Setiap entry atas item/file di dalam MFT merujuk pada sebuah alamat cluster di mana data itu berada. Ketika sebuah file dihapus, perubahan flags menjadi IsFree berarti entry tersebut siap digunakan oleh file yang baru lainnya (unallocated), begitu pula cluster tempat (badan) file tersebut berada. Selama cluster tersebut tidak digunakan oleh file lainnya, maka data tersebut dapat dipulihkan.

Gambar diatas menunjukkan beberapa cluster yang awalnya dialokasikan untuk sebuah file (terdiri dari cluster A, B, C, dan D), yang kemudian dihapus. Salah satu cluster (cluster D) kemudian dialokasikan untuk untuk file lain yang menggunakan salah satu cluster file A. Hal ini dapat terjadi karena ketika file dihapus, entry pada MFT diset sebagai “IsFree” cluster yang bersangkutan juga diset sebagai unallocated cluster. Dalam beberapa kasus, badan file yang terdapat pada cluster A, B, dan C dapat dipulihkan, selama header file tersebut dapat dikenali.

Slack Space

Pada bagian overview disajikan informasi mengenai ukuran file dimana terdapat Allocated Size dan Actual Size. Allocated Size menunjukkan jumlah cluster yang dialokasikan untuk sebuah file, sedangkan Actual Size adalah ukuran sebenarnya dari file tersebut.

Pada gambar diatas jumlah cluster yang dialokasikan untuk file adalah sebanyak 23 (hex: 0x17) atau 94.208 byte (hex:0x17000). Sementara actual size adalah sebesar 91.107 byte (hex:0x163E3). Selisih ukuran sebesar 3.101 byte ini disebut slack space.

Slack space

Salah satu teknik anti forensik adalah dengan menyembunyikan informasi pada slack space. Untuk itu penting bagi seorang investigator untuk tetap waspada adanya kemungkinan penggunaan slack space untuk menyimpan informasi.

Penutup

Penggunaan MFT Explorer cukup membantu dalam menganalisis volume NTFS. Ukuran MFT dapat berkembang hingga beberapa gigabyte. Apabila ukuran MFT cukup besar maka disarankan untuk menggunakan tool lain yang lebih mumpuni. Beberapa pembahasan lain mengenai NTFS akan disajikan pada bagian lainnya.

Download MFT Explorer

© 2025 Investigator.id. Created for free using WordPress and