Comprendre les MAC(b) time

 


Dans le système NTFS, les fichiers possèdent plusieurs type de timestamp :

  • Modified
  • Accessed
  • Changed (modification de l'entrée $MFT)
  • Birth

Il existe deux type de mactime :

  • $STANDARD_INFO - modifiable par les processus user
  • $FILENAME - modifiable uniquement par les processus kernel

 Il existe donc au total, sur un système NTFS 8 mactime différents.

Les valeurs des temps sont amenées à changer en fonction de l'action effectuée sur un fichier.

Requiem on Twitter: "New Windows Forensic Analysis Poster from @sansforensics New design and updated content 👍 👉 https://t.co/D68yzM3NRe #DFIR #infosec #blueteam https://t.co/j6VSLdnvEG" / Twitter Crédit : SANS

Timestomp

Certains attaquants peuvent couvrir leurs traces en modifiant le timestamp de certains fichiers en l'antidatant. De cette manière, certains fichiers peuvent échapper à la vigilance des investigateurs en forensic.

Etant donnée que l'altération de la date est effectuée sur la mactime $STANDARD_INFO, le timestamp dans $FILENAME se retrouve donc avec une date ultérieure. C'est ainsi que certains outils, comme analyzeMFT.py,  permettent de détecter si le timestamp d'un fichier a été altéré.