# MFTECmd

[![Golang](https://img.shields.io/badge/Golang-Go-00ADD8?logo=go&logoColor=white)](https://go.dev/) [![Source](https://img.shields.io/badge/Source-GitHub-181717?logo=github&logoColor=white)](https://github.com/EricZimmerman/MFTECmd)

Утилита является портированной под Linux версией утилиты [Эрика Циммермана](https://github.com/EricZimmerman). При портировании была пересмотрена структура флагов и для более простого взаимодействия с программой.

---

## Поддерживаемые форматы файлов
В качестве входных файлов утилита поддерживает:
- `$MFT` - системный файл в файловой системе NTFS, в котором хранится информация о содержимом тома.
- `$J` (USN Journal) -системный файл в файловой системе NTFS, который хранит журнал изменений на томе.
- `$Boot` - системный файл в файловой системе NTFS, содержащий загрузочный сектор и код запуска.
- `$SDS` - системный файл в файловой системе NTFS, содержит список дескрипторов безопасности для всех файлов и каталогов на томе.
- `$I30` - атрибут индекса размещения. Связан с каталогами и содержит информацию о файлах и подкаталогах, содержащихся в каталоге.
- `$LogFile` - системный файл в файловой системе NTFS, содержащий журнал транзакций.

Для экспорта доступны форматы: CSV, JSON и Bodyfile.

### CLI
```sh
Usage: mftecmd <command> [flags]

Utility for processing $MFT, $J, $LogFile, $Boot, $SDS, $I30

Flags:
  -h, --help     Show context-sensitive help.
      --debug    Show debug information during processing
      --trace    Show trace information during processing

Commands:
  mft parse <path> [flags]
    Parse $MFT and write CSV, JSON, or bodyfile output

  mft show <path> <entry> [flags]
    Show full details for a specific $MFT entry or entry-sequence

  mft export-record --offset=STRING --out=STRING <path>
    Export one raw $MFT FILE record by offset

  j parse <path> [flags]
    Parse $J and write CSV or JSON output

  boot parse <path> [flags]
    Parse $Boot. CSV output is optional, matching MFTECmd behavior

  sds parse <path> [flags]
    Parse $SDS and write CSV output

  sds show <path> <security-id>
    Show full details for a specific Security ID from $SDS

  i30 parse <path> [flags]
    Parse $I30 and write CSV output

  logfile parse <path>
    Recognize $LogFile input, but report that parsing is not supported yet
```

## Документация
[Introducing MFTECmd](https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html)