analyzing-mft-for-deleted-file-recovery
par mukul975analyzing-mft-for-deleted-file-recovery aide à récupérer les métadonnées de fichiers supprimés et d’éventuels indices de chemin ou de contenu en analysant les enregistrements NTFS $MFT, $LogFile, $UsnJrnl et l’espace slack du MFT. Conçu pour les workflows DFIR et d’audit de sécurité avec MFTECmd, analyzeMFT et X-Ways Forensics.
Cette skill obtient 78/100, ce qui en fait une bonne candidate pour un annuaire destiné aux utilisateurs qui réalisent de la récupération forensique NTFS. Le dépôt fournit suffisamment de workflow concret, de documentation de référence et de scripts d’appui pour aider un agent à déclencher et exécuter la tâche avec moins d’hésitation qu’avec une requête générique, même s’il reste une certaine friction à l’adoption parce que le chemin d’installation n’est pas explicite.
- Forte spécificité métier : le frontmatter cible clairement l’analyse du MFT NTFS pour la récupération de fichiers supprimés, avec des tags pertinents et des correspondances NIST CSF.
- L’accompagnement opérationnel est bien présent : deux scripts, plus des documents de workflow et de référence, couvrent le parsing des sorties MFT, le filtrage des enregistrements supprimés, la reconstitution de chronologies et la récupération depuis l’espace slack.
- Bonne valeur pour décider de l’installation : le dépôt inclut des normes, des références techniques et un modèle de rapport, ce qui aide à évaluer l’adéquation avec des workflows DFIR.
- Aucune commande d’installation ni instruction de configuration explicite dans SKILL.md, donc les agents peuvent devoir faire un peu de travail d’estimation pour brancher l’exécution.
- Certains indices montrent une dépendance à des outils externes comme MFTECmd et analyzeMFT, ce qui signifie que la skill s’appuie sur une chaîne forensique plus large plutôt que d’être entièrement autonome.
Vue d’ensemble du skill analyzing-mft-for-deleted-file-recovery
Ce que fait ce skill
Le skill analyzing-mft-for-deleted-file-recovery vous aide à analyser la Master File Table NTFS ($MFT) pour récupérer les métadonnées de fichiers supprimés et, lorsque c’est possible, des indices sur le contenu ou l’historique des chemins. Il est conçu pour les missions DFIR où l’objectif n’est pas seulement de « trouver des fichiers supprimés », mais aussi de reconstituer ce qui existait, quand cela a changé, et si des horodatages ou des métadonnées ont été manipulés.
Qui devrait l’installer
Installez le skill analyzing-mft-for-deleted-file-recovery si vous faites de la réponse à incident, du triage forensique ou des Security Audit sur des volumes NTFS et que vous voulez un flux de travail structuré pour la récupération de fichiers supprimés. Il est particulièrement adapté si vous disposez déjà d’une image, d’un $MFT brut ou d’une sortie MFTECmd, et que vous avez besoin d’une analyse reproductible plutôt qu’un prompt générique.
Pourquoi il est utile
Son principal intérêt est d’apporter un vrai support opérationnel : il se concentre sur les enregistrements supprimés, les horodatages, $UsnJrnl, $LogFile et l’espace slack du MFT. Cette combinaison offre un meilleur gain d’information qu’un simple prompt « parse MFT », parce qu’elle encourage la corrélation croisée plutôt qu’un simple inventaire des enregistrements.
Comment utiliser le skill analyzing-mft-for-deleted-file-recovery
Installer et inspecter les bons fichiers
Utilisez le chemin d’installation indiqué dans les instructions du repo : npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery. Après l’installation, lisez d’abord SKILL.md, puis references/workflows.md, references/api-reference.md et references/standards.md. Si vous validez la qualité de sortie ou la forme du rapport, ouvrez tôt assets/template.md afin que vos prompts correspondent au livrable attendu.
Donner au skill une entrée exploitable en contexte
L’usage du analyzing-mft-for-deleted-file-recovery fonctionne mieux si vous fournissez dès le départ trois éléments : la source de preuves, la question et la contrainte. Par exemple : « Analyse ce CSV MFTECmd provenant de C:\Users\...\NTFS pour identifier les fichiers supprimés, l’heure probable de suppression et les indices de timestomping ; renvoie un résumé Security Audit concis. » C’est plus solide que « aide-moi à récupérer des fichiers supprimés », parce que cela indique au skill ce qu’il doit prioriser dans la sortie.
Suivre l’ordre du workflow du repo
Un analyzing-mft-for-deleted-file-recovery guide pratique suit cet enchaînement : extraire ou fournir $MFT, parser avec MFTECmd ou analyzeMFT, filtrer les enregistrements supprimés (InUse = False), comparer les horodatages $SI et $FN, puis croiser avec $UsnJrnl et $LogFile pour reconstituer la séquence et le contexte de suppression. Si vous soupçonnez une récupération partielle, inspectez l’espace slack du MFT après l’analyse principale afin de ne pas manquer des attributs résiduels.
Améliorer la qualité du prompt avec des contraintes de sortie
Quand vous demandez l’analyse, précisez le format voulu : tableau, chronologie, notes de triage ou synthèse prête pour audit. Indiquez aussi si vous voulez uniquement les enregistrements supprimés, uniquement les candidats au timestomping ou une chronologie fusionnée complète. Pour analyzing-mft-for-deleted-file-recovery for Security Audit, demandez des constats explicites, des notes de confiance et les lacunes de preuve éventuelles afin que le résultat soit exploitable dans un dossier de revue.
FAQ du skill analyzing-mft-for-deleted-file-recovery
Ce skill sert-il uniquement à la récupération de fichiers supprimés ?
Non. Le skill est centré sur la récupération de fichiers supprimés, mais il prend aussi en charge la reconstitution de chronologies et la revue anti-forensic. Si votre tâche réelle est un triage NTFS large sans question liée à des suppressions, un prompt de forensics fichier plus général peut suffire.
Faut-il MFTECmd pour bien l’utiliser ?
MFTECmd est la voie d’entrée la plus naturelle, mais ce n’est pas la seule. Le skill fonctionne aussi avec analyzeMFT et la revue directe du MFT brut. Si vous n’avez qu’une image disque et aucune sortie parsée, vous obtiendrez de meilleurs résultats après extraction de $MFT ou génération d’un CSV.
Est-il adapté aux débutants ?
Oui, si l’utilisateur peut fournir des preuves et une question claire. Le skill est plus utile qu’un prompt vide pour les débutants parce qu’il les oriente vers les bons artefacts et les bons contrôles. Il est moins adapté si l’utilisateur ne sait pas distinguer un volume NTFS d’une simple liste de fichiers générique.
Quand ne faut-il pas l’utiliser ?
N’utilisez pas analyzing-mft-for-deleted-file-recovery si le système de fichiers n’est pas NTFS, si l’affaire ne comporte ni suppression ni problème d’horodatage, ou si vous avez besoin d’un carving de contenu complet plutôt que d’une récupération guidée par les métadonnées. Dans ces cas-là, un autre workflow forensique sera plus rapide.
Comment améliorer le skill analyzing-mft-for-deleted-file-recovery
Fournir de meilleures preuves, pas seulement un objectif
De meilleures entrées nomment la source et le périmètre : « CSV MFTECmd d’un poste unique, focus sur les documents supprimés dans Downloads, inclure le chemin parent et les indicateurs de suppression. » C’est préférable à « analyse le MFT », car le skill peut alors prioriser les lignes pertinentes au lieu de tout résumer.
Demander les bonnes comparaisons forensiques
Le principal levier de qualité est la comparaison entre $SI, $FN, $UsnJrnl et $LogFile. Si la qualité de sortie du analyzing-mft-for-deleted-file-recovery skill compte pour vous, demandez au modèle d’expliquer les écarts, pas seulement de lister les horodatages. Cela aide à détecter le timestomping, l’historique de renommage et les cas où l’enregistrement supprimé conserve encore des métadonnées de chemin exploitables.
Surveiller les modes d’échec fréquents
L’échec le plus courant consiste à surestimer la certitude de récupération à partir de métadonnées incomplètes. Un enregistrement MFT supprimé peut conserver les noms de fichiers et les horodatages sans préserver le contenu du fichier. Un autre piège est d’ignorer le risque de réallocation : si l’enregistrement a été réutilisé, les détails récupérés peuvent être partiels ou trompeurs. Demandez au skill de séparer les faits confirmés des éléments déduits.
Itérer avec un second passage plus ciblé
Après une première sortie, affinez avec un prompt plus étroit : « Reprends l’analyse uniquement sur les enregistrements supprimés dont les dates de création $SI et $FN ne concordent pas ; renvoie un tableau de constats court et une conclusion Security Audit en un paragraphe. » Cela améliore le signal en forçant le skill à hiérarchiser les preuves au lieu de les reformuler.