analyzing-mft-for-deleted-file-recovery

analyzing-mft-for-deleted-file-recovery の概要

このスキルでできること

analyzing-mft-for-deleted-file-recovery スキルは、NTFS の Master File Table（$MFT）を分析して、削除されたファイルのメタデータを復元し、可能であれば内容やパスの履歴に関する痕跡も追えるようにするためのものです。単に「削除ファイルを見つける」だけでなく、何が存在していたのか、いつ変更されたのか、タイムスタンプやメタデータが改ざんされていないかまで掘り下げたい DFIR 作業向けに設計されています。

どんな人にインストール向きか

NTFS ボリュームに対してインシデント対応、フォレンジックトリアージ、Security Audit を行い、削除ファイル復元のための体系的なワークフローがほしいなら、analyzing-mft-for-deleted-file-recovery スキルをインストールする価値があります。すでにイメージ、raw の $MFT、または MFTECmd の出力があり、汎用プロンプトではなく再現性のある分析をしたい場合に特に適しています。

便利な理由

このスキルの主な価値は、実務で使えるワークフロー支援にあります。削除済みレコード、タイムスタンプ、$UsnJrnl、$LogFile、MFT slack space に焦点を当てるため、単なる「MFT をパースする」プロンプトよりも情報収集の質が高くなります。レコードの一覧化で終わらせず、相互照合を促してくれるからです。

analyzing-mft-for-deleted-file-recovery スキルの使い方

インストールして、読むべきファイルを先に確認する

リポジトリの手順にあるインストールパスを使います: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery。インストール後は、まず SKILL.md を読み、次に references/workflows.md、references/api-reference.md、references/standards.md を確認してください。出力品質やレポート形式を検証したい場合は、期待される納品物に合わせて assets/template.md を早めに開いておくと便利です。

ケースにそのまま使える入力を与える

analyzing-mft-for-deleted-file-recovery usage は、最初に「証拠ソース」「質問」「制約」の3点を渡すと最もよく機能します。たとえば、「C:\Users\...\NTFS の MFTECmd CSV を分析し、削除ファイル、削除時刻の推定、タイムスタンピングの兆候を特定してください。結果は簡潔な Security Audit 要約で返してください」といった形です。これなら「削除ファイルの復元を手伝って」よりもずっと強く、どの出力を優先すべきかがスキルに伝わります。

リポジトリのワークフロー順に進める

実用的な analyzing-mft-for-deleted-file-recovery guide の流れは、$MFT を抽出または提供する → MFTECmd もしくは analyzeMFT でパースする → 削除済みレコード（InUse = False）を絞り込む → $SI と $FN のタイムスタンプを比較する → さらに $UsnJrnl と $LogFile を突き合わせて、順序関係と削除の文脈を確認する、というものです。部分的な復元の可能性がある場合は、メインのパース後に MFT slack space も確認して、残存している属性データを見落とさないようにしてください。

出力条件を指定してプロンプト品質を上げる

分析を依頼するときは、ほしい形式を明示してください。表、タイムライン、トリアージメモ、監査向け要約などです。削除済みレコードだけが必要なのか、タイムスタンピング候補だけなのか、完全な統合タイムラインが必要なのかも伝えましょう。analyzing-mft-for-deleted-file-recovery for Security Audit として使うなら、明示的な所見、信頼度メモ、証拠の欠落箇所まで求めると、レビュー用資料として使いやすくなります。

analyzing-mft-for-deleted-file-recovery スキルの FAQ

これは削除ファイル復元専用ですか？

いいえ。中心は削除ファイル復元ですが、タイムライン再構成やアンチフォレンジックの確認にも対応します。実際の作業が「削除ファイル」の有無を問わない広い NTFS トリアージなら、一般的なファイルシステム・フォレンジック用プロンプトでも十分なことがあります。

うまく使うには MFTECmd が必須ですか？

MFTECmd が最も自然な入力経路ですが、必須ではありません。analyzeMFT や raw の MFT レビューとも相性があります。ディスクイメージしかなく、解析済み出力がない場合でも、$MFT を抽出するか CSV を生成してからのほうが結果は良くなります。

初心者にも向いていますか？

はい、証拠と明確な質問を出せるなら向いています。空のプロンプトよりも、見るべきアーティファクトと確認項目を示してくれるので、初心者にはむしろ有用です。ただし、NTFS ボリュームと単なるファイル一覧の違いを判別できない場合は、やや使いにくいでしょう。

どんなときに使わないほうがいいですか？

ファイルシステムが NTFS ではない場合、削除やタイムスタンプの問題がない場合、あるいはメタデータ主体の復元ではなく完全な内容カービングが必要な場合は、analyzing-mft-for-deleted-file-recovery を使わないでください。その場合は別のフォレンジック・ワークフローのほうが速いです。

analyzing-mft-for-deleted-file-recovery スキルを改善するには

目的だけでなく、より強い証拠を渡す

入力は、ソースと対象範囲を明示したほうが良くなります。たとえば、「1 台のワークステーションから取得した MFTECmd CSV。Downloads にある削除済みドキュメントに絞り、親パスと削除インジケータも含めて」といった指定です。単に「MFT を分析して」とするより、関連行に優先度を付けやすくなります。

適切なフォレンジック比較を依頼する

品質を左右するのは、$SI、$FN、$UsnJrnl、$LogFile の比較です。analyzing-mft-for-deleted-file-recovery skill の出力品質を高めたいなら、タイムスタンプを並べるだけでなく、不一致の理由も説明するよう求めてください。これにより、タイムスタンピング、リネーム履歴、削除済みレコードにまだ使えるパス情報が残っているケースを見つけやすくなります。

よくある失敗パターンに注意する

最も多い失敗は、不完全なメタデータから復元の確実性を過大評価してしまうことです。削除された MFT レコードがファイル名やタイムスタンプを残していても、ファイル内容まで残っているとは限りません。もう1つの失敗は再割り当てリスクを見落とすことです。レコードが再利用されていれば、復元された詳細は部分的、または誤解を招くものになりえます。確認済みの事実と推定を分けるよう、スキルに明示してください。

2回目の絞り込みで精度を上げる

最初の出力の後は、より狭いプロンプトで再依頼します。たとえば、「$SI と $FN の作成時刻が一致しない削除済みレコードだけを再分析し、短い所見表と1段落の Security Audit 結論を返してください」という形です。これにより、スキルが証拠を並べ直すだけでなく優先順位付けするようになり、ノイズが減ります。