analyzing-mft-for-deleted-file-recovery
por mukul975analyzing-mft-for-deleted-file-recovery ajuda a recuperar metadados de arquivos deletados e possíveis indícios de caminho ou conteúdo, analisando registros NTFS de $MFT, $LogFile, $UsnJrnl e o espaço slack do MFT. Foi criado para fluxos de trabalho de DFIR e Security Audit com MFTECmd, analyzeMFT e X-Ways Forensics.
Esta skill tem nota 78/100, o que a torna uma boa candidata para o diretório entre usuários que fazem recuperação forense em NTFS. O repositório traz fluxo de trabalho, material de referência e scripts de apoio suficientes para que um agente identifique e execute a tarefa com menos suposições do que em um prompt genérico, embora ainda haja alguma fricção de adoção porque o caminho de instalação não está explícito.
- Forte especificidade de domínio: o frontmatter deixa claro que o foco é análise de MFT em NTFS para recuperação de arquivos deletados, com tags relevantes e mapeamentos para NIST CSF.
- Há suporte operacional: dois scripts, além de documentação de fluxo e referência, cobrem parsing da saída do MFT, filtragem de registros deletados, reconstrução de linha do tempo e recuperação de espaço slack.
- Bom valor para decisão de instalação: o repositório inclui padrões, referências técnicas e um modelo de relatório, ajudando o usuário a avaliar o encaixe com fluxos de DFIR.
- Não há comando de instalação nem instruções explícitas de configuração em SKILL.md, então agentes podem precisar de mais inferência para amarrar a execução.
- Alguns indícios apontam para uso de ferramentas externas como MFTECmd e analyzeMFT, o que significa que a skill depende de uma cadeia forense mais ampla, em vez de ser totalmente autônoma.
Visão geral da skill analyzing-mft-for-deleted-file-recovery
O que esta skill faz
A skill analyzing-mft-for-deleted-file-recovery ajuda você a analisar a Master File Table do NTFS ($MFT) para recuperar metadados de arquivos excluídos e, quando possível, evidências de histórico de conteúdo ou de caminho. Ela foi pensada para trabalho de DFIR em que o objetivo não é apenas “encontrar arquivos apagados”, mas reconstruir o que existia, quando mudou e se timestamps ou metadados foram manipulados.
Quem deve instalar
Instale a skill analyzing-mft-for-deleted-file-recovery se você faz resposta a incidentes, triagem forense ou Security Audit em volumes NTFS e quer um fluxo de trabalho estruturado para recuperação de arquivos apagados. Ela é uma boa escolha quando você já tem uma imagem, um $MFT bruto ou saída do MFTECmd e precisa de uma análise repetível, em vez de um prompt genérico.
Por que ela é útil
O principal valor está no suporte prático ao fluxo de trabalho: ela se concentra em registros apagados, timestamps, $UsnJrnl, $LogFile e no espaço slack do MFT. Essa combinação gera mais informação útil do que um prompt simples para “parsear o MFT”, porque incentiva a correlação cruzada, e não apenas a listagem de registros.
Como usar a skill analyzing-mft-for-deleted-file-recovery
Instale e inspecione os arquivos certos
Use o caminho de instalação mostrado nas instruções do repositório: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery. Depois de instalar, leia primeiro SKILL.md, em seguida references/workflows.md, references/api-reference.md e references/standards.md. Se você estiver validando qualidade de saída ou o formato do relatório, abra assets/template.md logo no início para alinhar seus prompts ao entregável esperado.
Forneça à skill uma entrada pronta para uso
O analyzing-mft-for-deleted-file-recovery usage funciona melhor quando você informa três coisas logo de início: a fonte da evidência, a pergunta e a restrição. Por exemplo: “Analise este CSV do MFTECmd de C:\Users\...\NTFS para identificar arquivos apagados, provável horário de exclusão e indícios de timestomping; devolva um resumo conciso de Security Audit.” Isso é melhor do que “me ajude a recuperar arquivos apagados”, porque indica à skill o que deve ser priorizado na saída.
Siga a ordem do fluxo de trabalho do repositório
Um analyzing-mft-for-deleted-file-recovery guide prático é: extrair ou fornecer o $MFT, processar com MFTECmd ou analyzeMFT, filtrar registros apagados (InUse = False), comparar timestamps de $SI e $FN, e então cruzar com $UsnJrnl e $LogFile para entender a sequência e o contexto da exclusão. Se houver suspeita de recuperação parcial, inspecione o MFT slack space depois da análise principal para não perder dados residuais de atributos.
Melhore a qualidade do prompt com restrições de saída
Ao pedir a análise, especifique o formato de que você precisa: tabela, linha do tempo, notas de triagem ou resumo pronto para auditoria. Inclua também se quer apenas registros apagados, apenas candidatos a timestomping ou uma linha do tempo completa e integrada. Para analyzing-mft-for-deleted-file-recovery for Security Audit, peça achados explícitos, notas de confiança e quaisquer lacunas de evidência para que o resultado seja utilizável em um pacote de revisão.
FAQ da skill analyzing-mft-for-deleted-file-recovery
Isso serve só para recuperação de arquivos apagados?
Não. A skill é centrada em recuperação de arquivos apagados, mas também oferece suporte à reconstrução de linha do tempo e à revisão de técnicas de anti-forense. Se a sua tarefa real for uma triagem ampla de NTFS sem foco em exclusão, um prompt genérico de forense de sistema de arquivos pode ser suficiente.
Preciso do MFTECmd para usar bem?
O MFTECmd é a forma mais natural de entrada, mas não é a única. A skill também se encaixa bem com analyzeMFT e com revisão direta do MFT bruto. Se você só tiver uma imagem de disco e nenhuma saída processada, normalmente terá resultados melhores depois de extrair o $MFT ou gerar o CSV primeiro.
Ela é indicada para iniciantes?
Sim, desde que a pessoa consiga fornecer evidências e uma pergunta clara. A skill é mais útil do que um prompt em branco para iniciantes porque os direciona para os artefatos e verificações corretos. Ela é menos indicada se o usuário não consegue distinguir um volume NTFS de uma listagem genérica de arquivos.
Quando eu não devo usá-la?
Não use analyzing-mft-for-deleted-file-recovery se o sistema de arquivos não for NTFS, se o caso não envolver exclusão ou problema de timestamp, ou se você precisar de carving completo de conteúdo em vez de recuperação guiada por metadados. Nessas situações, outro fluxo forense será mais rápido.
Como melhorar a skill analyzing-mft-for-deleted-file-recovery
Alimente com evidências mais fortes, não só com um objetivo
Entradas melhores informam a origem e o escopo: “CSV do MFTECmd de uma estação, foco em documentos apagados em Downloads, incluir caminho pai e indicadores de exclusão.” Isso é melhor do que “analise o MFT”, porque permite à skill priorizar as linhas relevantes em vez de resumir tudo.
Peça as comparações forenses certas
O principal fator de qualidade é a comparação entre $SI, $FN, $UsnJrnl e $LogFile. Se você se importa com a qualidade da saída da analyzing-mft-for-deleted-file-recovery skill, peça que o modelo explique as divergências, e não apenas liste timestamps. Isso ajuda a identificar timestomping, histórico de renomeação e casos em que o registro apagado ainda guarda metadados de caminho úteis.
Fique atento aos modos comuns de falha
A falha mais comum é exagerar a certeza da recuperação com base em metadados incompletos. Um registro apagado do MFT pode preservar nomes e timestamps sem preservar o conteúdo do arquivo. Outra falha é ignorar o risco de realocação: se o registro foi reutilizado, os detalhes recuperados podem estar parciais ou enganosos. Peça à skill que separe fatos confirmados de inferências.
Refine com uma segunda passada mais restrita
Depois da primeira saída, refine com um prompt mais estreito: “Execute a análise novamente apenas nos registros apagados com divergência entre os horários de criação de $SI e $FN; devolva uma tabela curta de achados e uma conclusão de Security Audit em um parágrafo.” Isso melhora o sinal ao forçar a skill a hierarquizar as evidências, em vez de apenas repeti-las.