$UsnJrnl ($J)
Was ist $UsnJrnl ($J)?
$UsnJrnl ($J)Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
Das $UsnJrnl ist eine Sparse-Datei im NTFS-Metadatenverzeichnis $Extend\$UsnJrnl; der operationale Stream $J enthaelt die einzelnen USN-Datensaetze, $Max speichert Journal-Metadaten. Jeder Datensatz haelt Dateinamen, Parent-Referenz, USN-Reason-Flags (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE und viele mehr) sowie einen Zeitstempel fest. Da das Journal jede Volume-Aenderung protokolliert, koennen Analysten den Lebenszyklus von Angreifer-Tools rekonstruieren, selbst wenn die Binaries selbst geloescht wurden: Drop, Staging, Archivieren und Loeschen hinterlassen USN-Spuren. Der $J-Parser von MFTECmd erzeugt CSV-Timelines, die sich mit Plaso oder Timeline Explorer zu Super-Timelines kombinieren lassen.
● Beispiele
- 01
Rekonstruktion, wie ein Angreifer einen Staging-Ordner anlegte, umbenannte und vor der Exfiltration zippte.
- 02
Erkennung von Wiper-Aktivitaet anhand einer Welle von FILE_DELETE-Reason-Codes auf geschaeftskritischen Pfaden.
● Häufige Fragen
Was ist $UsnJrnl ($J)?
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet $UsnJrnl ($J)?
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
Wie funktioniert $UsnJrnl ($J)?
Das $UsnJrnl ist eine Sparse-Datei im NTFS-Metadatenverzeichnis $Extend\$UsnJrnl; der operationale Stream $J enthaelt die einzelnen USN-Datensaetze, $Max speichert Journal-Metadaten. Jeder Datensatz haelt Dateinamen, Parent-Referenz, USN-Reason-Flags (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE und viele mehr) sowie einen Zeitstempel fest. Da das Journal jede Volume-Aenderung protokolliert, koennen Analysten den Lebenszyklus von Angreifer-Tools rekonstruieren, selbst wenn die Binaries selbst geloescht wurden: Drop, Staging, Archivieren und Loeschen hinterlassen USN-Spuren. Der $J-Parser von MFTECmd erzeugt CSV-Timelines, die sich mit Plaso oder Timeline Explorer zu Super-Timelines kombinieren lassen.
Wie schützt man sich gegen $UsnJrnl ($J)?
Schutzmaßnahmen gegen $UsnJrnl ($J) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für $UsnJrnl ($J)?
Übliche alternative Bezeichnungen: UsnJrnl, Change Journal, $J.
● Verwandte Begriffe
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 766
Order of Volatility
In RFC 3227 festgelegte Erfassungsreihenfolge, die Incident-Respondern vorschreibt, die fluechtigsten Beweise zuerst zu sichern, bevor sie ueberschrieben oder verloren gehen.
● Siehe auch
- № 1031Shellbags
- № 568Jump Lists