$UsnJrnl ($J)
¿Qué es $UsnJrnl ($J)?
$UsnJrnl ($J)Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
El $UsnJrnl es un archivo disperso almacenado en el directorio de metadatos NTFS $Extend\$UsnJrnl; el flujo operacional $J contiene los registros USN individuales y $Max guarda metadatos del diario. Cada registro recoge el nombre del archivo, la referencia al padre, los flags de razon USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE y muchos otros) y una marca temporal. Como el diario registra todos los cambios del volumen, los analistas pueden reconstruir el ciclo de vida de las herramientas del atacante aunque los binarios hayan sido borrados: drops, staging, compresion y eliminacion dejan huellas USN. El parser $J de MFTECmd produce timelines CSV listos para super-timelines con Plaso o Timeline Explorer.
● Ejemplos
- 01
Reconstruir como un atacante creo, renombro y comprimio una carpeta de staging antes de la exfiltracion.
- 02
Detectar actividad de wiper mediante una rafaga de FILE_DELETE contra rutas criticas del negocio.
● Preguntas frecuentes
¿Qué es $UsnJrnl ($J)?
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa $UsnJrnl ($J)?
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
¿Cómo funciona $UsnJrnl ($J)?
El $UsnJrnl es un archivo disperso almacenado en el directorio de metadatos NTFS $Extend\$UsnJrnl; el flujo operacional $J contiene los registros USN individuales y $Max guarda metadatos del diario. Cada registro recoge el nombre del archivo, la referencia al padre, los flags de razon USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE y muchos otros) y una marca temporal. Como el diario registra todos los cambios del volumen, los analistas pueden reconstruir el ciclo de vida de las herramientas del atacante aunque los binarios hayan sido borrados: drops, staging, compresion y eliminacion dejan huellas USN. El parser $J de MFTECmd produce timelines CSV listos para super-timelines con Plaso o Timeline Explorer.
¿Cómo defenderse de $UsnJrnl ($J)?
Las defensas contra $UsnJrnl ($J) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para $UsnJrnl ($J)?
Nombres alternativos comunes: UsnJrnl, Journal de cambios, $J.
● Términos relacionados
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 766
Orden de volatilidad
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
● Véase también
- № 1031Shellbags
- № 568Jump Lists