$UsnJrnl ($J)
Qu'est-ce que $UsnJrnl ($J) ?
$UsnJrnl ($J)Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
Le $UsnJrnl est un fichier sparse situe sous le repertoire de metadonnees NTFS $Extend\$UsnJrnl ; le flux operationnel $J contient les enregistrements USN individuels et $Max stocke les metadonnees du journal. Chaque enregistrement contient le nom du fichier, la reference au parent, les drapeaux USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE, etc.) et un horodatage. Comme le journal trace tous les changements du volume, les analystes peuvent reconstituer le cycle de vie des outils d'attaque meme si les binaires ont ete supprimes : depot, staging, compression et suppression laissent tous des traces USN. L'analyseur $J de MFTECmd produit des frises CSV exploitables en super-timeline avec Plaso ou Timeline Explorer.
● Exemples
- 01
Reconstituer comment un attaquant a cree, renomme puis zippe un dossier de staging avant exfiltration.
- 02
Detecter l'activite d'un wiper a travers une rafale de FILE_DELETE sur des chemins critiques.
● Questions fréquentes
Qu'est-ce que $UsnJrnl ($J) ?
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie $UsnJrnl ($J) ?
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
Comment fonctionne $UsnJrnl ($J) ?
Le $UsnJrnl est un fichier sparse situe sous le repertoire de metadonnees NTFS $Extend\$UsnJrnl ; le flux operationnel $J contient les enregistrements USN individuels et $Max stocke les metadonnees du journal. Chaque enregistrement contient le nom du fichier, la reference au parent, les drapeaux USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE, etc.) et un horodatage. Comme le journal trace tous les changements du volume, les analystes peuvent reconstituer le cycle de vie des outils d'attaque meme si les binaires ont ete supprimes : depot, staging, compression et suppression laissent tous des traces USN. L'analyseur $J de MFTECmd produit des frises CSV exploitables en super-timeline avec Plaso ou Timeline Explorer.
Comment se défendre contre $UsnJrnl ($J) ?
Les défenses contre $UsnJrnl ($J) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de $UsnJrnl ($J) ?
Noms alternatifs courants : UsnJrnl, Journal des changements, $J.
● Termes liés
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
- forensics-ir№ 766
Ordre de volatilite
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
● Voir aussi
- № 1031Shellbags
- № 568Jump Lists