$UsnJrnl ($J)
O que é $UsnJrnl ($J)?
$UsnJrnl ($J)Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
O $UsnJrnl e um arquivo sparso armazenado no diretorio de metadados NTFS $Extend\$UsnJrnl; o stream operacional $J contem os registros USN individuais e o $Max guarda metadados do journal. Cada registro contem o nome do arquivo, a referencia ao pai, os flags de razao USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE e muitos outros) e um carimbo de tempo. Como o journal registra todas as mudancas do volume, analistas reconstroem o ciclo de vida das ferramentas do atacante mesmo quando as binarias foram apagadas: drop, staging, compactacao e exclusao deixam vestigios USN. O parser $J do MFTECmd produz timelines em CSV adequadas para super-timelines com Plaso ou Timeline Explorer.
● Exemplos
- 01
Reconstruir como um atacante criou, renomeou e zipou uma pasta de staging antes da exfiltracao.
- 02
Detectar atividade de wiper por uma rajada de FILE_DELETE em caminhos criticos do negocio.
● Perguntas frequentes
O que é $UsnJrnl ($J)?
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes. Pertence à categoria Forense e resposta da cibersegurança.
O que significa $UsnJrnl ($J)?
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
Como funciona $UsnJrnl ($J)?
O $UsnJrnl e um arquivo sparso armazenado no diretorio de metadados NTFS $Extend\$UsnJrnl; o stream operacional $J contem os registros USN individuais e o $Max guarda metadados do journal. Cada registro contem o nome do arquivo, a referencia ao pai, os flags de razao USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE e muitos outros) e um carimbo de tempo. Como o journal registra todas as mudancas do volume, analistas reconstroem o ciclo de vida das ferramentas do atacante mesmo quando as binarias foram apagadas: drop, staging, compactacao e exclusao deixam vestigios USN. O parser $J do MFTECmd produz timelines em CSV adequadas para super-timelines com Plaso ou Timeline Explorer.
Como se defender contra $UsnJrnl ($J)?
As defesas contra $UsnJrnl ($J) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para $UsnJrnl ($J)?
Nomes alternativos comuns: UsnJrnl, Journal de alteracoes, $J.
● Termos relacionados
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 766
Ordem de volatilidade
Prioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
● Veja também
- № 1031Shellbags
- № 568Jump Lists