$UsnJrnl ($J)
O que é $UsnJrnl ($J)?
$UsnJrnl ($J)Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
O $UsnJrnl e um arquivo sparso armazenado no diretorio de metadados NTFS $Extend$UsnJrnl; o stream operacional $J contem os registros USN individuais e o $Max guarda metadados do journal. Cada registro contem o nome do arquivo, a referencia ao pai, os flags de razao USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE e muitos outros) e um carimbo de tempo. Como o journal registra todas as mudancas do volume, analistas reconstroem o ciclo de vida das ferramentas do atacante mesmo quando as binarias foram apagadas: drop, staging, compactacao e exclusao deixam vestigios USN. O parser $J do MFTECmd produz timelines em CSV adequadas para super-timelines com Plaso ou Timeline Explorer.
● Exemplos
- 01
Reconstruir como um atacante criou, renomeou e zipou uma pasta de staging antes da exfiltracao.
- 02
Detectar atividade de wiper por uma rajada de FILE_DELETE em caminhos criticos do negocio.
● Perguntas frequentes
O que é $UsnJrnl ($J)?
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes. Pertence à categoria Forense e resposta da cibersegurança.
O que significa $UsnJrnl ($J)?
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
Como se defender contra $UsnJrnl ($J)?
As defesas contra $UsnJrnl ($J) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para $UsnJrnl ($J)?
Nomes alternativos comuns: UsnJrnl, Journal de alteracoes, $J.