$UsnJrnl ($J)
Что такое $UsnJrnl ($J)?
$UsnJrnl ($J)Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
$UsnJrnl — разреженный файл в каталоге метаданных NTFS $Extend\$UsnJrnl; рабочий поток $J содержит отдельные записи USN, а $Max хранит метаданные журнала. Каждая запись фиксирует имя файла, ссылку на родителя, флаги причины USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE и многие другие) и временную метку. Поскольку журнал отражает все изменения тома, аналитики могут восстановить жизненный цикл инструментов атакующего, даже если сами бинарники удалены: сброс, staging, упаковка и удаление оставляют USN-следы. Парсер $J в MFTECmd выдаёт CSV-таймлайны, пригодные для построения супер-таймлайнов в Plaso или Timeline Explorer.
● Примеры
- 01
Восстановление того, как атакующий создавал, переименовывал и архивировал каталог staging перед эксфильтрацией.
- 02
Обнаружение активности вайпера по всплеску FILE_DELETE по критическим бизнес-путям.
● Частые вопросы
Что такое $UsnJrnl ($J)?
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает $UsnJrnl ($J)?
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
Как работает $UsnJrnl ($J)?
$UsnJrnl — разреженный файл в каталоге метаданных NTFS $Extend\$UsnJrnl; рабочий поток $J содержит отдельные записи USN, а $Max хранит метаданные журнала. Каждая запись фиксирует имя файла, ссылку на родителя, флаги причины USN (FILE_CREATE, RENAME_NEW_NAME, DATA_OVERWRITE, FILE_DELETE и многие другие) и временную метку. Поскольку журнал отражает все изменения тома, аналитики могут восстановить жизненный цикл инструментов атакующего, даже если сами бинарники удалены: сброс, staging, упаковка и удаление оставляют USN-следы. Парсер $J в MFTECmd выдаёт CSV-таймлайны, пригодные для построения супер-таймлайнов в Plaso или Timeline Explorer.
Как защититься от $UsnJrnl ($J)?
Защита от $UsnJrnl ($J) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия $UsnJrnl ($J)?
Распространённые альтернативные названия: UsnJrnl, Журнал изменений, $J.
● Связанные термины
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 766
Порядок волатильности
Приоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
● См. также
- № 1031Shellbags
- № 568Jump List (Списки переходов)