$UsnJrnl ($J)
$UsnJrnl ($J) 是什么?
$UsnJrnl ($J)NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
$UsnJrnl 是 NTFS 元数据目录 $Extend\$UsnJrnl 下的稀疏文件,运行流 $J 保存单条 USN 记录,$Max 保存日志元数据。每条记录包含文件名、父目录引用、USN reason 标志 (FILE_CREATE、RENAME_NEW_NAME、DATA_OVERWRITE、FILE_DELETE 等) 以及时间戳。由于日志记录卷上的每一次变更,即便攻击者的二进制文件已被擦除,分析人员仍可还原其工具的完整生命周期:落地、staging、压缩与删除都留下 USN 痕迹。MFTECmd 的 $J 解析器可生成 CSV 时间线,可与 Plaso 或 Timeline Explorer 集成构建 super-timeline。
● 示例
- 01
在数据外泄前,还原攻击者如何创建、重命名并压缩 staging 文件夹。
- 02
通过针对关键业务路径出现大量 FILE_DELETE reason,检测 wiper 活动。
● 常见问题
$UsnJrnl ($J) 是什么?
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。 它属于网络安全的 取证与应急响应 分类。
$UsnJrnl ($J) 是什么意思?
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
$UsnJrnl ($J) 是如何工作的?
$UsnJrnl 是 NTFS 元数据目录 $Extend\$UsnJrnl 下的稀疏文件,运行流 $J 保存单条 USN 记录,$Max 保存日志元数据。每条记录包含文件名、父目录引用、USN reason 标志 (FILE_CREATE、RENAME_NEW_NAME、DATA_OVERWRITE、FILE_DELETE 等) 以及时间戳。由于日志记录卷上的每一次变更,即便攻击者的二进制文件已被擦除,分析人员仍可还原其工具的完整生命周期:落地、staging、压缩与删除都留下 USN 痕迹。MFTECmd 的 $J 解析器可生成 CSV 时间线,可与 Plaso 或 Timeline Explorer 集成构建 super-timeline。
如何防御 $UsnJrnl ($J)?
针对 $UsnJrnl ($J) 的防御通常结合技术控制与运营实践,详见上方完整定义。
$UsnJrnl ($J) 还有哪些其他名称?
常见的别称包括: UsnJrnl, 变更日志, $J。
● 相关术语
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 766
易失性顺序 (Order of Volatility)
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
● 参见
- № 1031Shellbags
- № 568跳转列表 (Jump Lists)