Entry № 001
$UsnJrnl ($J)
$UsnJrnl ($J) 是什么?
$UsnJrnl ($J)NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
$UsnJrnl 是 NTFS 元数据目录 $Extend$UsnJrnl 下的稀疏文件,运行流 $J 保存单条 USN 记录,$Max 保存日志元数据。每条记录包含文件名、父目录引用、USN reason 标志 (FILE_CREATE、RENAME_NEW_NAME、DATA_OVERWRITE、FILE_DELETE 等) 以及时间戳。由于日志记录卷上的每一次变更,即便攻击者的二进制文件已被擦除,分析人员仍可还原其工具的完整生命周期:落地、staging、压缩与删除都留下 USN 痕迹。MFTECmd 的 $J 解析器可生成 CSV 时间线,可与 Plaso 或 Timeline Explorer 集成构建 super-timeline。
● 示例
- 01
在数据外泄前,还原攻击者如何创建、重命名并压缩 staging 文件夹。
- 02
通过针对关键业务路径出现大量 FILE_DELETE reason,检测 wiper 活动。
● 常见问题
$UsnJrnl ($J) 是什么?
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。 它属于网络安全的 取证与应急响应 分类。
$UsnJrnl ($J) 是什么意思?
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
如何防御 $UsnJrnl ($J)?
针对 $UsnJrnl ($J) 的防御通常结合技术控制与运营实践,详见上方完整定义。
$UsnJrnl ($J) 还有哪些其他名称?
常见的别称包括: UsnJrnl, 变更日志, $J。