长亭百川云 - 文章详情

时间与行为实验——USN Journal

电子物证

61

2024-07-13

大家好!今天的小课堂又开始啦!

前面介绍了电子文件的各种时间

今天我们来讲讲USN Journal时间与行为实验

一起来看看吧!

Windows NTFS USN Journal介绍

微软发布Windows 2000时,建立NTFS 5.0的同时,加入了USN Journal ( Update Sequence Number Journal ) ,也称作 Change Journal。

每个 NTFS volume 对应一个 USN Journal,存储在 NTFS metafile 的 $Extend$UsnJrnl 中。

当这个功能启用时,USN Journal 会记录文件和目录的创建、删除、修改、重命名和加解密操作。

Windows 7/8/10下,C盘的USN默认启用usn journal。

查看USN是否开启

以管理员身份运行cmd,执行fsutil usn queryjournal c/d:   命令,即可查看USN日志是否开启。

如上图命令结果所示,C盘开启了USN日志,D盘未开启

usn journal深入理解

学习内容

通过usn journal理解:目录、文件、快捷方式的创建和删除过程、时间、关联性。

实验一

1. 在C盘(因为C盘开启了USN日志)根目录下,创建一个目录,命名为zuel58

2. 在zuel58目录下,建立一个TXT文本文件,命名为58notepat.txt

3. 打开58notepat.txt ,输入123456,保存,关闭

4. 删除58notepat.txt

5. 删除zuel58目录

6. 清空回收站

实验分析

**Step1:**调用xways,创建案件,添加存储设备——逻辑磁盘C盘(注意磁盘快照中,选择解析文件元数据,包含对$UsnJrnl:$J解析、预览的功能)

      注意:没有xway时,可以直接分析网盘中提供的实验usn journal日志文件

Step2: 在$Extent下找到$UsnJrnl,再双击进去找到$J

Step3. 预览$J文件,通过快捷方式CTRL+F在文件中搜索,总结如下相关日志内容。

      回收站的工作方式,请结合推文:回收站的工作原理及故事  同步理解。

      快捷方式的工作方式,请结合推文:快捷方式中的时间   同步理解

     Step4. 总结

     通过该实验,可以了解文件夹/文件在新建、编辑、删除等操作过程中的生命周期

时间的应用案例

Windows ntfs系统usn journal的应用

1. 获取文件的历史操作记录,即使文件已被删除;  

2. 确定文件的创建、删除时间(各种文件的生命周期); 

3.  辅助排除非法证据 。 

故事:排除非法证据(发现造假行为)

实验内容:
     通过$UsnJrnl日志分析特定文件(myfile.xlsx)造假行为。

【图片来源:郭永健老师PPT】

实验分析:

观察如上USN Journal日志,正常的日志记录时间顺序的,图中的日志从2022年突然跳到2015年,又回到2022年,此为异常,可以推断系统时间有修改的痕迹(系统时间应该是从2022/06/15日修改至2015/07/13日)。

因此,2015/07/13出现的myfile.xlsx文件创建痕迹不正常。

今天的推文就到这里啦

关于usn journal的知识点可不止于此哦

大家快去探索探索呀

我们下次再见哦~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2