大家好!今天的小课堂又开始啦!
前面介绍了电子文件的各种时间
今天我们来讲讲USN Journal时间与行为实验
一起来看看吧!
Windows NTFS USN Journal介绍
微软发布Windows 2000时,建立NTFS 5.0的同时,加入了USN Journal ( Update Sequence Number Journal ) ,也称作 Change Journal。
每个 NTFS volume 对应一个 USN Journal,存储在 NTFS metafile 的 $Extend$UsnJrnl 中。
当这个功能启用时,USN Journal 会记录文件和目录的创建、删除、修改、重命名和加解密操作。
Windows 7/8/10下,C盘的USN默认启用usn journal。
示
例
查看USN是否开启
以管理员身份运行cmd,执行fsutil usn queryjournal c/d: 命令,即可查看USN日志是否开启。
如上图命令结果所示,C盘开启了USN日志,D盘未开启
usn journal深入理解
学习内容
通过usn journal理解:目录、文件、快捷方式的创建和删除过程、时间、关联性。
实验一
1. 在C盘(因为C盘开启了USN日志)根目录下,创建一个目录,命名为zuel58
2. 在zuel58目录下,建立一个TXT文本文件,命名为58notepat.txt
3. 打开58notepat.txt ,输入123456,保存,关闭
4. 删除58notepat.txt
5. 删除zuel58目录
6. 清空回收站
实验分析
**Step1:**调用xways,创建案件,添加存储设备——逻辑磁盘C盘(注意磁盘快照中,选择解析文件元数据,包含对$UsnJrnl:$J解析、预览的功能)
注意:没有xway时,可以直接分析网盘中提供的实验usn journal日志文件
Step2: 在$Extent下找到$UsnJrnl,再双击进去找到$J
Step3. 预览$J文件,通过快捷方式CTRL+F在文件中搜索,总结如下相关日志内容。
回收站的工作方式,请结合推文:回收站的工作原理及故事 同步理解。
快捷方式的工作方式,请结合推文:快捷方式中的时间 同步理解
Step4. 总结
通过该实验,可以了解文件夹/文件在新建、编辑、删除等操作过程中的生命周期
时间的应用案例
Windows ntfs系统usn journal的应用
1. 获取文件的历史操作记录,即使文件已被删除;
2. 确定文件的创建、删除时间(各种文件的生命周期);
3. 辅助排除非法证据 。
故事:排除非法证据(发现造假行为)
实验内容:
通过$UsnJrnl日志分析特定文件(myfile.xlsx)造假行为。
【图片来源:郭永健老师PPT】
实验分析:
观察如上USN Journal日志,正常的日志记录时间顺序的,图中的日志从2022年突然跳到2015年,又回到2022年,此为异常,可以推断系统时间有修改的痕迹(系统时间应该是从2022/06/15日修改至2015/07/13日)。
因此,2015/07/13出现的myfile.xlsx文件创建痕迹不正常。
今天的推文就到这里啦
关于usn journal的知识点可不止于此哦
大家快去探索探索呀
我们下次再见哦~