时间与行为实验——USN Journal

大家好！今天的小课堂又开始啦！

前面介绍了电子文件的各种时间

今天我们来讲讲USN Journal时间与行为实验

一起来看看吧！

Windows NTFS USN Journal介绍

微软发布Windows 2000时，建立NTFS 5.0的同时，加入了USN Journal ( Update Sequence Number Journal ) ，也称作 Change Journal。

每个 NTFS volume 对应一个 USN Journal，存储在 NTFS metafile 的 $Extend$UsnJrnl 中。

当这个功能启用时，USN Journal 会记录文件和目录的创建、删除、修改、重命名和加解密操作。

Windows 7/8/10下，C盘的USN默认启用usn journal。

示

例

查看USN是否开启

以管理员身份运行cmd，执行fsutil usn queryjournal c/d:   命令，即可查看USN日志是否开启。

如上图命令结果所示，C盘开启了USN日志，D盘未开启

usn journal深入理解

学习内容

通过usn journal理解：目录、文件、快捷方式的创建和删除过程、时间、关联性。

实验一

1. 在C盘（因为C盘开启了USN日志）根目录下，创建一个目录，命名为zuel58

2. 在zuel58目录下，建立一个TXT文本文件，命名为58notepat.txt

3. 打开58notepat.txt ，输入123456，保存，关闭

4. 删除58notepat.txt

5. 删除zuel58目录

6. 清空回收站

实验分析

**Step1：**调用xways，创建案件，添加存储设备——逻辑磁盘C盘（注意磁盘快照中，选择解析文件元数据，包含对$UsnJrnl:$J解析、预览的功能）

      注意：没有xway时，可以直接分析网盘中提供的实验usn journal日志文件

Step2: 在$Extent下找到$UsnJrnl，再双击进去找到$J

Step3. 预览$J文件，通过快捷方式CTRL+F在文件中搜索，总结如下相关日志内容。

      回收站的工作方式，请结合推文：回收站的工作原理及故事  同步理解。

      快捷方式的工作方式，请结合推文：快捷方式中的时间   同步理解

     Step4. 总结

     通过该实验，可以了解文件夹/文件在新建、编辑、删除等操作过程中的生命周期

时间的应用案例

Windows ntfs系统usn journal的应用

1. 获取文件的历史操作记录，即使文件已被删除；  

2. 确定文件的创建、删除时间（各种文件的生命周期）； 

3.  辅助排除非法证据 。 

故事：排除非法证据（发现造假行为）

实验内容：
     通过$UsnJrnl日志分析特定文件（myfile.xlsx）造假行为。

【图片来源：郭永健老师PPT】

实验分析：

观察如上USN Journal日志，正常的日志记录时间顺序的，图中的日志从2022年突然跳到2015年，又回到2022年，此为异常，可以推断系统时间有修改的痕迹（系统时间应该是从2022/06/15日修改至2015/07/13日）。

因此，2015/07/13出现的myfile.xlsx文件创建痕迹不正常。

今天的推文就到这里啦

关于usn journal的知识点可不止于此哦

大家快去探索探索呀

我们下次再见哦~