Windows USN Journal Parsing

What is "USN Journal"? It is "Update Sequence Number Journal". It records changes in the NTFS volume. The scenario is about Bomb threat. I use X-Ways Forensics to parse USN Journal and the screenshot below is the parsing result. You could see the column name - "Timestamp","Change type","File ID","Attribue" and "Filename".

Where is USN Journal? That‘s it. A strange file whose name is $USNJml:$J. What is $J? It is so called ADS(Alternate Data Stream). Usually ADS will contain metadata of that file.

Let‘s take the first reocrd in the screenshot for examplie. The file "炸彈製作.lnk" created means suspect did double click the folder "炸彈製作" and the timestamp was 2013/12/16 21:50:41. The other records also had something to do with "Bomb" at 2013/12/16 21:50. So we could know that suspect did access those folders and files that time, and no doubt those files and folders did exist at that time. Look into USN parsing result and we could get  a whole picture of "Timeline".

时间: 2024-12-20 01:18:09

Windows USN Journal Parsing的相关文章

USN Journal 相关结构体

1.USN_RECORD 单条USN记录结构信息结构 该USN记录,记录了磁盘上每一个文件或目录的相关信息,文件或目录名字可以通过 每条USN记录的指针位置.FileNameLength.FileNameOffset 三个值得出,为了后期版本的兼容性,最好不要直接使用FileName来获取. typedef struct { DWORD RecordLength; //该条USN记录长度 WORD MajorVersion; //主版本 WORD MinorVersion; //次版本 DWOR

Windows API参考大全新编

书名:新编Windows API参考大全 作者:本书编写组 页数:981页 开数:16开 字数:2392千字 出版日期:2000年4月第二次印刷 出版社:电子工业出版社 书号:ISBN 7-5053-5777-8 定价:98.00元 内容简介 作为Microsoft 32位平台的应用程序编程接口,Win32 API是从事Windows应用程序开发所必备的.本书首先对Win32 API函数做完整的概述:然后收录五大类函数:窗口管理.图形设备接口.系统服务.国际特性以及网络服务:在附录部分,讲解如何

弄明白什么是Everything(文件快速搜索工具)

Everything What is "Everything"? How long will it take to index my files? Does Everything search file contents? Does "Everything" hog my system resources? Does "Everything" monitor file system changes? Is "Everything&quo

仿照everything写的一个超级速查 原创

http://files.cnblogs.com/files/jacd/%E8%B6%85%E9%80%9F%E6%9F%A5%E6%96%87%E4%BB%B6.zip 速度奇快无比,体积奇小无比,要代码的留言 附上参考资料 绍:    Everything(官网|中文主页|教程)是速度最快的文件搜索软件.其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引:文件名搜索瞬间呈现结果.它小巧免费,支持中文,支持正则表达式,可以通过HTTP或FTP分享搜索结果.如果不满意Window

微软DFS基础知识及复制原理

DFS是微软Windows Server上面自带的分布式文件共享服务,通过使用DFS,可以帮助企业通过单一路径就可以访问到所有共享文件夹的内容,同时可以根据客户端登陆位置自动联系就近的服务器,提供文件服务器负载均衡和容错能力. DFS的主要功能分为两大块 为客户端提供统一的入口,实现不同文件服务器文件夹的复制,两大块功能分别由两个组件实现 DFS命名空间:可以安装在单独的成员服务器或域控,命名空间顾名思义,为用户提供一个逻辑的访问路径,例如,企业中有很多台windows共享服务器,很多NAS共享

我的效率工具分享

我的效率工具 这个系列的最后一文,介绍一下我电脑上的其他效率工具. 重度健忘症患者的福音-滴答清单 滴答清单严格上来说并不算一个特别优秀的GTD类的软件. 所谓GTD(Get Things Done)也是所谓的城市精英们提出的一个时间管理的概念.有兴趣的可以自行搜索了解一下.可能有人会把此类软件用的出神入化,但是对于我来说,这玩意儿就是个好用的备忘录... 这里是官网地址:https://dida365.com/ 为什么是滴答清单而不是其他的软件? 滴答清单的优点: 体量小,无论手机APP还是P

Child Process

Child Process child_process 这个模块可以生成一个子进程.nodejs提供了好几个API,本质上都是调用child_process.spawn(): 1 const spawn = require('child_process').spawn; 2 const ls = spawn('ls', ['-lh', '/usr']); 3 4 ls.stdout.on('data', (data) => { 5 console.log(`stdout: ${data}`);

第三章 传奇的开始--Delphi(附读书笔记)

第三章 传奇的开始--Delphi "是惊世之作的Delphi让Borland重新站了起来,没有当初的Delphi,就没有今日的Borland!" "是Turbo Pascal诞生了Borland,但却是Object Pascal给予了Borland重生的机会!" 创造传奇故事的主角--Delphi 没有人会知道在两年后Borland C/C++会遭遇到这么大的失败,也没有人会预料到Borland又会再次因为Pascal而东山再起.Borland奋斗史精彩的地方就在

Let's Encrypt,免费好用的 HTTPS 证书

#参考https://imququ.com/post/letsencrypt-certificate.html#####argparse安装#http://www.cnblogs.com/emanlee/p/4577249.html 很早之前我就在关注 Let's Encrypt 这个免费.自动化.开放的证书签发服务.它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织.Let's E