Revue de l’USN ($UsnJrnl)

Le journal du numéro de séquence de mise à jour (USN), également appelé journal des changements, est une fonctionnalité essentielle du système de fichiers NTFS. Il fonctionne comme un journal chronologique haute performance qui enregistre méticuleusement les modifications apportées aux fichiers et annuaires d’un volume. Son objectif principal est de fournir un moyen rapide et efficace pour les applications (comme les services d’indexation, les logiciels de sauvegarde ou les moteurs de réplication) de suivre les modifications du système de fichiers sans avoir à scanner l’ensemble du disque.

Du point de vue du DFIR, le Journal de l’USN est l’un des artefacts les plus puissants disponibles. Il fournit un historique détaillé et horodaté de l’activité du système de fichiers, révélant souvent des actions — notamment des suppressions et des renommages — que d’autres artefacts pourraient manquer.

Emplacement et structure

Les données du USN Journal sont stockées dans un fichier de métadonnées NTFS caché, généralement inaccessible via des interfaces standard.

  • Emplacement: C:\$Extend\$UsnJrnl

Les données de journal cruciales résident dans un flux de données alternatif (ADS) de ce métafichier nommé . Le journal lui-même est un journal d’enregistrements de longueur variable, chacun identifié par un numéro de séquence de mise à jour (USN) de 64 bits croissant de manière monotone.$J

Lorsque le Journal atteint sa taille maximale configurée, il fonctionne de manière circulaire, remplaçant les anciens enregistrements par de nouveaux. Cela signifie que la période couverte par le Journal dépend fortement des niveaux d’activité du disque et de sa taille allouée.

Métadonnées stockées

Chaque entrée, ou dossier USN, dans le flux documente un événement de changement spécifique et contient une mine d’informations médico-légales :$J

  • Horodatage: Un horodatage de haute précision indiquant exactement quand l’événement s’est produit.

  • Fichier: Le nom du fichier ou du répertoire affecté par le changement.

  • Numéro de référence de fichier (FRN) : Un identifiant unique qui relie l’enregistrement à l’entrée du fichier dans la Table de Fichiers Maîtres (MFT). Le FRN parent est également enregistré, reliant le fichier à son répertoire parent.

  • Code de raison : Un drapeau de bitmask qui décrit le type de changement qui a eu lieu. Ces codes sont la clé pour interpréter le Journal. Les raisons courantes incluent :

    • FILE_CREATE: Un fichier ou un répertoire a été créé.

    • FILE_DELETE: Un fichier ou un répertoire a été supprimé.

    • RENAME_OLD_NAME / RENAME_NEW_NAME: Un fichier a été renommé, enregistrant à la fois ses anciens et nouveaux noms.

    • DATA_OVERWRITE / DATA_EXTEND: Le contenu du fichier a été modifié.

    • BASIC_INFO_CHANGE: Les attributs du fichier (par exemple, lecture seule, caché) ou les horodatages ont été modifiés.$SI

    • STREAM_CHANGE: Un flux de données alternatif a été ajouté, supprimé ou modifié.

    • CLOSE: Le handle de fichier était fermé, souvent ajouté à d’autres drapeaux pour indiquer la fin d’une opération.

Valeur médico-légale

Le USN Journal est indispensable pour reconstituer le cycle de vie des fichiers et détecter les techniques anti-médico-légales.

  • Suivi des cycles de vie des fichiers : Il fournit une séquence définitive et chronologique des événements pour un fichier : création, renommage (anciens et nouveaux noms), modification de contenu, modifications d’attributs et suppression finale.

  • Preuve définitive de suppression : Le Journal est souvent la meilleure et la seule source pour prouver qu’un fichier spécifique a été supprimé et précisément à quel moment. Il conserve les enregistrements des fichiers supprimés jusqu’à la fin du Journal, fournissant des preuves bien après que l’enregistrement MFT du fichier aurait pu être réutilisé.

  • Détection du renommage et du remplacement : Il enregistre explicitement les opérations de renommage. C’est crucial pour détecter le contournement du « remplacement de fichier », lorsqu’un fichier malveillant est supprimé et remplacé par un fichier insensible portant le même nom. Le journal affichera la séquence : pour le premier fichier, suivi de et pour le second.FILE_DELETE FILE_CREATE RENAME_NEW_NAME

  • Découvrir la manipulation des attributs : Le code de la raison est un indicateur puissant de falsification. Il est déclenché par des tentatives de timetomping (modification des horodatages) et par l’application de l’attribut Lecture seule à des artefacts comme les fichiers de prélecture pour empêcher leur mise à jour.BASIC_INFO_CHANGE

  • Identification de la manipulation ADS : les événements peuvent révéler la création ou la modification de flux de données alternatifs cachés.STREAM_CHANGE

Des outils spécialisés comme , JournalTrace ou celui d’Eric Zimmerman sont nécessaires pour analyser le flux binaire et interpréter ses enregistrements.fsutil.exeMFTECmd$J

Points de réflexion (Concours SS)

Pour un ScreenSharer, le USN Journal est l’outil ultime pour dénoncer les tentatives d’un joueur de couvrir ses traces. Cela transforme l’acte de cacher des preuves en preuve en elle-même.

  • L’artefact anti-bypass : C’est le rôle principal du Journal. Si un joueur supprime son dossier de prélecture, le Journal contiendra une liste d’événements pour chaque fichier. S’ils utilisent la méthode de « remplacement de fichier », le journal affichera la séquence exacte de suppression et de création.FILE_DELETE .pf

  • Révéler la falsification des prélectures : Trouver un événement récent dans un fichier de prélecture est une preuve irréfutable. Cela prouve que le joueur a manipulé les attributs du fichier, très probablement en le mettant en lecture seule pour « figer » son dernier temps d’exécution et masquer l’utilisation récente d’une triche.BASIC_INFO_CHANGE

  • Confirmation des suppressions : Si un fichier apparaît dans un artefact d’exécution (comme BAM) mais n’est plus sur le disque, le journal peut fournir la preuve finale et concluante en affichant l’enregistrement pour ce chemin de fichier exact, avec un horodatage.FILE_DELETE

  • Détection du débarrassage du journal : L’acte de vider le journal lui-même () est une technique anti-médico-légale hautement suspecte, enregistrée par les journaux d’événements Windows (ID d’événement 3079).fsutil usn deletejournal

PrécédentTable maîtresse des fichiersSuivant$LogFile

Mis à jour