$LogFile

Le $LogFile est un élément critique des capacités d’auto-guérison et de journalisation du système de fichiers NTFS. Sa fonction principale est d’assurer l’intégrité du système de fichiers en agissant comme un journal transactionnel pour toutes les opérations modifiant la structure et les métadonnées du volume. Avant qu’un changement ne soit écrit de façon permanente sur des structures NTFS de base comme la Table de fichiers maîtresses ($MFT), l’opération prévue est d’abord enregistrée comme une entrée de journal dans le fichier .$LogFile

Ce mécanisme permet une récupération rapide après un accident. En cas de défaillance système ou d’arrêt inattendu, Windows peut « rejouer » les transactions enregistrées pour effectuer les opérations inachevées ou « annuler » celles incomplètes, garantissant que le système de fichiers retrouve un état cohérent et stable sans avoir besoin d’un scan complet du disque.$LogFile

Du point de vue du DFIR, il offre un enregistrement extrêmement granulaire, bien que souvent de courte durée, des modifications des métadonnées, fournissant une vue de bas niveau des modifications du système de fichiers.$LogFile

Emplacement et structure

Comme et , le est un fichier de métadonnées NTFS caché situé à la racine du volume.$MFT $UsnJrnl $LogFile

  • Emplacement: C:\$LogFile

Il fonctionne comme un journal circulaire, ce qui signifie qu’une fois sa taille prédéfinie atteinte, de nouvelles entrées écrasent les plus anciennes. Sur un système actif, la fenêtre temporelle des données qu’il contient peut être très courte — parfois seulement quelques minutes ou des heures.$LogFile

Sa structure interne est complexe et largement non documentée, composée d’enregistrements de journal qui décrivent les opérations « refaire » (comment réappliquer un changement) et « annuler » (comment annuler un changement) pour les transactions du système de fichiers.

Métadonnées stockées

Le système est très spécialisé et se concentre exclusivement sur les modifications des métadonnées, et non sur le contenu des fichiers utilisateurs. Il enregistre des opérations telles que :$LogFile

  • Modifications des enregistrements MFT : Toute modification d’un enregistrement MFT, y compris les mises à jour des attributs.

  • Mises à jour horodatages : Il enregistre les transactions qui modifient les horodatages MACB dans les attributs ($SI) et ($FN) d’un enregistrement MFT.$STANDARD_INFORMATION $FILE_NAME

  • Manipulation des attributs : Enregistre des modifications dans les attributs du fichier comme lecture seule, caché ou drapeaux système.

  • Mises à jour de l’index : Journaux modifient les index des répertoires (les attributs).$INDX

  • Création et suppression de fichiers/répertoires : Il enregistre les opérations au niveau des métadonnées associées à la création et à la suppression de fichiers et de répertoires.

Valeur médico-légale

Malgré sa volatilité et la difficulté à la décrypter, il peut fournir des preuves uniques et puissantes, notamment pour détecter des techniques anti-médico-légales sophistiquées.$LogFile

  • Preuve définitive du timettonping : C’est son cas d’usage médico-légal le plus célèbre. Parce qu’une modification d’horodatage est une transaction, il peut parfois contenir des registres de journal qui montrent à la fois l’horodatage original et le nouvel horodatage frauduleux dans la même entrée de transaction. Cela constitue une preuve irréfutable du piétinement du temps, difficile à trouver ailleurs.$LogFile

  • Reconstruction détaillée de la chronologie : Les événements enregistrent à un niveau bien inférieur à celui de . Il peut révéler la séquence précise d’opérations rapides de fichiers (créer, renommer, supprimer) qui pourraient apparaître comme un événement unique, moins détaillé, dans d’autres journaux.$LogFile $UsnJrnl

  • Récupération des métadonnées transitoires : Parce qu’il enregistre les modifications prévues, il peut parfois contenir des informations sur l’état d’un fichier (par exemple, son nom ou ses attributs) qui n’ont existé que très brièvement avant d’être modifiées à nouveau.

L’analyse du est considérée comme une technique médico-légale avancée. Cela nécessite des outils spécialisés tels que la ligne de commande ou des modules avancés au sein de suites médico-légales complètes (comme celles de Magnet Forensics ou Exterro). Son format complexe et binaire rend l’analyse manuelle presque impossible.$LogFile LogFileParser

Points de réflexion (Concours SS)

Pour un ScreenSharer, analyser le dépasse généralement le cadre d’une vérification standard en raison de sa complexité. Cependant, comprendre son objectif est précieux, et utiliser un analyseur automatisé peut offrir une « solution à bataille » dans des situations spécifiques.$LogFile

PrécédentRevue de l’USN ($UsnJrnl)SuivantBac de recyclage ($Recycle.bin)

Mis à jour