Le Journal ($USNJrnl) - Le journal des modifications

En tant que partie centrale de sa capacité de journalisation, NTFS utilise le métafichier. Ce fichier se trouve généralement dans un répertoire système caché, souvent (comme mentionné précédemment, généralement inaccessible via l’Explorateur standard). Il sert de journal détaillé des modifications apportées aux fichiers et annuaires à travers le volume. Il suit un large éventail d’activités, fournissant un enregistrement chronologique des événements du système de fichiers, notamment :$UsnJrnlC:\$Extend$UsnJrnl

  • Création de fichiers et de répertoires ().FILE_CREATE

  • Suppression de fichiers et de répertoires ().FILE_DELETE

  • Renommage des fichiers et des répertoires (, ).RENAME_OLD_NAMERENAME_NEW_NAME

  • Modifications du contenu des données de fichiers (par exemple, écrasement des données, extension de la taille du fichier, réduction de la taille du fichier).DATA_OVERWRITEDATA_EXTENDDATA_TRUNCATION

  • Modifications des attributs de fichiers ou des paramètres de sécurité ().BASIC_INFO_CHANGE

  • Modifications impliquant les flux de données alternatifs ().STREAM_CHANGE

Fait intéressant, le fichier principal lui-même peut sembler vide ou petit s’il est consulté directement. Les données de journal cruciales résident dans deux flux de données alternatifs (ADS) associés à ce métafichier :$UsnJrnl

  • $Max: Contient des métadonnées concernant la revue, telles que son identifiant unique, sa limite de taille maximale et la granularité de l’allocation.

  • $J: Ce flux contient la séquence réelle des enregistrements USN – les entrées de journal individuelles détaillant les changements du système de fichiers.

Enregistrements de l’USN (Mise à jour des numéros de séquence) : Ce sont les entrées fondamentales du flux. Chaque enregistrement documente un événement de changement spécifique et inclut généralement :$J

  • Un numéro de séquence de mise à jour (un nombre croissant monotone identifiant l’enregistrement).

  • Le numéro de référence de fichier (FRN) du fichier ou du répertoire concerné.

  • Le FRN du répertoire parent.

  • Un code de raison de la USN (un indicateur indiquant le(s) type(s) de modification, comme , , , , etc.).FILE_CREATEFILE_DELETEDATA_OVERWRITEBASIC_INFO_CHANGE

  • Informations de source (indiquant si le changement concernait les données utilisateur, la gestion des données du système d’exploitation, etc.).

  • L’identifiant de sécurité (SID) de l’utilisateur/processus effectuant le changement (la disponibilité peut varier).

  • Attributs du fichier au moment du changement.

  • Le nom du fichier.

  • Un horodatage précis pour l’événement.

Des utilitaires comme les outils médico-légaux intégrés ou spécialisés de Windows (comme MFTECmd, JournalTrace, Echo Journal Viewer) sont nécessaires pour analyser le flux binaire et interpréter ces enregistrements USN, offrant une chronologie puissante de l’activité du système de fichiers, même pour les éléments supprimés.fsutil usn readjournal c:$J

PrécédentTable maîtresse des fichiers ($MFT) - Le catalogue des fichiersSuivant$LogFile (Journal de métadonnées) - journal spécifique pour les modifications de métadonnées

Mis à jour