Le Journal de l’USN ($UsnJrnl)
Le journal Update Sequence Number (USN) est une fonctionnalité intégrante du système de fichiers NTFS. Il fonctionne comme un journal chronologique qui enregistre méticuleusement les modifications apportées aux fichiers et annuaires du volume où il se trouve.
Emplacement et structure : Les données du journal elles-mêmes sont stockées dans un flux de données alternatif spécifique nommé , qui fait partie du métafichier système caché situé à la racine du volume NTFS (par exemple, ). Un autre flux, , stocke des métadonnées sur la revue elle-même.
$J$Extend\$UsnJrnlC:\$Extend\$UsnJrnl$MaxBut: Sa fonction principale du système est de permettre aux applications (comme les services d’indexation, les logiciels de sauvegarde ou les moteurs de réplication) de suivre efficacement les modifications sans avoir à scanner l’ensemble du volume. Sur le plan forensique, il fournit un historique détaillé des opérations des fichiers.
Informations enregistrées : Chaque entrée (enregistrement USN) dans le flux enregistre généralement :
$JUn horodatage précis de l’événement.
Le nom de fichier affecté.
Le numéro de référence du fichier (FRN) et le FRN parent (liant le fichier à son répertoire et à son enregistrement MFT).
Un ou plusieurs codes de raison, indiquant le(s) type(s) de changement (par exemple, , , , , , , , ) Comprendre ces codes est essentiel à l’interprétation.
FILE_CREATEFILE_DELETERENAME_OLD_NAMERENAME_NEW_NAMEDATA_OVERWRITEBASIC_INFO_CHANGESTREAM_CHANGECLOSEAttributs du fichier au moment de l’événement.
Informations de source (distinguant les modifications des données utilisateur de la gestion des données du système d’exploitation).
Persistance: Fait crucial, le journal conserve souvent les enregistrements des fichiers même après leur suppression du système de fichiers (jusqu’à ce que le journal soit entouré ou effacé). Cela en fait un outil inestimable pour prouver l’existence et la suppression antérieures de fichiers.
Mis à jour