Limitations

  • Taille/Emballage du journal : Le USN Journal a une limite de taille maximale (configurable via , mais rarement modifiée par les utilisateurs). Une fois cette limite atteinte, les entrées les plus anciennes sont écrasées par de nouvelles (il « s’enroule autour »). L’intervalle de temps couvert par le Journal dépend fortement des niveaux d’activité du disque et de la taille configurée. Sur des systèmes très actifs, cela peut ne couvrir que des heures ou des jours ; Sur des systèmes moins actifs, cela pourrait potentiellement durer des semaines ou des mois.fsutil

  • Nettoyage du journal : Le journal peut être supprimé délibérément en utilisant (nécessite des privilèges administrateur). Cette action est très suspecte et elle peut être détectée via :fsutil usn deletejournal /D C:

    • Journaux d’événements : Génère l’ID d’événement 3079 dans le journal d’application.

    • Métadonnées de revues : Les outils analysant le journal (comme JournalTrace affichant « Entrée la plus ancienne » ou analysant / modifiant les temps via FTK Imager/MFTECmd) afficheront une période de création/modification très récente, indiquant qu’elle a été récemment effacée et recréée.$J $MAX

  • FAT32/exFAT : Ces systèmes de fichiers ne possèdent pas de journal USN. Les techniques d’analyse de revues sont totalement inapplicables aux volumes formatés avec FAT32 ou exFAT.

PrécédentApplication dans le partage d’écranSuivantRegedit / Explorateur de registre (Visualiseurs de registre - usage de base)

Mis à jour