Outils d’analyse graphique

Lire directement le flux binaire est peu pratique. Des outils spécialisés sont nécessaires pour le transformer en un format lisible par l’humain.$J

  • Ligne de commande () : Windows inclut l’utilitaire de ligne de commande intégré qui peut interroger directement le journal USN.fsutil.exefsutil.exe

    • Structure de commande de base : (Remplacer par le lecteur cible). L’argument produit les données dans un format séparé par virgules, adapté à la piping ou à la redirection.fsutil usn readjournal C: csvC:csv

    • Filtrage avec : La sortie est souvent envoyée () à l’utilitaire de filtrage. Les drapeaux courants incluent :findstr|findstr.exefindstr

      • /i: Fouille insensible à la casse.

      • /C:"search string": Recherche une chaîne littérale. Plusieurs drapeaux agissent comme une condition d’opération./C

      • /R: Interprète la chaîne de recherche comme une expression régulière (Regex).

    • Redirection de la sortie : Les résultats peuvent être enregistrés dans un fichier en utilisant .> output.txt

    • Exemple (Trouver des codes de raison spécifiques pour des exécutables/fichiers de prélecture) :

      Copier

      fsutil usn readjournal c: csv | findstr /i /C:"0x80000200" /C:"0x00001000" /C:"0x00002000" | findstr /i /C:".exe\"" /C:".pf\"" > filtered_journal.txt

      (Celle-ci recherche les raisons FileDelete, RenameOld, RenameNew et filtre les lignes se terminant par ou )..exe" .pf"

    • Note: Cela nécessite des privilèges administratifs. Créer des commandes efficaces nécessite de comprendre les codes de raison et la syntaxe.fsutil findstr

  • Outils d’analyse graphique : Plusieurs outils graphiques offrent une interface plus conviviale pour l’analyse de revues.

    • JournalTrace (Ponei/Spokwn) :

      • Fonctionnalité: Un outil GUI gratuit et dédié pour analyser et consulter les entrées du journal USN. Cela nécessite des privilèges d’administrateur. La version de Spokwn inclut des capacités avancées de filtrage.

      • Flux de travail : Lancer -> sélectionner le disque -> scanner le disque -> passer à la disposition « grille de données » -> colonnes trier/filtre.

      • Caractéristiques clés : Affiche clairement les codes de raison d’événement, permet un filtrage facile par contenu de colonne (Nom, Raison, Chemin), affiche l’horodatage de la « Entrée la plus ancienne » (utile pour détecter les récents effacements), et résout potentiellement mieux les identifiants de fichiers que les outils de base. Les filtres avancés dans la version de Spokwn supportent ET (), OU (), NON (), ainsi que le filtrage multi-colonnes.&& || !!

    • Lecteur de journal Echo Easy (Echo) :

      • Fonctionnalité: Un autre outil GUI gratuit de l’équipe Echo, conçu pour la simplicité et la facilité d’utilisation.

      • Interface: Propose des boutons prédéfinis pour les filtres courants (« Supprimé », « Créé », « Renommé »). Permet le tri par colonnes (horodatage, nom, etc.) et un filtrage basique des colonnes. Analyse tous les disques NTFS en même temps.

      • Utiliser: Bon pour les débutants ou pour les vérifications rapides d’événements courants comme des suppressions ou des renommages.

PrécédentLe Journal de l’USN ($UsnJrnl)SuivantApplication dans le partage d’écran

Mis à jour