USN的Windows解析雜誌

USN的Windows解析雜誌

什麼是“USN日報”？這是“更新序列號雜誌”。它記錄了NTFS卷的變化。該方案是關於炸彈的威脅。我使用的是X-取證方法來分析USN日誌和下面的截圖是解析的結果。你可以看到列名 - “時間戳”，“變革型”，“文件ID”，“Attribue”和“文件名”。

哪裡是USN日誌？而已。一個奇怪的文件，其名稱為$ USNJml：附加$ J。什麼是$ J· 這就是所謂的ADS（備用數據流）。通常ADS將包含文件的元數據。

讓我們首先reocrd的屏幕截圖examplie。創建的文件“炸彈製作的.lnk”是指犯罪嫌疑人做雙擊文件夾“炸彈製作”和時間戳是2013年12月16日21點50分41秒。其他記錄也有一些在二零一三年十二月十六日21:50做“炸彈”。因此，我們可以知道，犯罪嫌疑人並訪問這些文件夾和文件的時候，毫無疑問，這些文件和文件夾做了當時存在的。考慮USN分析的結果，我們可以得到“時間線”的全貌。

登錄/註冊後可看大圖