DIGITAL FORENSICS:$USNJRNL
$UsnJrnl เป็นไฟล์ที่บันทึกเมื่อมีการเปลี่ยนแปลงไฟล์และไดเรกทอรี เป็นคุณลักษณะของระบบไฟล์ Windows (NT file system (NTFS) ซึ่งเก็บบันทึกการเปลี่ยนแปลงที่เกิดขึ้นกับ volume ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่มีอยู่ในระบบไฟล์หรือ $ MFT
Introduction
The NTFS change journal ($UsnJrnl) is an operating system file that records when changes are made to files and directories. The change journal is located at $Extend\$UsnJrnl. The journal contains two alternate data streams:
$UsnJrnl:$J - Contains the actual journal entries
$UsnJrnl:$MAX - contains metadata about the $UsnJrnl
The $UsnJrnl:$J contains useful information for the forensic investigator as detailed below:
File/directory name
File/directory attributes
USN Reason
Time of activity
USN reference number
MFT reference number
MFT parent reference number
Security ID
Source info
Introduction
The NTFS change journal ($UsnJrnl) is an operating system file that records when changes are made to files and directories. The change journal is located at $Extend\$UsnJrnl. The journal contains two alternate data streams:
$UsnJrnl:$J - Contains the actual journal entries
$UsnJrnl:$MAX - contains metadata about the $UsnJrnl
The $UsnJrnl:$J contains useful information for the forensic investigator as detailed below:
File/directory name
File/directory attributes
USN Reason
Time of activity
USN reference number
MFT reference number
MFT parent reference number
Security ID
Source info
ทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl
- Re-loader Activator
- OSForensics
- NTFS Journal Viewer
- Virus total
- Windows Defender
Step 2. กด Activate และวิเคราะห์ดูว่ามีเหตุการณ์อะไรขึ้นบน Windows
Step 3. ใช้ Windows defender scan พบว่า KMS-R@1nHook.exe เป็นมัลแวร์ ติดตั้งอยู่ใน Windows
Step 4. นำไฟล์ KMS-R@1nHook.exe upload ไปที่เว็บ Virus-total เพื่อความแน่ใจว่าพบมัลแวร์
Step 5. ใช้โปรแกรม OSForensics 7.1 > $UsnJrnl Viewer
OSForensics™ includes an $UsnJrnl viewer that parses and displays the log records stored in the NTFS $UsnJrnl volume change journal. This information is useful for identifying suspect files (eg. malware) that no longer exist in the file system or $MFT. The USN journal is updated whenever changes to files and directories are made to a volume including:
OSForensics รวมเครื่องมือสำหรับวิเคราะห์ไฟล์ $UsnJrnl ที่แสดงบันทึกที่จัดเก็บไว้ใน การเปลี่ยนแปลง volume ของ NTFS $UsnJrnl ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่ไม่มีอยู่ในระบบไฟล์หรือ $ MFT USN ได้รับการปรับปรุงทุกครั้งที่มีการเปลี่ยนแปลงไฟล์และไดเรกทอรีที่ทำกับไดรฟ์รวมถึง:
สรุป ผลทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl
- พบว่าเมื่อมีการติดตั้งโปรแกรมลงใน Windows จะมีการบันทึก ชื่อวันเวลาลงใน $UsnJrnl
- สามารถนำเรื่อง $UsnJrnl ในการการวิเคราะห์ incident response
เราอาจใช้เครื่องมืออื่นนำ $UsnJrnl ไฟล์ออกมาได้
NTFS Journal Viewer (JV) เป็นเครื่องมือที่ช่วยในการดึงข้อมูล และวิเคราะห์ log $UsnJrnl:$J ซึ่งมีขนาดใหญ่ โดยใช้เวลาไม่นาน นอกจากนี้โปรแกรมยังสามารถกรองข้อมูล (filter) หรือค้นหา (Search) ข้อความที่สนใจได้ และผูู้ใช้สามารถบันทึกเป็นไฟล์นามสกุล .CSV สำหรับเครื่องมือที่ช่วยในการดึงข้อมูล หรือ Extract UsnJrnl นี้ ถูกคิดค้นโดย Joakim Schicht (https://github.com/jschicht)
NTFS Journal Viewer |
$UsnJrnl_$J.bin |
Download: NTFS-Journal
NTFS Journal Forensics
Digital Forensics:How to export Master File Table to csv
Ref:
re-introducing-usnjrnl
orionforensics tools ntfs journal
13cubed
digital-forensics-ntfs-change-journal
orionforensics tools ntfs journal
13cubed
digital-forensics-ntfs-change-journal
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment