Digital Forensics Examiner: DIGITAL FORENSICS:$USNJRNL

Thursday, June 11, 2020

DIGITAL FORENSICS:$USNJRNL

$UsnJrnl เป็นไฟล์ที่บันทึกเมื่อมีการเปลี่ยนแปลงไฟล์และไดเรกทอรี เป็นคุณลักษณะของระบบไฟล์ Windows (NT file system (NTFS) ซึ่งเก็บบันทึกการเปลี่ยนแปลงที่เกิดขึ้นกับ volume ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่มีอยู่ในระบบไฟล์หรือ $ MFT

Introduction
The NTFS change journal ($UsnJrnl) is an operating system file that records when changes are made to files and directories. The change journal is located at $Extend\$UsnJrnl. The journal contains two alternate data streams:
 $UsnJrnl:$J - Contains the actual journal entries
 $UsnJrnl:$MAX - contains metadata about the $UsnJrnl

The $UsnJrnl:$J contains useful information for the forensic investigator as detailed below:

 File/directory name
 File/directory attributes
 USN Reason
 Time of activity
 USN reference number
 MFT reference number
 MFT parent reference number
 Security ID

 Source info

ทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl

- Re-loader Activator

- OSForensics

- NTFS Journal Viewer

- Virus total

- Windows Defender

Step 1. ทำการ Re-loader Activator เพื่อ activate windows

Step 2. กด Activate และวิเคราะห์ดูว่ามีเหตุการณ์อะไรขึ้นบน Windows

Step 3. ใช้ Windows defender scan พบว่า KMS-R@1nHook.exe เป็นมัลแวร์ ติดตั้งอยู่ใน Windows

Step 4. นำไฟล์ KMS-R@1nHook.exe upload ไปที่เว็บ Virus-total เพื่อความแน่ใจว่าพบมัลแวร์

Step 5. ใช้โปรแกรม OSForensics 7.1 > $UsnJrnl Viewer

OSForensics™ includes an $UsnJrnl viewer that parses and displays the log records stored in the NTFS $UsnJrnl volume change journal. This information is useful for identifying suspect files (eg. malware) that no longer exist in the file system or $MFT. The USN journal is updated whenever changes to files and directories are made to a volume including:

OSForensics รวมเครื่องมือสำหรับวิเคราะห์ไฟล์ $UsnJrnl ที่แสดงบันทึกที่จัดเก็บไว้ใน การเปลี่ยนแปลง volume ของ NTFS $UsnJrnl ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่ไม่มีอยู่ในระบบไฟล์หรือ $ MFT USN ได้รับการปรับปรุงทุกครั้งที่มีการเปลี่ยนแปลงไฟล์และไดเรกทอรีที่ทำกับไดรฟ์รวมถึง:

Step 6. ค้นหา KMS-R@1nHook.exe ใน $UsnJrnl พบว่าถูกสร้าง 20-02-2020 13:46 Create , USN 66266856, MFT Record 74950 และไฟล์อื่นๆที่เกี่ยวข้อง

สรุป ผลทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl

- พบว่าเมื่อมีการติดตั้งโปรแกรมลงใน Windows จะมีการบันทึก ชื่อวันเวลาลงใน $UsnJrnl
- สามารถนำเรื่อง $UsnJrnl ในการการวิเคราะห์ incident response

เราอาจใช้เครื่องมืออื่นนำ $UsnJrnl ไฟล์ออกมาได้

NTFS Journal Viewer (JV) เป็นเครื่องมือที่ช่วยในการดึงข้อมูล และวิเคราะห์ log $UsnJrnl:$J ซึ่งมีขนาดใหญ่ โดยใช้เวลาไม่นาน นอกจากนี้โปรแกรมยังสามารถกรองข้อมูล (filter) หรือค้นหา (Search) ข้อความที่สนใจได้ และผูู้ใช้สามารถบันทึกเป็นไฟล์นามสกุล .CSV สำหรับเครื่องมือที่ช่วยในการดึงข้อมูล หรือ Extract UsnJrnl นี้ ถูกคิดค้นโดย Joakim Schicht (https://github.com/jschicht)