Thursday, June 11, 2020

DIGITAL FORENSICS:$USNJRNL

DIGITAL FORENSICS:$USNJRNL

$UsnJrnl เป็นไฟล์ที่บันทึกเมื่อมีการเปลี่ยนแปลงไฟล์และไดเรกทอรี  เป็นคุณลักษณะของระบบไฟล์ Windows  (NT file system (NTFS) ซึ่งเก็บบันทึกการเปลี่ยนแปลงที่เกิดขึ้นกับ volume   ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่มีอยู่ในระบบไฟล์หรือ $ MFT 

Introduction
The NTFS change journal ($UsnJrnl) is an operating system file that records when changes are made to files and directories. The change journal is located at $Extend\$UsnJrnl. The journal contains two alternate data streams:
 $UsnJrnl:$J - Contains the actual journal entries
 $UsnJrnl:$MAX - contains metadata about the $UsnJrnl

The $UsnJrnl:$J contains useful information for the forensic investigator as detailed below:

 File/directory name
 File/directory attributes
 USN Reason
 Time of activity
 USN reference number
 MFT reference number
 MFT parent reference number
 Security ID

 Source info

ทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl
- Re-loader Activator
- OSForensics
- NTFS Journal Viewer
- Virus total 
- Windows Defender

 Step 1. ทำการ Re-loader Activator เพื่อ activate windows
Step 2. กด Activate  และวิเคราะห์ดูว่ามีเหตุการณ์อะไรขึ้นบน Windows
Step 3. ใช้ Windows defender scan พบว่า KMS-R@1nHook.exe เป็นมัลแวร์ ติดตั้งอยู่ใน Windows
 Step 4. นำไฟล์ KMS-R@1nHook.exe  upload ไปที่เว็บ Virus-total  เพื่อความแน่ใจว่าพบมัลแวร์


Step 5. ใช้โปรแกรม  OSForensics 7.1 > $UsnJrnl Viewer 

OSForensics™ includes an $UsnJrnl viewer that parses and displays the log records stored in the NTFS $UsnJrnl volume change journal. This information is useful for identifying suspect files (eg. malware) that no longer exist in the file system or $MFT. The USN journal is updated whenever changes to files and directories are made to a volume including:

OSForensics รวมเครื่องมือสำหรับวิเคราะห์ไฟล์ $UsnJrnl ที่แสดงบันทึกที่จัดเก็บไว้ใน การเปลี่ยนแปลง volume ของ NTFS $UsnJrnl ข้อมูลนี้มีประโยชน์ในการระบุไฟล์ที่สงสัย (เช่นมัลแวร์) ที่ไม่มีอยู่ในระบบไฟล์หรือ $ MFT      USN ได้รับการปรับปรุงทุกครั้งที่มีการเปลี่ยนแปลงไฟล์และไดเรกทอรีที่ทำกับไดรฟ์รวมถึง:



Step 6. ค้นหา  KMS-R@1nHook.exe  ใน $UsnJrnl  พบว่าถูกสร้าง 20-02-2020 13:46  Create ,  USN 66266856, MFT Record 74950  และไฟล์อื่นๆที่เกี่ยวข้อง

สรุป ผลทดสอบวิเคราะห์ข้อมูลใน $UsnJrnl

   - พบว่าเมื่อมีการติดตั้งโปรแกรมลงใน Windows จะมีการบันทึก ชื่อวันเวลาลงใน $UsnJrnl
   - สามารถนำเรื่อง $UsnJrnl  ในการการวิเคราะห์  incident response 

 เราอาจใช้เครื่องมืออื่นนำ $UsnJrnl ไฟล์ออกมาได้

NTFS Journal Viewer (JV) เป็นเครื่องมือที่ช่วยในการดึงข้อมูล และวิเคราะห์ log $UsnJrnl:$J ซึ่งมีขนาดใหญ่ โดยใช้เวลาไม่นาน นอกจากนี้โปรแกรมยังสามารถกรองข้อมูล (filter) หรือค้นหา (Search) ข้อความที่สนใจได้ และผูู้ใช้สามารถบันทึกเป็นไฟล์นามสกุล .CSV สำหรับเครื่องมือที่ช่วยในการดึงข้อมูล หรือ Extract UsnJrnl นี้ ถูกคิดค้นโดย Joakim Schicht (https://github.com/jschicht) 
NTFS Journal Viewer
NTFS Journal Viewer สามารถดึง UsnJrnl ออกมาได้
$UsnJrnl_$J.bin

Download: NTFS-Journal

NTFS Journal Forensics



Digital Forensics:How to export Master File Table to csv



Ref:


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #MOBILEFORENSICS #$USNJRNL  

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...