Was ist das NTFS-USN-Journal?
Das USN-Journal (Update Sequence Number) ist ein Änderungsprotokoll, das NTFS für jede Datei-Erstellung, -Löschung, -Umbenennung und Metadatenänderung auf einem Volume führt. Es liegt im alternativen Datenstrom \$Extend\$UsnJrnl:$J und ist eine der ergiebigsten Quellen für Zeitlinienbeweise in der Windows-Forensik.
Den vollständigen NTFS-USN-Journal-Leitfaden lesen →Wann setzt man es ein?
Incident Response, Rekonstruktion von Eindringungs-Timelines, Ransomware-Analyse, Insider-Threat-Untersuchungen — überall dort, wo ein Verlauf der Dateiaktivität benötigt wird, selbst nachdem Dateien gelöscht wurden.
Warum im Browser parsen?
Journaldateien enthalten Spuren jeder Aktion auf dem Volume — von Natur aus sensibel. Dieses Tool liefert einen WebAssembly-Parser direkt auf deinen Rechner; die Datei erreicht unsere Server nie und es gibt nichts zu loggen.