Blog
Artikel über NTFS-Forensik, USN-Journal-Analyse und Incident Response.
Datenexfiltration und USB-Kopieren mit dem USN Journal erkennen
2026-05-15
Massen-Dateikopien, USB-Drops und Staging-Verzeichnisse hinterlassen alle eine erkennbare Form in $UsnJrnl:$J. Die Muster, nach denen man filtern muss, mit ausgearbeiteten Beispielen.
Ransomware-Aktivität im USN Journal erkennen
2026-05-15
Selbst wenn die Binärdatei weg ist, hinterlässt Ransomware einen sehr charakteristischen Fingerabdruck in $UsnJrnl:$J. Ein Durchgang durch die Muster, nach denen man suchen muss, mit den passenden Reason-Code-Kombinationen.
Timestomping und Anti-Forensik im USN Journal erkennen
2026-05-15
Angreifer, die MFT-Zeitstempel manipulieren, können sich nicht vor dem Change Journal verstecken. Wie $STANDARD_INFORMATION-vs-$FILE_NAME-Diskrepanzen und unerwartete BasicInfoChange-Einträge anti-forensische Aktivität entlarven.
Wie man $UsnJrnl:$J aus einem Festplatten-Image (oder einem Live-System) extrahiert
2026-05-15
Eine praktische Anleitung, um das NTFS USN Journal aus einem forensischen Image, einem gemounteten Volume oder einem Live-Windows-Host herauszuziehen — mit FTK Imager, X-Ways, The Sleuth Kit, fsutil und PowerShell.
Eine Benutzer-Aktivitäts-Timeline aus dem USN Journal rekonstruieren
2026-05-15
Aus drei Minuten von $UsnJrnl-Einträgen können Sie in der Regel rekonstruieren, was ein Benutzer tat — Office, Browser, Downloads, Code. Wie man das Journal als Verhaltenslog liest.
Beweise gelöschter Dateien mit dem USN Journal wiederherstellen
2026-05-15
Wenn eine Datei gelöscht wurde, der Papierkorb leer ist und der MFT-Eintrag wiederverwendet wurde — das USN Journal hat oft noch ihren Namen, Übergeordneten und die Timeline. Eine Anleitung zum Extrahieren dieser Beweise.
USN Journal vs. $MFT vs. $LogFile: Welches NTFS-Artefakt für welche Frage?
2026-05-15
Eine Seite-an-Seite-Referenz für die drei NTFS-Metadaten-Artefakte, die jede Windows-Forensik-Untersuchung irgendwann berührt — was jedes aufzeichnet, was nicht und wann man zu welchem greift.
Das USN Journal im Browser parsen mit Rust + WebAssembly
2026-05-14
Wie wir einen vollständigen NTFS-USN-Journal-Parser als 105 KB WebAssembly in Ihren Browser ausliefern — und warum 'client-seitig parsen' die einzig akzeptable Antwort für forensische Artefakte ist.
Windows FILETIME erklärt — NTFS-Zeitstempel in etwas Lesbares umwandeln
2026-05-13
FILETIME ist das Windows-Zeitstempelformat, dem Sie in $MFT, $UsnJrnl, der Registry, $Recycle.Bin und nahezu jedem Windows-Artefakt begegnen werden. Eine kurze, vollständige Referenz: was es ist, wie man es umwandelt und die Stolperfallen.
USN Reason Codes — zwischen den Bits lesen
2026-05-12
Eine feldweise Tour durch die Reason-Bitmaske des USN_RECORD und was Ihnen jede Kombination über den Lebenszyklus einer Datei auf der Festplatte verrät.
Das NTFS USN Journal verstehen ($UsnJrnl:$J)
2026-05-10
Eine praxisorientierte Einführung in das NTFS Update Sequence Number Journal — was es ist, wie es auf der Festplatte strukturiert ist und warum es in der Windows-Forensik so wertvoll ist.