Blog

Artikel über NTFS-Forensik, USN-Journal-Analyse und Incident Response.

Datenexfiltration und USB-Kopien im USN-Journal erkennen
2026-05-15
Massenkopien, USB-Drops und Staging-Verzeichnisse hinterlassen eine erkennbare Form in $UsnJrnl:$J. Die Muster zum Filtern, mit ausgearbeiteten Beispielen.
Ransomware-Aktivität im USN-Journal erkennen
2026-05-15
Selbst wenn die Binary weg ist, hinterlässt Ransomware einen sehr charakteristischen Fingerabdruck in $UsnJrnl:$J. Ein Durchgang durch die Muster, nach denen man sucht, und die zugehörigen Reason-Code-Kombinationen.
Timestomping und Anti-Forensik im USN-Journal erkennen
2026-05-15
Angreifer, die MFT-Zeitstempel bearbeiten, können sich nicht vor dem Change-Journal verstecken. Wie Abweichungen zwischen $STANDARD_INFORMATION und $FILE_NAME sowie unerwartete BasicInfoChange-Einträge anti-forensische Aktivität sichtbar machen.
Wie man $UsnJrnl:$J aus einem Disk-Image (oder einem laufenden System) extrahiert
2026-05-15
Praktischer Leitfaden, um das NTFS-USN-Journal aus einem forensischen Image, einem gemounteten Volume oder einem laufenden Windows-Host herauszuziehen — mit FTK Imager, X-Ways, The Sleuth Kit, fsutil und PowerShell.
Eine Nutzer-Aktivitäts-Timeline aus dem USN-Journal rekonstruieren
2026-05-15
Aus drei Minuten $UsnJrnl-Einträgen lässt sich meist rekonstruieren, was ein Nutzer gerade tat — Office, Browser, Downloads, Code. Wie man das Journal als Verhaltens-Log liest.
Mit dem USN-Journal Spuren gelöschter Dateien wiederherstellen
2026-05-15
Wenn eine Datei gelöscht, der Papierkorb geleert und der MFT-Eintrag wiederverwendet wurde — das USN-Journal kennt häufig noch Namen, Eltern und Zeitlinie. So holt man die Spuren heraus.
USN-Journal vs $MFT vs $LogFile: welches NTFS-Artefakt für welche Frage?
2026-05-15
Vergleichsreferenz für die drei NTFS-Metadaten-Artefakte, die jede Windows-Forensik-Untersuchung irgendwann berührt — was jedes davon aufzeichnet, was nicht und wann man wonach greift.
Das USN-Journal im Browser parsen — mit Rust + WebAssembly
2026-05-14
Wie wir einen vollständigen NTFS-USN-Journal-Parser in deinen Browser ausliefern — als 105 KB WebAssembly — und warum „im Client parsen" die einzig akzeptable Antwort für forensische Artefakte ist.
Windows FILETIME erklärt — NTFS-Zeitstempel in lesbare Werte umrechnen
2026-05-13
FILETIME ist das Windows-Zeitstempelformat, dem man in $MFT, $UsnJrnl, der Registry, $Recycle.Bin und praktisch jedem Windows-Artefakt begegnet. Kurze, vollständige Referenz: was es ist, wie man es umrechnet, die Stolperfallen.
USN-Reason-Codes — zwischen den Bits lesen
2026-05-12
Feldweise Tour durch die Reason-Bitmaske von USN_RECORD und was jede Kombination über den Lebenszyklus einer Datei auf der Platte verrät.
Das NTFS-USN-Journal verstehen ($UsnJrnl:$J)
2026-05-10
Eine praktische Einführung in das Update-Sequence-Number-Journal von NTFS — was es ist, wie es auf der Platte aufgebaut ist und warum es in der Windows-Forensik so wertvoll ist.