NTFS-Forensik-Glossar

Eine kompakte Referenz für NTFS-, USN-Journal- und Windows-Forensik-Begriffe, die in den Artikeln der Site vorkommen.

Arbeitsvokabular zum Lesen unserer Artikel und der breiteren DFIR-Literatur. Definitionen kurz; den Links für Tiefe folgen.

$Extend

Verstecktes NTFS-Metadatenverzeichnis im Volume-Root. Enthält das Journal ($UsnJrnl), die Reparse-Point-Lookup-Tabelle ($Reparse) und einige weitere.

$FILE_NAME

MFT-Attribut, das einen der Dateinamen plus eine interne Kopie ihrer Zeitstempel speichert. NTFS aktualisiert diese seltener als $STANDARD_INFORMATION, weshalb der SI-vs-FN-Vergleich Timestomping aufdeckt.

$J

Der Datenstrom von $UsnJrnl, der die eigentlichen Journal-Einträge hält. Der Begleitstrom $Max trägt nur Größeninformationen.

$LogFile

NTFS' Transaktionslog zur Crash-Recovery. Hält Vorher/Nachher-Bilder von Metadaten-Schreibvorgängen der letzten paar Tausend Transaktionen. Nützlich für die Wiederherstellung sehr frisch gelöschter Dateien und um Schreibvorgänge zu erwischen, die das Journal verpasst hat.

$MFT

Die Master File Table — der Index jeder Datei und jedes Verzeichnisses auf dem Volume. Jeder Eintrag ist typischerweise 1024 Bytes groß und enthält Attribute wie $STANDARD_INFORMATION, ein oder mehrere $FILE_NAME und die Data Runs.

$STANDARD_INFORMATION

MFT-Attribut, das die nutzersichtbaren Zeitstempel und Basis-Attribute speichert. Die Werte, die die meisten Tools und APIs lesen und schreiben — auch Timestomping-Tools.

$UsnJrnl

Die NTFS-Metadatendatei unter \$Extend\$UsnJrnl, der die Journal-Streams gehören.

Alternate Data Stream (ADS)

Ein zweiter (oder N-ter) benannter Datenstrom auf einer NTFS-Datei. $UsnJrnl:$J ist einer; die von Browsern auf Downloads gesetzte Zone.Identifier ist ein anderer. Filtert man im USN-Journal auf StreamChange, kommt ADS-Aktivität hoch.

BasicInfoChange

USN-Reason-Flag, das beim Update von $STANDARD_INFORMATION ausgegeben wird. Nackte BasicInfoChange | Close-Einträge — ohne vorangehenden Schreibvorgang — sind ein starkes Timestomping-Signal.

Bodyfile

Ein Textformat, das mactime (The Sleuth Kit) für Timeline-Ausgabe konsumiert. MFTECmd, USN-Parser und andere können Bodyfile-Zeilen ausgeben, die zu einer Timeline zusammengeführt werden.

DataExtend / DataOverwrite

USN-Reason-Flags für das Wachsen oder Überschreiben des Datenstroms. Massenhafte DataOverwrite-Bursts sind das kanonische Ransomware-Signal.

FILETIME

Ein Windows-Zeitstempel: vorzeichenloser 64-Bit-Integer mit 100-Nanosekunden-Ticks seit 1601-01-01 UTC. Siehe den FILETIME-Beitrag für Konvertierungsrezepte.

FileReferenceNumber

Eine MFT-Entry-Nummer in Kombination mit einer Sequenznummer, gepackt in einen 64-Bit-Wert. Verfolgt eine konkrete Datei über die MFT-Wiederverwendung hinweg — gleiche Entry, andere Sequenz bedeutet wiederverwendete Entry.

fsutil usn

Die von Microsoft unterstützte CLI zum Abfragen und Verwalten des USN-Journals: aktivieren/deaktivieren, Größe abfragen, Einträge dumpen. Siehe die Microsoft-Learn-Referenz.

hreflang

HTML/HTTP-Signal, das Suchmaschinen sagt, welche Übersetzung einer Seite sie in welcher Locale ausspielen sollen. Unterschiedlich zum lang-Attribut.

MITRE ATT&CK

Das Community-Framework, das Angreiferverhalten kartiert. Wir referenzieren im Blog Techniken wie T1486 Data Encrypted for Impact und T1074 Data Staged.

RenameOldName / RenameNewName

USN-Reason-Flags, die bei jeder Umbenennung paarweise ausgegeben werden — die „Vorher"-Hälfte nennt den alten Pfad, die „Nachher"-Hälfte den neuen. Beide Einträge teilen dieselbe FileReferenceNumber.

Reparse Point

Eine NTFS-Metadatenstruktur, die einen Pfad woanders hin umlenkt — Junctions, symbolische Links, Mount Points. Im Journal sichtbar via ReparsePointChange.

Ringpuffer

Das fest dimensionierte, umlaufende Speichermodell des USN-Journals: wenn es voll ist, werden die ältesten Einträge überschrieben. Standardgrößen reichen von ca. 10 MB auf Clients bis 1 GB+ auf Servern.

TSK

The Sleuth Kit — Brian Carriers Open-Source-Forensik-Bibliothek und CLI-Tools (fls, icat, mmls…). Das freie Standard-Toolset für Low-Level-Dateisystemarbeit.

USN

Update Sequence Number — der Pro-Eintrag-Offset im Journal. Das usn-Feld jedes Eintrags ist seine Byte-Position; deswegen lässt sich das Journal auch nach USN adressieren und seeken.

Volume Shadow Copy (VSS)

Windows-eigener Snapshot-Mechanismus. Snapshots lassen sich mounten und parsen, um ältere Versionen von Dateien und Metadaten — auch ältere Zustände der MFT — zu bekommen.

WebAssembly

Ein portables Binärformat, das im Browser mit nahezu nativer Geschwindigkeit läuft. Das WASM-Modul von USN Parser ist ~105 KB groß und parst 720k Einträge in ~1,4 s auf einem aktuellen Macbook.