Blog
Articles sur la forensique NTFS, l'analyse du journal USN et la réponse à incident.
Détecter l'exfiltration de données et la copie sur USB avec le USN journal
2026-05-15
Les copies de fichiers massives, les drops USB et les répertoires de staging laissent tous une forme reconnaissable dans $UsnJrnl:$J. Les motifs à filtrer, avec des exemples travaillés.
Détecter l'activité ransomware dans le USN journal
2026-05-15
Même quand le binaire a disparu, un ransomware laisse une empreinte très distinctive dans $UsnJrnl:$J. Un parcours des motifs à chercher, avec les combinaisons de Reason codes correspondantes.
Repérer le timestomping et l'anti-forensique dans le USN journal
2026-05-15
Les attaquants qui éditent les timestamps MFT ne peuvent pas se cacher du change journal. Comment les divergences $STANDARD_INFORMATION vs $FILE_NAME et les enregistrements BasicInfoChange inattendus exposent l'activité anti-forensique.
Comment extraire $UsnJrnl:$J d'une image disque (ou d'un système en production)
2026-05-15
Un guide pratique pour sortir le USN Journal NTFS d'une image forensique, d'un volume monté ou d'un poste Windows vif, avec FTK Imager, X-Ways, The Sleuth Kit, fsutil et PowerShell.
Reconstruire une timeline d'activité utilisateur depuis le USN journal
2026-05-15
À partir de trois minutes d'enregistrements $UsnJrnl tu peux d'habitude reconstituer ce qu'un utilisateur faisait : Office, navigateur, téléchargements, code. Comment lire le journal comme un log de comportement.
Récupérer des preuves de fichiers supprimés avec le USN journal
2026-05-15
Quand un fichier a été supprimé, sorti de la corbeille et que l'entrée MFT a été recyclée — le USN journal a souvent encore son nom, son parent et sa timeline. Un guide pour extraire ces preuves.
USN journal vs $MFT vs $LogFile : quel artefact NTFS pour quelle question ?
2026-05-15
Une référence côte à côte des trois artefacts de métadonnées NTFS que toute investigation forensique Windows finit par toucher — ce que chacun enregistre, ce qu'il n'enregistre pas, et quand sortir lequel.
Parser le USN Journal dans le navigateur avec Rust + WebAssembly
2026-05-14
Comment nous livrons un parser complet de USN Journal NTFS dans ton navigateur sous forme de 105 Ko de WebAssembly, et pourquoi « le parser côté client » est la seule réponse acceptable pour un artefact forensique.
Le FILETIME Windows expliqué — convertir des timestamps NTFS en quelque chose de lisible
2026-05-13
FILETIME est le format de timestamp Windows que tu rencontreras dans $MFT, $UsnJrnl, le registre, $Recycle.Bin et presque tous les artefacts Windows. Une référence courte et complète : ce que c'est, comment le convertir et les pièges.
USN Reason Codes — lire entre les bits
2026-05-12
Une visite champ par champ du bitmask Reason de USN_RECORD et ce que chaque combinaison dit sur le cycle de vie d'un fichier sur disque.
Comprendre le USN Journal NTFS ($UsnJrnl:$J)
2026-05-10
Une introduction pratique au Update Sequence Number Journal de NTFS : ce qu'il est, comment il est structuré sur disque et pourquoi il est si précieux en forensique Windows.