Blog
Articles sur la forensique NTFS, l'analyse du journal USN et la réponse à incident.
Détecter l'exfiltration de données et les copies sur clé USB avec le journal USN
2026-05-15
Les copies massives, les drops sur USB et les répertoires de staging laissent une forme reconnaissable dans $UsnJrnl:$J. Les patterns à filtrer, avec des exemples concrets.
Détecter l'activité d'un ransomware dans le journal USN
2026-05-15
Même quand le binaire a disparu, un ransomware laisse une empreinte très caractéristique dans $UsnJrnl:$J. Tour d'horizon des patterns à chercher et des combinaisons de codes de raison correspondantes.
Repérer le timestomping et l'anti-forensique dans le journal USN
2026-05-15
Les attaquants qui modifient les horodatages MFT ne peuvent pas se cacher du change journal. Comment les divergences $STANDARD_INFORMATION vs $FILE_NAME et les BasicInfoChange inattendus exposent l'activité anti-forensique.
Comment extraire $UsnJrnl:$J d'une image disque (ou d'un système en production)
2026-05-15
Guide pratique pour extraire le journal USN NTFS d'une image forensique, d'un volume monté ou d'un poste Windows en production — avec FTK Imager, X-Ways, The Sleuth Kit, fsutil et PowerShell.
Reconstruire une timeline d'activité utilisateur depuis le journal USN
2026-05-15
À partir de trois minutes d'enregistrements $UsnJrnl, on peut habituellement reconstituer ce qu'un utilisateur faisait — Office, navigateur, téléchargements, code. Comment lire le journal comme un log de comportement.
Retrouver les preuves d'un fichier supprimé avec le journal USN
2026-05-15
Quand un fichier a été supprimé, vidé de la corbeille, et que l'entrée MFT a été recyclée — le journal USN garde souvent son nom, son parent et sa chronologie. Comment en extraire ces preuves.
Journal USN vs $MFT vs $LogFile : quel artefact NTFS pour quelle question ?
2026-05-15
Référence comparative des trois artefacts de métadonnées NTFS que toute investigation Windows finit par toucher — ce que chacun enregistre, ce qu'il n'enregistre pas, et quand sortir lequel.
Parser le journal USN dans le navigateur avec Rust + WebAssembly
2026-05-14
Comment nous livrons un parseur complet de journal USN NTFS dans votre navigateur sous forme de 105 Ko de WebAssembly — et pourquoi « le parser côté client » est la seule réponse acceptable pour un artefact forensique.
Le FILETIME Windows expliqué — convertir des timestamps NTFS en quelque chose de lisible
2026-05-13
FILETIME est le format d'horodatage Windows que l'on rencontre dans $MFT, $UsnJrnl, le registre, $Recycle.Bin et presque tous les artefacts Windows. Référence courte et complète : ce que c'est, comment le convertir, les pièges.
Codes de raison USN — lire entre les bits
2026-05-12
Parcours champ par champ du bitmask « reason » des enregistrements USN, et ce que chaque combinaison révèle du cycle de vie d'un fichier sur disque.
Comprendre le journal USN NTFS ($UsnJrnl:$J)
2026-05-10
Introduction pratique au journal USN (Update Sequence Number) de NTFS — ce qu'il est, sa structure sur disque et pourquoi il est si précieux en forensique Windows.