Vocabulaire de travail pour la lecture de nos articles et de la littérature DFIR plus large. Définitions courtes ; suivez les liens pour aller plus loin.
$Extend
Dossier de métadonnées NTFS caché à la racine du volume. Contient le journal ($UsnJrnl), la table de lookup des reparse points ($Reparse) et quelques autres.
$FILE_NAME
Attribut MFT contenant l'un des noms du fichier et une copie interne de ses horodatages. NTFS met cette copie à jour moins souvent que $STANDARD_INFORMATION, ce qui fait que la comparaison SI/FN détecte le timestomping.
$J
Flux de données de $UsnJrnl qui contient les enregistrements du journal. Le flux compagnon $Max ne porte que le dimensionnement.
$LogFile
Journal transactionnel de NTFS, utilisé pour la récupération après crash. Contient des images avant/après des écritures de métadonnées des derniers milliers de transactions. Utile pour la récupération de fichiers supprimés très récemment et pour attraper des écritures que le journal a manquées.
$MFT
Master File Table — l'index de chaque fichier et dossier du volume. Chaque entrée fait 1024 octets (typiquement) et contient les attributs $STANDARD_INFORMATION, un ou plusieurs $FILE_NAME et les data runs.
$STANDARD_INFORMATION
Attribut MFT contenant les horodatages visibles côté utilisateur et les attributs de base. Ce que la plupart des outils et API lisent et écrivent — y compris les outils de timestomping.
$UsnJrnl
Le fichier de métadonnées NTFS à \$Extend\$UsnJrnl qui possède les flux du journal.
Alternate Data Stream (ADS)
Un deuxième (ou Nème) flux de données nommé sur un fichier NTFS. $UsnJrnl:$J en est un ; le Zone.Identifier posé par les navigateurs sur les téléchargements en est un autre. Filtrer StreamChange dans le journal USN fait remonter l'activité ADS.
BasicInfoChange
Un drapeau de raison USN émis quand $STANDARD_INFORMATION est mis à jour. Des enregistrements BasicInfoChange | Close nus — sans écriture précédente — sont un fort signal de timestomping.
Bodyfile
Un format texte consommé par mactime (The Sleuth Kit) pour la sortie timeline. MFTECmd, les parseurs USN et d'autres savent émettre des lignes bodyfile à fusionner en une timeline unique.
DataExtend / DataOverwrite
Drapeaux de raison USN pour la croissance ou l'écrasement du flux de données. Des salves massives de DataOverwrite sont le signal canonique du ransomware.
FILETIME
Un horodatage Windows : entier non signé 64 bits comptant des tics de 100 nanosecondes depuis le 1601-01-01 UTC. Voir l'article FILETIME pour les recettes de conversion.
FileReferenceNumber
Un numéro d'entrée MFT combiné à un numéro de séquence, empaqueté dans une valeur 64 bits. Suit un fichier précis à travers la réutilisation MFT — même entrée, séquence différente, signifie entrée recyclée.
fsutil usn
Le CLI Microsoft supporté pour interroger et gérer le journal USN : activer/désactiver, taille, dump d'enregistrements. Voir la référence Microsoft Learn.
hreflang
Signal HTML/HTTP qui indique aux moteurs quelle traduction d'une page faire remonter dans quelle locale. Distinct de l'attribut lang.
MITRE ATT&CK
Le framework communautaire qui cartographie les comportements adversaires. Nous référençons des techniques comme T1486 Data Encrypted for Impact et T1074 Data Staged dans le blog.
RenameOldName / RenameNewName
Drapeaux de raison USN émis en paire à chaque renommage — la moitié « avant » nomme l'ancien chemin, la moitié « après » nomme le nouveau. Les deux enregistrements partagent le même FileReferenceNumber.
Reparse point
Une structure de métadonnées NTFS qui redirige un chemin ailleurs — junctions, liens symboliques, points de montage. Visible dans le journal via ReparsePointChange.
Ring buffer
Le modèle de stockage à taille fixe en bouclage du journal USN : quand le journal sature, les enregistrements les plus anciens sont écrasés. Tailles par défaut variant d'environ 10 Mo sur clients à 1 Go+ sur serveurs.
TSK
The Sleuth Kit — la bibliothèque forensique open-source et les outils CLI de Brian Carrier (fls, icat, mmls…). La référence libre pour le travail bas niveau sur systèmes de fichiers.
USN
Update Sequence Number — l'offset par enregistrement dans le journal. Le champ usn de chaque enregistrement est sa position en octets ; c'est aussi pour ça que le journal s'adresse et se cherche par USN.
Volume Shadow Copy (VSS)
Mécanisme de snapshot natif Windows. Les snapshots peuvent être montés et parsés pour retrouver des versions antérieures de fichiers et de métadonnées, y compris d'anciens états du MFT.
WebAssembly
Un format binaire portable d'instructions qui s'exécute dans le navigateur à vitesse quasi native. Le module WASM d'USN Parser pèse ~105 Ko et parse 720 000 enregistrements en ~1,4 s sur un Macbook récent.