Blog
Articoli sulla forense NTFS, l'analisi del journal USN e l'incident response.
Rilevare l'esfiltrazione di dati e le copie su USB con il journal USN
2026-05-15
Copie di massa, drop su USB e directory di staging lasciano una forma riconoscibile in $UsnJrnl:$J. I pattern da filtrare, con esempi pratici.
Rilevare l'attività di un ransomware nel journal USN
2026-05-15
Anche quando il binario è sparito, un ransomware lascia un'impronta molto caratteristica in $UsnJrnl:$J. Una panoramica dei pattern da cercare con le combinazioni di codici di razionale corrispondenti.
Individuare timestomping e anti-forense nel journal USN
2026-05-15
Gli attaccanti che modificano i timestamp del MFT non possono nascondersi dal change journal. Come le discordanze $STANDARD_INFORMATION vs $FILE_NAME e i BasicInfoChange inattesi smascherano l'attività anti-forense.
Come estrarre $UsnJrnl:$J da un'immagine disco (o da un sistema attivo)
2026-05-15
Guida pratica per estrarre il journal USN di NTFS da un'immagine forense, da un volume montato o da un host Windows attivo — con FTK Imager, X-Ways, The Sleuth Kit, fsutil e PowerShell.
Ricostruire una timeline di attività utente dal journal USN
2026-05-15
Da tre minuti di record $UsnJrnl si può solitamente ricostruire cosa stava facendo un utente — Office, browser, download, codice. Come leggere il journal come un log di comportamento.
Recuperare le prove di file eliminati con il journal USN
2026-05-15
Quando un file è stato eliminato, svuotato dal cestino e la sua entry MFT riciclata — il journal USN spesso ne conserva ancora nome, parente e cronologia. Come estrarre quelle prove.
Journal USN vs $MFT vs $LogFile: quale artefatto NTFS per quale domanda?
2026-05-15
Riferimento comparativo dei tre artefatti di metadati NTFS che ogni indagine forense Windows finisce per toccare — cosa registra ciascuno, cosa non registra, e quando ricorrere a quale.
Parsare il journal USN nel browser con Rust + WebAssembly
2026-05-14
Come consegniamo un parser completo del journal USN NTFS nel tuo browser sotto forma di 105 KB di WebAssembly — e perché «parsare lato client» è l'unica risposta accettabile per gli artefatti forensi.
Windows FILETIME spiegato — convertire i timestamp NTFS in qualcosa di leggibile
2026-05-13
FILETIME è il formato di timestamp Windows che incontrerai in $MFT, $UsnJrnl, registro, $Recycle.Bin e quasi ogni artefatto Windows. Riferimento breve e completo: cos'è, come convertirlo, le insidie.
Codici di razionale USN — leggere tra i bit
2026-05-12
Tour campo per campo del bitmask di razionale dei record USN_RECORD e di ciò che ogni combinazione rivela sul ciclo di vita di un file su disco.
Capire il journal USN di NTFS ($UsnJrnl:$J)
2026-05-10
Introduzione pratica al journal Update Sequence Number di NTFS — cos'è, com'è strutturato su disco e perché è così prezioso nella forense di Windows.