Blog
Articoli sulla forense NTFS, l'analisi del journal USN e l'incident response.
Rilevare l'esfiltrazione di dati e la copia su USB con il USN journal
2026-05-15
Copie di file di massa, drop su USB e directory di staging lasciano tutti una forma riconoscibile in $UsnJrnl:$J. I pattern da filtrare, con esempi lavorati.
Rilevare attività ransomware nel USN journal
2026-05-15
Anche quando il binario è sparito, il ransomware lascia un'impronta molto distintiva in $UsnJrnl:$J. Una passeggiata attraverso i pattern da cercare, con le combinazioni di Reason code corrispondenti.
Individuare timestomping e anti-forense nel USN journal
2026-05-15
Gli attaccanti che modificano i timestamp MFT non possono nascondersi dal change journal. Come le discrepanze $STANDARD_INFORMATION vs $FILE_NAME e i record BasicInfoChange inattesi smascherano l'attività anti-forense.
Come estrarre $UsnJrnl:$J da un'immagine disco (o da un sistema vivo)
2026-05-15
Una guida pratica per tirar fuori il USN Journal NTFS da un'immagine forense, un volume montato o un host Windows vivo, con FTK Imager, X-Ways, The Sleuth Kit, fsutil e PowerShell.
Ricostruire una timeline di attività utente dal USN journal
2026-05-15
Da tre minuti di record $UsnJrnl puoi di solito ricostruire cosa stava facendo un utente: Office, browser, download, codice. Come leggere il journal come un log di comportamento.
Recuperare prove di file cancellati con il USN journal
2026-05-15
Quando un file è stato cancellato, il cestino svuotato, e l'entry MFT riciclata — il USN journal spesso ha ancora il suo nome, padre e timeline. Una guida per estrarre quella prova.
USN journal vs $MFT vs $LogFile: quale artefatto NTFS per quale domanda?
2026-05-15
Un riferimento fianco a fianco dei tre artefatti di metadati NTFS che ogni indagine forense Windows finisce per toccare — cosa registra ciascuno, cosa no, e quando ricorrere a quale.
Parsare il USN Journal nel browser con Rust + WebAssembly
2026-05-14
Come consegniamo un parser completo di USN Journal NTFS nel tuo browser come 105 KB di WebAssembly, e perché 'parsarlo lato client' è l'unica risposta accettabile per gli artefatti forensi.
Windows FILETIME spiegato — convertire i timestamp NTFS in qualcosa di leggibile
2026-05-13
FILETIME è il formato di timestamp Windows che incontrerai in $MFT, $UsnJrnl, registro, $Recycle.Bin e quasi ogni artefatto Windows. Un riferimento breve e completo: cos'è, come convertirlo e le insidie.
USN Reason Codes — leggere tra i bit
2026-05-12
Un tour campo per campo della bitmask Reason di USN_RECORD e cosa ogni combinazione dice sul ciclo di vita di un file su disco.
Capire il USN Journal di NTFS ($UsnJrnl:$J)
2026-05-10
Un'introduzione pratica al Update Sequence Number Journal di NTFS: cos'è, com'è strutturato su disco e perché è così prezioso nella forense Windows.