Glossario di forense NTFS

Un riferimento conciso ai termini di NTFS, journal USN e forense Windows che compaiono negli articoli del sito.

Vocabolario di lavoro per leggere i nostri articoli e la letteratura DFIR più ampia. Definizioni brevi; segui i link per approfondire.

$Extend

Directory di metadati NTFS nascosta nella radice del volume. Contiene il journal ($UsnJrnl), la tabella di lookup dei reparse point ($Reparse) e qualche altra cosa.

$FILE_NAME

Attributo MFT che conserva uno dei nomi del file più una copia interna dei suoi timestamp. NTFS aggiorna questi meno spesso di $STANDARD_INFORMATION, ed è per questo che il confronto SI-vs-FN rileva il timestomping.

$J

Il flusso dati di $UsnJrnl che contiene i record reali del journal. Il flusso compagno $Max porta solo il dimensionamento.

$LogFile

Il log transazionale di NTFS, usato per il recupero dopo un crash. Conserva immagini prima/dopo delle scritture di metadati delle ultime migliaia di transazioni. Utile per il recupero di file appena eliminati e per cogliere scritture mancate dal journal.

$MFT

La Master File Table — l'indice di ogni file e directory sul volume. Ogni entry è (tipicamente) di 1024 byte e contiene attributi tra cui $STANDARD_INFORMATION, uno o più $FILE_NAME e i data run.

$STANDARD_INFORMATION

Attributo MFT che conserva i timestamp visibili all'utente e gli attributi di base. I valori che la maggior parte di strumenti e API leggono e scrivono — inclusi gli strumenti di timestomping.

$UsnJrnl

Il file di metadati NTFS in \$Extend\$UsnJrnl che possiede i flussi del journal.

Alternate Data Stream (ADS)

Un secondo (o N-esimo) flusso dati nominato su un file NTFS. $UsnJrnl:$J è uno; lo Zone.Identifier impostato dai browser sui download è un altro. Filtrare StreamChange nel journal USN porta in superficie l'attività ADS.

BasicInfoChange

Una flag di razionale USN emessa quando $STANDARD_INFORMATION viene aggiornato. Record BasicInfoChange | Close nudi — senza una scrittura precedente — sono un forte segnale di timestomping.

Bodyfile

Un formato testuale consumato da mactime (The Sleuth Kit) per output timeline. MFTECmd, parser USN e altri possono emettere righe bodyfile che si fondono in una timeline.

DataExtend / DataOverwrite

Flag di razionale USN per la crescita o sovrascrittura del flusso dati. Raffiche massive di DataOverwrite sono il segnale canonico del ransomware.

FILETIME

Un timestamp Windows: intero senza segno a 64 bit di tick da 100 nanosecondi dal 1601-01-01 UTC. Vedi il post FILETIME per le ricette di conversione.

FileReferenceNumber

Un numero di entry MFT combinato con un numero di sequenza, impacchettato in un valore a 64 bit. Tiene traccia di un file specifico attraverso la riutilizzo del MFT — stessa entry, sequenza diversa, significa entry riciclata.

fsutil usn

La CLI supportata da Microsoft per interrogare e gestire il journal USN: abilitare/disabilitare, interrogare la dimensione, dumpare record. Vedi la reference Microsoft Learn.

hreflang

Segnale HTML/HTTP che dice ai motori di ricerca quale traduzione di una pagina mostrare in quale locale. Distinto dall'attributo lang.

MITRE ATT&CK

Il framework comunitario che mappa i comportamenti avversari. Nel blog facciamo riferimento a tecniche come T1486 Data Encrypted for Impact e T1074 Data Staged.

RenameOldName / RenameNewName

Flag di razionale USN emesse in coppia a ogni rinomina — la metà «prima» nomina il vecchio percorso, la metà «dopo» nomina quello nuovo. Entrambi i record condividono lo stesso FileReferenceNumber.

Reparse point

Una struttura di metadati NTFS che redirige un percorso altrove — junction, link simbolici, mount point. Visibile nel journal via ReparsePointChange.

Ring buffer

Il modello di storage a dimensione fissa e ciclico del journal USN: quando il journal si riempie, i record più vecchi vengono sovrascritti. Le dimensioni di default vanno da ~10 MB su client a 1 GB+ su server.

TSK

The Sleuth Kit — la libreria open source e gli strumenti CLI di Brian Carrier (fls, icat, mmls…). Il toolkit libero di riferimento per il lavoro di basso livello sui filesystem.

USN

Update Sequence Number — l'offset per record dentro il journal. Il campo usn di ogni record è la sua posizione in byte; per questo il journal può essere indirizzato e cercato per USN.

Volume Shadow Copy (VSS)

Il meccanismo di snapshot integrato di Windows. Gli snapshot possono essere montati e parsati per versioni precedenti di file e metadati, inclusi stati anteriori del MFT.

WebAssembly

Un formato binario portatile che gira nei browser a velocità quasi nativa. Il modulo WASM di USN Parser pesa ~105 KB e parsa 720k record in ~1,4 s su un Macbook recente.