NTFS の USN ジャーナルとは?
USN (Update Sequence Number) ジャーナルは、NTFS がボリューム上のファイル作成、削除、名前変更、メタデータ変更ごとに維持する変更履歴です。代替データストリーム \$Extend\$UsnJrnl:$J に格納されており、Windows フォレンジックにおけるタイムライン証拠の最も豊富な情報源の一つです。
Windows NTFS の USN ジャーナル ($UsnJrnl:$J) をブラウザ内で完全に解析。ファイルは端末から外に出ません。
USN (Update Sequence Number) ジャーナルは、NTFS がボリューム上のファイル作成、削除、名前変更、メタデータ変更ごとに維持する変更履歴です。代替データストリーム \$Extend\$UsnJrnl:$J に格納されており、Windows フォレンジックにおけるタイムライン証拠の最も豊富な情報源の一つです。
インシデント対応、侵入タイムラインの再構築、ランサムウェア解析、内部不正調査など、ファイルが削除された後でもファイル活動の履歴が必要なあらゆる場面で活用できます。
ジャーナルファイルにはボリューム上のあらゆる操作の痕跡が記録されており、本質的に機微な情報です。本ツールは WebAssembly 製のパーサを直接お使いの端末に配信します。ファイルは当方のサーバには到達せず、ログに残るものはありません。