ブログ
NTFS フォレンジック、USN ジャーナル解析、インシデント対応に関する記事。
USN ジャーナルでデータ持ち出しと USB コピーを検出する
2026-05-15
大量コピー、USB へのドロップ、ステージング ディレクトリは $UsnJrnl:$J に特徴的な形を残します。フィルタすべきパターンを、具体例とともに解説。
USN ジャーナルでランサムウェアの活動を検出する
2026-05-15
バイナリが消えていても、ランサムウェアは $UsnJrnl:$J に非常に特徴的な痕跡を残します。探すべきパターンと、対応する reason コードの組み合わせを解説します。
USN ジャーナルで Timestomping とアンチ フォレンジックを見抜く
2026-05-15
MFT タイムスタンプを編集する攻撃者でも、チェンジ ジャーナルからは隠れられません。$STANDARD_INFORMATION と $FILE_NAME の不一致や、想定外の BasicInfoChange レコードがアンチ フォレンジック活動を露呈させる仕組み。
ディスク イメージ (またはライブ システム) から $UsnJrnl:$J を抽出する方法
2026-05-15
NTFS の USN ジャーナルを、フォレンジック イメージ、マウント済みボリューム、稼働中の Windows ホストから取り出す実践ガイド — FTK Imager、X-Ways、The Sleuth Kit、fsutil、PowerShell を用いて。
USN ジャーナルからユーザ活動のタイムラインを再構成する
2026-05-15
$UsnJrnl のレコード 3 分ぶんあれば、ユーザが何をしていたか — Office、ブラウザ、ダウンロード、コード — をたいてい再構成できます。ジャーナルを行動ログとして読む方法。
USN ジャーナルで削除済みファイルの痕跡を取り戻す
2026-05-15
ファイルが削除され、ごみ箱からも消え、MFT エントリが再利用された後でも、USN ジャーナルには名前、親、時系列が残っていることが多いです。その痕跡の取り出し方。
USN ジャーナル vs $MFT vs $LogFile: どの NTFS アーティファクトがどの問いに答えるか
2026-05-15
Windows フォレンジック調査で必ず触れる三つの NTFS メタデータ アーティファクトの比較リファレンス — 何を記録し、何を記録しないか、どんなときにどれを取るか。
ブラウザで USN ジャーナルを Rust + WebAssembly で解析する
2026-05-14
105KB の WebAssembly としてブラウザに NTFS USN ジャーナルのフル パーサを届ける方法。そして「クライアント側で解析する」がフォレンジック痕跡にとって唯一受け入れ可能な答えである理由。
Windows FILETIME を理解する — NTFS タイムスタンプを人間が読める形に変換する
2026-05-13
FILETIME は $MFT、$UsnJrnl、レジストリ、$Recycle.Bin など、ほぼすべての Windows アーティファクトで遭遇するタイムスタンプ形式です。短く完結したリファレンス: 何か、どう変換するか、よくある落とし穴。
USN の Reason コード — ビットの裏を読む
2026-05-12
USN_RECORD の reason ビットマスクをフィールドごとに見ていき、各組み合わせがディスク上のファイルのライフサイクルについて何を語るのかを解説する。
NTFS の USN ジャーナル ($UsnJrnl:$J) を理解する
2026-05-10
NTFS の Update Sequence Number ジャーナルへの実践的な入門。何であるか、ディスク上でどう構造化されているか、Windows フォレンジックにおいてなぜこれほど価値があるのか。