ブログ
NTFS フォレンジック、USN ジャーナル解析、インシデント対応に関する記事。
USN ジャーナルでデータ流出と USB コピーを検出する
2026-05-15
大量のファイルコピー、USB への投下、ステージング用ディレクトリは、いずれも $UsnJrnl:$J に識別可能な形跡を残します。フィルタすべきパターンと実例を解説します。
USN ジャーナルでランサムウェアの活動を検出する
2026-05-15
バイナリが消えていても、ランサムウェアは $UsnJrnl:$J に非常に特徴的な痕跡を残します。探すべきパターンと、対応する reason コードの組み合わせを解説します。
USN ジャーナルで timestomping とアンチフォレンジックを見抜く
2026-05-15
MFT タイムスタンプを編集する攻撃者も、チェンジジャーナルからは隠れられません。$STANDARD_INFORMATION と $FILE_NAME の不一致、想定外の BasicInfoChange レコードがアンチフォレンジックな活動を露呈させる仕組みを解説します。
ディスクイメージ (またはライブシステム) から $UsnJrnl:$J を抽出する方法
2026-05-15
NTFS の USN ジャーナルを、フォレンジックイメージ、マウント済みボリューム、稼働中の Windows ホストから取り出す実践ガイドです。FTK Imager、X-Ways、The Sleuth Kit、fsutil、PowerShell を使います。
USN ジャーナルからユーザの活動タイムラインを再構成する
2026-05-15
$UsnJrnl のレコードが 3 分間あれば、ユーザが何をしていたか — Office、ブラウザ、ダウンロード、コーディング — を通常は再構成できます。ジャーナルを行動ログとして読む方法を解説します。
USN ジャーナルで削除済みファイルの証拠を回復する
2026-05-15
ファイルが削除され、ゴミ箱から消え、MFT エントリが再利用された後でも、USN ジャーナルには名前、親、タイムラインがまだ残っていることがよくあります。その証拠を抽出するためのガイドです。
USN ジャーナル vs $MFT vs $LogFile: どの NTFS アーティファクトが、どの問いに答えるか
2026-05-15
Windows のフォレンジック調査で必ず触れる三つの NTFS メタデータアーティファクトを並列で比較したリファレンスです。それぞれが何を記録し、何を記録しないか、いつどれを選ぶかを解説します。
Rust + WebAssembly でブラウザ内で USN ジャーナルをパースする
2026-05-14
NTFS の USN ジャーナルパーサを 105 KB の WebAssembly としてブラウザに届ける方法、そして「クライアントサイドでパースする」がフォレンジック痕跡にとって唯一受け入れられる答えである理由を解説します。
Windows FILETIME を理解する — NTFS タイムスタンプを読める形式に変換する
2026-05-13
FILETIME は $MFT、$UsnJrnl、レジストリ、$Recycle.Bin、ほぼすべての Windows アーティファクトで出会う Windows のタイムスタンプ形式です。短くて完結したリファレンス: それが何か、どう変換するか、よくある落とし穴を解説します。
USN の Reason コード — ビットの裏を読む
2026-05-12
USN_RECORD の reason ビットマスクをフィールドごとにたどり、各組み合わせがディスク上でのファイルのライフサイクルについて何を語るかを解説します。
NTFS の USN ジャーナル ($UsnJrnl:$J) を理解する
2026-05-10
NTFS の Update Sequence Number ジャーナルへの実践的な入門です。何であるか、ディスク上でどのように構造化されているか、そして Windows フォレンジックでこれほど価値が高い理由を解説します。