NTFS フォレンジック用語集

本サイトの記事で登場する NTFS、USN ジャーナル、Windows フォレンジック用語の簡潔なリファレンス。

本サイトの 記事 と、より広い DFIR の文献を読むための作業用語彙。定義は短めにし、深掘りはリンクをたどってください。

$Extend

ボリューム ルートにある隠し NTFS メタデータ ディレクトリ。ジャーナル ($UsnJrnl)、リパース ポイントのルックアップ ($Reparse) 等を含みます。

$FILE_NAME

ファイル名の一つと、内部用のタイムスタンプ コピーを保持する MFT 属性。NTFS は $STANDARD_INFORMATION よりも更新頻度が低く、これが SI と FN の比較 で timestomping を検知できる理由です。

$J

ジャーナルの実レコードを保持する $UsnJrnl のデータ ストリーム。同伴の $Max はサイズ メタデータのみ。

$LogFile

NTFS のトランザクション ログ。クラッシュ リカバリに使用され、直近数千トランザクションのメタデータ書き込みの「前後」イメージを保持します。ごく直近の削除ファイル復元や、ジャーナルが見逃した書き込みを拾うのに有用です。

$MFT

マスター ファイル テーブル — ボリューム上のすべてのファイル/ディレクトリのインデックス。各エントリは典型的に 1024 バイトで、$STANDARD_INFORMATION、1 つ以上の $FILE_NAME、データ ランなどの属性を保持します。

$STANDARD_INFORMATION

ユーザに見えるタイムスタンプと基本属性を保持する MFT 属性。多くのツールや API が読み書きする値 — timestomping ツールが対象にする値でもあります。

$UsnJrnl

ジャーナル ストリームを所有する、\$Extend\$UsnJrnl にある NTFS メタデータ ファイル。

代替データ ストリーム (ADS)

NTFS ファイル上の二つ目 (あるいは N 番目) の名前付きデータ ストリーム。$UsnJrnl:$J もその一つで、ブラウザのダウンロードに付く Zone.Identifier も別の一つ。USN ジャーナルで StreamChange を絞り込めば ADS のアクティビティが浮かびます。

BasicInfoChange

$STANDARD_INFORMATION が更新された際に出る USN reason フラグ。先行する書き込みのない裸の BasicInfoChange | Close レコードは、timestomping の強い兆候 です。

Bodyfile

mactime (The Sleuth Kit) がタイムライン出力に消費するテキスト形式。MFTECmd、各種 USN パーサなどが bodyfile 行を出力でき、まとめて一つのタイムラインに統合できます。

DataExtend / DataOverwrite

データ ストリームの拡張・上書きを示す USN reason フラグ。DataOverwrite の大量バーストは ランサムウェアの典型的シグナル

FILETIME

Windows のタイムスタンプ: 1601-01-01 UTC からの 100 ナノ秒単位のティック数を持つ 64 ビット符号なし整数。変換の実装例は FILETIME 記事 を参照。

FileReferenceNumber

MFT エントリ番号とシーケンス番号を 64 ビットにパックした値。MFT 再利用を跨いで特定のファイルを追跡します — エントリは同じでシーケンスが違えば、エントリが再利用された印。

fsutil usn

Microsoft 公式の USN ジャーナル管理 CLI: 有効化/無効化、サイズ問い合わせ、レコード ダンプ等。Microsoft Learn のリファレンス を参照。

hreflang

検索エンジンに対し、どのロケールでどの翻訳ページを露出するかを伝える HTML/HTTP シグナル。lang 属性とは別物です。

MITRE ATT&CK

攻撃者の挙動を体系化するコミュニティ フレームワーク。本ブログでは T1486 Data Encrypted for ImpactT1074 Data Staged などを参照しています。

RenameOldName / RenameNewName

リネームごとに対で出る USN reason フラグ — 「前」が旧パス、「後」が新パスを示します。両レコードは同一の FileReferenceNumber を共有します。

リパース ポイント

パスを別の場所へリダイレクトする NTFS のメタデータ構造 — ジャンクション、シンボリック リンク、マウント ポイント。ジャーナル上では ReparsePointChange として現れます。

リング バッファ

USN ジャーナルの固定サイズ・巻き戻し型のストレージ モデル: 満杯になると古いレコードが上書きされます。既定サイズはクライアントの ~10MB からサーバの 1GB+ まで。

TSK

The Sleuth Kit — Brian Carrier によるオープンソースのフォレンジック ライブラリと CLI ツール群 (flsicatmmls など)。低レイヤのファイル システム作業における自由ソフトの基準。

USN

Update Sequence Number — ジャーナル内のレコード単位のオフセット。各レコードの usn フィールドはバイト位置であり、これによってジャーナルを USN でアドレッシング・シークできます。

ボリューム シャドウ コピー (VSS)

Windows 標準のスナップショット機構。スナップショットをマウントしてパースすれば、ファイルやメタデータ、MFT の過去の状態を取り出せます。

WebAssembly

ブラウザでネイティブ近い速度で動く可搬の命令バイナリ形式。USN Parser の WASM モジュールは ~105KB で、最近の Macbook では 720,000 レコードを ~1.4 秒でパースします。