Blog
Artigos sobre forense de NTFS, análise do journal USN e resposta a incidentes.
Detectar exfiltração de dados e cópias para USB com o journal USN
2026-05-15
Cópias em massa, drops em USB e directórios de staging deixam todos uma forma reconhecível em $UsnJrnl:$J. Os padrões a filtrar, com exemplos trabalhados.
Detectar actividade de ransomware no journal USN
2026-05-15
Mesmo quando o binário já desapareceu, o ransomware deixa uma impressão muito característica em $UsnJrnl:$J. Uma visão geral dos padrões a procurar, com as combinações de códigos de razão correspondentes.
Detectar timestomping e antiforense no journal USN
2026-05-15
Atacantes que editam timestamps do MFT não se conseguem esconder do change journal. Como as discrepâncias entre $STANDARD_INFORMATION e $FILE_NAME e registos BasicInfoChange inesperados expõem actividade antiforense.
Como extrair $UsnJrnl:$J de uma imagem de disco (ou de um sistema activo)
2026-05-15
Guia prático para retirar o journal USN do NTFS de uma imagem forense, de um volume montado ou de um host Windows activo — com FTK Imager, X-Ways, The Sleuth Kit, fsutil e PowerShell.
Reconstruir uma timeline de actividade do utilizador a partir do journal USN
2026-05-15
A partir de três minutos de registos do $UsnJrnl, é normalmente possível reconstruir o que um utilizador estava a fazer — Office, browser, downloads, código. Como ler o journal como um log de comportamento.
Recuperar evidências de ficheiros eliminados com o journal USN
2026-05-15
Quando um ficheiro foi eliminado, já saiu da reciclagem e a entrada MFT foi reciclada, o journal USN frequentemente ainda guarda o nome, o pai e a cronologia. Um guia para extrair essa evidência.
Journal USN vs $MFT vs $LogFile: qual artefacto NTFS para qual pergunta?
2026-05-15
Referência comparativa dos três artefactos de metadados NTFS que toda investigação forense de Windows acaba por tocar — o que cada um regista, o que não regista, e quando recorrer a qual.
Parse do journal USN no navegador com Rust + WebAssembly
2026-05-14
Como entregamos um parser completo de journal USN do NTFS ao seu navegador na forma de 105 KB de WebAssembly — e por que «parse no cliente» é a única resposta aceitável para artefactos forenses.
Windows FILETIME explicado — converter timestamps NTFS para algo legível
2026-05-13
FILETIME é o formato de timestamp do Windows que vai encontrar em $MFT, $UsnJrnl, registo, $Recycle.Bin e em quase todos os artefactos Windows. Uma referência curta e completa: o que é, como converter, e as armadilhas.
Códigos de razão USN — ler nas entrelinhas dos bits
2026-05-12
Passeio campo a campo pela bitmask Reason dos registos USN_RECORD e o que cada combinação revela sobre o ciclo de vida de um ficheiro em disco.
Compreender o journal USN do NTFS ($UsnJrnl:$J)
2026-05-10
Introdução prática ao journal Update Sequence Number do NTFS: o que é, como está estruturado em disco e por que é tão valioso na forense de Windows.