Blog
Artigos sobre forense de NTFS, análise do journal USN e resposta a incidentes.
Detectar exfiltração de dados e cópias para USB com o journal USN
2026-05-15
Cópias em massa, drops em USB e diretórios de staging deixam um formato reconhecível em $UsnJrnl:$J. Os padrões a filtrar, com exemplos elaborados.
Detectando atividade de ransomware no journal USN
2026-05-15
Mesmo quando o binário sumiu, o ransomware deixa uma impressão muito característica em $UsnJrnl:$J. Visão geral dos padrões a procurar e das combinações de códigos de razão correspondentes.
Detectar timestomping e antiforense no journal USN
2026-05-15
Atacantes que editam timestamps do MFT não conseguem se esconder do change journal. Como as discrepâncias $STANDARD_INFORMATION vs $FILE_NAME e os BasicInfoChange inesperados expõem a atividade antiforense.
Como extrair $UsnJrnl:$J de uma imagem de disco (ou um sistema ativo)
2026-05-15
Guia prático para retirar o journal USN do NTFS de uma imagem forense, de um volume montado ou de um host Windows ativo — com FTK Imager, X-Ways, The Sleuth Kit, fsutil e PowerShell.
Reconstruir uma timeline de atividade do usuário a partir do journal USN
2026-05-15
A partir de três minutos de registros $UsnJrnl é geralmente possível reconstruir o que um usuário estava fazendo — Office, navegador, downloads, código. Como ler o journal como um log de comportamento.
Recuperar evidências de arquivos excluídos com o journal USN
2026-05-15
Quando um arquivo foi excluído, removido da lixeira e a entrada MFT reciclada — o journal USN frequentemente ainda guarda nome, pai e cronologia. Como extrair essas evidências.
Journal USN vs $MFT vs $LogFile: qual artefato NTFS para qual pergunta?
2026-05-15
Referência comparativa dos três artefatos de metadados NTFS que toda investigação forense de Windows acaba tocando — o que cada um registra, o que não registra, e quando recorrer a qual.
Parseando o journal USN no navegador com Rust + WebAssembly
2026-05-14
Como entregamos um parser completo de journal USN NTFS no seu navegador na forma de 105 KB de WebAssembly — e por que «parsear no cliente» é a única resposta aceitável para artefatos forenses.
Windows FILETIME explicado — convertendo timestamps NTFS em algo legível
2026-05-13
FILETIME é o formato de timestamp do Windows que você vai encontrar em $MFT, $UsnJrnl, registro, $Recycle.Bin e quase todo artefato Windows. Referência curta e completa: o que é, como converter, as armadilhas.
Códigos de razão USN — lendo entre os bits
2026-05-12
Tour campo a campo pela bitmask de razão dos registros USN_RECORD e o que cada combinação revela sobre o ciclo de vida de um arquivo em disco.
Entendendo o journal USN do NTFS ($UsnJrnl:$J)
2026-05-10
Introdução prática ao journal Update Sequence Number do NTFS — o que é, como é estruturado em disco e por que é tão valioso na forense de Windows.