Glossário de forense NTFS

Uma referência concisa dos termos de NTFS, journal USN e forense Windows que aparecem nos artigos do site.

Vocabulário de trabalho para ler nossos artigos e a literatura DFIR em geral. Definições curtas; siga os links para mais profundidade.

$Extend

Diretório de metadados NTFS oculto na raiz do volume. Contém o journal ($UsnJrnl), a tabela de lookup de reparse points ($Reparse) e alguns outros.

$FILE_NAME

Atributo MFT que guarda um dos nomes do arquivo mais uma cópia interna de seus timestamps. O NTFS atualiza esses menos vezes que $STANDARD_INFORMATION, e é por isso que a comparação SI vs FN detecta timestomping.

$J

O fluxo de dados de $UsnJrnl que guarda os registros reais do journal. O fluxo companheiro $Max carrega apenas o dimensionamento.

$LogFile

O log transacional do NTFS, usado para recuperação após crash. Mantém imagens antes/depois das gravações de metadados das últimas milhares de transações. Útil para recuperação de arquivos recém-excluídos e para flagrar gravações que o journal perdeu.

$MFT

A Master File Table — o índice de cada arquivo e diretório do volume. Cada entry tem (tipicamente) 1024 bytes e contém atributos incluindo $STANDARD_INFORMATION, um ou mais $FILE_NAME e os data runs.

$STANDARD_INFORMATION

Atributo MFT que guarda os timestamps visíveis ao usuário e os atributos básicos. Os valores que a maioria das ferramentas e APIs lê e escreve — incluindo ferramentas de timestomping.

$UsnJrnl

O arquivo de metadados NTFS em \$Extend\$UsnJrnl que possui os fluxos do journal.

Alternate Data Stream (ADS)

Um segundo (ou N-ésimo) fluxo de dados nomeado em um arquivo NTFS. $UsnJrnl:$J é um; o Zone.Identifier posto por navegadores em downloads é outro. Filtrar StreamChange no journal USN traz à tona a atividade ADS.

BasicInfoChange

Uma flag de razão USN emitida quando $STANDARD_INFORMATION é atualizado. Registros BasicInfoChange | Close nus — sem gravação anterior — são um forte sinal de timestomping.

Bodyfile

Um formato de texto consumido pelo mactime (The Sleuth Kit) para saída em timeline. MFTECmd, parsers USN e outros podem emitir linhas bodyfile que se fundem em uma timeline.

DataExtend / DataOverwrite

Flags de razão USN para o fluxo de dados crescendo ou sendo sobrescrito. Rajadas em massa de DataOverwrite são o sinal canônico do ransomware.

FILETIME

Um timestamp Windows: inteiro sem sinal de 64 bits de ticks de 100 nanossegundos desde 1601-01-01 UTC. Veja o post FILETIME para receitas de conversão.

FileReferenceNumber

Um número de entry MFT combinado a um número de sequência, empacotado em um valor de 64 bits. Rastreia um arquivo específico através da reutilização do MFT — mesma entry, sequência diferente, significa entry reciclada.

fsutil usn

A CLI suportada pela Microsoft para consultar e gerenciar o journal USN: habilitar/desabilitar, consultar tamanho, dumpar registros. Veja a referência Microsoft Learn.

hreflang

Sinal HTML/HTTP que diz aos motores de busca qual tradução de uma página servir em qual locale. Distinto do atributo lang.

MITRE ATT&CK

O framework comunitário que mapeia comportamentos adversários. Referenciamos no blog técnicas como T1486 Data Encrypted for Impact e T1074 Data Staged.

RenameOldName / RenameNewName

Flags de razão USN emitidas aos pares a cada renomeação — a metade «antes» nomeia o caminho antigo, a metade «depois» nomeia o novo. Ambos os registros compartilham o mesmo FileReferenceNumber.

Reparse point

Uma estrutura de metadados NTFS que redireciona um caminho para outro lugar — junctions, links simbólicos, pontos de montagem. Visível no journal via ReparsePointChange.

Ring buffer

O modelo de armazenamento de tamanho fixo e em ciclo do journal USN: quando o journal enche, os registros mais antigos são sobrescritos. Tamanhos padrão vão de ~10 MB em clientes a 1 GB+ em servidores.

TSK

The Sleuth Kit — a biblioteca e as ferramentas CLI open source de Brian Carrier (fls, icat, mmls…). O toolkit livre de referência para trabalho de baixo nível em filesystems.

USN

Update Sequence Number — o offset por registro dentro do journal. O campo usn de cada registro é a posição em bytes; é por isso também que o journal pode ser endereçado e seekado por USN.

Volume Shadow Copy (VSS)

O mecanismo de snapshot nativo do Windows. Snapshots podem ser montados e parseados para versões anteriores de arquivos e metadados, incluindo estados anteriores do MFT.

WebAssembly

Um formato binário portátil que roda nos navegadores em velocidade quase nativa. O módulo WASM do USN Parser tem ~105 KB e parseia 720k registros em ~1,4 s num Macbook recente.