博客
关于 NTFS 取证、USN 日志分析和事件响应的文章。
用 USN 日志检测数据外泄与 U 盘拷贝
2026-05-15
大规模复制、U 盘投放和 staging 目录都会在 $UsnJrnl:$J 中留下可辨识的形状。要过滤的模式,附实战示例。
在 USN 日志中检测勒索软件活动
2026-05-15
即便二进制已消失,勒索软件依然会在 $UsnJrnl:$J 中留下非常独特的指纹。我们解读要查找的模式以及对应的 reason 代码组合。
在 USN 日志中识破 timestomping 与反取证
2026-05-15
改 MFT 时间戳的攻击者,藏不过 change journal。$STANDARD_INFORMATION 与 $FILE_NAME 的不一致,以及意外的 BasicInfoChange 记录,如何揭穿反取证行为。
如何从磁盘镜像 (或活动系统) 中提取 $UsnJrnl:$J
2026-05-15
实战指南:从取证镜像、已挂载卷或运行中的 Windows 主机里拿出 NTFS USN 日志 — 使用 FTK Imager、X-Ways、The Sleuth Kit、fsutil 与 PowerShell。
从 USN 日志还原用户活动时间线
2026-05-15
三分钟的 $UsnJrnl 记录,通常就够你还原用户在做什么 — Office、浏览器、下载、写代码。如何把日志当作一份行为日志来读。
用 USN 日志找回已删除文件的证据
2026-05-15
当一个文件已被删除、从回收站清空,且 MFT 表项已被回收 — USN 日志通常仍然记着它的名字、父级和时间线。如何把这些证据取出来。
USN 日志 vs $MFT vs $LogFile:对应哪个问题该用哪个 NTFS 痕迹?
2026-05-15
三个 NTFS 元数据痕迹的对照参考 — 每一次 Windows 取证调查最终都会触及它们。各自记录什么、不记录什么,以及何时取用哪个。
在浏览器中用 Rust + WebAssembly 解析 USN 日志
2026-05-14
我们如何把一个完整的 NTFS USN 日志解析器以 105 KB 的 WebAssembly 形式发送到你的浏览器,以及为何「在客户端解析」是对取证痕迹唯一可接受的答案。
Windows FILETIME 详解 — 把 NTFS 时间戳转成可读形式
2026-05-13
FILETIME 是你会在 $MFT、$UsnJrnl、注册表、$Recycle.Bin 以及几乎所有 Windows 痕迹中遇到的时间戳格式。简短而完整的参考:它是什么、如何换算、有哪些坑。
USN Reason 代码 — 在位之间阅读
2026-05-12
逐字段解读 USN_RECORD 的 reason 位掩码,以及每种组合所揭示的磁盘上文件的生命周期。
理解 NTFS 的 USN 日志 ($UsnJrnl:$J)
2026-05-10
NTFS Update Sequence Number 日志的实践入门 — 它是什么、在磁盘上如何组织、为何在 Windows 取证中如此宝贵。