Security/Forensics
[Artifact] NTFS - $UsnJrnl - $J
bonggang
2019. 11. 14. 13:46
$J는 Sparse Area(0으로 채워진)가 속성의 앞 부분에 나온 후 가변 크기의 로그 레코드들이 연속적으로 나열되는 구조를 가졌다.
Sparse Area | R | R | R | R |
Contents | Offset | Size | |
Size of Record | 0x00 | 4 | |
Major Version | 0x04 | 2 | |
Minor Version | 0x06 | 2 | |
MFT Reference Number | 0x08 | 8 | |
Parent MFT Refernce Number | 0x10 | 8 | |
USN | 0x18 | 8 | Update Sequence Number |
TimeStamp(FILETIME) | 0x20 | 8 | 이벤트 발생 시간(UTC+0) |
Reason Flag | 0x28 | 4 | |
Source Information | 0x2C | 4 | |
Security ID | 0x30 | 4 | |
File Attributes | 0x34 | 4 | |
Size of Filename | 0x38 | 2 | |
Offset to Filename | 0x3A | 2 | |
Filename | 0x3C |
Reason Flag
0x01 | 기본 $Data 속성에 데이터 Overwrite |
0x02 | 기본 $Data 속성에 데이터 추가 |
0x04 | 기본 $Data 속성에 데이터 감소 |
0x10 | 이름 있는 $Data 속성에 데이터 Overwirte |
0x20 | 이름 있는 $Data 속성에 데이터 추가 |
0x40 | 이름 있는 $Data 속성에 데이터 감소 |
0x100 | 파일 혹은 디렉터리 생성 |
0x200 | 파일 혹은 디렉터리 삭제 |
0x400 | 파일 확장 속성 변경 |
0x800 | 접근 권한 변경 |
0x1000 | 객체명 변경시, 변경 전 이름 |
0x2000 | 객체명 변경시, 변경 후 이름 |
0x4000 | 인덱스 상태 변경 |
0x8000 | 파일 혹은 디렉터리 속성 변경 |
0x10000 | 하드 링크 생성 혹은 삭제 |
0x20000 | 압축 상태 변화 |
0x40000 | 암호화 상태 변화 |
0x80000 | 객체 ID 변경 |
0x100000 | Reparse 지점 값 변경 |
0x200000 | 이름 있는 $Data 속성 상태 변경 |
0x80000000 | 파일 혹은 디렉터리 닫힘 |
Source Information
0x00 | 사용자 발생 이벤트 |
0x01 | OS 발생 이벤트 |
File Attribute
0x01 | 읽기 전용 |
0x02 | 숨김 |
0x04 | 시스템 파일 |
0x10 | 디렉터리 |
0x20 | Archive 파일 |
0x40 | 디바이스 파일 |
0x80 | 일반 파일 |
0x100 | 임시 파일 |
0x200 | Sparse 파일 |
0x400 | Reparse 속성 소유 혹은 심볼릭 링크 파일 |
0x800 | 압축 |
0x1000 | offline storage로 이동 |
0x2000 | 인덱싱 X |
0x4000 | 암호화 |
0x8000 | |
0x10000 | 가상 파일 |
https://docs.microsoft.com/ko-kr/windows/win32/fileio/file-attribute-constants?redirectedfrom=MSDN