Security/Forensics

[Artifact] NTFS - $UsnJrnl - $J

bonggang 2019. 11. 14. 13:46

$JSparse Area(0으로 채워진)가 속성의 앞 부분에 나온 후 가변 크기의 로그 레코드들이 연속적으로 나열되는 구조를 가졌다.

 

Sparse Area R R R R

 

Contents Offset Size  
Size of Record 0x00 4  
Major Version 0x04 2  
Minor Version 0x06 2  
MFT Reference Number 0x08 8  
Parent MFT Refernce Number 0x10 8  
USN 0x18 8 Update Sequence Number
TimeStamp(FILETIME) 0x20 8 이벤트 발생 시간(UTC+0)
Reason Flag 0x28 4  
Source Information 0x2C 4  
Security ID 0x30 4  
File Attributes 0x34 4  
Size of Filename 0x38 2  
Offset to Filename 0x3A 2  
Filename 0x3C    

 

 

Reason Flag

 

0x01 기본 $Data 속성에 데이터 Overwrite
0x02 기본 $Data 속성에 데이터 추가
0x04 기본 $Data 속성에 데이터 감소
0x10 이름 있는 $Data 속성에 데이터 Overwirte
0x20 이름 있는 $Data 속성에 데이터 추가
0x40 이름 있는 $Data 속성에 데이터 감소
0x100 파일 혹은 디렉터리 생성
0x200 파일 혹은 디렉터리 삭제
0x400 파일 확장 속성 변경
0x800 접근 권한 변경
0x1000 객체명 변경시, 변경 전 이름
0x2000 객체명 변경시, 변경 후 이름
0x4000 인덱스 상태 변경
0x8000 파일 혹은 디렉터리 속성 변경
0x10000 하드 링크 생성 혹은 삭제
0x20000 압축 상태 변화
0x40000 암호화 상태 변화
0x80000 객체 ID 변경
0x100000 Reparse 지점 값 변경
0x200000 이름 있는 $Data 속성 상태 변경
0x80000000 파일 혹은 디렉터리 닫힘

 

 

Source Information

 

0x00 사용자 발생 이벤트
0x01 OS 발생 이벤트

 

File Attribute

 

0x01 읽기 전용
0x02 숨김
0x04 시스템 파일
0x10 디렉터리
0x20 Archive 파일
0x40 디바이스 파일
0x80 일반 파일
0x100 임시 파일
0x200 Sparse 파일
0x400 Reparse 속성 소유 혹은 심볼릭 링크 파일
0x800 압축
0x1000 offline storage로 이동
0x2000 인덱싱 X
0x4000 암호화
0x8000  
0x10000 가상 파일

 

https://docs.microsoft.com/ko-kr/windows/win32/fileio/file-attribute-constants?redirectedfrom=MSDN