前言:
上周小知给大家分享了一般常见的日志的分析方法,有读者私信小知说还有一类日志呢
说之前工作中遇到要分析NTFS文件系统的日志。可能很多人都不知道NTFS文件系统也可以进行日志分析,今天就给大家介绍一下。
NTFS是一个日志型文件系统,当用户向磁盘中写入或修改数据时,文件系统会把发生的改变记录并保留到日志文件中。因此,从日志中我们至少可以获取以下信息:
•创建、修改、重命名以及移动文件和目录的操作;
•已删除/擦除文件的存留痕迹;
•通过预读取文件和快捷方式的历史记录来发现程序执行和打开文档时间。
NTFS有两个日志文件
$LogFile:记录NTFS卷中发生的所有操作,记录数据较少,最多32000条。
$UsnJrnl:更新序列号(USN)日志文件,Vista系统后默认启用,也包含有关发生在NTFS卷上的操作的大量历史信息。
$UsnJrnl文件位于/$extend/目录下,包括两个流:
•$ Max:存储更改日志的元数据。
•$ J:存储实际的更改日志记录。(解析日志时需要提取的是这个文件)
•如果是全天候使用(24小时/天),可记录1到2天的日志。
•如果是常规使用(每天8小时),可记录4到5天的日志。
•不像$LogFile,旧记录不会被覆盖。而是删除进入未分配空间,因此在未分配空间可能找到旧的日志记录。
所以今天的重点来了,我们要介绍一款免费、简单、小巧、强大且易用的NTFS日志文件分析工具—NTFS Log Tracker
1.选择$LogFile文件;
2.选择$UsnJrnl文件夹下的$j文件;
3.选择导出的未分配簇文件所在的文件夹(可不添加路径,但提取的数据量将少很多)
4.选择$MFT文件;(可不添加路径,但无法获取文件的完整路径)
5.解析。
马上弹出这个窗口,软件解析出来的数据将写入本地的SQLite数据库。
上面文本框输入要生成的文件名,下面选择保存路径。最后还可以调整时区设置。
解析完成后效果如下图:
结果输出在$LogFile和$UsnJrnl:$j两个选项卡中,从中可以看到文件变动的详细情况大家可以对比下两个文件在描述文件变化的方式上有什么不同?
如果要对结果进行检索,可以点开上方的Search按钮,在窗口中设置搜索条件(下图)
搜索结果将分别展现在$LogFile(Search Result)和$UsnJrnl:$j(Search Result)选项卡中。
还记得前面我们提到过加载时可以不选择未分配簇文件,但是提取的数据量相差比较多,差多少?实验对比数据来说话!
大家看,结果已经一目了然了。
很多取证软件或工具也支持NTFS日志解析,但支持从未分配簇恢复的寥寥无几。
来源:取证知道
本文始发于微信公众号(电子物证):【日志分析方法】看这里!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论