windows server 查看 删除事件_渗透技巧——Windows下NTFS文件的USN Journal

最新推荐文章于 2022-06-20 00:46:17 发布
最新推荐文章于 2022-06-20 00:46:17 发布
阅读量1.2k 收藏 1
点赞数
文章标签: windows server 查看 删除事件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27015375/article/details/113630504
版权

819a36a9139bcbeaaee5577177f5830e.gif

4118f8f92ee8f46a63a057b6776b8909.png0x00 前言

在上篇文章《渗透技巧——Windows下NTFS文件的时间属性》介绍了修改NTFS文件时间属性的方法和细节,以及取证上的建议。 本文将要继续研究NTFS文件另一处记录文件修改时间的位置——USN Journal,同样是分析利用思路,给出取证上的建议。

4118f8f92ee8f46a63a057b6776b8909.png0x01 简介

本文将要介绍以下内容:

· 基本概念

· 读取USN Journal的方法

· 利用思路

· 取证建议

4118f8f92ee8f46a63a057b6776b8909.png0x02 USN Journal的基本概念

官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742450(v=technet.10)

USN Journal (Update Sequence Number Journal),也称作Change Journal,用来记录NTFS volume中文件修改的信息,能够提高搜索文件的效率。

每个NTFS volume对应一个USN Journal,存储在NTFS metafile的$Extend\$UsnJrnl中,

最低0.47元/天 解锁文章
柳行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
获取USN日志基本信息
08-07
关于获取USN基本日志信息的C++ code block 上运行,因为是自己参照网上VC版本改编的可能会有些许疏漏。
C#制作的windows系统文件快速搜索工具,读取USN,易用性与速度都已优化的很好。程序为免安装的exe文件
07-17
原理是读取ntfsUSN文件日志,然后内建索引加速文件搜索过程。 1、列表文件支持批量处理(删除、复制、复制文件名路径、打开、重命名),或者引用系统菜单。 2、支持拼音首字母缩写搜索,指定文件夹内搜索,多...
Windows USN Journal Parsing
weixin_30258027的博客
11-16 136
What is "USN Journal"? It is "Update Sequence Number Journal". It records changes in the NTFS volume. The scenario is about Bomb threat. I use X-Ways Forensics to parse USN Journal and the screenshot ...
NTFS Change JournalUSN Journal)详解
于大大大洋
07-18 1万+
写在前面最近又用了一下usn日志来获取所有文件列表,在分多次加载文件列表的时候发现有文件丢失的情况,后来发现一篇文章比较详细的讲了usn。用cmd来读取usn日志如图: 以下是转载内容:还是那个文件监控的应用,发现使用Windows API(ReadDirectoryChangesW)还是不能满足要求,如果变化量大又密集时,丢失通知现象很严重。好在需要监控的大部分的Windows用户都转到NTFS
NTFS -usnjournal监控
weixin_43763292的博客
06-02 1942
usnjournal 监控
如何在 Windows XP 的事件查看器中查看和管理事件日志
积分我的进步
06-01 1176
事件查看器 在 Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助您预测潜在的系统问题。 事件日志类型 基于 Windows XP 的计算机将事件记录在以下三种日志中: 应用程序日志 应用程序日志包含由程序
usn30470_卫星导航文件_
09-29
"usn30470_卫星导航文件_"这个标题表明这是一个与卫星导航相关的数据文件,可能包含了卫星定位、轨道信息、时间同步等关键数据。描述中的“可用于卫星定位等”进一步确认了该文件的应用场景。 卫星导航系统的核心是...
Usn__Use.rar_USN
09-19
Windows NTFS文件系统中,每当文件有变动,如创建、修改、删除等,USN日志都会更新一条记录。 描述提到“使用WriteFile块读写数据”,这指的是在编程时使用Windows API中的`WriteFile`函数进行文件操作。`...
spss.9.rar_GOP _GPS_USN_page
09-24
your document look professionally produced, Word provides header, footer, cover page, and text box designs that complement each other.and thisis
用C++实现的基于NTFS下MFT和USN-Journal检索与类正则表达式-NFA-DFA字符串匹配的本地文件查找系统.zip
最新发布
06-05
C++是一种面向对象的计算机程序设计语言,由美国AT&T贝尔实验室的本贾尼·斯特劳斯特卢普博士在20世纪80年代初期发明并实现(最初这种语言被称作“C with Classes”带类的C)。它是一种静态数据类型检查的、支持多重...
人工智能-项目实践-信息检索-用C++实现的基于NTFS下MFT和USN-Journal检索与类正则表达式-NFA-DFA字符串
03-01
USN Journal(更新序列号日志)是NTFS文件系统用来跟踪文件系统变化的日志,记录了文件的创建、删除、修改等操作。利用USN Journal,程序可以实时监控文件系统的变动,确保搜索结果的实时性和准确性。 类正则表达式...
NTFS中文说明,白皮书 windows
07-06
NTFS(New Technology File System)是Microsoft Windows操作系统中的一种高级文件系统,自Windows NT时代起就开始使用,并在后续的Windows 2000、Windows XP等版本中得到了广泛的普及和增强。相较于传统的FAT(File...
usb.rar_USN字节_usb总线通信
09-22
从USB总线读取延时参数,单片机延时发送内存缓冲区的一个字节数据到USB总线,每传送一个字节数据查询USB总线是否有停止USB总线通信命令,如有停止USB总线通信命令,则重新开始检查串口握手信号,开始下一次USB总线...
读取USN,建立索引优化后的全盘快速搜索工具
09-02
原理是读取USN文件日志,然后内建索引加快文件搜索速度。 1、列表文件支持批量处理(删除、复制、复制文件名路径、打开、重命名),或者引用系统菜单。 2、支持拼音首字母缩写搜索,指定文件夹内搜索,多关键词搜索...
NTFS文件系统功能简介.pdf
07-11
NTFSWindows NT 以及之后的 Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista 和 Windows 7 的标准文件系统。NTFS 取代了文件分配表(FAT)文件系统,为 Microsoft 的 ...
查看win2003中文件删除记录
Robert's Log
03-31 728
所能达到的目的:在系统日件查看器的安全性中记录所有删除文件的用户的记录。NTFS卷中审核了文件删除记录。1 开启登陆审核   用administrators组的用户身份登陆到桌面,点击开始菜单中的运行命令,输入gpedit.msc,打开组策略编辑器,在计算机配置-安全设置-本地策略-审核策略中的审核帐户登陆事件,双击出现的对话框中钩选成功和失败,即打开了审核用户登陆成功和失败的事件。2记录NTF
NTFS关闭日志
热门推荐
cgm88s的专栏
06-02 1万+
关闭NTFS日志功能: 在cmd中运行 fsutil: fsutil usn createjournal m=1000 a=100 c:  //创建日志 fsutil usn deletejournal /d c:  //删除日志 fsutil usn enumdata 1 0 1 c: //枚举日志项 fsutil usn queryjournal c: //读取一个卷的USN日志
利用windows UsnJournal实现文件搜索时遇到的问题
gigggg的博客
09-10 736
我的目的是通过windows UsnJournal的特性实现NTFS格式本地磁盘的文件快速搜索。在获取全盘文件信息时,如果每次都遍历MFT,则会消耗几秒的时间和较大的系统资源。所以应该在第一次遍历MFT后,根据UsnJournal中的记录来更新全盘文件信息。但是当我遍历完MFT并将其数据存储后,在处理UsnJournal记录时发现对于某些删除行为(reason为USN_REASON_DELETE)对应的文件并没有出现在之前建立的数据库中,显然删除一个不存在的文件是错误的,网上搜了一下发现没人提出过这样的蠢问
NTFS - 使用手册
weixin_43763292的博客
06-20 1294
快速搜索
探索Everything背后的技术1
08-04
阅读NTFS下的USN日志文件,深入了解桌面搜索原理,以及利用Windows开发网络的资源,可以揭秘Everything背后的技术。 在使用Everything进行文件搜索时,其快速的搜索速度离不开对NTFS文件系统的深入研究。通过阅读...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值