タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。

E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。

fsutil usn readjournal e: csv > output.csv

Autopsy で $SI と $FN 値を確認します。

次に、BulkFileChanger を利用し、タイムスタンプを変更します。今回は、2017年を1973年へ変更しています。

Autopsy で $SI と $FN を確認します。$SI のタイムスタンプが 1973年になっている事を確認できます。秒以下のタイムスタンプ精度については、完全には維持されていません。

USN Journal を確認します。Basic info change を USN 612 で確認できます。

fsutil usn readjournal e: csv > output2.csv

SetMACE

 SetMace ツールを利用してタイムスタンプを変更します。変更するタイムスタンプは $SI だけとしています。

SetMace64.exe e:\crocodile.jpg -z "2000:01:01:00:00:00:789:1234" -si

Autopsy で $SI と $FN を確認します。Last User Journal Update Sequence Numberは 704 のままです。

 USN Journal を確認します。

 HIDDEN COBRA

US-CERT から出ているアラート「HIDDEN COBRA – North Korean Trojan: Volgmer」には関連するマルウェアとして下記レポートが含まれていますます。  

https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF より引用

When the files are decompressed, Ins.dll is installed into "%system32%\appnettimgr.dll" as a service named "appnettimgr." appnettimgr is designed to modify its file created timestamp to match that of notepad.exe."  

 マルウェア実行後のUSN Journal は次のようになります。

参考URL：

www.us-cert.gov

www.hybrid-analysis.com

github.com

FileDate Changer v1.1 - Change the created/modified time of files

BulkFileChanger: Change date/time/attributes of multiple files