USN Analytics と Folder
Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。
つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。
サンプルのフォルダ構造を、テスト用の NTFS ボリューム上に作成します。
E:\>mkdir folder1
E:\>cd folder1
E:\folder1>mkdir folder2
E:\folder1>copy c:\case\sample.jpg e:\folder1\folder2\
USN Analytics で $J をパースした結果は下記になります。Path のカラムでフォルダ構造を確認できます。
次に、Folder1 を削除し、新規にファイルを作成します。新規ファイルを作成した事により、Folder1 の FILE レコードが上書きされます。
E:\>rmdir /S /Q folder1
E:\>echo sample > zaki.txt
sample.jpg ファイルは $OrphanFiles 配下で確認できます。
USN Analytics の結果を確認します。Sample.jpg の Path から、Folder1 が過去に存在していた事を確認できます。
更にファイルを作成し、Folder2 と Sample.jpg の FILE レコードを上書きします。
E:\>echo sample2 > zaki2.txt
E:\>echo sample3 > zaki3.txt
$OrphanFiles 配下には痕跡が残っていません。
USN Analytics の結果を確認します。これまでの操作状況が分かります。
フォルダを作成し、USN Journal を削除します。
E:\>mkdir folder1
E:\>fsutil usn deletejournal /D E:
USN Journal を有効にし、フォルダとファイルを作成します。$J 内に、Folder1 を作成した記録はありません。
E:\>cd folder1
E:\folder1>mkdir folder2
E:\folder1>copy c:\case\sample.jpg folder2
E:\folder1>rmdir /S /Q folder2
USN Analytics の結果を確認します。Sample.jpg の Path は Folder2 から表示されています。Folder2 の Delete が無い?
-r オプション指定し、再度プログラムを実行します。Folder2 の削除を確認できました。
素晴らしい!!
参考URL;
http://www.jpcert.or.jp/present/2018/JSAC2018_03_yamazaki.pdf