NTFSボリューム F: 上でデフラグを実行した場合に、$LogFile に記録される内容を確認してみます。 サンプルの画像ファイル crocodile.jpg のメタ情報を確認します。クラスタ番号 34848 からデータが配置されています。 $STANDARD_INFORMATION Attribute Valu…

NTFS には $LogFile があります。$LogFile を調べることで、ファイルシステム上で何か変化したかをより詳細に調べる事が可能です。 テストファイルの作成 Windows 10 環境上で VHD ディスクを作成し、USN ジャーナルを有効にします。 C:\Windows\system32>fs…

fsutil コマンドの「enablerangetracking」オプションを確認してみます。テスト環境は Windows 10 です。 この機能については、マイクロソフト社の下記URLで説明されています。 Tracking modified ranges of a file より引用 The NT File System (NTFS) team…

NTFS USN Jornal の確認用として、新規にVHDディスクを作成し、NTFSでフォーマットします。下記図ではF:ドライブが新規に作成したNTFSボリュームになります。 fsutil コマンドを利用し、ジャーナルの状態を確認します。F:ドライブに USN ジャーナルは設定さ…

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。 Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用 In addition, the compromised machines would share…

Security IDと$Secureの関係について確認します。[注意事項]一部は不完全なパース結果となっています。 最初にサンプルファイル（crocodile.jpg）のアクセス権を確認します。 ファイル crocodile.jpg のSecurity IDを確認します。Security ID 値は $STANDARD…