martes, 19 de mayo de 2015

CEIC 2015: File System Journaling

Saludos bugbu5t3r5 ! 


Nos encontramos en Las Vegas en el CEIC 2015 el día de hoy estamos en una sesión dada por David Cowen el tema que se está tratando en vivo es el usnjrnl, se describió el usnjrnl como un ADS que registra todos los cambios y modificaciones de todo lo que sucede en nuestro sistema desde ejecutar una aplicación hasta abrir un archivo de office de lo mencionado por David resalta que :

- el usnjrnl está disponible en volume shadow copies y cuando usas la api vss admón se esconden algunos valores como sistemas de archivos para poder ver todo es necesario utilizar una vista no nativa. 

- Usn journals son spare files

-Ssd no afecta el usnjrnl ni logfiles 

-Cada vez que se abre un archivo de office una entrada es generada una entrada en usnjrnl sin importar la fuente del archivo siempre y cuando se genere un archivo temporal para abrirlo.

-Usnjrnl disponibles también disponibles en discos externos y hay tan pocos cambios que los registros duran por mucho tiempo.

-Para quemado de cds logfile nos puede dar cada uno de los archivos que fueron quemados y cuando. 

- usnjrnl nos puede contar toda la historia para descargas y  cargas de dropbox , en este caso dropbox para descargas dropbox  generará un archivo temporal que al terminar la descarga y cambiara el nombre. 

- toda la información puede ser extraída también de teléfonos ya que Windows phone mantiene la misma estructura del sistema de archivos.

- se viene un Enscript para EnCase para realizar análisis de usnjrnl


With the man... David Cowen