Eng Tha
 
 
NTFS Journal Viewer
 
Introduction NTFS Journal Viewer (JV) เป็นเครื่องมือที่ช่วยในการดึงข้อมูล และวิเคราะห์ log $UsnJrnl:$J ซึ่งมีขนาดใหญ่ โดยใช้เวลาไม่นานนอกจากนี้โปรแกรมยังสามารถกรองข้อมูล (filter) หรือค้นหา (Search) ข้อความที่สนใจได้ และผู้ใช้สามารถบันทึกเป็นไฟล์นามสกุล .CSV สำหรับเครื่องมือที่ช่วยในการดึงข้อมูล หรือ ExtractUsnJrnl.exe นี้ ถูกคิดค้นโดย Joakim Schicht (https://github.com/jschicht).
$UsnJrnl
The NTFS change journal ($UsnJrnl) is an operating system file that records when changes are made to files and directories. The change journal is located at $Extend\$UsnJrnl. The journal contains two alternate data streams as detailed below:
  • $UsnJrnl:$J - Contains the actual journal entries
  • $UsnJrnl:$MAX - contains metadata about the $UsnJrnl

The contents of the $UsnJrnl file can help forensic investigators identify what activity has occurred to files of relevance to the investigation.
    The $UsnJrnl:$J contains useful information as detailed below:
  • File/directory name
  • File/directory attributes
  • USN Reason
  • Time of activity
  • USN reference number
  • MFT reference number
  • MFT parent reference number
  • Security ID
  • Source info

License
This program is released as freeware. You are allowed to freely distribute this program via any method, as long as you don't charge anything for this. If you distribute this program, you must include all files in the distribution package, without any modification!
Icons by Everaldo Coelho from the Crystal project are used; these are released under the LGPL license.

Disclaimer
The software is provided "AS IS" without any warranty, either expressed or implied, including, but not limited to, the implied warranties of merchantability and fitness for a particular purpose. The author will not be liable for any special, incidental, consequential or indirect damages due to loss of data or any other reason.


Feedback

If you have any feedback please email us at forensictools@orionforensics.com


NTFS Journal Viewer v1.0.2
mirror
 
 
 
บริษัท โอไร้อัน อินเว็สทิเกชั่น จำกัด
ห้อง 1601, 2001-2002, 2501 ชั้น 16, 20, 25 อาคารบางกอกบิสิเนส เซ็นเตอร์
29 สุขุมวิท 63 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110 ประเทศไทย
โทร : +66-2-7143801 ถึง 3 แฟ็กซ์ : +66 (0) 2 714 3804
อีเมล : hi-tech@orioninv.co.th หรือ forensics@orionforensics.com
A Member Of