USN Journal ( Update Sequence Number Journal ) ,也称作 Change Journal,用来记录 NTFS volume 中文件修改的信息,能够提高搜索文件的效率。
每个 NTFS volume 对应一个 USN Journal,存储在 NTFS metafile 的 $Extend$UsnJrnl 中,也就是说,不同的 NTFS volume 对应的 USN Journal 不同。
USN Journal 会记录文件和目录的创建、删除、修改、重命名和加解密操作。
X-Ways可解析$Extend:$UsnJrnl:$J,在磁盘快照中,选择解析文件元数据,包含有对$UsnJrnl:$J解析、预览功能。Winhex下能找到,无法预览,X-Ways可以直接预览。
实操:
-
D盘新建名为usntest的文件夹
-
进入该文件夹,新建word文档,重命名为1.doc,打开该word文档,输入“USN测试”
-
新建txt文档,重名为2.txt,打开该txt文档,输入“USN测试”
-
新建xls表格,重名为3.xls,打开该xls文档,输入“USN测试”
-
删除2.txt和3.xls
-
删除usntest目录
-
打开x-ways,添加存储设备-选择D盘,将D盘加载
-
依次打开$Extend:$UsnJrnl:$J,点击$J文件,选择预览标签,可以预览$J文件,里面包含了刚才的文件操作过程
