Туннелирование NTFS: поиск USN Record в незанятой области

В сфере искусственного интеллекта произошло заметное событие. UserGate 21 минуту назад Туннелирование NTFS: поиск USN Record в незанятой области 11 мин 568 Блог компании UserGate Информационная безопасность * Аналитика Привет, Хабр! В одной из предыдущих статей мы рассказывали о туннелировании файловой системы NTFS и затронули тему карвинга. В этой статье — на примере из предыдущей — разберем, как можно осуществить поиск удаленных записей USN-журнала в незанятой области.

Давайте вспомним следующую историю из прошлого материала: мы подменили содержимое файла 5ac761dd7e05df02eef0f0d7562f45c2. png, записав в него другое изображение и при этом сохранив все временные метки в $MFT. Использовали нестандартную технику совместно с туннелированием.

Технические детали

Операция для туннеля — переименование файла: file → new_file → file. Также определились, что основными Reason для таких событий будут RENAME_NEW_NAME и RENAME_OLD_NAME. Теперь посмотрим записи USN-журнала для этого события.

Фрагмент USN-записей, связанных с туннелемНа рисунке 1 можно увидеть, что время событий переименования меньше секунды. Файл переименовывается в 5ac761dd7e05df02eef0f0d7562f45c21. Обратите внимание на следующее:· зеленым цветом выделено MFT Entry;· желтым — Sequence Number;· красным цветом — Parent Entry Number и Parent Sequence Number.

Теперь посмотрим на файл 5ac761dd7e05df02eef0f0d7562f45c2. Файл «5ac761dd7e05df02eef0f0d7562f45c2. png» после подмены содержимогоСравните рисунки 1 и 2.

Отраслевые последствия

Как видим, MFT Entry, Sequence Number, Parent Entry Number и Parent Sequence Number не изменились после подмены содержимого. А теперь на рисунке 3 посмотрим на временные метки, которые сохранили свои значения (время события подмены содержимого — 2025-11-01 14:31:30). Напомню, что MFTECmd (Eric Zimmerman's tools) выводит результат следующим образом: если временные метки $SI и $FN совпадают, то в полях для 0x30 ($FN) значения будут пусты.

Файл «5ac761dd7e05df02eef0f0d7562f45c2. png» и временные меткиА теперь напомню, что в USN Journal (Change Journal) записи по умолчанию могут храниться неделями или месяцами для низко нагруженных систем и от нескольких часов до 2 дней для высоко нагруженных. И без этих записей вы можете увидеть картину, как на рисунке 3, и сделать неправильные выводы в отношении файла.

Наша задача — сделать все возможное для построения всестороннего и объективного анализа. Одним из кирпичиков будет карвинг незанятой области. Получить неразмеченную область в виде файла можно с образа диска либо с его клона — или же непосредственно с самого носителя информации.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.