首先使用fsutil命令检测NTFS流,通过dir /R和fsutil usn readjournal查看备用数据流及文件变更记录,再导出USN日志分析异常操作,最后提取可疑数据流进行排查。
如果您怀疑文件被隐藏或系统存在异常行为,可能与NTFS流有关,因为NTFS文件系统支持在单个文件中存储多个数据流,而常规方式无法察觉。以下是查看和处理NTFS日志及相关信息的步骤:
本文运行环境:Dell Inspiron 15,Windows 8.1
一、使用命令提示符检测NTFS流
通过fsutil命令可以列出文件或目录中存在的所有NTFS备用数据流,这是发现隐藏数据的关键方法。
1、按下 Win + R 组合键打开“运行”窗口。
2、输入 cmd 并按回车,以管理员身份运行命令提示符。
3、在命令行中输入以下命令并替换路径为目标文件夹或文件:
fsutil usn readjournal C:
4、查看返回的USN(更新序列号)日志条目,这些条目记录了卷上所有文件和目录的更改操作。
二、导出并分析USN日志内容
USN日志包含详细的文件系统变更记录,导出后可进行离线分析,便于排查异常修改行为。
1、在管理员命令提示符中执行以下命令将日志输出到文本文件:
fsutil usn readjournal C: > C:\usn_log.txt
2、等待命令执行完成,期间系统会读取整个卷的变更记录。
3、打开C盘根目录下的 usn_log.txt 文件,使用文本编辑器查看具体内容。
4、搜索关键字如“FILE_DELETE”、“DATA_EXTEND”或可疑文件名,定位潜在问题操作。
三、检查特定文件的备用数据流
某些恶意程序会利用备用数据流隐藏自身,检查关键文件是否存在附加流是安全排查的重要环节。
1、在命令提示符中输入以下命令检查指定文件:
dir /R C:\example.txt
2、观察输出结果中是否列出类似“example.txt:stream_name:$DATA”的条目。
3、若发现未知流,可使用以下命令将其内容重定向到新文件进行分析:
more C:\extracted_data.bin
