Круглосуточный интернет-магазин ПО
E-mail для запросов: sale@migsoft.ru
сравнение 0
cart
добавлен в корзину ( лицензий)

Windows Journal Parser

Производитель: TZWorks LLC
Лицензия поставляется в электронном виде с бессрочным сроком использования. Для расчета стоймости просим обратиться к нам удобным для вас образом. Задать вопрос или запросить КП/счет можно по почте sale@migsoft.ru, в чате или по телефону 8(495)008-93-84
подробнее
0 р. р. / 1 шт.
Тип поставки: Электронная лицензия
Тип покупателя: Коммерческая организация
Срок лицензии: Бессрочная лицензия
Требуется счет или коммерческое предложение?
8 495 008 93 65 sale@migsoft.ru WhatsApp
Описание Windows Journal Parser

Windows Journal Parser - это инструмент командной строки, предназначенный для журналов изменений NTFS. Журнал изменений является компонентом NTFS, который при включении записывает изменения, внесенные в файлы.

Журнал изменений будет записывать среди прочего: (a) время изменения, (b) затронутый файл / каталог, (c) тип изменения (например, удаление, переименование, расширение размера и т. Д.), И, следовательно, делает его полезным инструментом, когда глядя на компьютер судебно Каждая запись имеет переменный размер, и ее внутренняя структура задокументирована в MSDN.

Microsoft предоставляет инструменты для просмотра / изменения журнала изменений, а также опубликованный API для программного чтения / записи из / в журнал изменений. Однако jp не использует этот API-интерфейс Windows, но выполняет синтаксический анализ путем обхода необработанных структур. Это позволяет скомпилировать jp для использования в других операционных системах для анализа журнала изменений как компонента в криминалистическом инструментарии.

Чтобы найти журнал изменений, нужно заглянуть в корневой каталог анализируемого тома. В одном из скрытых системных файлов находится альтернативный поток данных, содержащий журнал изменений. В частности, данные журнала расположены в [root] \ $ Extend \ $ UsnJrnl: $ J, где $ J - альтернативный поток данных. Глядя на это место с помощью средства просмотра NTFS (показано ниже), можно легко перейти к нужному месту и проанализировать содержимое. При проверке запуска кластера для потока данных $ J можно увидеть, что начальные кластеры являются разреженными, то есть они не поддерживаются кластерами физических дисков, а последние (неразбавленные) кластеры имеют данные. В приведенном ниже примере 2 197 312 (или 0x218740) кластеров являются разреженными, и только в 8304 (или 0x2070) кластерах содержатся данные.

Журнал изменений

Данные в журнале представляют собой серию упакованных записей. Структура каждой записи определена в Microsoft Software Development Kit (SDK).

Лицензирование Windows Journal Parser
Системные требования Windows Journal Parser
Характеристики и комплектация товара могут изменяться производителем без уведомления
Популярные вопросы об Windows Journal Parser
Показать все вопросы