Esta ferramenta **modifica** as informações de carimbo de data/hora dentro de **`$STANDARD_INFORMATION`** **mas não** as informações dentro de **`$FILE_NAME`**. Portanto, é possível **identificar****atividades suspeitas**.
O **USN Journal** (Update Sequence Number Journal), ou Change Journal, é um recurso do sistema de arquivos Windows NT (NTFS) que **mantém um registro das alterações feitas no volume**.\
É possível usar a ferramenta [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) para procurar modificações neste registro.
Todas as alterações de metadados em um sistema de arquivos são registradas para garantir a recuperação consistente das estruturas críticas do sistema de arquivos após uma falha do sistema. Isso é chamado de [write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead\_logging).\
Os metadados registrados são armazenados em um arquivo chamado “**$LogFile**”, que é encontrado em um diretório raiz de um sistema de arquivos NTFS.\
É possível usar ferramentas como [LogFileParser](https://github.com/jschicht/LogFileParser) para analisar este arquivo e encontrar alterações.
Os carimbos de data/hora do **NTFS** têm uma **precisão** de **100 nanossegundos**. Então, encontrar arquivos com carimbos de data/hora como 2010-10-10 10:10:**00.000:0000 é muito suspeito**.
Esta ferramenta pode modificar ambos os atributos `$STARNDAR_INFORMATION` e `$FILE_NAME`. No entanto, a partir do Windows Vista, é necessário um sistema operacional ativo para modificar essas informações.
O NFTS usa um cluster e o tamanho mínimo de informação. Isso significa que se um arquivo ocupa um cluster e meio, o **meio restante nunca será usado** até que o arquivo seja excluído. Então, é possível **ocultar dados neste espaço ocioso**.
Existem ferramentas como o slacker que permitem ocultar dados neste espaço "oculto". No entanto, uma análise do `$logfile` e `$usnjrnl` pode mostrar que alguns dados foram adicionados:
