現在、USN ジャーナル ファイルの解析に取り組んでいます。私が知っていることは、USN ジャーナル ログ エントリにはmft_referenceフィールドがあり、MFT テーブル内の対応するFileRecordを参照していることです。
一定期間が経過すると、USN ジャーナル ファイルには、ファイルの追加、ファイルの変更、ファイルの削除など、非常に多くのファイル変更記録が蓄積される場合があります。
USN ジャーナル ファイルの先頭でmft_reference 番号 (64 ビット整数)を取得し、USN ジャーナル ファイルの末尾でmft_refer_1別の mft_reference 番号を取得mft_refer_2し、それらの値が等しい場合、mft_refer_1 == mft_refer_22 つのジャーナル レコードと言えますか?同じファイルを指定していますか?
よくわからないのは、後で追加されたFileRecordが以前に削除されたFileRecordの位置を置き換えるかどうかです。
前もって感謝します!