下载链接：https://download-hdw.oss-cn-beijing.aliyuncs.com/Tools/NTFS-Journal-Viewer.zip

NTFS日志查看器（JV）是一个可移植的工具，可用于提取和解析NTFS更改日志（$UsnJrnl）文件。变更日志是一个记录在对文件和目录进行更改时的文件，因此可以为法医调查员提供丰富的信息。

在NTFS日志查看器中使用的提取工具（ExtractUsnJrnl.exe）是由Joakim Schicht（https://github.com/jschicht）创建的。JV能够在几秒钟内解析数十万条记录，并提供过滤和搜索功能。结果可以导出到CSV文件中。

$UsnJrnl
NTFS更改日志（$UsnJrnl）是一个操作系统文件，它记录对文件和目录的更改。变更日志位于$Extend\$UsnJrnl。该期刊包含两种替代的数据流，具体如下：

· $UsnJrnl：$J-包含实际的日志条目

· $UsnJrnl：$MAX-包含关于$UsnJrnl的元数据

$UsnJrnl文件的内容可以帮助法医调查人员确定与调查相关的文件中发生了什么活动。

$UsnJrnl：$J包含如下所示的详细信息：

· 文件/目录名称

· 文件/目录属性

· USN原因

· 活动时间

· USN参考编号

· MFT参考编号

· MFT父引用号

· 安全ID

· 源信息