spowkn/JournalTrace

# JournalTrace 通过简单的用户界面解析 NTFS Journal 条目 # 新过滤器 1. **支持高级过滤器**: - **包含 (`&&`)**: 匹配列中的多个条件。 - **排除 (`!!`)**: 从过滤器中排除特定值。 - **OR 条件 (`||`)**: 允许在列中进行替代匹配。 2. **多列过滤器**: 动态解析 `FilterOption:Filter` 语法以定位特定列，在过滤器选项之间使用 `;` 分隔，例如 `FilterOption1:Filter1;FilterOption2:Filter2`。 ## 用法示例 - **基本搜索**: `.exe`，这将根据当前活动的过滤（默认为名称）搜索包含 ".exe" 的条目 - **包含**: `name:rundll32&&.pf` 这将搜索任何包含 "rundll32" 和 ".pf" 的文件条目 - **排除**: `name:.exe!!svchost` 这将搜索任何包含 ".exe" 但不包含 "svchost" 的文件条目 - **OR 条件**: `name:.exe||.dll` 这将搜索任何包含 ".exe" 或 ".dll" 的文件条目 - **多列过滤器**: `name:.pf;reason:delete` 这将搜索任何包含 ".pf" 且其原因包含 "delete" 的文件 无需声明过滤器选项（或列），即可使用包含、排除或 OR 条件。 ## 许可证 本项目基于 [GNU General Public License v3.0](LICENSE)。 ## 许可内容 ### OpenByFiledId [OpenByFileId](https://github.com/nolanblew/openbyfileid) 是 C# 中 OpenByFileId Win32 API 的封装。我们使用它来解析那些否则无法读取的文件标识符。 ### StCroixSkippers [StCroixSkippers](https://www.dreamincode.net/forums/blog/1017-stcroixskippers) 编写了 UsnJournal Win32 API 到 C# 的封装。如果没有这个封装，这个项目甚至无法面世。

标签：Burp Suite 替代, CIDR输入, DAST, FRC, GUI, Linux, NTFS, Triage, USN日志, 二进制发布, 子域名变形, 开源工具, 恶意软件分析, 数字取证, 文件监控, 文件系统, 磁盘分析, 系统日志, 自动化脚本