Wer regelmäßig NTFS-Artefakte parst, jongliert mit mehreren Werkzeugen. Diese Seite ordnet ein, wo USN Parser sitzt und wozu man zuerst greifen sollte.
Auf einen Blick
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| Kosten | Kostenlos, OSS | Kostenlos | Kommerziell | Kostenlos, OSS |
| Läuft in | Browser | Windows-CLI | Windows-Desktop | Server + Agent |
Parst $J | ✓ | ✓ (via MFTECmd -j) | ✓ | ✓ |
Parst $MFT | nur Pfadauflösung | ✓ Vollparser | ✓ | ✓ |
Parst $LogFile | ✗ | ✗ | ✓ | Eingeschränkt |
| Vollpfad-Auflösung | ✓ (mit $MFT) | ✓ | ✓ | ✓ |
| Filter nach Reason/Zeit | UI eingebaut | CSV nachbearbeiten | UI eingebaut | VQL-Queries |
| Timeline-Visualisierung | Eingebaut | Extern (Excel, Timesketch) | Eingebaut | Extern |
| Triage-Sammlung | ✗ | ✗ | ✓ | ✓ |
| Daten bleiben lokal | ✓ | ✓ | ✓ | Je nach Deployment |
| Plattformübergreifend | ✓ | Windows (Mac via Wine) | Windows | Multi |
Wann zu welchem greifen
USN Parser — schnelle Analyse auf jedem Laptop
Du hast ein $J in der Hand und musst es jetzt lesen, ohne etwas zu installieren. Auf die Seite ziehen, Einträge filtern, CSV exportieren. Keine Windows-VM, keine Admin-Rechte, kein Upload-Schritt, den du einem Kunden erklären musst.
Ehrlicher Scope: das ist ein Journal-Viewer, keine Forensik-Suite. Wenn die Frage nur lautet „Was hat sich auf diesem Volume wann geändert", ist es der schnellste Weg. Für alles andere siehe unten.
MFTECmd — die rigorose CLI
MFTECmd von Eric Zimmerman ist der Referenz-Parser für $MFT, $J, $LogFile, $Boot und $SDS. Wenn deine Ausgabe in eine Timesketch- / SOF-ELK- / Plaso-Pipeline fließen muss, ist die CSV-Ausgabe von MFTECmd das Mittel der Wahl.
Wir selbst benutzen MFTECmd für Bodyfile-Ausgabe an mactime oder zum Quervergleich mit USN Parser auf knifflige Journals. Die beiden Werkzeuge stimmen bei jedem wohlgeformten USN_RECORD_V2, den wir getestet haben, überein.
OSForensics — die kommerzielle Alles-in-einem-Lösung
OSForensics bietet eine polierte GUI rund um $J, $MFT, Browser-Verläufe, Registry und Mail-Parsing. Wenn dein Team ohnehin auf der PassMark-Stack arbeitet, ist der integrierte Workflow schwer zu schlagen.
Trade-offs sind Lizenzkosten, Windows-only und der trägere Durchsatz für punktuelle Analysen, bei denen man nicht die gesamte Suite braucht.
Velociraptor — Triage im Produktivbetrieb in der Breite
Velociraptor ist die richtige Antwort, wenn man Journals von Dutzenden oder Hunderten Endpunkten ziehen und mit VQL abfragen muss. Sein Windows.NTFS.MFT-Artefakt holt $MFT und USN-Journal, und sein parse_ntfs-Plugin entspricht dem Eintragsformat unseres Parsers.
Für einen einzigen Host mit einem einzigen $J ist Velociraptor überdimensioniert. Für eine Unternehmens-IR, bei der man kein Werkzeug auf jeder Kiste vorpositionieren kann, ist es die einzige realistische Option.
Die ehrliche Bilanz
Wir nutzen alle vier in echten Einsätzen. USN Parser haben wir gebaut, weil keines der anderen den Fall „Browser, keine Installation, kein Upload, parse einfach dieses $J" abdeckt. Er will MFTECmd, OSForensics oder Velociraptor nicht ersetzen — und sie wollen ihn nicht werden.
Willst du das selbst nachprüfen? Lege ein Beispiel-$J auf der Startseite ab und parse dieselbe Datei mit MFTECmd -f UsnJrnl-J --json out.json. Vergleiche die Anzahl der Einträge und Zeitstempel; sie stimmen überein.