Si parseas artefactos NTFS a menudo, manejas varias herramientas. Esta página aclara dónde encaja USN Parser y cuál abrir primero.
De un vistazo
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| Coste | Gratis, OSS | Gratis | Comercial | Gratis, OSS |
| Corre en | Navegador | CLI Windows | Escritorio Windows | Servidor + agente |
Parsea $J | ✓ | ✓ (vía MFTECmd -j) | ✓ | ✓ |
Parsea $MFT | Solo resolución de rutas | ✓ Parser completo | ✓ | ✓ |
Parsea $LogFile | ✗ | ✗ | ✓ | Limitado |
| Resolución de ruta completa | ✓ (con $MFT) | ✓ | ✓ | ✓ |
| Filtro por razón / tiempo | UI integrada | Post-procesar el CSV | UI integrada | Queries VQL |
| Visualización de timeline | Integrada | Externa (Excel, Timesketch) | Integrada | Externa |
| Recolección de triage | ✗ | ✗ | ✓ | ✓ |
| Datos quedan locales | ✓ | ✓ | ✓ | Depende del despliegue |
| Multiplataforma | ✓ | Windows (Mac vía Wine) | Windows | Multi |
Cuándo usar cuál
USN Parser — análisis rápido en cualquier portátil
Tienes un $J en mano y necesitas leerlo ya, sin instalar nada. Suéltalo en la página, filtra registros, exporta CSV. Sin VM de Windows, sin derechos de admin, sin paso de upload que tengas que explicarle a un cliente.
Alcance honesto: es un visor de journal, no una suite forense. Si solo tienes que responder "qué cambió en este volumen y cuándo", es el camino más rápido. Para todo lo demás, mira abajo.
MFTECmd — el CLI riguroso
MFTECmd de Eric Zimmerman es el parser de referencia para $MFT, $J, $LogFile, $Boot y $SDS. Si tu salida tiene que alimentar un pipeline Timesketch / SOF-ELK / Plaso, la salida CSV de MFTECmd es lo que quieres.
Lo usamos nosotros mismos cuando necesitamos bodyfile para mactime, o cuando queremos cruzar la salida de USN Parser en un journal complicado. Las dos herramientas coinciden en cada USN_RECORD_V2 bien formado que hemos probado.
OSForensics — el todo-en-uno comercial
OSForensics te da una GUI pulida alrededor de $J, $MFT, historiales de navegador, registro y parsing de email. Si tu equipo ya está sobre la stack de PassMark, el flujo integrado cuesta de batir.
Las contrapartidas son el coste de licencia, solo-Windows y la entrega más lenta para análisis puntuales donde no necesitas la suite completa.
Velociraptor — triage en producción a escala
Velociraptor es la respuesta correcta cuando hay que tirar journals desde decenas o cientos de endpoints y consultarlos con VQL. Su artefacto Windows.NTFS.MFT tira $MFT y el journal USN, y su plugin parse_ntfs coincide con el formato de registro de nuestro parser.
Para un solo host con un solo $J, Velociraptor es sobredimensionado. Para una IR de empresa donde no puedes preposicionar una herramienta en cada caja, es la única opción realista.
Resumen honesto
Usamos las cuatro en misiones reales. USN Parser es lo que construimos porque ninguna de las otras cubre el caso "navegador, sin instalar, sin subir, simplemente parsea este $J". No intenta sustituir a MFTECmd, OSForensics, o Velociraptor — y ellas no intentan ser él.
¿Quieres validarlo tú mismo? Suelta un $J de ejemplo en la home y parsea el mismo fichero con MFTECmd -f UsnJrnl-J --json out.json. Compara los conteos de registros y los timestamps; coincidirán.