Si vous parsez régulièrement des artefacts NTFS, vous jonglez avec plusieurs outils. Cette page clarifie où USN Parser s'insère et lequel sortir en premier.
En un coup d'œil
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| Coût | Gratuit, OSS | Gratuit | Commercial | Gratuit, OSS |
| S'exécute dans | Navigateur | CLI Windows | Desktop Windows | Serveur + agent |
Parse $J | ✓ | ✓ (via MFTECmd -j) | ✓ | ✓ |
Parse $MFT | Résolution de chemin uniquement | ✓ Parser complet | ✓ | ✓ |
Parse $LogFile | ✗ | ✗ | ✓ | Limité |
| Résolution chemin complet | ✓ (avec $MFT) | ✓ | ✓ | ✓ |
| Filtre raison / temps | UI intégrée | Post-traitement CSV | UI intégrée | Requêtes VQL |
| Visualisation timeline | Intégrée | Externe (Excel, Timesketch) | Intégrée | Externe |
| Collecte de triage | ✗ | ✗ | ✓ | ✓ |
| Données restent locales | ✓ | ✓ | ✓ | Dépend du déploiement |
| Multi-plateforme | ✓ | Windows (Mac via Wine) | Windows | Multi |
Quand sortir lequel
USN Parser — analyse rapide sur n'importe quel laptop
Vous avez un $J en main et vous devez le lire maintenant, sans rien installer. On dépose sur la page, on filtre, on exporte en CSV. Pas de VM Windows, pas de droits admin requis, pas d'étape d'upload à justifier au client.
Périmètre honnête : c'est un lecteur de journal, pas une suite forensique. Si vous avez juste à répondre à « qu'est-ce qui a changé sur ce volume et quand », c'est la voie la plus rapide. Pour le reste, voir ci-dessous.
MFTECmd — la CLI rigoureuse
MFTECmd d'Eric Zimmerman est le parseur de référence pour $MFT, $J, $LogFile, $Boot, $SDS. Si votre sortie doit alimenter un pipeline Timesketch / SOF-ELK / Plaso, le CSV de MFTECmd est ce qu'il vous faut.
Nous l'utilisons nous-mêmes pour produire des bodyfiles destinés à mactime, ou pour valider la sortie d'USN Parser sur un journal délicat. Les deux outils sont d'accord sur tout USN_RECORD_V2 bien formé que nous avons testé.
OSForensics — le tout-en-un commercial
OSForensics offre une GUI soignée autour de $J, $MFT, historiques navigateur, registre et parsing d'emails. Si votre équipe est déjà sur la stack PassMark, le workflow intégré est difficile à battre.
Compromis : coût de licence, Windows uniquement, et un cycle plus lent pour une analyse ponctuelle où vous n'avez pas besoin de toute la suite.
Velociraptor — triage en production à grande échelle
Velociraptor est la bonne réponse quand il faut tirer des journaux depuis des dizaines ou centaines d'endpoints et les requêter en VQL. Son artefact Windows.NTFS.MFT tire $MFT et le journal USN, et son plugin parse_ntfs produit le même format d'enregistrement que notre parseur.
Pour un seul hôte avec un seul $J, Velociraptor est surdimensionné. Pour une IR entreprise où on ne peut pas pré-positionner un outil sur chaque poste, c'est la seule option réaliste.
Le bilan honnête
Nous utilisons les quatre en mission réelle. USN Parser, c'est ce qu'on a construit parce qu'aucun des autres ne couvre le cas « navigateur, sans install, sans upload, juste parsé ce $J ». Il ne cherche pas à remplacer MFTECmd, OSForensics, ou Velociraptor — et eux ne cherchent pas à être lui.
Envie de vérifier vous-même ? Déposez un $J d'exemple sur la home et parsez le même fichier avec MFTECmd -f UsnJrnl-J --json out.json. Comptez les enregistrements et comparez les horodatages ; ça correspond.