Chi parsa regolarmente artefatti NTFS si destreggia tra più strumenti. Questa pagina chiarisce dove si inserisce USN Parser e quale aprire per primo.
A colpo d'occhio
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| Costo | Gratuito, OSS | Gratuito | Commerciale | Gratuito, OSS |
| Gira in | Browser | CLI Windows | Desktop Windows | Server + agent |
Parsa $J | ✓ | ✓ (via MFTECmd -j) | ✓ | ✓ |
Parsa $MFT | Solo risoluzione percorsi | ✓ Parser completo | ✓ | ✓ |
Parsa $LogFile | ✗ | ✗ | ✓ | Limitato |
| Risoluzione percorso completo | ✓ (con $MFT) | ✓ | ✓ | ✓ |
| Filtro per razionale / tempo | UI integrata | Post-processo del CSV | UI integrata | Query VQL |
| Visualizzazione timeline | Integrata | Esterna (Excel, Timesketch) | Integrata | Esterna |
| Raccolta di triage | ✗ | ✗ | ✓ | ✓ |
| Dati restano locali | ✓ | ✓ | ✓ | Dipende dal deploy |
| Multipiattaforma | ✓ | Windows (Mac via Wine) | Windows | Multi |
Quando usare quale
USN Parser — analisi rapida su qualsiasi laptop
Hai un $J in mano e devi leggerlo subito, senza installare nulla. Trascina sulla pagina, filtra record, esporta CSV. Niente VM Windows, niente diritti admin, nessuno step di upload da giustificare a un cliente.
Scope onesto: è un visualizzatore di journal, non una suite forense. Se devi solo rispondere a «cosa è cambiato su questo volume e quando», è la via più veloce. Per tutto il resto, vedi sotto.
MFTECmd — la CLI rigorosa
MFTECmd di Eric Zimmerman è il parser di riferimento per $MFT, $J, $LogFile, $Boot e $SDS. Se l'output deve alimentare una pipeline Timesketch / SOF-ELK / Plaso, l'output CSV di MFTECmd è quello che vuoi.
Lo usiamo noi stessi per produrre bodyfile per mactime, o per cross-validare l'output di USN Parser su un journal difficile. I due strumenti concordano su ogni USN_RECORD_V2 ben formato che abbiamo testato.
OSForensics — il tutto-in-uno commerciale
OSForensics offre una GUI rifinita attorno a $J, $MFT, cronologie del browser, registro e parsing email. Se la tua squadra è già sullo stack PassMark, il workflow integrato è difficile da battere.
I compromessi sono costo della licenza, solo-Windows e tempi più lenti per analisi puntuali in cui non serve la suite completa.
Velociraptor — triage in produzione su scala
Velociraptor è la risposta giusta quando bisogna tirare journal da decine o centinaia di endpoint e interrogarli con VQL. Il suo artefatto Windows.NTFS.MFT tira $MFT e il journal USN, e il plugin parse_ntfs corrisponde al formato di record del nostro parser.
Per un singolo host con un singolo $J, Velociraptor è sovradimensionato. Per una IR aziendale dove non si può pre-posizionare uno strumento su ogni macchina, è l'unica opzione realistica.
Il bilancio onesto
Usiamo tutti e quattro in ingaggi reali. USN Parser è ciò che abbiamo costruito perché nessuno degli altri copriva il caso «browser, niente install, niente upload, parsami questo $J e basta». Non cerca di sostituire MFTECmd, OSForensics o Velociraptor — e loro non cercano di essere lui.
Vuoi verificarlo? Trascina un $J di esempio sulla home e parsa lo stesso file con MFTECmd -f UsnJrnl-J --json out.json. Confronta i conteggi di record e i timestamp; coincideranno.