USN Parser は Windows NTFS の USN ジャーナル ($UsnJrnl:$J) と マスター ファイル テーブル ($MFT) をブラウザで直接解析するオープンソース ツールです。フォレンジック痕跡は本質的に機微であり、解析のためだけに SaaS にアップロードすべきものではないという理由で存在します。
仕組み
パーサは Airbus CERT の usnrs を基にした小さな Rust クレートを WebAssembly にコンパイルしたものです。$J ファイル(任意で $MFT も)をページにドロップすると、レコードが構造化された行として返ります。実行経路はすべて、お使いの端末の Web Worker 内で動きます。アップロードは一切行われません。
開発主体
USN Parser は、フランスのインシデント レスポンスとデジタル フォレンジックを専門とするサイバーセキュリティ コンサルティング Cyber Experts が公開しています。ソース コードは GitHub に Apache 2.0 ライセンスで公開されています。Issue と Pull Request を歓迎します。
- リポジトリ: github.com/Cyber-Experts/usn-parser
- ライセンス: Apache-2.0
- 言語: 8 (英、仏、西、独、伊、ポルトガル、日、中)
- スタック: Next.js、React、Rust、WebAssembly
このサイトが「ない」もの
フォレンジック スイートではありません — 取得やイメージ作成の機能はありません。あなたがここで解析するファイルの内容を保存、ログ、送信することはありません。Windows のフル トリアージが必要であれば Velociraptor や KAPE を、MFT 専用パーサが必要であれば Eric Zimmerman の MFTECmd を見てください。
USN Parser は、特定のひとつの仕事に欠けていたピースです — カービング済みの $J から、クエリ可能・フィルタ可能・エクスポート可能な記録一覧へ、ブラウザを離れずに到達する、という仕事です。