NTFS の痕跡を頻繁にパースしていれば、複数のツールを使い分けているはずです。本ページでは USN Parser の位置と、まずどれを開くべきかを整理します。
一目で比較
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| コスト | 無償、OSS | 無償 | 商用 | 無償、OSS |
| 実行場所 | ブラウザ | Windows CLI | Windows デスクトップ | サーバ + エージェント |
$J パース | ✓ | ✓ (MFTECmd -j 経由) | ✓ | ✓ |
$MFT パース | パス解決のみ | ✓ フル パーサ | ✓ | ✓ |
$LogFile パース | ✗ | ✗ | ✓ | 限定的 |
| フル パス解決 | ✓ ($MFT 併用時) | ✓ | ✓ | ✓ |
| reason / 時刻でフィルタ | UI 組み込み | CSV を後処理 | UI 組み込み | VQL クエリ |
| タイムライン可視化 | 組み込み | 外部 (Excel、Timesketch) | 組み込み | 外部 |
| トリアージ収集 | ✗ | ✗ | ✓ | ✓ |
| データはローカル保持 | ✓ | ✓ | ✓ | デプロイ方針次第 |
| クロス プラットフォーム | ✓ | Windows (Mac は Wine 経由) | Windows | マルチ |
いつどれを開くか
USN Parser — どのラップトップでも即解析
$J を入手し、今すぐ読む 必要がある、ただし何もインストールしたくない。ページにドロップ、フィルタ、CSV エクスポート。Windows VM も、管理者権限も、顧客に説明すべきアップロード ステップも不要です。
率直なスコープ: これは ジャーナル ビューア であり、フォレンジック スイートではありません。「このボリュームで何がいつ変わったか」だけを答えたいなら最速の経路です。それ以外は下記参照。
MFTECmd — 厳密な CLI
Eric Zimmerman の MFTECmd は $MFT、$J、$LogFile、$Boot、$SDS の参照実装。出力を Timesketch / SOF-ELK / Plaso パイプラインに流すなら、MFTECmd の CSV が適切です。
私たち自身、mactime 用の bodyfile を出すときや、難しいジャーナルで USN Parser の出力をクロス検証する際に MFTECmd を使います。テストした限り、整形された USN_RECORD_V2 のすべてで両者は一致します。
OSForensics — 商用オールインワン
OSForensics は $J、$MFT、ブラウザ履歴、レジストリ、メール パースを束ねた洗練された GUI を提供します。チームが PassMark スタックに乗っているなら、統合ワークフローは強力です。
トレード オフは、ライセンス費、Windows 専用、スイート全体を必要としない単発の解析では回転が遅いこと。
Velociraptor — スケールする本番トリアージ
Velociraptor は、数十〜数百のエンドポイント からジャーナルを引き出して VQL で問い合わせる必要がある時の正解です。Windows.NTFS.MFT アーティファクトが $MFT と USN ジャーナルを取得し、parse_ntfs プラグインは本パーサと同じレコード形式に対応します。
単一ホスト・単一 $J には過剰。各端末にツールを事前配置できない企業 IR では現実的に唯一の選択肢です。
率直な結論
実案件で私たちは 4 つともすべて 使います。USN Parser を作ったのは、「ブラウザだけ、インストールなし、アップロードなし、ただこの $J を解析して」という用途が他のどれにも収まらなかったからです。MFTECmd、OSForensics、Velociraptor の代替を狙うものではなく、それらも本ツールの代替を狙うものではありません。
ご自分で検証したい方は、ホームでサンプルの $J を投入 し、同じファイルを MFTECmd -f UsnJrnl-J --json out.json でも解析してみてください。レコード件数とタイムスタンプは一致します。