Quem parseia artefatos NTFS com frequência malabarece várias ferramentas. Esta página esclarece onde o USN Parser se encaixa e qual abrir primeiro.
De relance
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| Custo | Grátis, OSS | Grátis | Comercial | Grátis, OSS |
| Roda em | Navegador | CLI Windows | Desktop Windows | Servidor + agente |
Parseia $J | ✓ | ✓ (via MFTECmd -j) | ✓ | ✓ |
Parseia $MFT | Só resolução de caminhos | ✓ Parser completo | ✓ | ✓ |
Parseia $LogFile | ✗ | ✗ | ✓ | Limitado |
| Resolução de caminho completo | ✓ (com $MFT) | ✓ | ✓ | ✓ |
| Filtro por razão / tempo | UI integrada | Pós-processar o CSV | UI integrada | Consultas VQL |
| Visualização de timeline | Integrada | Externa (Excel, Timesketch) | Integrada | Externa |
| Coleta de triagem | ✗ | ✗ | ✓ | ✓ |
| Dados ficam locais | ✓ | ✓ | ✓ | Depende do deploy |
| Multi-plataforma | ✓ | Windows (Mac via Wine) | Windows | Multi |
Quando usar qual
USN Parser — análise rápida em qualquer laptop
Você tem um $J em mãos e precisa lê-lo agora, sem instalar nada. Solta na página, filtra registros, exporta CSV. Sem VM Windows, sem direitos de admin, sem etapa de upload para justificar a um cliente.
Escopo honesto: é um visualizador de journal, não uma suíte forense. Se você só precisa responder «o que mudou neste volume e quando», é o caminho mais rápido. Para todo o resto, veja abaixo.
MFTECmd — a CLI rigorosa
MFTECmd do Eric Zimmerman é o parser de referência para $MFT, $J, $LogFile, $Boot e $SDS. Se sua saída precisa alimentar um pipeline Timesketch / SOF-ELK / Plaso, a saída CSV do MFTECmd é o que você quer.
Nós mesmos o usamos para produzir bodyfile para mactime, ou para cruzar a saída do USN Parser num journal complicado. As duas ferramentas concordam em cada USN_RECORD_V2 bem-formado que testamos.
OSForensics — o tudo-em-um comercial
OSForensics oferece uma GUI polida em torno de $J, $MFT, históricos de navegador, registro e parsing de e-mail. Se sua equipe já está na stack da PassMark, o fluxo integrado é difícil de bater.
Contrapartidas: custo de licença, só-Windows e um tempo de resposta mais lento para análises pontuais em que você não precisa da suíte inteira.
Velociraptor — triagem em produção, em escala
Velociraptor é a resposta certa quando é preciso puxar journals de dezenas ou centenas de endpoints e consultá-los com VQL. Seu artefato Windows.NTFS.MFT puxa $MFT e o journal USN, e o plugin parse_ntfs casa com o formato de registro do nosso parser.
Para um único host com um único $J, Velociraptor é sobredimensionado. Para uma IR corporativa onde não dá para pré-posicionar uma ferramenta em cada máquina, é a única opção realista.
O resumo honesto
Usamos todas as quatro em casos reais. USN Parser é o que construímos porque nenhuma das outras cobria o caso «navegador, sem instalar, sem upload, só parseie este $J». Não tenta substituir MFTECmd, OSForensics ou Velociraptor — e elas não tentam ser ele.
Quer validar você mesmo? Solte um $J de exemplo na home e parseie o mesmo arquivo com MFTECmd -f UsnJrnl-J --json out.json. Compare a contagem de registros e os timestamps; vão bater.