USN Parser 是一款用于在浏览器中直接分析 Windows NTFS USN 日志 ($UsnJrnl:$J) 与 主文件表 ($MFT) 的开源工具。它之所以存在,是因为取证痕迹天生敏感,完全没有理由仅仅为了被解析就上传到 SaaS。
工作原理
解析器是一个基于 Airbus CERT usnrs 的小型 Rust crate,编译为 WebAssembly。把 $J 文件(以及可选的 $MFT)拖到页面上,记录就会以结构化行的形式返回。整条执行路径都跑在你设备上的 Web Worker 里。没有上传。
维护者
USN Parser 由专注事件响应与数字取证的法国网络安全咨询公司 Cyber Experts 发布。源代码在 GitHub 上,采用 Apache 2.0 许可证。欢迎 Issue 与 Pull Request。
- 仓库:github.com/Cyber-Experts/usn-parser
- 许可证:Apache-2.0
- 语言:8 种(英、法、西、德、意、葡、日、中)
- 技术栈:Next.js、React、Rust、WebAssembly
这个站点不是什么
它不是取证套件 — 没有取证采集或镜像功能。它不存储、不记录、不传输你在此分析的文件内容。如果需要完整的 Windows 分析平台,请看 Velociraptor 或 KAPE。如果只需要 MFT 解析器,Eric Zimmerman 的 MFTECmd 是事实参考。
USN Parser 补上的是某项具体工作的缺角:把雕刻好的 $J 转换成可查询、可过滤、可导出的记录列表,而不必离开浏览器。