经常解析 NTFS 痕迹的人,手上会有好几样工具。本页梳理 USN Parser 的位置,以及该先打开哪一个。
一眼速览
| USN Parser | MFTECmd | OSForensics | Velociraptor | |
|---|---|---|---|---|
| 成本 | 免费,开源 | 免费 | 商业 | 免费,开源 |
| 运行环境 | 浏览器 | Windows CLI | Windows 桌面 | 服务端 + Agent |
解析 $J | ✓ | ✓ (通过 MFTECmd -j) | ✓ | ✓ |
解析 $MFT | 仅解析路径 | ✓ 完整解析 | ✓ | ✓ |
解析 $LogFile | ✗ | ✗ | ✓ | 有限 |
| 完整路径解析 | ✓ (配合 $MFT) | ✓ | ✓ | ✓ |
| 按 reason / 时间过滤 | 内建 UI | 后处理 CSV | 内建 UI | VQL 查询 |
| 时间线可视化 | 内建 | 外部 (Excel、Timesketch) | 内建 | 外部 |
| 批量取证采集 | ✗ | ✗ | ✓ | ✓ |
| 数据本地保留 | ✓ | ✓ | ✓ | 取决于部署 |
| 跨平台 | ✓ | Windows (Mac 用 Wine) | Windows | 多平台 |
何时用哪个
USN Parser — 任何笔记本都能即时分析
你手上有一份 $J,需要立刻读,且不想装任何东西。拖到页面、过滤记录、导出 CSV。不需要 Windows 虚拟机,不需要管理员权限,不必向客户解释「上传到了哪里」。
如实说:它是日志查看器,不是取证套件。如果你只需要回答「这块卷在何时发生了什么变化」,这是最快的路径。其他场景见下文。
MFTECmd — 严谨的命令行
Eric Zimmerman 的 MFTECmd 是 $MFT、$J、$LogFile、$Boot、$SDS 的参考实现。如果你的输出需要喂给 Timesketch / SOF-ELK / Plaso 管道,MFTECmd 的 CSV 是你要的。
我们自己也会用 MFTECmd 输出 bodyfile 供 mactime 使用,或在棘手的日志上交叉验证 USN Parser 的结果。在我们测试过的所有格式良好的 USN_RECORD_V2 上,两者结论一致。
OSForensics — 商业全家桶
OSForensics 围绕 $J、$MFT、浏览器历史、注册表与邮件解析提供了打磨过的 GUI。如果你的团队已经在 PassMark 生态上,集成式工作流很难被超越。
代价是:许可证费、仅 Windows、不需要整套套件时的一次性分析周转较慢。
Velociraptor — 规模化的生产级取证
Velociraptor 是在需要从数十乃至数百个端点 拉取日志,并用 VQL 做查询时的正解。其 Windows.NTFS.MFT artifact 抓 $MFT 与 USN 日志,parse_ntfs 插件与我们解析器的记录格式一致。
对单机单 $J,Velociraptor 太重。但对无法在每台机器预先布置工具的企业 IR,它是唯一现实选择。
实话实说
实际处置中我们四个全都用。USN Parser 是我们补的那一块:「就在浏览器、不安装、不上传,解析这份 $J」 — 这个场景其他工具都没覆盖。我们不试图替代 MFTECmd、OSForensics 或 Velociraptor,它们也不打算替代我们。
想自己验证?在主页投一份样本 $J 同时用 MFTECmd -f UsnJrnl-J --json out.json 解析同一份文件。比对记录数与时间戳;会对得上。