Un parser MFT es una herramienta que lee $MFT — la Master File Table en la raíz de cada volumen NTFS — y transforma sus registros de 1024 bytes en algo que un humano o una herramienta posterior pueda usar: CSV, JSON, una línea de tiempo, un índice buscable. En la práctica hay tres proyectos que importan. Este artículo los compara con honestidad y te indica cuándo cada uno es la elección correcta.
MFTECmd (Eric Zimmerman)
MFTECmd es el estándar de facto en respuesta a incidentes. Es una CLI .NET exclusiva de Windows, gratuita, que analiza $MFT, $Boot, $J (el diario de cambios $UsnJrnl:$J), $SDS (el flujo de descriptores de seguridad de $Secure) y $LogFile. La salida es CSV en la disposición próxima a bodyfile que consumen las demás herramientas de Eric Zimmerman (Timeline Explorer, KAPE, RECmd).
Úsalo cuando:
- Estés en una estación de análisis Windows.
- Quieras un CSV que puedas abrir en Timeline Explorer y pivotar de forma interactiva.
- Estés ejecutando KAPE — MFTECmd es el parser integrado en el target
MFT. - Necesites análisis de
$Jen el mismo flujo de trabajo.
Sáltatelo cuando: estés en macOS o Linux sin runtime de .NET, o quieras integrar el análisis en otro programa.
Una GUI complementaria, MFT Explorer, recorre $MFT de forma interactiva en una vista en árbol. La mayoría de analistas usan ambas: MFTECmd para el análisis por lotes, MFT Explorer cuando necesitan perseguir un registro concreto.
omerbenamram/mft (crate Rust + CLI)
El crate omerbenamram/mft es la librería de parsing que usa este sitio. Se distribuye tanto como dependencia de Rust (cargo add mft) como CLI independiente (mft_dump). La CLI emite CSV o JSON; la librería expone la estructura completa del registro para uso programático.
Úsalo cuando:
- Necesites integrar el análisis MFT en una tubería Rust más amplia, un servidor o un destino WebAssembly.
- Quieras salida JSON para canalizarla a
jq, OpenSearch o una base personalizada. - Estés en Linux o macOS y no quieras instalar .NET.
- Quieras un parser auditable — el código es pequeño, Rust idiomático y el corpus de pruebas está en el repositorio.
Sáltatelo cuando: quieras una experiencia de analista llave en mano con GUI y utillaje de línea de tiempo integrado.
El crate es lo que se ejecuta, compilado a WebAssembly, detrás del parser en el navegador de la página de inicio.
Análisis en el navegador (este sitio)
El parser de este sitio toma el crate omerbenamram/mft, lo compila a WebAssembly y lo ejecuta en un Web Worker. Sueltas un archivo $MFT en la página y los registros aparecen en una tabla paginada y buscable. Nada se sube; el binario permanece en la memoria de tu navegador.
Úsalo cuando:
- Quieras leer rápido un
$MFTsin instalar nada. - La política prohíba enviar evidencias a un servicio en la nube. El análisis WebAssembly ocurre localmente — puedes verificarlo desconectando la red antes de soltar el archivo.
- Necesites compartir una vista de triaje con un colega que no tenga una cadena de herramientas forense instalada.
- Estés demostrando o enseñando la estructura NTFS y quieras un sandbox interactivo.
Sáltatelo cuando: tengas una $MFT de varios gigabytes proveniente de un servidor muy utilizado (el modelo en memoria escala linealmente) o necesites salidas que se integren con una tubería Eric Zimmerman más amplia.
Cómo se comparan
| Característica | MFTECmd | omerbenamram/mft | Parser navegador |
|----------------|---------|------------------|------------------|
| Plataforma | Windows (.NET) | Linux / macOS / Windows / WebAssembly | Cualquier navegador moderno |
| Instalación | Un binario | cargo install o descarga | Ninguna |
| Salida | CSV (esquema Timeline Explorer) | CSV / JSON | Tabla interactiva + exportación CSV |
| $UsnJrnl:$J | Sí | No (crate aparte omerbenamram/usn) | El parser navegador enlaza a una vista $J |
| $LogFile | Sí | No | No |
| Scriptable | Solo CLI | Librería + CLI | No (impulsado por la UI) |
| Privacidad | Local | Local | Local (verificable por aislamiento de red) |
Cuál elegir
Para una intervención IR rutinaria en una estación Windows: MFTECmd. Es el camino de menor sorpresa y encaja con KAPE y Timeline Explorer.
Para una tubería que ingiere muchos discos, corre en Linux o quiere JSON: omerbenamram/mft. La CLI es rápida y la librería es la forma más limpia de añadir análisis MFT a tu propia herramienta.
Para un triaje puntual, una situación de red hostil, un aula o un colega sin máquina forense: el parser en el navegador de este sitio.
Los tres son complementarios. La mayoría de examinadores experimentados echan mano del que mejor encaja en cada momento en lugar de comprometerse con uno solo.