ResidentReaper

一款用 Rust 编写的快速 NTFS 取证工具 — 解析 $MFT 和 $J (USN Journal) 产物，并搜寻隐藏在 MFT 条目中的驻留数据。

## 什么是 ResidentReaper？ ResidentReaper 是一款受 Eric Zimmerman 的 [MFTECmd](https://github.com/EricZimmerman/MFTECmd) 启发而开发的 DFIR 工具。它通过解析 `$MFT` 和 `$J` (USN Journal) 产物，重构 NTFS 系统上文件的完整生命周期。 它支持三种模式： | 模式 | 描述 | |------|-------------| | **`mft`** | 将 `$MFT` 解析为 CSV，输出与 MFTECmd 兼容（99.997% 单元格准确率，行数完全一致）。 | | **`usn`** | 将 `$J` (USN Journal) 解析为 CSV，输出与 MFTECmd 兼容。可选择通过 `$MFT` 解析父路径并输出 MFT CSV。 | | **`hunt`** | GUI 模式 — 扫描 MFT 条目查找驻留数据（内联存储的文件），通过内联十六进制查看器浏览/过滤/导出它们。 | ### MFTECmd 兼容性 ResidentReaper 的 CSV 输出旨在成为 MFTECmd 的直接替代品： | 指标 | $MFT | $J (USN Journal) | |--------|------|-------------------| | 行数 | 完全一致 | 完全一致 | | 列标题 | 一致 (34 列) | 一致 (13 列) | | 单元格准确率 | 99.997% | 98.4%* | | 时间戳 | 一致 (7 位小数秒) | 一致 | | 取证标志 | SI` | 提供 $MFT 以解析父路径并输出 MFT CSV（usn 模式） | | `-v, --verbose` | 增加日志详细程度 | ### 默认输出文件名 如果未指定 `-o`，输出文件将自动以时间戳命名： | 模式 | 默认文件名 | |------|-----------------| | `mft` | `_MFT_Output.csv` | | `usn` | `_J_Output.csv` | | `usn --mft` | 同时输出 `_J_Output.csv` 和 `_MFT_Output.csv` | ## CSV 输出列 ### $MFT 输出 (34 列) EntryNumber, SequenceNumber, InUse, ParentEntryNumber, ParentSequenceNumber, ParentPath, FileName, Extension, FileSize, ReferenceCount, ReparseTarget, IsDirectory, HasAds, IsAds, SI

标签：DFIR工具, HTTPS请求, MFT解析器, NTFS取证, Rust安全工具, USN日志分析, Windows取证, 元数据分析, 可视化界面, 备用数据流, 库, 应急响应, 数字取证, 数据隐藏检测, 日志解析, 时序分析, 磁盘取证, 自动化脚本, 证书伪造, 逆向工具, 通知系统, 驻留数据检测