読者です 読者をやめる 読者になる 読者になる

log2timelineの使い方

forensics security

この記事は1年半前から下書きのままになっていたものである。

log2timelineとは

タイムライン解析というファイルシステムのタイムスタンプ情報を元に、時系列順に痕跡を解析していく手法がある。
log2timelineはそのためのフレームワークである。plasoというpythonベースのエンジンが使われている。

Home · log2timeline/plaso Wiki · GitHub

使い方

入力フォーマットの一覧

log2timeline -f list

出力フォーマットの一覧

log2timeline -o list

指定できるタイムゾーンの一覧

log2timeline -z list

timelineを見る

log2timelineを実行する前に、The Sleuth Kitのmmlsでパーティションの開始位置を探して、イメージをmountする必要がある。

mmls test.dd

mmlsの結果を見て、offsetに1セクタのサイズ*パーティションの開始位置を指定する。

mount -o ro,noexec,show_sys_files,loop,offset=<アドレス> test.dd /mnt/hoge
  • zでタイムゾーンを -fで入力フォーマットとパスを、-wで出力ファイルを指定する。ここではcsvにした。
log2timeline -z <タイムゾーン> -f <入力フォーマット> /mnt/hoge -w timeline.csv

作成されたcsvファイルをEXCELとかnumbersで開くと、サイズが大きくて開くのに時間がかかるので、見たい期間がある程度絞れているなら、wオプションを付けずにlog2timelineを実行してから、l2t_process -b で期間を指定し csv ファイルにするとよい。

log2timeline-sift -z <タイムゾーン> -p <パーティション> -i <イメージ>
cd /cases/timeline-output-folder/ #sans siftの場合
l2t_process -b <イメージ>_bodyfile.txt 12-01-2012..12-31-2012 > <イメージ>_bodyfile.csv