入力フォーマットの一覧

$ log2timeline -f list

出力フォーマットの一覧

$ log2timeline -o list

指定できるタイムゾーンの一覧

$ log2timeline -z list

timelineを見る

log2timelineを実行する前に、The Sleuth Kitのmmlsでパーティションの開始位置を探して、イメージをmountする必要がある。

$ mmls test.dd

mmlsの結果を見て、offsetに1セクタのサイズ*パーティションの開始位置を指定する。

$ mount -o ro,noexec,show_sys_files,loop,offset=<アドレス> test.dd /mnt/hoge

-zでタイムゾーンを -fで入力フォーマットとパスを、-wで出力ファイルを指定する。ここではcsvにした。

$ log2timeline -z <タイムゾーン> -f <入力フォーマット> /mnt/hoge -w timeline.csv

作成されたcsvファイルをEXCELとかnumbersで開くと、サイズが大きくて開くのに時間がかかるので、見たい期間がある程度絞れているなら、wオプションを付けずにlog2timelineを実行してから、l2t_process -b で期間を指定し csv ファイルにするとよい。

$ log2timeline-sift -z <タイムゾーン> -p <パーティション> -i <イメージ>
$ cd /cases/timeline-output-folder/ #sans siftの場合
$ l2t_process -b <イメージ>_bodyfile.txt 12-01-2012..12-31-2012 > <イメージ>_bodyfile.csv