ディスクイメージからタイムライン解析が実施できる。
タイムライン解析用ツール
plaso / log2timeline
オープンソースURL
https://github.com/log2timeline/plaso/
タイムライン解析用コマンドツールであり。様々なファイルから、タイムラインを作成できる。
手順
①「log2timeline」で、対象ファイル(フォルダ)やイメージファイル(保全した端末)からデータベース(中間ファイル)=「plaso storage」を生成
②「psort」でデータベース(中間ファイル) =「plaso storage」 からタイムラインを作成
基本コマンド
① log2timeline –parsers 「プラグイン名」 「出力ファイル名(plaso storage)」 「解析対象ファイル名」
② psort -z 「タイムゾーン」 -o 「出力形式」 -w 「出力形式」 「出力ファイル名」 「plaso storage(①で出力したファイル)」 「期間指定」
コマンド> log2timeline –parsers filestat test.plaso image.dd
filestat;ファイルのタイムスタンプを解析する「filestat」プラグインを実行
testdb:「test.db」というファイル名で「plaso storage」を出力
image.dd:解析対象として、ディスクイメージ「image.dd」を指定(※フォルダの指定も可)
コマンド> psort -z Japan -o tln -w timeline.txt test.plaso ”date < ‘2020-01-01 10:00:00’ and date > ‘2020-01-02 10:00:00’ “
-z Japan:日時情報を日本時間(JST)で表示
-w timeline.txt:「timeline.txt」というファイル名でタイムラインを出力
test.plaso:先ほど作った「plaso storage」のファイル名
“date ~”:指定した期間のタイムラインのみを出力
(2020年1月1日10時~2日10時:日時はUTC(日本時間-9時間)で指定すること)
コメント