SANS が提供する SIFT に入っている log2timeline-sift は HDD のイメージからタイムラインを作成するツール。
使い方は下記にある。
http://computer-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation
コマンドラインの基本的な使い方は
log2timeline-sift -z <time zone> -p <partition #> -i <image>
だが、これだとうまくいかなかった。
環境としては Win7 のパーティションイメージだったので、 -win7 -p 0 にして、なぜかマウントポイントを最後につけたらうまくいった。原因はまったくもって不明、なくてもよかったのかも。
log2timeline-sift -win7 -z Japan -p 0 -i <image_file> <mount point>
コマンドがはいると、「マウントする?」と聞かれるので y を押すと、そのまま解析に入る。
またディスクイメージでパーティションが複数ある場合は街頭のパーティションを選択する。
その場合、-p 0 オプションは不要、またはパーティション番号を入力。
SIFT で実行した場合は下記のフォルダに <image_file>_bodyfile.txt で作成される。
/cases/timeline-output-folder/
作成されたファイルはエクセルなどの表計算ソフトで開くことができる。
かなり大きなサイズになっているので、探したい期間がある程度絞れているなら、l2t_process -b で期間指定し csv ファイルにすると扱いやすい。
l2t_process -b <image_file>_bodyfile.txt 12-01-2012..12-31-2012 > <image_file>_bodyfile.csv
0 件のコメント:
コメントを投稿