@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(3)

フォレンジック

Log2timeline(Plaso)で引き続きパース結果を確認したいと思います。

SQlite3 DB を使っているアプリケーションとしては、Google Chromeもありますので試しに Chrome ブラウザのデータをパースしてみたいと思います。

パーサーとしては --parsers ChromeHistoryParser を指定します。出力モジュールとしては、CSV形式で出力するように --outpu L2tcsv を指定します。

 root@siftworkstation:/cases# log2timeline.py --parsers Chrome --output L2tcsv chrometimeline.txt ./Chrome/

 

結果を確認してみます。今回は Skype の時と異なり履歴ファイルがパースされタイムラインのレコードが出力されていることを確認できました。出力時刻はタイムゾーンを指定していませんので UTC となっています。日本時間として読むには +9 する必要があります。 

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,00:45:51,UTC,.A..,WEBHIST,Chrome History,Page Visited,-,-,http://realtime.search.yahoo.co.jp/search?fr=top_ga1_sa&ei=utf-8&p=%E3%83%95%...,http://realtime.search.yahoo.co.jp/search?fr=top_ga1_sa&ei=utf-8&p=%E3%83%95%E3%82%A9%E3%83%AC%E3%83%B3%E3%82%B8%E3%83%83%E3%82%AF (「フォレンジック」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索) [count: 0] Host: realtime.search.yahoo.co.jp Visit from: http://search.yahoo.co.jp/search?p=%E3%83%95%E3%82%A9%E3%83%AC%E3%83%B3%E3%82%B8%E3%83%83%E3%82%AF&rtsearch.x=1&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq= (「フォレンジック」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索) (URL not typed directly - no typed count),2,./Chrome/Default/History,31671443,-,ChromeHistoryParser,

  

出力のタイムゾーンを直接指定する方法があるのかもしれませんが、psortコマンドを使うことで出力時のタイムゾーンを指定する事ができます。まずは、Log2timeline で標準のストレージ形式を使ってタイムラインを出力します。 

root@siftworkstation:/cases# log2timeline.py --parsers Chrome chrometimeline_output ./Chrome/

 次に、psort.py を実行します。アウトプットモジュールは L2csv を指定しています。

 root@siftworkstation:/cases# psort.py -z Japan -w ChromeTimeLineJST.txt -o L2tcsv chrometimeline_output 

出力結果のCSVファイルを見てみます、タイムゾーンが Japan となり、時刻も +9 された時刻が出力されている事が確認できました。 

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,09:45:51,Japan,.A..,WEBHIST,Chrome History,Page Visited,-,-,http://search.yahoo.co.jp/search?p=%E3%83%95%E3%82%A9%E3%83%AC%E3%83%B3%E3%82...,http://search.yahoo.co.jp/search?p=%E3%83%95%E3%82%A9%E3%83%AC%E3%83%B3%E3%82%B8%E3%83%83%E3%82%AF&rtsearch.x=1&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq= (「フォレンジック」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索) [count: 0] Host: search.yahoo.co.jp Visit from: http://www.yahoo.co.jp/ (Yahoo! JAPAN) (URL not typed directly - no typed count),2,./Chrome/Default/History,31671443,-,ChromeHistoryParser,