アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(6)

WinEvtParser(Parses Windows EventLog (EVT) files)を試してみたいと思います。EVT形式ですのでWindows XPなどで使われていたイベントログファイル形式になります。

 root@siftworkstation:/cases# log2timeline.py --parsers WinEvt --output L2tcsv --logfile out.log -d evttimeline.txt ./EVT/

出力結果は以下のようになります。日本語は化けずにといいますか、Unicodeの数値で出力されてきています。例えば u'2010\u5e747\u67089\u65e5' は 2010年7月9日 になります。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

07/09/2010,00:10:29,UTC,....,EVT,WinEVT,Creation Time,-,-,[0x00000012] Strings: [u'2010\u5e747\u67089\u65e5'  u'15:00'  u'\n- Windows X...,[18 / 0x00000012] Record Number: 390 Event Type: Failure Audit event Event Category: 8 Source Name: Windows Update Agent Computer Name: FORENSIC-87221E Strings: [u'2010\u5e747\u67089\u65e5'  u'15:00'  u'\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB923561)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB956802)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB958644)\n- Windows XP \u7528 Jscript 5.8 \u306e\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB971961)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB975562)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB973815)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB960803)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB978706)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB979482)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB979309)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB970238)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB978542)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB951748)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB977914)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB974392)\n- Windows XP \u7528\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB967715)\n- Windows XP \u7528\u306e\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB952287)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB979559)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB978601)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB950762)\n- Windows XP \u7528\u306e\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB973687)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB975560)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB974571)\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB952004)'],2,./EVT/SysEvent1.Evt,16646146,-,WinEvtParser,recovered: False  event_type: 4 

 このイベントログ レコードをイベントビューアで見た場合には説明の項目として、下記メッセージが表示されています。 

インストールの準備完了: 次の更新のダウンロードが完了しました。現在、これらの更新を2010年7月9日 に 15:00 にインストールする予定になっています。

- Windows XP 用セキュリティ更新プログラム(KB923561)

<続く>

 該当部分と想定される箇所を抜き出してみます。(KBの番号などから同じ位置だと推測しています) 

 [u'2010\u5e747\u67089\u65e5'  u'15:00'  u'\n- Windows XP \u7528\u30bb\u30ad\u30e5\u30ea\u30c6\u30a3\u66f4\u65b0\u30d7\u30ed\u30b0\u30e9\u30e0 (KB923561)\n

 デコードすると下記の日本語文字列になります。

\u7528 用

\u30bb セ

\u30ad キ

\u30e5 ユ

\u30ea リ

\u30c6 テ

\u30a3 ィ

\u66f4 更

\u65b0 新

\u30d7 プ

\u30ed ロ

\u30b0 グ

\u30e9 ラ

\u30e0 ム

 日付以外にも「インストールの準備完了・・・」といった文字列が本来は存在しているはずなのですが、欠落してしまっているようです。これも良く見るパターンですね。

 レコードの日付は取れていますので、タイムラインは生成が可能です。ただ、レコードの内容を確認するにはイベントログから探す必要が出てしまいますので、別のツールなりでイベントログを CSV 形式で出力し、それを使ってタイムラインを構成する方が見やすくなるのではないでしょうか。