@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(9)

これまでplasoベースの log2timeline.py を使ってきてみましたが、イベントログのパースが期待した内容と少しずれている気がする為、SIFT 3.0 に入っている log2timeline version 0.66 を試してみたいと思います。 

root@siftworkstation:/cases# log2timeline -V

log2timeline version 0.66

 Evtxファイルのパースモジュールは evtx になります。(log2timeline -f list)

 evtx 0.5Parse the content of a Windows Event Log File (EVTX)

 アウトプットモジュールはCSVを使います。(log2timeline -o list)

 root@siftworkstation:/cases# log2timeline -f evtx -o csv -r -z UTC -log out2.log -w body.csv /cases/EVTX/

 昨日、Plasoで出力したのと同じレコードを確認してみます。

 date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

07/07/2010,05:06:29,UTC,MACB,EVTX,System,Event Logged,-,37L4247D28-05,Event ID System/Microsoft-Windows-Kernel-Processor-Power:26,System/Microsoft-Windows-Kernel-Processor-Power ID [26] :EventData/ComplexData -> IdleState = 01 PerfState =  - EventData/Data -> Group = 0 Number = 0 IdleStateCount = 1 PerfStateCount = 0 ThrottleStateCount = 8 ,2,/System.evtx,16777218,Description of EventIDs can be found here: http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226 URL: http://eventid.net/display.asp?eventid=26&source=Microsoft-Windows-Kernel-Processor-Power,Log2t::input::evtx,-

 MantarayのSuper timelineの出力結果は上記と同じ形式でしたので、MantarayはPlasoベースをエンジンとして利用しておらず、0.66 ベースの log2timeline を呼び出しているという事でしょうかね。

詳細なメッセージ?は取れませんが、イベントIDが分かれば検索なども可能ですし、なんとなくスッキリしているこちらの方が見やすいのではないでしょうか。

 

試しに evt ファイルについても log2timeline ver 0.66 試してみたのですが、部分的に日本語メッセージも化けずに出力されますが、メッセージの一部が欠落している箇所があるという微妙な結果になっています。 

07/08/2010,06:05:12,UTC,MACB,EVT,Event Log,Time generated/written,-,FORENSIC-87221E,Windows Update Agent/18;Info;2010年7月9日15:00 - Windows XP 用セキュリティ更新プログラム (KB923561) - Flash Player 用セキュリティ更新プログラム (KB923789) - Windows Media Player 9 用セキュリティ更新プログラム、Windows XP SP2 向け (KB979402) - Windows XP 用セキュリティ更新プログラム (KB955069) - Windows XP 用セキュリティ更新プログラム (KB958644) - Windows XP 用の更新プログラム (KB886677) - Windows XP 用セキュリティ更新プログラム (KB958470) - Windows Media フォーマット ランタイム 9、9.5、11 のセキュリティ更新プログラム、Windows XP SP2 向け (KB978695) - Windows XP 用セキュリティ更新プログラム (KB979309) - Windows XP 用 Jscript 5.6 のセキュリティ更新プログラム (KB971961) - Windows XP の ActiveX Killbits に対するセキュリティ更新プログラム (KB950760) - Windows XP 用セキュリティ更新プログラム (KB973904) - Windows XP 用の更新プログラム (KB952287) - Windows XP 用セキュリティ更新プログラム (KB978601) - Windows XP 用の更新プログラム (KB981793) - Windows XP 用セキュリティ更新プログラム (KB950762) - Windows XP 用の更新プログラム (KB973687) - Windows XP Service Pack 2 用セキュリティ更新プログラム (KB973540) - Windows XP 用セキュリティ更新プログラム (KB973869) - Windows XP Service Pack 2 用セキュリティ更新プログラム (KB952069) - Windows XP 用セキュリティ更新プログラム (KB975561) - Windows XP 用セキュリティ更新プログラム (KB956844) - Windows XP 用セキュリテ,Windows Update Agent/18;Info;2010年7月9日15:00 - Windows XP 用セキュリティ更新プログラム (KB923561) - Flash Player 用セキュリティ更新プログラム (KB923789) - Windows Media Player 9 用セキュリティ更新プログラム、Windows XP SP2 向け (KB979402) - Windows XP 用セキュリティ更新プログラム (KB955069) - Windows XP 用セキュリティ更新プログラム (KB958644) - Windows XP 用の更新プログラム (KB886677) - Windows XP 用セキュリティ更新プログラム (KB958470) - Windows Media フォーマット ランタイム 9、9.5、11 のセキュリティ更新プログラム、Windows XP SP2 向け (KB978695) - Windows XP 用セキュリティ更新プログラム (KB979309) - Windows XP 用 Jscript 5.6 のセキュリティ更新プログラム (KB971961) - Windows XP の ActiveX Killbits に対するセキュリティ更新プログラム (KB950760) - Windows XP 用セキュリティ更新プログラム (KB973904) - Windows XP 用の更新プログラム (KB952287) - Windows XP 用セキュリティ更新プログラム (KB978601) - Windows XP 用の更新プログラム (KB981793) - Windows XP 用セキュリティ更新プログラム (KB950762) - Windows XP 用の更新プログラム (KB973687) - Windows XP Service Pack 2 用セキュリティ更新プログラム (KB973540) - Windows XP 用セキュリティ更新プログラム (KB973869) - Windows XP Service Pack 2 用セキュリティ更新プログラム (KB952069) - Windows XP 用セキュリティ更新プログラム (KB975561) - Windows XP 用セキュリティ更新プログラム (KB956844) - Windows XP 用セキュリテ,2,/SysEvent1.Evt,16646146,URL: http://eventid.net/display.asp?eventid=18&source=Windows%20Update%20Agent- http://support.microsoft.com/kb/973904- http://support.microsoft.com/kb/956844- http://support.microsoft.com/kb/978695- http://support.microsoft.com/kb/973540- http://support.microsoft.com/kb/979402- http://support.microsoft.com/kb/923789- http://support.microsoft.com/kb/973869- http://support.microsoft.com/kb/923561- http://support.microsoft.com/kb/973687- http://support.microsoft.com/kb/978601- http://support.microsoft.com/kb/958470- http://support.microsoft.com/kb/955069- http://support.microsoft.com/kb/971961- http://support.microsoft.com/kb/952287- http://support.microsoft.com/kb/975561- http://support.microsoft.com/kb/981793- http://support.microsoft.com/kb/950762- http://support.microsoft.com/kb/979309- http://support.microsoft.com/kb/958644- http://support.microsoft.com/kb/952069- http://support.microsoft.com/kb/950760- http://support.microsoft.com/kb/886677,Log2t::input::evt,uid: unknown size: 393216