Log2timeline（Plaso）と Ver 0.66 いずれにも含まれているパーサーとしては、Windows XPのゴミ箱ファイル（Info2）に対応したものがあります。

Plasoでは WinInfo2Parser（Parses the Windows INFO2 recycle bin file.）、Ver 0.66 では recycler が対応したモジュールとなっています。 

ここでは Windows XP のゴミ箱へファイルを捨てた状態でパースを行い、結果を確認していきたいと思います。 

root@siftworkstation:/cases# log2timeline.py --parsers WinInfo2 --output L2tcsv --logfile out.log -d info2timeline.txt /cases/Info2

 パース結果は下記になります。主力結果には何もレコードが含まれていません。ゴミ箱フォルダには、日本語文字列を含むファイルが幾つか捨てられている状態ですが、正しくパースできないようです。

 date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

 

 ログファイルを確認してみると、やはりエラーでこけているようです。

[DEBUG] (Worker_0  ) Opening file: /cases/Info2/INFO2 [OS]

[DEBUG] (Worker_0  ) [ParseFile] Parsing: /cases/Info2/INFO2

[DEBUG] (Worker_0  ) Checking [/cases/Info2/INFO2] against: WinInfo2Parser

[WARNING] (Worker_0  ) An unexpected error occured during processing of file: /cases/Info2/INFO2 using module WinInfo2Parser. The error was: 'ascii' codec can't decode byte 0x83 in position 21: ordinal not in range(128).

Parsing of file is is terminated.

[DEBUG] (Worker_0  ) The PathSpec that caused the error:

(root)

type: OS

file_path: "/cases/Info2/INFO2"

path_prepend: ""

 

type: OS

file_path: "/cases/Info2/INFO2"

path_prepend: ""

 Plasoではなく、Ver 0.66 でも下記コマンドを試してみましたが、残念ながらパース結果を確認してもレコードは何も出力されない状況でした。

 root@siftworkstation:/cases# log2timeline -f recycler -o csv -z UTC -log out1.log -w info2timeline066.txt /cases/Info2/

 試しに、Info2ファイルを直接指定してコマンドを実行してみたのですが、正しい形式のファイルではないとエラーになってしまうようです。

Start processing file/dir [/cases/Info2/INFO2] ...

Starting to parse using input modules(s): [recycler] 

Loading output module: csv

File /cases/Info2/INFO2 not VALID (Log2t::input::recycler): Not the correct format

 それではと、一度ゴミ箱フォルダを空にし、英数文字だけのファイル名になっているファイルをゴミ箱に捨てた後、このINFO2ファイルを処理してみましたが、PlasoとVer 0.66 いずれもやはりダメでパース出来ないようです。

データ構造を目視で確認した範囲では問題なさそうでしたが。