@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(15)

Log2timeline(Plaso)にはゴミ箱ファイル関連のパーサとして、Windows Vista以降で使われている$Iファイル形式のパースに対応した WinRecycleParser(Parses the Windows $I recycle files)が含まれています。

Windows Vista/7 ではゴミ箱にファイルを移動すると、移動日とファイル名が $I に記録されますので、その内容をパースしてタイムラインとして出力してくれるはずです。

root@siftworkstation:/cases# log2timeline.py --parsers WinRecycle --output L2tcsv --logfile out.log -d Recycle_timeline.txt /cases/Win7Recycle/

実行結果は下記になります。INFO2と同じく何も結果が出力されない状況のようです。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

 

 出力してあったログファイルの方を確認してみます。ログから推測すると、$Iファイルのオープンはしているように見えますが、特にパースでのエラーは記録されていないようです。

[DEBUG] (Worker_0  ) Opening file: /cases/Win7Recycle/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/$I1WK3Z3 [OS]

[DEBUG] (Worker_0  ) [ParseFile] Parsing: /cases/Win7Recycle/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/$I1WK3Z3

 ひょっとして、ファイル名の先頭にある$記号が問題あるのでしょうか?試しに変更してから処理させてみましたが、$I でないと逆に下記のメッセージが出ます。

Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/dolI1WK3Z3) - Not an $Ixxx file, filename doesn't start with $I.

同じデータを、log2timeline Ver0.66 でもパースしてみたいと思います。パーサは recycler を使います。

root@siftworkstation:/cases# log2timeline -f recycler -r -o csv -z UTC -log out1.log -w WIn7Recyclertimeline066.txt /cases/Win7Recycle/

結果は下記になります。日本語は残念ながら文字化けしていますが、パース処理は行われているようです。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,07:45:14,UTC,MACB,RECBIN,$Recycle.bin,File deleted,-,-,DELETED C:/Users/forensics/Documents/°eW0D0Ã0©0ë0Ã0ü0,C:/Users/forensics/Documents/°eW0D0Ã0©0ë0Ã0ü0 <-$R1WK3Z3,2,/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288223-1000,25427971,-,Log2t::input::recycler,size: 5837151 

 日本語文字列部分が文字化けするとはいえパースは行われますので、Windows Vista以降のゴミ箱についてタイムスラインをパースするなら Ver 0.66 を使う方がよいですね。