@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(23)

フォレンジック

Log2timeline(Plaso)にはタスクスケジューラのジョブファイルをパースする WinJobParser(Parse Windows Scheduled Task files for job events)が提供されています。このパーサは Ver 0.66 では提供されていないものです。

 

タスクスケジューラのジョブファイルですが、通常は C:\Windows\Tasksフォルダ配下に拡張子 .job ファイルとして存在しています。.job ファイルはバイナリ形式になっていますが、このファイルの内容を Plaso のパーサは解釈して結果を出力する事になります。

JOBファイルフォーマットはMSDNの下記URLが参考になります。

2.4 .JOB File Format http://msdn.microsoft.com/en-us/library/cc248285.aspx

 

オプションのコマンドラインでは -z でタイムゾーンを指定する必要があります。タイムゾーンとして Japan を指定せずに実行すると UTC 出力された日付が正しくありません。(log2timeline -z listで指定値を確認できます)

root@siftworkstation:/cases# log2timeline.py --parsers WinJob --output L2tcsv --logfile out.log -z Japan -d Winjob_timeline.txt /cases/Tasks/

実行結果は下記になります。一つのJobファイルをパースした結果として、2レコードが出力されています。Last Time Executed は FIXDLEN_DATA の日付。Scheduled To Start はVariable-Length Data Section の Triggers の日付。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,01:26:00,UTC,....,Windows Job,Windows Scheduled Task Job,Last Time Executed,Adobe Systems Incorporated,-,Application: C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe ...,Application: C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Scheduled by: Adobe Systems Incorporated Run Iteration: DAILY,2,/cases/Tasks/Adobe Flash Player Updater.job,28049410,-,WinJobParser,comment: このタスクにより、Adobe Flash Player は最新の機能強化とセキュリティの修正がインストールされた最新の状態で保たれます。このタスクを無効にしたり削除したりすると、Adobe Flash Player は最新のセキュリティの修正でご使用のマシンを自動的に保護することができなくなります。 

01/01/2000,00:26:00,UTC,....,Windows Job,Windows Scheduled Task Job,Scheduled To Start,Adobe Systems Incorporated,-,Application: C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe ...,Application: C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Scheduled by: Adobe Systems Incorporated Run Iteration: DAILY,2,/cases/Tasks/Adobe Flash Player Updater.job,28049410,-,WinJobParser,comment: このタスクにより、Adobe Flash Player は最新の機能強化とセキュリティの修正がインストールされた最新の状態で保たれます。このタスクを無効にしたり削除したりすると、Adobe Flash Player は最新のセキュリティの修正でご使用のマシンを自動的に保護することができなくなります。 

トリガーの部分ですが、下記では 2000年1月1日からになっているので、タイムラインで見る際には注意が必要かもしれませんね。