@port139 Blog


Log2timeline(Ver 0.66)によるタイムラインの作成 ftk_dirlisting

Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting(Parse the content of a CSV file that is exported from FTK Imager (dirlisting))があります。

FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確認しておきたいと思います。

FTK Imagerで E01 ファイルをマウント後、Creating Directory ListingからCSVファイルを出力したものをパースしてみます。

root@siftworkstation:/cases# log2timeline -f ftk_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirList.csv 


[Log2Timeline] Error occured while parsing /cases/FTKImager/DirList.csv - The processing has died and therefore it will not be further processed.

However the tool will continue running, trying to parse the next file.

The error that got displayed by the tool is:

Undefined subroutine &Log2t::input::ftk_dirlisting::enocde called at /usr/share/perl5/Log2t/input/ftk_dirlisting.pm line 145, <HF> line 2.

 もう一つ似たパーサとして encase_dirlisting というパーサがあります。説明文では FTK Imagerと書かれていますが、下記を見る限り EnCase V6 のExportから出力したものを対象としているようです。


Name  Filter  In Report  File Ext  File Type  File Category  Signature  Description  Is Deleted  Last Accessed  File Created  Last Written  Entry Modified  File Deleted  File Acquired  Logical Size  Initialized Size  Physical Size  Starting Extent  File Extents  Permissions  References  Physical Location  Physical Sector  Evidence File  File Identifier  Code Page  Hash Value  Hash Set  Hash Category  Hash Properties  Full Path  Short Name  Unique Name  Original Path  Symbolic Link  Is Duplicate  Is Internal  Is Overwritten


root@siftworkstation:/cases# log2timeline -f encase_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirListE1.csv 


07/09/2014,13:52:25,UTC,M...,FILE,Encase Imager FolderPath,Modified,-,-, S0B00. j p g , M F T / U S B / C / °eW0D0Õ0©0ë0À0ü0/ S0B00. j p g ,2,/cases/FTKImager/DirListE1.csv,32374789,-,Log2t::input::encase_dirlisting,size:  7 8 0 - 8 3 1