読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline(Ver 0.66)によるタイムラインの作成 ftk_dirlisting

フォレンジック

Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting(Parse the content of a CSV file that is exported from FTK Imager (dirlisting))があります。

FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確認しておきたいと思います。

FTK Imagerで E01 ファイルをマウント後、Creating Directory ListingからCSVファイルを出力したものをパースしてみます。

root@siftworkstation:/cases# log2timeline -f ftk_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirList.csv 

残念ながらエラーになるようで、下記メッセージがログに出力されていました。日本語ファイル名の問題かと思ったのですが、英数字だけでもダメなようです。

[Log2Timeline] Error occured while parsing /cases/FTKImager/DirList.csv - The processing has died and therefore it will not be further processed.

However the tool will continue running, trying to parse the next file.

The error that got displayed by the tool is:

Undefined subroutine &Log2t::input::ftk_dirlisting::enocde called at /usr/share/perl5/Log2t/input/ftk_dirlisting.pm line 145, <HF> line 2.

 もう一つ似たパーサとして encase_dirlisting というパーサがあります。説明文では FTK Imagerと書かれていますが、下記を見る限り EnCase V6 のExportから出力したものを対象としているようです。

https://code.google.com/p/log2timeline/source/browse/lib/Log2t/input/encase_dirlisting.pm?r=662db1630fe7907d83664e7d617b93308f803154

Name  Filter  In Report  File Ext  File Type  File Category  Signature  Description  Is Deleted  Last Accessed  File Created  Last Written  Entry Modified  File Deleted  File Acquired  Logical Size  Initialized Size  Physical Size  Starting Extent  File Extents  Permissions  References  Physical Location  Physical Sector  Evidence File  File Identifier  Code Page  Hash Value  Hash Set  Hash Category  Hash Properties  Full Path  Short Name  Unique Name  Original Path  Symbolic Link  Is Duplicate  Is Internal  Is Overwritten

実際にパースしてみます。

root@siftworkstation:/cases# log2timeline -f encase_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirListE1.csv 

結果は下記になります。日本語文字列が化けているのと、英数字も余計なスペースが入るようですので微妙な結果です。

07/09/2014,13:52:25,UTC,M...,FILE,Encase Imager FolderPath,Modified,-,-, S0B00. j p g , M F T / U S B / C / °eW0D0Õ0©0ë0À0ü0/ S0B00. j p g ,2,/cases/FTKImager/DirListE1.csv,32374789,-,Log2t::input::encase_dirlisting,size:  7 8 0 - 8 3 1