会社や組織は成長や衰退を繰り返していきますが、衰退については組織中にいると中々気がつかない部分があったりするかと思います。ビジョナリーカンパニー③では、そんな企業や組織の衰退の過程について分かりやすく説明されている書籍になります。 ビジョナ…

Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting（Parse the content of a CSV file that is exported from FTK Imager (dirlisting)）があります。 FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確…

Log2timeline Ver 0.66 に含まれているパーサとして mft（Parse the content of a NTFS MFT file）があります。NTFS のマスターファイルテーブルをパースする為のものですが、単体で使った場合の状況を確認しておきたいと思います。 サンプルとして、NTFSフ…

Log2timeline.py(Plaso）または Ver 0.66 のパーサをこれまで試してきました。 全てのパーサをテストしてはいませんが、ここまでテストした結果を整理しておきたいと思います。 なお、SIFT 3.0 環境とテストデータによる結果ですので、処理するデータや環境…

Log2timeline.py(Plaso）または Ver 0.66 で作成した CSV 形式のタイムラインは Excel などで開く事が出来ます。そのまま Excel で取り扱う事もできますが、SANS から項目により色分けし見やすくするためのExcel テンプレートファイルが提供されています。 D…

Log2timeline.py(Plaso）のパーサリストの所在を確認しておきたいと思います。 log2timeline.py --info でパーサのリストを取得できます。このリストには個別のパーサだけでなく、事前に定義されている linux や win7、winxp といったものがあります。複数の…

いわゆる遠隔操作事件も犯人が自白するという事で幕引きに向かっているようですが、この事件ではデジタルデータの取り扱いが話題になっています。 個人的には本件に関わらず最近のケースでは大抵デジタルデータが何かしら関係していて、この件だけを問題視す…

本日はお昼前に予定があった為、朝のうちに 50km ほどサイクリングしてきました。 距離的には短い為、平均移動速度をどの程度上げる事ができるか？という点で平均 25km を目標に漕いでみましたが、結果としては平均移動速度は 23km という結果でした。休憩時…

SIFT 3.0 に含まれている l2t_process ver 0.2 の具体的な実行結果について確認してみたいと思います。（l2t_process.pyではないので注意してください） 読み込み時の日付フォーマットをMM-DD-YYYYではなくyyyy-mm-ddで読む形式に変更する(-y) Keywordファイ…

Log2timeline（Plaso）のパーサモジュールではなく、出力結果の取り扱いについて確認しておきたいと思います。Plaso には psort.py が提供されており、Plasoストレージを対象にソート処理などを行う事ができます。これはすでに試してみていますので、以下 l2…

Log2timeline（Plaso）には含まれていませんので脱線した話題になりますが、Ver 0.66 には jp_ntfs_change（Parse the content of a CSV output file from JP (NTFS Change log) というパーサが提供されています。 これは、NTFS のジャーナルファイル $UsnJr…

Log2timeline（Plaso）にはWindows FireWallのログファイルをパースする WinFirewallParser（Parses the Windows Firewall Log file）が、Ver 0.66 には xpfirewall（Parse the content of a XP Firewall log）が提供されています。 まずPlasoの WinFirewall…

Log2timeline（Plaso）にはタスクスケジューラのジョブファイルをパースする WinJobParser（Parse Windows Scheduled Task files for job events）が提供されています。このパーサは Ver 0.66 では提供されていないものです。 タスクスケジューラのジョブフ…

本日は予定通り約 80km ほど江戸川サイクリングロードを走ってきました、仮想ゴールの桜島までは残り約 1,000km ということになります。 午後からは Kindle Paperwhite で読書でもと思い、オーナーズライブラリを見ていたところ、「夢をかなえるゾウ」を見つ…

自転車に乗るにはちょうど良い季節に入っていますが、昨年ほとんど乗れていなかった RNC3 を最近引っ張り出してきてサイクリングロードを走っています。 04/27 50km 04/28 70km 05/02 100km 05/16 80km 05/17 25km これまでのところ累積距離としては約325km …

Log2timeline（Plaso）の SkyDrive（現在のOneDrive）のパーサ SkyDriveLogParser(Parse SkyDrive log files.)を試してみたいと思います。 SkyDrive（現在はOneDrive）については、データ同期用のフォルダが C:\Users\<ユーザー名>\OneDrive に作成されます…

Log2timeline（Plaso）には、クラウドストレージに対応したプラグインとして、GoogleDriveParser（Parser for Google Drive snapshot.db files）と、SkyDriveLogParser（Parse SkyDrive log files）の二つが提供されています。これら二つのパーサは Ver 0.66…

Log2timeline（Plaso）の PcapParser（Parses PCAP files）に続き、Ver 0.66 の pcap パーサについても試してみたいと思います。 root@siftworkstation:/cases# log2timeline -f pcap -r -o csv -z UTC -log out1.log -w pcaptimeline066.txt /cases/pcap/ …

Log2timeline（Plaso）と Ver0.66 には、PCAPファイルをパースする PcapParser（Parses PCAP files）、pcap が提供されています。 これまでに試したパーサはいずれもディスク上に存在しているデータがパース対象になっていましたが、これらはネットワーク上…

Log2timeline（Plaso）の WinRegistryParser 後半部分のプラグインになります。Plaso のプラグインが確認していないレジストリ内のアーティファクトについては、Regripper など別ツールでパースしていく必要があります。 MsieTypedURLsPlugin : Gathers the …

Log2timeline（Plaso）の WinRegistryParser ですが、複数のプラグインが含まれています。Registry Plugins としてリストアップされる項目について、それぞれが参照しているレジストリキーについて確認してみます。数がありますので、まずは前半部分のプラグ…

Log2timeline（Plaso）と Ver 0.66 いずれにも含まれているパーサーとしては、レジストリファイルがあります。 Plasoでは WinRegistryParser（Parses Windows NT Registry (REGF) files.）、Ver 0.66 では sam、security、system、software、ntuser が対応し…

Log2timeline（Plaso）にはゴミ箱ファイル関連のパーサとして、Windows Vista以降で使われている$Iファイル形式のパースに対応した WinRecycleParser（Parses the Windows $I recycle files）が含まれています。 Windows Vista/7 ではゴミ箱にファイルを移動…

Log2timeline（Plaso）と Ver 0.66 いずれにも含まれているパーサーとしては、Windows XPのゴミ箱ファイル（Info2）に対応したものがあります。 Plasoでは WinInfo2Parser（Parses the Windows INFO2 recycle bin file.）、Ver 0.66 では recycler が対応し…

Log2timeline（Plaso）と Ver 0.66 いずれにも含まれているパーサーとして IE のヒストリとキャッシュのパーサがあります。Plasoでは MsiecfParser（Parses MSIE Cache Files (MSIECF)）が提供されており、説明文からすればキャッシュの Index.dat をパース…

Log2timeline（Plaso）と Ver 0.66 いずれにも含まれているパーサーとして WinPrefetchParser があります。Windows が作成するプリフェッチファイル（.pf)をパースしてくれるはずですが、日本語のファイル名などの扱いがどうなっているのか確認してみたいと…

Log2timeline（Plaso）にも、0.66 にも含まれているパーサーとして WinLnkParser があります。いわゆるショートカットファイル（.LNK) をパースしてくれるはずですが、LNK ファイルは内部構造として日本語文字列が含まれている部分もあります。 まずは、Plas…

ゴールデンウイーク期間中で曜日感覚が狂ってきていますが、今日は日曜日ですね。先日ロードバイクに乗ってプチロングライドで受けた影響？もあり、今日は近所をカメラ（E-M5）を持って散歩です。 週末、自転車に乗らない時にはよく散歩をするようにしていま…

ゴールデンウィークの連休期間中、一度はぷちロングライドに出かけたいと考えていたのですが、丁度天候も良かったので昨日 100Km を RNC3 でサイクリングしてきました。 自宅から江戸川サイクリングロードを走り関宿城まで行けば往復で約 100Km になります。…

SIFT 3.0 に入っている log2timeline は 2種類ありますが、Plaso と version 0.66 でのような差異があるかを確認してみたいと思います。 Plasoと比較すると 0.66 はパーサーが豊富です。Plasoではパーサのリストを表示するには --info でしたが、0.66 では -…