SANS SIFT Workstation 3.0をやっとダウンロードできましたので、最近 sonodam さんと話題になったタイムラインについて少し確認したいと考えています。
SIFTにはMantarayが入っていますので、イメージファイル(例えば E01ファイル)を指定して Super Timeline をチェックして実行すれば簡単にスーパータイムラインを作成することが出来ます。
とはいえ、バックグラウンドで動作している log2timeline の事を理解していないと出力されたタイムラインを読み解くのが大変そうですので、やはりまずはlog2timelineからではないでしょうか。
SIFTにはバージョン違いの?Log2timelineが含まれています、まずは Plaso エンジンベースの Log2timeline からか確認していきたいと思います。
SIFT 3.0 に入っている log2timeline.py のバージョンを確認してみます。
root@siftworkstation:/home/sansforensics# log2timeline.py -v
log2timeline - plaso backend 1.0.2_alpha
バージョン 1.0.2_alpha となっていますが、plaso のサイトだと 1.0.1 alpha 辺りしか見当たらないのですが、新しいってことですかね?、とりあえず 1.0.2 については下記Blogで新機能などについて説明されています。
Version 1.0.2 - spooky edition released.
http://blog.kiddaland.net/2013/10/halloween-brings-with-it-riding-witches.html
Java IDX.
LS Quarantine.
MacKeeper cache.
OLECF (think .doc and so many other OLE compound files on any given Windows system).
OpenXML.
Pcap files.
Plist parser (generic and a plugin interface for new parsers).
Apple Safari history parser.
SkyDrive log files.
Skype text conversations.
Windows Firewall.
Windows Job files (think at jobs).
Windows Prefetch files (supports all versions of Windows).
Windows Recycle bin (INFO2 and $I/$R).
Xchat Scroll back files.
Zeitgeist parser (Linux).
Several new Windows Registry plugins.
個人的にはパーサーとして新たに追加されたOLECFとかPcap files辺りの処理結果がどうなるかは興味あります。
log2timeline コマンドでは、--info オプションを指定することで利用可能な Paser やそれらをまとめたリストを確認することができます。SIFT 3.0 の Paser を確認すると以下になっています。log2timelineでは指定したパーサのみを --parsers パラメータで処理させる事もできます。対象のデータを絞ってタイムラインを生成するケースでは、以下の項目かリストを指定する事になります。逆に必要ないパーサーは処理から外すように指示することでノイズや無駄な処理時間で待たさることを避けられます。
*********************************** Parsers ************************************
ApplicationUsageParser : Parse Application Usage history files.
ChromeHistoryParser : Parse Chrome Archived History and History files.
FirefoxDownloadsParser : Parses a Firefox downloads file.
FirefoxHistoryParser : Parses a Firefox history file.
GoogleDriveParser : Parser for Google Drive snapshot.db files.
Hachoir : Parse meta data from files.
JavaIDXParser : Parse Java IDX files for download events.
LsQuarantineParser : Parses the launch services quarantine events
database.
MacKeeperCacheParser : Parse the MacKeeper Cache database file.
MactimeParser : Parses TSK's mactime bodyfiles.
MsiecfParser : Parses MSIE Cache Files (MSIECF).
OleCfParser : Parses OLE Compound Files (OLECF).
OpenXMLParser : Parse metadata from OXML files.
PcapParser : Parses PCAP files.
PfileStatParser : Parse the PFile Stat object to extract filesystem
timestamps.
PlistParser : Deserializes plists; yields event.PlistEvent
generated by a PlistPlugin.
SELinux : Parse SELinux audit log files.
SkyDriveLogParser : Parse SkyDrive log files.
SkypeParser : Parse Skype main.db SQlite database file.
Symantec : Parse Symantec AV Corporate Edition and Endpoint
Protection log files.
SyslogParser : Parse text based syslog files.
WinEvtParser : Parses Windows EventLog (EVT) files.
WinEvtxParser : Parses Windows XML EventLog (EVTX) files.
WinFirewallParser : Parses the Windows Firewall Log file.
WinInfo2Parser : Parses the Windows INFO2 recycle bin file.
WinJobParser : Parse Windows Scheduled Task files for job events.
WinLnkParser : Parses Windows Shortcut (LNK) files.
WinPrefetchParser : A parser for Windows Prefetch files.
WinRecycleParser : Parses the Windows $I recycle files.
WinRegistryParser : Parses Windows NT Registry (REGF) files.
XChatScrollbackParser : Parse XChat scrollback log files.
ZeitgeistParser : Parse Zeitgeist database.