Log2timeline(Plaso)にはゴミ箱ファイル関連のパーサとして、Windows Vista以降で使われている$Iファイル形式のパースに対応した WinRecycleParser(Parses the Windows $I recycle files)が含まれています。
Windows Vista/7 ではゴミ箱にファイルを移動すると、移動日とファイル名が $I に記録されますので、その内容をパースしてタイムラインとして出力してくれるはずです。
root@siftworkstation:/cases# log2timeline.py --parsers WinRecycle --output L2tcsv --logfile out.log -d Recycle_timeline.txt /cases/Win7Recycle/
実行結果は下記になります。INFO2と同じく何も結果が出力されない状況のようです。
date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra
出力してあったログファイルの方を確認してみます。ログから推測すると、$Iファイルのオープンはしているように見えますが、特にパースでのエラーは記録されていないようです。
[DEBUG] (Worker_0 ) Opening file: /cases/Win7Recycle/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/$I1WK3Z3 [OS]
[DEBUG] (Worker_0 ) [ParseFile] Parsing: /cases/Win7Recycle/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/$I1WK3Z3
ひょっとして、ファイル名の先頭にある$記号が問題あるのでしょうか?試しに変更してから処理させてみましたが、$I でないと逆に下記のメッセージが出ます。
Recycle.Bin/S-1-5-21-103683380-799628747-3452288224-1000/dolI1WK3Z3) - Not an $Ixxx file, filename doesn't start with $I.
同じデータを、log2timeline Ver0.66 でもパースしてみたいと思います。パーサは recycler を使います。
root@siftworkstation:/cases# log2timeline -f recycler -r -o csv -z UTC -log out1.log -w WIn7Recyclertimeline066.txt /cases/Win7Recycle/
結果は下記になります。日本語は残念ながら文字化けしていますが、パース処理は行われているようです。
date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra
04/20/2014,07:45:14,UTC,MACB,RECBIN,$Recycle.bin,File deleted,-,-,DELETED C:/Users/forensics/Documents/°eW0D0Ã0©0ë0Ã0ü0,C:/Users/forensics/Documents/°eW0D0Ã0©0ë0Ã0ü0 <-$R1WK3Z3,2,/$Recycle.Bin/S-1-5-21-103683380-799628747-3452288223-1000,25427971,-,Log2t::input::recycler,size: 5837151
日本語文字列部分が文字化けするとはいえパースは行われますので、Windows Vista以降のゴミ箱についてタイムスラインをパースするなら Ver 0.66 を使う方がよいですね。