Log2timeline(Ver 0.66)によるタイムラインの作成 mft
Log2timeline Ver 0.66 に含まれているパーサとして mft(Parse the content of a NTFS MFT file)があります。NTFS のマスターファイルテーブルをパースする為のものですが、単体で使った場合の状況を確認しておきたいと思います。
サンプルとして、NTFSファイルシステムから $MFT ファイルだけを取り出し、SIFT 3.0 の log2timeline ver 0.66 でパースしてみます。
root@siftworkstation:/cases# log2timeline -f mft -o csv -z UTC -log out1.log -w mfttimeline066.txt /cases/MFT/\$MFT
出力結果は下記になります。日本語ファイル名も正しく処理されています。
date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra
04/20/2014,01:54:29,UTC,..C.,FILE,NTFS $MFT,$SI [..C.] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-
07/14/2009,04:52:25,UTC,M...,FILE,NTFS $MFT,$SI [M...] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-
04/20/2014,01:54:13,UTC,.A.B,FILE,NTFS $MFT,$SI [.A.B] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-
このサンプルでは、JPEG画像をコピーした後で、ファイル名を Koara.jpg から こあら.jpg に変更していますが、$FN は出力されないようですね。基本的には $SI のみをパースするという理解で良いのでしょうか。
上記の例ではボリューム直下にファイルがあった状況でしたが、フォルダ配下にファイルがある場合には下記のようになります。
04/20/2014,02:13:30,UTC,..C.,FILE,NTFS $MFT,$SI [..C.] time,-,-,/新しいフォルダー/こあら.jpg,/新しいフォルダー/こあら.jpg,2,/新しいフォルダー/こあら.jpg,37, ,Log2t::input::mft,-