Log2timeline(Ver 0.66)によるタイムラインの作成 ftk_dirlisting
Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting(Parse the content of a CSV file that is exported from FTK Imager (dirlisting))があります。
FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確認しておきたいと思います。
FTK Imagerで E01 ファイルをマウント後、Creating Directory ListingからCSVファイルを出力したものをパースしてみます。
root@siftworkstation:/cases# log2timeline -f ftk_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirList.csv
残念ながらエラーになるようで、下記メッセージがログに出力されていました。日本語ファイル名の問題かと思ったのですが、英数字だけでもダメなようです。
[Log2Timeline] Error occured while parsing /cases/FTKImager/DirList.csv - The processing has died and therefore it will not be further processed.
However the tool will continue running, trying to parse the next file.
The error that got displayed by the tool is:
Undefined subroutine &Log2t::input::ftk_dirlisting::enocde called at /usr/share/perl5/Log2t/input/ftk_dirlisting.pm line 145, <HF> line 2.
もう一つ似たパーサとして encase_dirlisting というパーサがあります。説明文では FTK Imagerと書かれていますが、下記を見る限り EnCase V6 のExportから出力したものを対象としているようです。
Name Filter In Report File Ext File Type File Category Signature Description Is Deleted Last Accessed File Created Last Written Entry Modified File Deleted File Acquired Logical Size Initialized Size Physical Size Starting Extent File Extents Permissions References Physical Location Physical Sector Evidence File File Identifier Code Page Hash Value Hash Set Hash Category Hash Properties Full Path Short Name Unique Name Original Path Symbolic Link Is Duplicate Is Internal Is Overwritten
実際にパースしてみます。
root@siftworkstation:/cases# log2timeline -f encase_dirlisting -o csv -z UTC -log out1.log -w ftktimeline066.txt /cases/FTKImager/DirListE1.csv
結果は下記になります。日本語文字列が化けているのと、英数字も余計なスペースが入るようですので微妙な結果です。
07/09/2014,13:52:25,UTC,M...,FILE,Encase Imager FolderPath,Modified,-,-, S0B00. j p g , M F T / U S B / C / °eW0D0Õ0©0ë0À0ü0/ S0B00. j p g ,2,/cases/FTKImager/DirListE1.csv,32374789,-,Log2t::input::encase_dirlisting,size: 7 8 0 - 8 3 1