Registry Explorerを利用する事で、レジストリのトランザクションログファイルを反映したハイブファイルを作成できます。
トランザクションログを反映した、SYSTEMハイブファイルを利用し、タイムラインを作成してみます。
トランザクションログを反映したSYSTEMハイブファイルは、002フォルダ配下に置いてあります。
Plaso(plaso-20180127)のLog2timelineを実行します。
pinfoコマンドを利用し、エラーを確認します。チェックサムが一致しないようです。
> pinfo c:\case\Winreg_tl.db
レジストリファイル内のチェックサムオフセット位置については、 「Windows registry file format specification」で位置を確認できます。
オフセット位置508を参照します。チェックサムが0x746B8159となっている事を確認できます。
チェックサムの値を、59から5Aに書き換えます。
チェックサムを書き換えたレジストリファイルに対して、Log2timeline を実行します。
> pinfo c:\case\Winreg_tl2.db
エラー無く処理された事を確認できます。
psortコマンドを使いタイムラインを出力します。
トランザクションログを反映した、レジストリのタイムラインを作成できました。
参考URL:
