log2timeline(plaso) 사용방법
이미지를 지정해줘도 되지만 편하게 아티팩트를 수집해 해당 파일만 분석하겠다.
다음의 파일을 수집한다.
1. 인터넷히스토리 파일
경로 : %SystemDrive%\Users\계정\AppData\Local\Microsoft\Windows\WebCache\
2. 레지스트리 파일
파일 |
경로 |
NTUSER.DAT |
%SystemDrive%\Users\계정 |
ntuser.dat |
%SystemDrive%\Users\계정 |
SAM |
%Windir%\System32\config |
SECURITY |
%Windir%\System32\config |
SOFTWARE |
%Windir%\System32\config |
SYSTEM |
%Windir%\System32\config |
3. 이벤트 로그 파일
경로 : D:\Windows\System32\winevt\Logs\
4. $MFT
경로 : %SystemDrive%\$MFT
5. $LogFile
경로 : %SystemDrive%\$LogFile
6. $UsnJrnl:$J
경로 : %SystemDrive%\$Extend\$UsnJrnl:J
7. 프리패치
경로 : %Windir%\Prefetch
8. 바로가기파일(*.LNK)
다음의 경로에서 log2timeline을 다운받는다.
사이트 주소 : https://github.com/log2timeline/plaso/wiki/Windows-Packaged-Release
log2timeline.exe |
출력한 파일을 시간으로 정렬된 sqlite 파일로 변환한다.
psort.exe -z Asia/Seoul -o 4n6time_sqlite -w /path/timeline.db(아웃풋) /path/output.plaso(인풋)
|
