포렌식/윈도우 - E01에서 아티팩트 추출 (E01에서 추출한 아티팩트를 타임라인 순으로 csv 저장 실습)

본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard)

 

맥으로 배우는 윈도우즈 포렌식 - 인프런

#1. Timeline

1-1. Timeline 이란?

아티팩트, 이벤트들을 시간순으로 정렬하는 것을 얘기한다.

 

 

1-2. Plaso

Plaso로 파싱할 수 있는 항목들은 엄청 많다. 이 항목에 대해서는 별도로 포스팅해야 될 것 같다.

 

 

 

1-3. E01에서 추출한 아티팩트를 타임라인 순으로 csv 저장 실습

1) 볼륨 디렉토리 생성
sudo mkdir /Volumes/DMG

 

2) EWF 이미지를 dmg 형태로 변환

sudo xmount --in ewf vmImage.E?? --out dmg /Volumes/DMG

 

3) dmg 이미지 인식 (마운트는 X)

hdiutil attach -nomount /Volumes/DMG/vmImage.dmg

 

4) TSK를 이용하여 인식된 dmg에서 아티팩트 정보를 추출하여 fls 파일 형태로 저장

fls -h -p -r -m '' -z Asia/Seoul /dev/disk2s1 > disk2s1.fls
  -> root로 진입하지 않고 sudo로 수십번 시도 했으나, 항상 permission denied 로 실패하거나 read-only file system: disk2s1.fls 로 실패했다. 결국 root로 진입해서 fls -h -p -r -m '' -z Asia/Seoul /dev/disk2s1 > /저장경로/disk2s1.fls 했더니 성공

 

5) artifactsExtracter.py와 fls 파일에 포함된 파일명, inode 정보 등등의 정보를 조합하여 아티팩트 추출 (파일명, inode및 icat 명령어를 사용하여 추출하며 추출한 정보는 /result 폴더에 저장)

python artifactsExtracter.py disk2s1.fls /dev/disk2s1

 

6) result 폴더에 저장된 아티팩트들을 Plaso log2timeline을 이용해서 Plaso 타임라인 형식으로 저장

sudo python3 log2timeline.py -z Asia/Seoul --hashers none timeline.plaso /아티팩트경로/result/ 실행

-> https://github.com/log2timeline/plaso/releases/latest에서 sourcecode (tar.gz) 파일로 받아서 plaso.readthedocs.io/en/latest/sources/user/MacOS-Source-Release.html 와 같이 설치해야된다. (설치 시간이 좀 걸림)구글링으로 다운 받은 다른 파일로 설치하다가 고생했는데, 받으라는 걸로 받고, 설치하란대로 설치하면 잘 된다.

 

7) Plaso의 psort를 이용하여 Plaso 형태의 타임라인을 csv 형태로 변환

sudo psort.py -w timeline.csv timeline.plaso 

-> 강의에는 -z Asia/Seoul 옵션도 줬는데, 지금은 -z 옵션이 사려져서 -z 를 넣으면 에러가 발생한다.

 

 

 

 

 

 

 

 

끝.