「最近ブログの更新がとまってて寂しいですねぇ」と id:hideakiiさんに突っ込まれてしまいました。細々とですが頑張ってみます。

さて来月某所で話をすることになったので、いろいろとネタを集めています。タイムライン解析では最近 log2timelineというおもしろいツールがリリースされました。これは、Windowsの Prefetchや Restore Pointsなど各種ログ情報をもとにタイムライン(TSKの bodyfile形式)を作成するものです。フォレンジックでタイムライン解析といえば、従来はファイルシステムのタイムスタンプ情報を利用して行うのが一般的でしたが、最近はレジストリやログなどその他の情報源もあわせて解析できるようになってきました。

log2timeline

The main purpose is to provide a single tool to parse various log files and artifacts found on suspect systems (and supporting systems, such as network equipment) and produce a body file that can be used to create a timeline, using mactime from TSK, for forensic investigators.

作者のブログでの解説はこちら。

またこのツール、最新バージョンでは TLNフォーマットの出力をサポートしています。これは RegRipperの作者で Windows Forensic Analysisではおなじみの H.Carveyさんが提唱しているタイムライン解析の新しいフォーマットです。Time, Source, Host, User, Descriptionの5つのフィールドから構成されていて、複数の情報ソースをまとめて取り扱うことを意識しているのが特徴です。もしかすると今後主流になっていくかもしれませんね。注目です。

H.Carveyさん自身も上記フォーマットに対応した Perl Scriptを多数公開しています。このあたりについては来月のセミナー(?)で詳しく取り上げる予定です。

(2009-08-16 追記)
作者による解説記事がSANSフォレンジックブログに出てました。
Artifact Timeline Creation and Analysis – Tool Release: log2timeline | SANS Digital Forensic and Incident Response
Artifact Timeline Creation and Analysis – part 2 | SANS Digital Forensic and Incident Response