2012 F-INSIGHT TALK

1. Optimize
Making
The Timeline
and yet it does move
malware.co.kr
- dorumugs -
12년 12월 15일 토요일

2. Log2Timeline
• The tool is written in Perl for Linux
• A framework for automatic creation of a
super timeline.
• The main purpose is to provide a single
tool to parse various log files and artifacts
found on suspect systems.
• A timeline that can be analysed by forensic
12년 12월 15일 토요일

3. Log2Timeline
for
Windows
12년 12월 15일 토요일

4. Heavy
• When Examiner analyzes the images,
VMware is heavy.
• http://katerawlings.com/2010/08/19/looking-for-heavy-metcons/
12년 12월 15일 토요일

5. WindowsVer
• But It is not working. because we use
unicode(korean).
• http://log2timeline.net/INSTALL.txt
12년 12월 15일 토요일

6. Fix Log2Timeline +_+
• http://fixthispcnow.webs.com/virusremovalservice.htm
12년 12월 15일 토요일

7. Test! ^__^
• perl log2timeline.pl -r -p -z Asia/Seoul -w
bodyfile c:timelineImage_name
12년 12월 15일 토요일

8. Sort T_T
12년 12월 15일 토요일

9. l2t_process
• l2t_Process is boring. because it takes a lot
of times.
• http://static4.businessinsider.com/image/4fbfb86becad044879000001-400-300/sleepy-tired-boring.jpg
12년 12월 15일 토요일

10. Column(0) + Column(1)
12년 12월 15일 토요일

11. Sort +_+
• Python log2_sort.py -i timeline.txt -o
timelin.csv -n 1000000
12년 12월 15일 토요일

12. Speed?
12년 12월 15일 토요일

13. For More Speed
• Gather just necessary files
• No change time information
• No change folder information
OS Artifacts
Prefetch
MFT Link
RegistryEvent Log
SysLog
ETC
12년 12월 15일 토요일

14. HOW?
• EnScript is a perfect tool to gather OS
artifacts.
12년 12월 15일 토요일

15. and then
• Run EnScript.
• Log2Timeline Windows ver
• Sort Bodyfile
12년 12월 15일 토요일

16. Enjoy Timeline
12년 12월 15일 토요일

17. But....
• If your timeline is crash, change the
encoding from something to unicode.
12년 12월 15일 토요일

18. Thank you
12년 12월 15일 토요일