타임라인 분석 도구
개요[편집]
타임라인 분석 도구는 시스템이나 프로그램의 로그 파일들을 분석하여 타임라인을 제공하는 프로그램을 말한다. 타임 라인 정보는 파일의 생성, 수정, 삭제, 접근 시간이나 USB의 접속 기록, 네트워크 접속 기록 등 시간 정보를 기반으로 만들어진다. 본 절에서는 log2timeline, plaso, 4n6time, Timeliner, Timeline Report에 대하여 살펴볼 것이다.
타임라인 분석 도구 기능 분석[편집]
타임 라인 분석 도구의 기능은 입력 포맷의 다양성과, 호환되는 타임라인의 종류, 분석 결과의 출력, 분석 결과와 다른 도구와의 호환성에서 도구별로 차이를 보인다. 타임 라임 분석 도구의 기능 비교 테스트를 위한 평가 항목은 [표 1]과 같다.
| 구분 | 상세 내용 |
|---|---|
| 타임라인 분석 도구 평가 항목 | |
| 입력 파일 포맷 지원 여부 확인
- Apache access log | |
| 출력 파일 포맷 지원 여부 확인
- BeeDocs, CEF, CFTL | |
| 지원 OS 버전 | |
| 도구의 독립적 사용 가능 여부 | |
| GUI / GUI 지원 여부 | |
| 그래프 기능 지원 여부 | |
| 타임라인 필터 기능 지원 여부 | |
| 입출력 DB 연동 여부 |
타임라인 분석 도구의 평가 항목인 입력 파일과 출력 파일의 결과는 [표 2]와 [표 3]과 같다. log2timeline은 타 도구에 비해 두드러지게 많은 파일 포맷을 지원한다. 따라서 다른 도구와의 연계하여 활용하기가 매우 용이하다. 타임라인 분석 도구 중에서도 plaso는 이미지로부터 이벤트 정보를 추출하고 이를 plaso storage 파일로 저장하기 위해 log2timeline을 사용한다. 또한 4n6time은 데이터베이스를 생성할 때 log2timeline으로 생성된 CSV 파일을 입력으로 받는다. Timeliner도 log2timline의 출력 파일을 입력으로 받아서 분석을 하는 기능이 있다고 명시되어 있기는 하지만 테스트 결과 실제로 작동하지 않기 때문에 입력과 출력을 모두 X로 표시했다.
| 도구 | 입력 파일 | 출력 파일 |
|---|---|---|
| log2timeline | ||
| Apache2 Access / Error logs | BeeDocs CEF CFTL CSV Mactime SIMILE SQLite 파일 TLN TLNX | |
| Google Chrome history | ||
| Encase dirlisting | ||
| Windows Event Log files (EVT/EVTX) | ||
| EXIF(다양한 미디어 파일에서 exif 정보나 메타데이터 추출) | ||
| Firefox bookmarks | ||
| Firefox 2/3 history | ||
| FTK Imager Dirlisting CSV 파일 | ||
| Linux 로그파일 | ||
| Internet Explorer history 파일, index.dat 파일 | ||
| Windows IIS W3C 로그 파일 | ||
| ISA server text export 파일 | ||
| Mactime body 파일 | ||
| McAfee AntiVirus 로그 파일 | ||
| MS-SQL Error 로그 파일 | ||
| Opera Global and Direct browser history 파일 | ||
| Office 2007 문서 메타데이터 추출을 위한 | ||
| OpenXML 메타데이터 | ||
| PCAP 파일 | ||
| 생성일자 캡처를 위한 PDF 파일 | ||
| Windows Prefetch 디렉터리 | ||
| Windows 휴지통(INFO2orI$) | ||
| Windows 복구지점 | ||
| Safari Browser history 파일 | ||
| Windows XP SetupAPI.log 파일 | ||
| Adobe Local Shared Object 파일(SOL/LSO) | ||
| Squid Access 로그(httpd_emulateoff) | ||
| TLN (timeline) body 파일 | ||
| UserAssist key of the Windows registry | ||
| volatility psscan,psscan2 모듈 결과파일 | ||
| Windows 바로가기아이콘(LNK) | ||
| Windows WMIProv 로그파일 | ||
| Windows XP Firewall 로그파일(W3Cformat) |
| 도구 | 입력 파일 | 출력 파일 |
|---|---|---|
| plaso | 디스크 이미지 파일 | plaso storage 파일 |
| 4n6time |
타임라인 생성 시 - 디스크 이미지 |
타임라인 생성 시 - 타임라인 데이터가 담긴 |
| Timeliner | X | X |
| Timeline Report | X | HTML XLS(TSV) |
타임라인 분석 도구의 지원 OS, 독립성, 인터페이스, 그래프 기능, 타임라인 필터 기능, 입출력 DB 연동 기능에 대한 비교 결과는 [표 4]와 같다. 독립성이란 다른 도구 없이 독립적으로 실행 가능한지에 대한 평가다. Timeliner와 Timeline Report의 경우는 각각 PostgreSQL과 Encase가 있어야 동작할 수 있기 때문에 독립성이 없다. [표 4]에서 평가하는 항목에서는 4n6time이 모든 기능을 충족한다. 또한 타임라인 분석 도구 중 유일하게 그래프 기능이 제대로 동작한다. 4n6time은 CLI 상에서 이미지 또는 드라이브의 타임라인 정보를 추출하는 명령어 입력 작업을 간소화한다. 분석자는 GUI 환경에서 빠르게 타임라인 데이터를 수집하고, 필터링 및 출력 작업을 할 수 있다. 또한 필터링 조건도 시각화되어 CLI처럼 옵션을 일일이 익힐 필요 없이, 직관적으로 사용할 수 있는 장점이 있다.
| 도구 | OS | 독립성 | 인터페이스 | 그래프 기능 | 타임라인 필터 기능 | 입출력 DB 연동 |
|---|---|---|---|---|---|---|
| log2tmeline | Windows Linux OS X |
O | CLI | X | X | O |
| plaso | Windows Linux OS X |
O | CLI | X | O | X |
| 4n6time | Windows Linux OS X |
O | GUI | O | O | O |
| Timeliner | Windows | X | GUI | X | X | X |
| Timeline Report | Windows | X | GUI | X | O | X |
