Timeline Report

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

Timeline Report는 Geoff Black에서 개발한 Enscript로 오픈소스로 제공되고 있다. 최신 업데이트 일자는 2013년 8월 8일이며, 최신 버전은 0.1.2이다. Timeline Report는 Encase에서 선택된 파일/폴더의 파일 정보를 수집하여 Timeline을 보여준다. Timeline Report는 HTML 또는 tab-delimited text format(TSV)을 지원하며, 사용자가 MACE Time 중 원하는 요소를 선택하여 해당 요소에 따라 파일 정보를 분류시킬 수 있다. Timeline Report가 생성하는 TSV 포맷의 파일은 .xls의 확장자를 가지며, HTML 포맷의 파일은 IE, FireFox 버전으로 선택 가능하다. Timeline Report의 Encase에서의 실행 화면은 [그림 1]과 같다.

[그림 1] Timeline Report 실행화면



사용법[편집]

Timeline Report의 사용을 위해서는 Encase v6의 Enscript에서 새로운 폴더를 추가한 이후 폴더 내부에 Enscript 파일을 복사하면 된다. 제대로 복사가 이루어진 경우 Encase에서는 [그림 2]와 같이 Enscript를 인식한다.

[그림 2] Timeline Report Enscript 인식 화면

Timeline Report를 실행시키기 위해서는 대상 폴더 혹은 드라이브에 체크한 후 Timeline Report의 Enscript에서 Run을 클릭하면 아래 [그림 3]과 같이 옵션을 설정할 수 있는 창이 나타나게 된다. 예제의 경우 C 드라이브의 Users 폴더만을 체크하고 Run을 실행한 결과이다.

[그림 3] Timeline Report Run 화면

우측의 체크 리스트는 Output에 표시 되는 field를 나타내고, 하단의 Output Types과 Output Option에서 출력 시 양식과 조건을 설정할 수 있다. 옵션의 상세 기술은 도구 기능 부분에서 설명하도록 하겠다. 분석 결과는 Run화면에서 설정한 경로에 저장되며 파일을 열어 확인한 결과는 [그림 4]와 같다.

[그림 4] Timeline Report 결과 화면



도구 기능[편집]

Timeline Report에서 사용자가 지정할 수 있는 옵션은 [표 1]과 같다.

[표 1] Timeline Report 옵션
옵션 사용법
Start Date mm/dd/yy hh:mm:ss 형식으로 입력되며 체크할 Time 범위의 하한을 나타낸다.
Stop Date mm/dd/yy hh:mm:ss 형식으로 입력되며 체크할 Time 범위의 상한을 나타낸다.
Invetigator Name 조사자 명
Title of Report 출력 파일의 헤더에 나올 타이틀 명
Output Path 출력 파일이 저장될 경로
Create Records Encase v6.5 이상에서 지원
Encase v6 Record View의 Record로 출력
Create Bookmarks Time Range를 만족하는 모든 엔트리를 정렬하여 Bookmark 생성
Create TSV report Tab delimited format text로 출력
Create HTML report HTML for과 CSS stylesheet로 출력
IE, Firefox 버전 또는 file당 Entry로 출력
Include current time in heading 출력 보고서에 Enscript 시간을 출력
Include criteria in heading 출력 보고서에 Enscript 조건을 출력
Sort Order Ascending :시간 오름차순 정렬
Descending :시간 내림차순 정렬
Check only selected files 해당 필드를 체크할 경우 체크 한 파일에 대하여면 Enscript를 적용한다.
Check Created time report에 Created dates/times 표시
Check Written time report에 last Written dates/times 표시
Check Accessed time report에 last Accessed dates/times 표시
Check Entry Modified time report에 Entry Modified dates/times 표시
Check Deleted time report에 Recycle Bin records의 deleted dates/times 표시

Output Fields에서 체크할 수 있는 리스트는 [표 2]와 같다.

[표 2] Output Field 리스트
체크리스트
ID
FileName
FileFullPath
Description
HashValue
HashSet
HashCategory
Signature
LogicalSize
SortDate
SelectedDate
Created
Accessed
Written
Modified
Deleted



제한사항[편집]

본 Enscript는 Encase v7에서 사용할 수 없으며 Encase v6.5 미만의 버전에서는 일부 기능들이 지원되지 않는다는 한계를 가지고 있다.

수사 활용 방안[편집]

본 Enscript를 활용하면 범행이 이루어진 시각이 특정될 경우 그 시각 범주에 해당하는 모든 파일을 확인할 수 있으며, 실행 결과를 xls 포맷으로 설정하여 Excel에서 자체 정렬 옵션을 적용할 수 있다. 예를 들어, 어떤 악성코드가 실행되어 어떤 파일을 Drop 하거나 접근하였을 경우, 악성코드의 실행 시간을 조건으로 하는 Enscript를 실행하여 그 시간과 반복적으로 일치하는 파일을 특정함으로써 분석 효율을 높일 수 있다.