UsnJrnl2Csv
소개[편집]
[그림 1] UsnJrnl2Csv 실행화면
![[그림 1] UsnJrnl2Csv 실행화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:UsnJrnl2Csv_%EC%8B%A4%ED%96%89%ED%99%94%EB%A9%B4.png)
UsnJrnl2Csv는 joakim가 개발한 도구이며, 프리웨어이다. 최신 업데이트는 2013년 12월 18일이며, 최신 버전은 1.0.0.2버전이다. 본 항에서는 최신버전인 1.0.0.2버전을 사용하였다. UsnJrnl2Csv은 GUI 기반이며 Windows 운영체제 환경에서 사용 가능하다. UsnJrnl2Csv은 NTFS의 $Usnjrnl파싱하여 CSV, log2time, bodyfile로 결과를 출력하는 기능을 제공한다. 시간 단위를 설정할 수 있고 UTC 시간을 설정할 수 있다. UsnJrnl2Csv은 의 실행화면은 [그림 1]과 같다.
사용법[편집]
파싱하기 전 [표 1]를 참고해 Timestamp와 시간 단위, UTC 시간을 설정한다. Change Output 버튼을 선택 해 저장할 경로를 지정하며, Browse $UsnJrnl 버튼을 선택 해 수집한 $UsnJrnl파일을 지정한다. 또한 Start Parsing 버튼을 선택하여 $UsnJrnl파일을 파싱한다.
| 파일 | 내용 |
|---|---|
| Timestamp | 시간 출력 방식을 설정(6종류) |
| 시간 단위 | 시간단위 설정(초, milli, nano) |
| UTC 시간 | UTC 시간을 설정(한국 : +09) |
도구 기능[편집]
UsnJrnl2Csv은 NTFS Log파일 중 $UsnJrnl 파일을 파싱하여 CSV파일포맷으로 결과를 출력해준다.
제한사항[편집]
타 프로그램에 비해 파싱 속도가 느리고 결과를 CSV파일포맷으로만 확인해야 하는 단점이 존재한다. 또한 필터 및 검색기능을 제공하지 않는다. 또한 LogFile Parser와 같이 결과물의 파일확장자는 CSV이지만 내용의 구분자는 ‘,’가 아닌 ‘|’로 되어있다. CSV로 결과를 확인하기 위해선 구분자를 ‘|’가 아닌 ‘,’로 설정해야 한다. 또한 반응속도가 매우 느리다는 것이 단점이다.
수사 활용 방안[편집]
UsnJrnl2Csv은 속도가 굉장히 느리고 결과를 CSV파일포맷으로만 출력해주는 단점이 있다. 따라서 수사시간이 충분하고 $UsnJrnl의 모든 데이터 전체를 확인하고자 할 때 UsnJrnl2Csv이 유용하게 사용될 수 있다.
