Windows Journal Parser (jp)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Windows Journal Parser는 TZWorks가 개발한 도구이며, 상용도구이다. 최신 업데이트는 2014년 4월 9일이며, 최신 버전은 0.1.1.0버전이다. 본 항에서는 최신버전인 0.1.1.0버전을 사용하였다. Windows Journal Parser는 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. dd이미지파일, 로컬 드라이브를 입력하여 자동으로 $UsnJrnl:$J파일을 경로를 찾거나 직접적으로 $UsnJrnl:$J파일 경로를 지정하여 내용을 파싱할 수 있다. CSV, XML 파일 형태로 파싱 결과를 출력할 수 있다.

사용법

Command 창을 관리자 권한으로 실행하여 “jp -partition c > output.txt” 와 같은 문법으로 사용한다. Command 옵션은 [표 1]와 같다.

[표 1] Windows Journal Parser 명령어 옵션
옵션 추가사항 설명
-file 수집한 $UsnJrnl:$J 파일 입력
-partition 로컬 또는 마운팅 된 드라이브 입력

-partition <drive letter>

-image dd 이미지 입력

-image <filename> -offset <volume offset>

-xml xml 파일포맷으로 결과 출력
-csv csv 파일포맷으로 결과 출력
-csvl2t log2timeline 형식에 맞추어 결과 출력
-bodyfile 슬러스킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력
-a closed 되지 않은 레코드를 포함하여 출력 (default : closed 한 레코드만 출력)
-mftfile ** 추출된 $MFT 파일을 사용하여 Directory path 포함 출력

-mftfile <exported $mft file>

-show_dir_path ** Directory path 포함 출력

단, $MFT파일이 명확한 이미지, 볼륨 입력 -partition or –image 사용 시

-pulltimes ** $MFT 파일의 MACB타임과 함께 출력한다.

(M : modification, A : access, C : change, B : Birth or Creation) ($MFT가 명확하지 않을 경우 부모 디렉터리 슬랙의 INDEX 레코드를 스캔한다.)

-base10 ** 사이즈, 주소를 헥사 시간이 아닌 10진수 형태로 출력
-no_whitespace ** 공백 없이 csv 파일 포맷으로 출력

-csv 필수

-csv_separator ** csv의 구분자 변경

-csv_separator <separator>

-dateformat 날짜 출력 형식 변경

(default : -dateformat "mm/dd/yyyy")

-timeformat ** 시간 출력 형식 변경

(default : -timeformat "hh:mm:ss.xxx")

도구 기능

Windows Journal Parser는 NTFS Log파일 중 $UsnJrnl 파일을 파싱하여 CSV, XML, log2timeline, bodyfile 형식으로 결과를 출력해준다. CSV 파일 포맷으로 결과 출력 시 구분자를 지정해 줄 수 있고 날짜, 시간 출력 형식을 원하는 형태로 출력할 수 있다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다. 하지만 한글이 깨지는 단점이 있다.

수사 활용 방안

Windows Journal Parser는 로컬, 마운팅 된 드라이브, dd이미지를 Windows, Mac, Linux와 같은 다양한 환경에서 빠르고 쉽고 정확하게 $UsnJrnl 파일을 파싱할 수 있다. 따라서 Windows OS 시스템 수사 시 $UsnJrnl 파일을 분석할 경우 이 프로그램이 유용하게 사용될 수 있다.