소개

Timeliner는 Woanware에서 개발한 timeline 분석 도구로, 오픈소스로 제공된다. 최신 업데이트 일자는 2013년 8월 8일이며, 최신 버전은 0.1.2이다. Timeliner는 Windows 운영체제 환경에서 사용가능하다. Timeliner는 log2timeline으로 추출된 timeline csv파일을 효과적으로 분석, 정렬하여 큰 용량의 csv 파일을 SQL Server LocalDB를 통해 빠르게 분석 가능하다는 특징을 가지고 있다. Timeliner는 독자적으로 사용할 수 없으며 반드시 PostgreSQL을 로컬 환경에 구축한 후, 서버 설정에 알맞게 Timeliner.config의 connectionStrings를 세팅하여야만 한다. Timeliner의 실행 화면은 [그림 1]과 같다.

[그림 1] Timeliner 실행 화면

사용법

Timeliner는 PostgreSQL을 사용하므로 PostgreSQL을 우선적으로 설치하여야 한다. 실행 환경에서는 PostgreSQL v9.2.8을 선택하여 설치하였다. 설치 후 pgadmin을 실행하면 [그림 2]와 같은 창이 나타난다.

[그림 2] pgadmin 초기화면

위 [그림 2]에서 선택되어 있는 메뉴에서 우 클릭 후, 연결 버튼을 누르고 root 패스워드를 입력하여 연결한다. [그림 3]과 같이 연결이 성공한 상태에서 데이터베이스를 우 클릭하여 새로운 데이터베이스를 생성한다.

[그림 3] pgadmin 연결 성공 화면

[그림 4]에서 데이터베이스 명을 timeliner로 설정하고 확인 버튼을 누른다.

[그림 4] pgadmin 데이터베이스 생성 화면

생성된 timeliner 데이터베이스를 클릭 한 후 [그림 5]에서 상단 툴바에 존재하는 돋보기 모양의 SQL 버튼을 클릭한다.

[그림 5] SQL 버튼 클릭 화면

[그림 6]과 같은 화면에서 timeliner 설치 경로의 Database 폴더에 존재하는 schema.sql 파일을 오픈한 후, F5를 눌러 실행한다.

[그림 6] Query 입력 창 화면

로그인 롤과 데이터베이스, timeliner를 우클릭하여 모두 새로고침 하면, 새로운 계정과 테이블이 추가되었음을 확인할 수 있다. 그 다음 Timeliner를 실행하여 New 버튼을 클릭하여 새로운 데이터베이스를 [그림 7]과 같이 생성할 수 있다.

[그림 7] Timeliner DB 생성화면

도구 기능

Timeliner는 log2timeline의 출력 형식이나 ntfswalk, fls의 출력 파일 형식을 import하여 화면에 표시한다고 명시되어 있다. 즉, 본 도구가 가지고 있는 기능은 이 결과를 DB에 저장하고, 필터링하는 기능이다.

제한사항

Timeliner는 알려진 log2timeline과 ntfswalk의 출력 결과를 입력으로 하여 실행하였으나 DB에 데이터를 제대로 추가하지 못하는 등, 정상 동작하지 않는다.

수사 활용 방안

본 도구는 명시된 입력 포맷에 대해서도 정상적으로 동장하지 않으며, PostgreSQL을 별도로 설치하여야 하므로 수사 활용에 있어 효율적이지 않다.