Windows Journal Parser (jp)
소개[편집]
Windows Journal Parser는 TZWorks가 개발한 도구이며, 상용도구이다. 최신 업데이트는 2014년 4월 9일이며, 최신 버전은 0.1.1.0버전이다. 본 항에서는 최신버전인 0.1.1.0버전을 사용하였다. Windows Journal Parser는 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. dd이미지파일, 로컬 드라이브를 입력하여 자동으로 $UsnJrnl:$J파일을 경로를 찾거나 직접적으로 $UsnJrnl:$J파일 경로를 지정하여 내용을 파싱할 수 있다. CSV, XML 파일 형태로 파싱 결과를 출력할 수 있다.
사용법[편집]
Command 창을 관리자 권한으로 실행하여 “jp -partition c > output.txt” 와 같은 문법으로 사용한다. Command 옵션은 [표 1]와 같다.
| 옵션 | 추가사항 | 설명 |
|---|---|---|
| -file | 수집한 $UsnJrnl:$J 파일 입력 | |
| -partition | 로컬 또는 마운팅 된 드라이브 입력
-partition <drive letter> | |
| -image | dd 이미지 입력
-image <filename> -offset <volume offset> | |
| -xml | xml 파일포맷으로 결과 출력 | |
| -csv | csv 파일포맷으로 결과 출력 | |
| -csvl2t | log2timeline 형식에 맞추어 결과 출력 | |
| -bodyfile | 슬러스킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력 | |
| -a | closed 되지 않은 레코드를 포함하여 출력 (default : closed 한 레코드만 출력) | |
| -mftfile | ** | 추출된 $MFT 파일을 사용하여 Directory path 포함 출력
-mftfile <exported $mft file> |
| -show_dir_path | ** | Directory path 포함 출력
단, $MFT파일이 명확한 이미지, 볼륨 입력 -partition or –image 사용 시 |
| -pulltimes | ** | $MFT 파일의 MACB타임과 함께 출력한다.
(M : modification, A : access, C : change, B : Birth or Creation) ($MFT가 명확하지 않을 경우 부모 디렉터리 슬랙의 INDEX 레코드를 스캔한다.) |
| -base10 | ** | 사이즈, 주소를 헥사 시간이 아닌 10진수 형태로 출력 |
| -no_whitespace | ** | 공백 없이 csv 파일 포맷으로 출력
-csv 필수 |
| -csv_separator | ** | csv의 구분자 변경
-csv_separator <separator> |
| -dateformat | 날짜 출력 형식 변경
(default : -dateformat "mm/dd/yyyy") | |
| -timeformat | ** | 시간 출력 형식 변경
(default : -timeformat "hh:mm:ss.xxx") |
도구 기능[편집]
Windows Journal Parser는 NTFS Log파일 중 $UsnJrnl 파일을 파싱하여 CSV, XML, log2timeline, bodyfile 형식으로 결과를 출력해준다. CSV 파일 포맷으로 결과 출력 시 구분자를 지정해 줄 수 있고 날짜, 시간 출력 형식을 원하는 형태로 출력할 수 있다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다. 하지만 한글이 깨지는 단점이 있다.
수사 활용 방안[편집]
Windows Journal Parser는 로컬, 마운팅 된 드라이브, dd이미지를 Windows, Mac, Linux와 같은 다양한 환경에서 빠르고 쉽고 정확하게 $UsnJrnl 파일을 파싱할 수 있다. 따라서 Windows OS 시스템 수사 시 $UsnJrnl 파일을 분석할 경우 이 프로그램이 유용하게 사용될 수 있다.
