Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

6 jul. 2017

Análisis del Timeline de una evidencia con Plaso

Plaso, evolución de la herramienta conocida como log2timeline, es una herramienta desarrollada en Python que permite extraer la línea temporal de todos los eventos ocurridos en un sistema. Admite como como datos de entrada ficheros, discos virtuales, dispositivo de almacenamiento , algún punto de montaje o un volcado de imagen de disco. Como nota aclaratoria aunque la nueva herramienta pasa a denominarse Plaso, para ejecutarla se hará a través de "log2timeline.py" lo cual puede llegar a causar confusión.
Plaso nos ofrece un conjunto de herramientas, que de forma resumida son:
  • log2timeline: extraer el timeline de todos los eventos.
  • psort: procesamiento de los datos extraídos.
  • pinfo: muestra los datos del fichero de almacenamiento Plaso.
  • image_export: exporta ficheros de una imagen.
Log2timeline se encarga de analizar los datos recibidos como parámetro de entrada generando un fichero de salida con formato "plaso", el cual contendrá toda la información de los datos analizados. Dicho fichero de almacenamiento Plaso contendrá información como:
  • Cuando se ejecutó la herramienta.
  • Metadatos de los ficheros analizados de los datos de entrada.
  • La información parseada.
  • Número de eventos extraídos de los datos de entrada.
Para las pruebas realizadas he optado por usar una imagen de prueba en formato EnCase (parte 1 y parte 2), accesible para cualquiera que quiera realizar las pruebas.

Contenido completo en fuente original SecurityArtWork

1 comentario:

  1. Que grandioso post, gracias por el tiempo invertido estabamos buscando algo simple y conciso.

    Log2timeline nos ayudará como alternativa de análisis de metadatos.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!