USN Analytics

USN AnalyticsはUSNジャーナルの解析に特化したツールです。

USN Analytics Main

特徴

パースするだけでなく、以下のような機能を搭載しています。

  • 関連するレコード群をチェックして関連するレコード群を1レコードにまとめます。
  • USNレコードの情報からファイルパスの構築を試み、レコード毎に適切なパス情報を表示します。
  • リネーム、移動処理を1レコードにまとめて変更前後を表示します。
  • プリフェッチファイルの作成、更新処理をチェックして、プログラムの実行履歴として扱います。
  • ショートカットファイルやObject IDの作成、更新処理をチェックしてファイルの参照履歴として扱います。
  • 特徴的な拡張子やファイル名のリストを作成してインジケータの発見を促します。

使い方

USN Analyticsはコマンドラインのプログラムです。以下の形式で実行します。

> usn_analytics [-ru] -o 出力先ディレクトリ 入力ファイル 

入力ファイルはbulk_extractor-recのntfsusnスキャナでカービングしたファイルを想定していますが、USNレコードのみで構成されたファイルであれば問題なく動作します。

-rオプションを指定すると純粋なパース処理のみを実行します。

-uオプションを指定するとタイムスタンプをUTCで扱います(デフォルトはローカルタイム)。

-oオプションで指定したディレクトリ配下に解析結果を複数のファイルで出力します。

より詳しい内容はJSAC 2018の資料を参照してください。

ダウンロード

全て64bitバイナリです。

Windows: usn_analytics_v.201801_exe.zip
(SHA-256: 06a83569dd861d2e65494b11c8fb9d36b68a00bf2c6e1d88f0df3c0ce55be349)

Linux: usn_analytics_v.201801_elf.zip
(SHA-256: d7023daa43db672b92ff4babdaf06cd3e4b5eb44d1a5d733b335c3b564bea251)

macOS: usn_analytics_v.201801_mach.zip
(SHA-256: 387cfde3ecfce29646d90507494f5a4946d3818f9da98f681db869c5e4279fbb)

ソースコードはgithubで公開しています。
https://github.com/4n6ist/usn_analytics

ライセンス

Apache License 2.0

更新履歴

2018/01/25

v.201801としてリリースしました。