Timeline Explorer 플러그인 개발

date

Mar 16, 2024

slug

timeline-explorer-plugin

status

Published

tags

Forensic

summary

type

Post

https://ericzimmerman.github.io/ 에서 다운로드 받을 수 있는 Timeline Explorer 도구의 플러그인을 개발할 수 있다.

TLEFilePlugins

EricZimmerman • Updated Oct 18, 2023

RegistryPlugins처럼 TLEFilePlugins도 인터페이스가 정의되어 있으며 구현체를 만들어야 한다.

ITLEFileSpec 코드를 보면 IFileSpec, IFileSpecData 2개를 인터페이스가 있다.

개발된 플러그인의 코드를 보면 값을 담아두는 것으로 보이는 변수들의 모음(EvtxECmdData 클래스)과, CSV 파일을 파싱하고 어떻게 보여줄지 개발한 코드(EvtxECmd 클래스)로 분리되어 있다. → new BindingList<~~~>(); 에서 IFileSpecData 의 구현체가 사용된다.

전용 플러그인이 적용되지 않으면 GenericCsv 플러그인이 적용되기 때문에 차이점을 확인해봤다.

상단은 EZTools 플러그인이 적용된 결과이며 하단은 GenericCsv 플러그인이 적용된 결과이다.

두 결과를 보면 미세한 차이를 확인할 수 있다. Hidden Record 의 True, False 값이 체크박스로 표현되어 있고, CSV 파일에 저장된 헤더의 순서가 변경되어 있다. 또한 Extra Data Offset은 삭제한 것으로 보인다.

plaso의 CSV 결과를 보면 메세지에 색이 입혀져 있는데, 플러그인 코드를 보면 특정 문자를 비교하여 Color 변수의 값을 설정한다. - Github

위와 같이 Color 변수에 저장된 값을 비교하여 Timeline Explorer에 지정된 색으로 설정되는 것 같다.