Plaso
Plaso 是什么?
Plaso由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。
Plaso(Plaso Langar Ad Safna Ollu)是 Kristinn Gudjonsson 于 2009 年创建的原始 log2timeline Perl 工具的现代 Python 重写版本。它是用于构建"超级时间线"的标准开源引擎,可通过 100 多个解析器,聚合来自磁盘镜像、单个文件、注册表配置单元、浏览器历史、Windows 事件日志、Linux syslog、macOS plist 文件、移动设备痕迹等众多来源的时间戳。核心命令 'log2timeline.py' 生成 Plaso 存储文件,然后由 'psort.py' 将其转换为 CSV、JSON 或 Elasticsearch 等格式。Plaso 是 Timesketch 等取证平台的底层引擎,在 DFIR、威胁狩猎和横向移动重建中得到广泛应用。
● 示例
- 01
使用 'log2timeline.py image.E01' 为 Windows 终端生成超级时间线,并将输出导入 Timesketch。
- 02
通过 'psort.py' 过滤 Plaso 输出,仅提取疑似入侵时间窗口内的事件。
● 常见问题
Plaso 是什么?
由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。 它属于网络安全的 取证与应急响应 分类。
Plaso 是什么意思?
由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。
如何防御 Plaso?
针对 Plaso 的防御通常结合技术控制与运营实践,详见上方完整定义。
Plaso 还有哪些其他名称?
常见的别称包括: log2timeline, log2timeline.py, Plaso 框架。