Plaso
Plaso 是什么?
Plaso由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。
Plaso(Plaso Langar Ad Safna Ollu)是 Kristinn Gudjonsson 于 2009 年创建的原始 log2timeline Perl 工具的现代 Python 重写版本。它是用于构建"超级时间线"的标准开源引擎,可通过 100 多个解析器,聚合来自磁盘镜像、单个文件、注册表配置单元、浏览器历史、Windows 事件日志、Linux syslog、macOS plist 文件、移动设备痕迹等众多来源的时间戳。核心命令 'log2timeline.py' 生成 Plaso 存储文件,然后由 'psort.py' 将其转换为 CSV、JSON 或 Elasticsearch 等格式。Plaso 是 Timesketch 等取证平台的底层引擎,在 DFIR、威胁狩猎和横向移动重建中得到广泛应用。
● 示例
- 01
使用 'log2timeline.py image.E01' 为 Windows 终端生成超级时间线,并将输出导入 Timesketch。
- 02
通过 'psort.py' 过滤 Plaso 输出,仅提取疑似入侵时间窗口内的事件。
● 常见问题
Plaso 是什么?
由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。 它属于网络安全的 取证与应急响应 分类。
Plaso 是什么意思?
由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。
Plaso 是如何工作的?
Plaso(Plaso Langar Ad Safna Ollu)是 Kristinn Gudjonsson 于 2009 年创建的原始 log2timeline Perl 工具的现代 Python 重写版本。它是用于构建"超级时间线"的标准开源引擎,可通过 100 多个解析器,聚合来自磁盘镜像、单个文件、注册表配置单元、浏览器历史、Windows 事件日志、Linux syslog、macOS plist 文件、移动设备痕迹等众多来源的时间戳。核心命令 'log2timeline.py' 生成 Plaso 存储文件,然后由 'psort.py' 将其转换为 CSV、JSON 或 Elasticsearch 等格式。Plaso 是 Timesketch 等取证平台的底层引擎,在 DFIR、威胁狩猎和横向移动重建中得到广泛应用。
如何防御 Plaso?
针对 Plaso 的防御通常结合技术控制与运营实践,详见上方完整定义。
Plaso 还有哪些其他名称?
常见的别称包括: log2timeline, log2timeline.py, Plaso 框架。
● 相关术语
- forensics-ir№ 1156
时间线分析
一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。
- forensics-ir№ 668
内存取证
获取并分析系统易失性 RAM 的取证学科,用以揭示运行进程、网络连接、注入代码及内存中的痕迹。
- forensics-ir№ 1242
Windows 注册表分析
对 Windows 注册表蜂巢进行取证检查,以恢复配置信息、用户活动以及程序执行或持久化的证据。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。