Добавить в корзинуПозвонить
Найти в Дзене
The Codeby
5116 подписчиков

Plaso

19
1 мин
☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях. 🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами Основные свойства: ➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры

Plaso

☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях.

🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами

Основные свойства:

➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты.

➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение).

➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования.

➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy.

➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM).

➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang.

⬇️ Установка:

sudo apt install python3-pip plaso-tools

pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx

pinfo evidence.plaso

psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Гаджеты и электроника
5,73 млн интересуются