DFIR - $LogFile Forensics




Bu dökümanımızda $LogFile analizi yapıcaz. İlk olarak $LogFile nedir ne işe yarar bunlardan bahsedicez daha sonra parse etme işlemnine geçicez.


$LogFile : NTFS yapısında kullanılan bir günlük dosyasıdır. $LogFile dosyası, dosya sistemi işlemlerini takip etmek ve bir dosya sisteminin bütünlüğünü korumak amacıyla önemli verileri saklar.


$LogFile dosyasına doğrudan erişim olmadığı için FTK Imager veya benzer imaj alma araçları ile imaj alıp içerisinden export edilmesi gerek.


Export işlemimizi gerçekleştirelim.




Export işlemimiz tamamlandıktan sonra LogFileParser aracımız ile parse etme işlemine geçebiliriz.



Aracımızı açtıktan sonra karşımıza dosya yükleme kısmı ve start etme yeri gerekli yerleri doldurup start veriyoruz.



Ve parse etme işlemimiz başlıyor.



görüldüğü üzere çıktımızı aldık artık inceleyebiliriz.






$LogFile Forensics Anlatım Videosu : https://www.youtube.com/watch?v=6HihQboIokQ


Yorum Gönder

0 Yorumlar