분석 도구 트리아지 ZIP 통합 분석

트리아지 ZIP 통합 분석

forensiclab_triage_collector.py 가 생성한 ZIP을 업로드하면 내부 아티팩트를 모두 분류하고, 있는 항목만 자동 파싱하여 통합 타임라인까지 생성합니다.

트리아지 ZIP 업로드
로컬 스크립트에서 받은 forensiclab_triage_collector.py를 관리자 권한으로 실행하면 .zip이 생성됩니다.
5MB 초과 ZIP은 자동으로 백그라운드 처리됩니다.
자동 인식 / 파싱 항목
  • 레지스트리 하이브 (SYSTEM·SOFTWARE·SAM·SECURITY 등) → 키/값/포렌식 발견사항
  • 사용자 NTUSER.DAT / UsrClass.dat → 자동실행·UserAssist·ShellBag
  • Amcache.hve → 실행파일 인벤토리
  • EVTX 이벤트 로그 → 청크 수 추정
  • Prefetch (.pf) → 실행 시각·횟수·참조 파일
  • LNK 바로가기 → 대상 경로·MAC·타임스탬프
  • setupapi.dev.log → USB 연결 이력
  • PowerShell ConsoleHost_history.txt → 실행 명령
triage 도움말
📌 무엇:
forensiclab_triage_collector.py 결과 ZIP 통합 분석
🛠 사용법:
트리아지 ZIP 업로드
📥 입력: triage ZIP
📤 출력: 12종 아티팩트 자동 파싱 + 통합 타임라인
💡 팁: /tools/scripts에서 수집 스크립트 다운로드 후 실행.
전체 도움말 →