2.8.0 [2023/09/01] "Double X Release"
New Features:
- Added support for
HexToDecimal
in the field mapping configuration files to convert hex values to decimal. (Useful for converting the original process IDs from hex to decimal.) (#1133) (@fukusuket) - Added
-x, --recover-records
option tocsv-timeline
andjson-timeline
to recover evtx records through file carving in evtx slack space. (#952) (@hitenkoku) (Evtx carving feature is thanks to @forensicmatt) - Added
-X, --remove-duplicate-detections
option tocsv-timeline
andjson-timeline
to not output any duplicate detection entries. (Useful when you use-x
, include backup logs or logs extracted from VSS with duplicate data, etc...) - Added a
--timeline-offset
option tocsv-timeline
,json-timeline
,logon-summary
,eid-metrics
,pivot-keywords-list
andsearch
commands to scan just recent events based on a offset of years, months, days, hours, etc... (#1159) (@hitenkoku) - Added a
-a, --and-logic
option in thesearch
command to search keywords with AND logic. (#1162) (@hitenkoku)
Other:
- When using
-x, --recover-records
, an additional%RecoveredRecord%
field will be added to the output profile and will outputY
to indicate if a record was recovered. (#1160) (@hitenkoku)
新機能:
- フィールドマッピング設定に16進数値を10進数に変換する
HexToDecimal
機能に対応した。 (元の16進数のプロセスIDを変換するのに便利。) (#1133) (@fukusuket) csv-timeline
とjson-timeline
に-x, --recover-records
オプションを追加し、evtxレコードの空領域でのファイルカービングによってevtxレコードを復元できるようにした。(#952) (@hitenkoku) (Evtxカービング機能は@forensicmattに実装された。)csv-timeline
とjson-timeline
に-X, --remove-duplicate-detections
オプションを追加した。(-x
を使用する場合、重複データのあるバックアップログを含める場合などに便利。) (#1157) (@fukusuket)csv-timeline
、json-timeline
、logon-summary
、eid-metrics
、pivot-keywords-list
、search
コマンドに、直近のイベントだけをスキャンするための--timeline-offset
オプションを追加した。 (#1159) (@hitenkoku)search
コマンドに-a, --and-logic
オプションを追加し、複数のキーワードをAND条件で検索できるようにした。 (#1162) (@hitenkoku)
その他:
- 出力プロファイルに、回復されたかどうかを示す
%RecoveredRecord%
フィールドを追加した。 (#1170) (@hitenkoku)