PFP - Technical specification

Python-GUI (wx-Python)

  • Basic view

    그림입니다.   원본 그림의 이름: CLP0000152cb6eb.bmp   원본 그림의 크기: 가로 1358pixel, 세로 863pixel

  • Tray icon
    그림입니다.   원본 그림의 이름: CLP0000152c0001.bmp   원본 그림의 크기: 가로 206pixel, 세로 198pixel

  • etc

 

 

Contents and Viewing

  • PFP-List(MP),
    그림입니다.   원본 그림의 이름: CLP0000152c0021.bmp   원본 그림의 크기: 가로 1109pixel, 세로 374pixel

  • Module(MP),
    그림입니다.   원본 그림의 이름: CLP0000152c0020.bmp   원본 그림의 크기: 가로 501pixel, 세로 483pixel

  • Search(MP),
    그림입니다.   원본 그림의 이름: CLP0000152c0016.bmp   원본 그림의 크기: 가로 636pixel, 세로 402pixel

  • Favorite(MP),
    그림입니다.   원본 그림의 이름: CLP0000152c0018.bmp   원본 그림의 크기: 가로 508pixel, 세로 457pixel

 

 

Case management

그림입니다.   원본 그림의 이름: CLP0000152c0014.bmp   원본 그림의 크기: 가로 505pixel, 세로 302pixel

그림입니다.   원본 그림의 이름: CLP0000152c0013.bmp   원본 그림의 크기: 가로 684pixel, 세로 589pixel

  • Function
    - 아래의 프로세싱을 순차 진행
    - Target volume analysis(tsk-loaddb)
    - Target image analysis(auto-mount, 예정)
    - Create Case PFP-List,
    - Fast lookup & extract,
    - Timeline (Create plaso dump file)
    - Automatic-extraction for main artifact,
    - Case logs

 

Single-Folder package with Portable python
그림입니다.   원본 그림의 이름: CLP0000152c0004.bmp   원본 그림의 크기: 가로 228pixel, 세로 204pixel

 

Filesystem handling (pytsk)

  • pytsk.pyd
    그림입니다.   원본 그림의 이름: CLP0000152c0003.bmp   원본 그림의 크기: 가로 479pixel, 세로 366pixel

  • Filesystem Lookup
    그림입니다.   원본 그림의 이름: CLP0000152c0019.bmp   원본 그림의 크기: 가로 721pixel, 세로 356pixel


    - Lookup 결과에 대한 임시 추출 및 관련 도구 연결
    그림입니다.   원본 그림의 이름: CLP0000152c001a.bmp   원본 그림의 크기: 가로 676pixel, 세로 215pixel

    그림입니다.   원본 그림의 이름: CLP0000152c001b.bmp   원본 그림의 크기: 가로 502pixel, 세로 479pixel

  • Low(Raw) Extract (PFP-Extractor)
    그림입니다.   원본 그림의 이름: CLP0000152c0010.bmp   원본 그림의 크기: 가로 926pixel, 세로 260pixel


    그림입니다.   원본 그림의 이름: CLP0000152c0011.bmp   원본 그림의 크기: 가로 683pixel, 세로 870pixel

  • Interpreter - Load-db(Case management),

  • NTFS ADS handling
    그림입니다.   원본 그림의 이름: CLP0000152c001c.bmp   원본 그림의 크기: 가로 248pixel, 세로 126pixel

 

 

Registry handling()

  • Registry contents
    그림입니다.   원본 그림의 이름: CLP0000152c0007.bmp   원본 그림의 크기: 가로 1634pixel, 세로 468pixel

  • Target volume’s registry Look up
    그림입니다.   원본 그림의 이름: CLP0000152c0006.bmp   원본 그림의 크기: 가로 983pixel, 세로 416pixel

 

 

Management database (SQLite handling)

  • Contents managing Concept
    그림입니다.   원본 그림의 이름: CLP0000152c0005.bmp   원본 그림의 크기: 가로 928pixel, 세로 463pixel

  • Databases (for PFP-List, Module-list, Process/favorite)
    그림입니다.   원본 그림의 이름: CLP0000152c0008.bmp   원본 그림의 크기: 가로 422pixel, 세로 238pixel
    [Databases for User define contents]

    그림입니다.   원본 그림의 이름: CLP0000152c0009.bmp   원본 그림의 크기: 가로 465pixel, 세로 184pixel
    [Databases for public contents]

    - UpdateCustomizing을 고려하여 DB 설계,
    - Devide database files into public database and user-define database

 

 

Tool Launch

  • Tools(Modules) can be launched by Module launcher


  • CLI Tool 아규먼트로 실행
    그림입니다.   원본 그림의 이름: CLP0000152c000d.bmp   원본 그림의 크기: 가로 710pixel, 세로 302pixel

 

 

Terminal Load

그림입니다.   원본 그림의 이름: CLP0000152c0012.bmp   원본 그림의 크기: 가로 662pixel, 세로 415pixel

 

 

Contents간 연동

  • PFP-LIst & Module(MP)
  • PFP-List & Favorite(MP)
  • PFP-List -> Lookup -> Temp extract -> Module launcher(hex, etc..)(MP)
  • PFP-List & PFP-Extractor(MP)
  • Lookup result & PFP-Extractor(MP)

 

 

Dialogs for management :

  • PFP-List,
    그림입니다.   원본 그림의 이름: CLP0000152c001d.bmp   원본 그림의 크기: 가로 1089pixel, 세로 480pixel

  • Module-List,
    그림입니다.   원본 그림의 이름: CLP0000152c001e.bmp   원본 그림의 크기: 가로 683pixel, 세로 606pixel

  • Category,
    그림입니다.   원본 그림의 이름: CLP0000152c001f.bmp   원본 그림의 크기: 가로 893pixel, 세로 846pixel

 

 

Automaitic update

그림입니다.   원본 그림의 이름: CLP0000152c000e.bmp   원본 그림의 크기: 가로 802pixel, 세로 467pixel

 

 

Install and autorun(install.bat)

그림입니다.   원본 그림의 이름: CLP0000152c0015.bmp   원본 그림의 크기: 가로 1251pixel, 세로 146pixel

 

 

[Format analyzer - Tech spec]

Basic concept

그림입니다.   원본 그림의 이름: CLP0000152c000f.bmp   원본 그림의 크기: 가로 940pixel, 세로 655pixel[System Design]

그림입니다.   원본 그림의 이름: CLP000074f00ae0.bmp   원본 그림의 크기: 가로 1417pixel, 세로 915pixel[Format analysis]

그림입니다.   원본 그림의 이름: CLP000032700002.bmp   원본 그림의 크기: 가로 1232pixel, 세로 433pixel[Engine code example]

 

Python gui

  • grid control (Spreadsheet연동)
  • xls/xlsx handling

Basic View (하위 각 View의 연동)

  • 그림입니다.   원본 그림의 이름: CLP000059440001.bmp   원본 그림의 크기: 가로 1668pixel, 세로 820pixel
    - Hex view
    -
    Result view
    -
    Map file gridhex view, Result view 연동

Data converting

  • timestamp
  • string
  • uni-string
  • numeric,
  • etc

Map file desing

  • Map file concept

    그림입니다.   원본 그림의 이름: CLP000074f00002.bmp   원본 그림의 크기: 가로 534pixel, 세로 783pixel

  • Map file example
    그림입니다.   원본 그림의 이름: CLP00000a4c0005.bmp   원본 그림의 크기: 가로 681pixel, 세로 548pixel

Now developing..

  • ...