Forensics: NBTempo una GUI per le timeline

17 maggio 2012

Nella digital forensics, ossia quella disciplina che si occupa delle investigazioni informatiche a fini di giustizia, forensi appunto, spesso serve creare delle timeline, cioè delle linee temporali per tracciare e capire le attività del dispositivo in esame nel tempo.

La creazione di timeline è sempre un’operazione delicata, che va vagliata attentamente, infatti ci sono delle considerazioni da fare, come gli scostamenti temporali, ad esempio se il dispositivo è stato ritrovato in una nazione col fuso orario diverso dal nostro dobbiamo tenerne conto, al fine di contestualizzare perfettamente gli orari, come anche del “time skew”, che è l’aggiustamento fine se per esempio il dispositivo aveva l’orario sbagliato di ore o minuti. Grazie all’uso di questi parametri si può ottenere una timeline affidabile.

Per creare una timeline su un dispositivo o su un file immagine con gli strumenti Open Source, c’è l’immancabile coltellino svizzero che è The Sleuth Kit di Brian Carrier, che con due semplici comandi può risolvere il problema, esempio:

sudo tsk_gettimes /dev/sda -s 0 > /evidences/times.txt

il comando tsk_gettimes estrae i tempi e le date dal dispositivo /dev/sda, (poteva anche essere un file immagine DD o EWF o AFF), e scrive un file di testo times.txt di questo tipo:

0|vol2/SHARK-KEY   (Volume Label Entry)|3|r/rrwxrwxrwx|0|0|0|0|1207210852|0|0
0|vol2/hotspot_lista.html|6|r/rrwxrwxrwx|0|0|389216|1334008800|1207718238|0|1207306079
0|vol2/hotspot_lista_files|9|d/drwxrwxrwx|0|0|16384|1207260000|1207306082|0|1207306080
ecc.
ecc.

a questo punto basta lanciare:

sudo mactime -b /evidences/times.txt -z CET -d 2007-01-01..2009-01-01 >/evidences/report.csv

al fine di ottenere un file CSV con date, orari, permessi e nome file di questo tipo:

Il file CSV ottenuto

Il file CSV ottenuto

Ok, la solita solfa di GNU/Linux, righe di comando, parametri da ricordare, voglio la GUI! Dirà qualcuno, per questo ho scritto NBTempo un semplice GUI, realizzata usando YAD (Yet Another Dialog), ed un semplice bash script, ed anche sulla distribuzione GNU/Linux CAINE 2.5.1

Ecco come appare:

Figura 1. CAINE

CAINE Linux
Se vuoi aggiornamenti su Forensics: NBTempo una GUI per le timeline inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Forensics: NBTempo una GUI per le timeline

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy