Una de las herramientas más populares para crear líneas de tiempo (Cronologías) es “mactime”, una aplicación de The Sleuth Kit desarrollada y mantenida por Brian Carrier.

Existen dos comandos principales para generar líneas de tiempo desde un sistema de archivos:

• “fls” toma como entrada un archivo en bruto derivado de la adquisición de una dispositivo de almacenamiento( ya sea una única partición o una imagen en bruto de un disco con varias particiones) y devuelve una lista de todos los archivos (aquellos asignados o no, sin embargo el registro sigue estando contenido en la tabla de asignación de archivos), para su uso subsecuente con “mactime”.
• “mactime” toma como entrada una lista, creada por “fls”, con todos los datos contenidos en el sistema de archivos bajo análisis y proporciona una línea de tiempo en formato ASCII.

FLS

En el caso donde una imagen dd contenga uno o más particiones, se debe incluir el parámetros “-o” para indicar a “fls” el desplazamiento hacia el sector (y no en bytes, como en el caso del parámetro “offset” del comando mount), del punto inicial de la partición requerida a analizar.

Se recomienda ejecutar antes el comando “mmls” de The Sleuth Kit, o el comando “fdisk”.

$ mmls ImagenUSB01.dd

Se ejecuta “fls” utilizando las siguientes opciones:

-o: desplazamiento al punto inicial de la partición.
-z: zona horaria sobre sistema utilizado para analizar.
-s: desajuste en segundos sobre el tiempo del sistema comparado con el tiempo real.
-m: el texto a colocar antes de la ruta y el nombre del archivo en la Linea de Tiempo.

$ fls -o 8064 -z America/Lima -s 0 -m E: -r ImagenUSB01.dd > /tmp/evidencia/Unidad_E.body

El resultado será obtener un archivo en formato “body”, conteniendo la linea de tiempo sobre el sistema bajo análisis.

Este formato no es inmediatamente accedible por el examinador, pues contiene códigos no ordenados de fechas y registros. Es por lo tanto necesario procesarlo para hacerlo factible de ser leído, en orden, y en un formato seleccionado.

MACTIME

“mactime” es una herramienta de The Sleuth Kit, el cual convierte una linea de tiempo desde el formato “body” hacia el formato CSV, ordenando los ítemes y cambiando los parámetros de visualización basado en las necesidades del examinador.

Usualmente el comando a ejecutar es el siguiente:

$ mactime -b /tmp/evidencia/Unidad_E.body -z America/Lima > /tmp/evidencia/Unidad_E.csv

La opción “-b” especifica la entrada, “-z” la zona horaria y “-d” representa el archivo de salida conteniendo la linea de tiempo en formato CSV.

El comando “mactime” tiene una funcionalidad resumen de reporte para actividades diarias y horarias detectadas sobre el sistema de archivos, lo cual es añadido hacia la función de convertir en formato CSV, y hacia la función de ordenar registros generados por el comando “fls”. Esta información puede ser esencial para evaluar cuales días; o el momento donde actividades de uso son detectables sobre una PC, mostrando picos y anomalías quizás debido a actividades de fin de semana las cuales duramente resaltan en una linea de tiempo tradicional.

Para obtener un reporte de la actividades diarias ocurridas sobre un sistema de archivos, únicamente añadir los parámetros “-d” y “-i” seguidos por el nombre del archivo en el cual se requiere guardar el reporte. El reporte de las actividades de tiempo es obtenida con los parámetros “-h” y “-i” seguido por el nombre del archivo en el cual se requiere guardar el reporte.

$ mactime -b /tmp/evidencia/Unidad_E.body -z America/Lima -h -i day /tmp/evidencia/resumen_dia.txt > /tmp/evidencia/resumen.txt

Se puede obtener de esta manera, un archivo conteniendo registros similares a los siguientes.

En este ejemplo se puede observar, el día jueves 8 de mayo es donde ocurrieron 37 actividades sobre archivos. Este valor podría no ser de interés, o en algunos casos ser de gran importancia.

Se sugiere verificar la continuidad o promedio de valores durante la mayoría de días analizados, los cuales se apoyen sobre un cierto valor; por ejemplo inferior a 10; y alcance; como en el ejemplo picos de 30 en un día específico. El examinador debe proceder en este punto a analizar con mayor detalle la línea de tiempo del día en el cual se encontró la anomalía.

La siguiente tabla es útil para entender el significado de los valores mostrados en la columna “Activity Type”. La cual indica las acciones realizadas sobre los archivos y carpetas en un lapso de tiempo determinado.

A continuación un ejemplo del resultado de ejecutar “mactime” únicamente para el día 8 de mayo.

$ mactime -b /tmp/evidencia/Unidad_E.body -z America/Lima -h 2014-05-08..2014-05-09

Fuentes:

http://sleuthkit.org/
http://www.sleuthkit.org/autopsy/help/index.html
http://wiki.sleuthkit.org/index.php?title=Mactime
http://wiki.sleuthkit.org/index.php?title=Fls
http://www.deftlinux.net/doc/EN-deft7.pdf
http://www.deftlinux.net