Durante un análisis forense es muy útil crear una cronología o línea de tiempo, la cual permite rastrear y seguir las actividades relacionadas al tiempo de los archivos residentes en un dispositivo de almacenamiento. Este es un proceso delicado, pues se deben considerar factores como la zona horaria del país donde se capturó la evidencia digital (GMT / UTC); la cual puede ser diferente a la del analista; de esta manera se contextualiza perfectamente los tiempos. También se debe considerar la desviación del tiempo, el cual es la diferencia en minutos / segundos del tiempo del Sistema (Ejemplo Marca de Tiempo del BIOS) y el tiempo actual.

NBTempo esta basado en The SleuthKit , el cual puede crear archivos de cronologías o lineas de tiempo mediante una Interfaz Gráfica de Usuario y reportarla en formato CSV.

Para la siguiente demostración se utilizará la imagen forense de un sistema Windows 7.

Hacer clic en “Menu -> Forensics Tools -> NBTempo” para ejecutar la herramienta requerida.

Se presenta una ventana con información de la herramienta. Hacer clic en el botón de nombre “OK”.

Seleccionar la imagen forense desde la cual se requiere crear la cronología o linea de tiempo.

Definir el directorio de destino en el cual se creará el archivo de la cronología en formato CSV.

Insertar el tiempo UTC o GMT relacionado al ítem de evidencia digital. En caso se requiera utilizar los ajustes del tiempo local dejar este campo vacío.

Insertar una desviación de tiempo en segundos. Para esta demostración se define el valor “0”.

Seleccionar la fecha desde la cual iniciará la cronología.

Seleccionar la fecha en la cual finalizará la cronología.

Se consulta sobre la creación previa de una cronología para el dispositivo actual. A razón de no haber realizado este proceso previamente, se selecciona la opción “No”.

Al culminar la operación de manera satisfactoria se detalla la creación del reporte en el directorio pertinente.

El archivo de cronología creado puede ser abierto utilizando un programa de hoja de calculo como “LibreOffice Calc”.

En este archivo reside la información detallada sobre todos los archivos incluidos durante la creación de la cronología, como Fecha, Tamaño, Tipo, Modo, UID, GUID, Meta, y Nombre del Archivo.

Fuentes:

http://scripts4cf.sourceforge.net/tools.html
http://nannibassetti.com/dblog/articolo.asp?articolo=141
http://www.html.it/articoli/forensics-nbtempo-una-gui-per-le-timeline-1/
http://www.sleuthkit.org/sleuthkit/