Cronologías o Lineas de Tiempo con The Sleuth Kit

  • Posted on: 23 February 2024
  • By: ReYDeS

La creación de una línea de tiempo sobre la actividad del sistema, proporciona a un profesional forense evidencia sobre donde investigar más a fondo. Las líneas de tiempo en The Sleuth Kit permiten obtener rápidamente una visión a alto nivel sobre la actividad del sistema, como cuando se compilaron los archivos y cuando fueron abiertos. The Sleutk Kit le permite generar lineas de tiempo sobre la actividad a partir de una variedad de fuentes. Autopsy también permite crear líneas de tiempo utilizando las herramientas TSK.

Introducción

Muchos archivos y directorios tienen tiempos con estos. La cantidad y descripción de los cuales dependen del tipo de sistema de archivos. Por ejemplo los sistemas de archivos FFS y Ext2/3/4, tienen una hora de modificación, acceso y cambio. Ext2/3 también tiene una hora de eliminación. FAT almacena la hora de escritura, acceso y creación, aunque por especificación las horas de creación y acceso son opcionales, además la hora de acceso solo es exacta al día. NTFS tiene tiempos de creación, modificación, cambio, y acceso.

Otros registros de eventos y fuentes de datos también pueden tener datos temporales. Por ejemplo, registros de eventos, registros del sistema, registro de Windows, y metadatos de documentos. Tenerlos en una sola línea de tiempo, junto con los datos del sistema de archivos, puede ayudar a reconstruir los eventos. Se puede crear o buscar herramientas para guardar datos temporales en el formato de archivo “body”.

Creación de línea de tiempo

En un alto nivel, la generación es un proceso de dos pasos. En el primer paso, los datos temporales se recopilan desde varias fuentes de datos (como sistemas de archivos, registros, registros de eventos, etc.), además se guardan en el formato de archivo “body”. Este paso se realiza utilizando la herramienta 'fls' en TSK u otras herramientas. El segundo paso es ordenar y fusionar todos los datos temporales en una única línea de tiempo. Este paso se realiza utilizando el script 'mactime' en The Sleuth Kit.

Recopilación de datos

El principal método para recopilar datos temporales desde sistemas de archivos es ejecutar “fls” con la opción '-m'.

El comando 'fls' requiere el argumento '-m' con también la opción '-r', para recopilar todos los archivos. Este paso recorre la jerarquía de directorios y genera una línea para cada archivo en el sistema de archivos. Este comando debe ejecutarse para cada partición de una imagen de disco.

Como ejemplo, considerar un sistema Windows.

$ fls -m "C:/" -o 2048 -r Craig\ Tucker\ Desktop.E01 > body.txt

El desfase temporal del sistema puede también ser tomado en consideración durante este paso. Utilizando el argumento '-s' para “fls”, el archivo “body” puede tener tiempos ajustados para el sistema sea consistente con otros servidores.

NOTA: La herramienta mac-robber también se puede utilizar para recopilar datos desde archivos asignados en un sistema de archivos montado. “mac-robber” es útil para sistemas de archivos donde no existen herramientas (como AIX jfs).

Cualquier dato con horas se puede convertir al formato que necesita mactime. Creé scripts para convertir archivos de registro al formato anterior para que todos los datos estuvieran en una sola línea de tiempo.

Creación de línea de tiempo

Cuando todos los datos temporales se han fusionado en un solo archivo “body”, los datos pueden ser ordenados basados en tiempos. El programa “mactime” realiza esto.

Fuentes:

http://wiki.sleuthkit.org/index.php?title=Timelines
http://wiki.sleuthkit.org/index.php?title=Body_file
http://www.sleuthkit.org/mac-robber/
http://wiki.sleuthkit.org/index.php?title=Mactime

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete