Supertimeline cheatsheet

Le “supertimeline” (timeline che estendono quelle fatte tramite i dati del filesystem prendendo in considerazione anche metadati) sono diventate un supporto indispensabile nel campo della Digital Forensics. Ho raccolto qui di seguito alcuni comandi pronti per il cut&paste, basati sulla test image nps-2009-domexusers di Digital Corpora, disponibile nei tre formati AFF, EWF e RAW e liberamente scaricabile dal web per esercitazioni e test degli strumenti di indagine digitale.

Gli strumenti per eseguire supertimeline di immagini forensi o di dischi e supporti digitali sono in continua evoluzione, seguiranno ulteriori articoli che illustreranno i progressi e i nuovi tool per generare supertimeline e timeline contenenti filesystem e artefatti.

Generazione supertimeline

Nel caso di immagini in formato EWF/AFF (Xmount)

xmount –in ewf –out dd nps-2009-domexusers.E* /mnt/raw
xmount –in aff –out dd nps-2009-domexusers.aff /mnt/raw
[per smontare il volume “umount /mnt/raw”]

Nel caso di immagini in formato EWF (mount_ewf.py)

mount_ewf.py nps-2009-domexusers.E01 /mnt/raw
ewfmount nps-2009-domexusers.E01 /mnt/raw
[per smontare il volume “umount /mnt/raw”]

Nel caso di immagini in formato AFF/ SPLIT RAW (Affuse)

affuse nps-2009-domexusers.aff /mnt/raw
affuse nps-2009-domexusers.001 /mnt/raw
[per smontare il volume “fusermount -u /mnt/raw”]

Informazioni sulle partizioni tramite MMLS

mmls /mnt/raw/nps-2009-domexusers.dd

DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: —– 0000000000 0000000062 0000000063 Unallocated
02: 00:00 0000000063 0083859299 0083859237 NTFS (0x07)
03: —– 0083859300 0083886079 0000026780 Unallocated

MOUNT delle partizioni rilevate tramite MMLS

mount -o ro,loop,show_sys_files,streams_interface=windows,offset=$((512*63)) /mnt/raw/nps-2009-domexusers.dd /mnt/c

Estrazione info rilevanti dal registro

rip -r /mnt/c/WINDOWS/system32/config/software -p winver

Launching winver v.20081210
ProductName = Microsoft Windows XP
CSDVersion = Service Pack 3
InstallDate = Mon Oct 20 21:43:18 2008

rip -r /mnt/c/WINDOWS/system32/config/system -p timezone2

Launching timezone v.20101219
TimeZoneInformation key
ControlSet001\Control\TimeZoneInformation
LastWrite Time Tue Oct 28 16:31:28 2008 (UTC)
DaylightName -> Pacific Daylight Time
StandardName -> Pacific Standard Time
Bias -> 480 (8 hours)
ActiveTimeBias -> 480 (8 hours)
TimeZoneKeyName -> N/A

Generazione supertimeline da filesystem

log2timeline -p -r -z Europe/Rome /mnt/c/ -m C: -w c-log2t.csv
[se ci interessa solo l’MFT “log2timeline -f mft /mnt/c/\$MFT -z Europe/Rome -m C: -w c-mft.csv”]

Carving

mkdir carving; cd carving
photorec /mnt/raw/nps-2009-domexusers.dd
[oppure “vi /etc/foremost.conf foremost” e “foremost -o carving -i /mnt/raw/nps-2009-domexusers.dd” o ancora “vi /opt/hb4/scalpel.conf” e “scalpel -v /opt/hb4/scalpel.conf -o carving -i /mnt/raw/nps-2009-domexusers.dd]

vi /etc/foremost.conf foremost -o carving -i /dev/sda vi /opt/hb4/scalpel.conf scalpel -v /opt/hb4/scalpel.conf -o carving -i /dev/sda

Generazione supertimeline da carved files

log2timeline -r -z Europe/Rome ./carving/ -m C-UNALLOCATED: -w c-log2t-carving.csv

Aggregazione dei risultati parziali

cat *.csv > supertimeline-unsorted.csv
l2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2008-10-20 > supertimeline-20081020.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2008-01-01..2008-12-31 > supertimeline-2008.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2009-01-01..2009-12-31 > supertimeline-2009.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2010-01-01..2010-12-31 > supertimeline-2010.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2011-01-01..2011-12-31 > supertimeline-2011.csv
l2t_process -i -b supertimeline-unsorted.csv -y 2012-01-01..2012-12-31 > supertimeline-2012.csv

Operazioni accessorie

Estrazione dati dal registro tramite regtime.pl

regtime.pl -m HKLM-SAM/ -r /mnt/c/WINDOWS/system32/config/SAM >> regtime.body
regtime.pl -m HKLM-SECURITY/ -r /mnt/c/WINDOWS/system32/config/SECURITY >> regtime.body
regtime.pl -m HKLM-SOFTWARE/ -r /mnt/c/WINDOWS/system32/config/software >> regtime.body
regtime.pl -m HKCU-DOMEX1/ -r /mnt/c/Documents\ and\ Settings/domex1/NTUSER.DAT >> regtime.body
Regtime.pl -m HKCU-DOMEX2/ -r /mnt/c/Documents\ and\ Settings/domex2/NTUSER.DAT >> regtime.body
mactime -y -m -d -z Europe/Rome -b regtime.body > regtime.csv

Analisi del registro tramite RegRipper

cd /opt/regripper
ls plugins/*[^pl]
rip -r /mnt/c/WINDOWS/system32/config/software -f software
rip -r /mnt/c/WINDOWS/system32/config/system -f system
rip -r /mnt/c/WINDOWS/system32/config/SAM -f sam
rip -r /mnt/c/WINDOWS/system32/config/SECURITY -f security
rip -r /mnt/c/Documents\ and\ Settings/utente/NTUSER.DAT -f ntuser

Analisi LNK

lnkinfo Document.xls.lnk
log2timeline -z Europe/Rome *.lnk

Generazione timeline tradizionale con daily/hourly summary tramite TSK/FLS

fls -o 63 -r -m C: /mnt/raw/nps-2009-domexusers.dd > c-timeline.body
mactime -y -m -d -i day c-timeline-daily.csv -z Europe/Rome -b c-timeline.body > c-timeline.csv
mactime -y -m -d -i hour c-timeline-hourly.csv -z Europe/Rome -b c-timeline.body > c-timeline.csv
Agglomerazione file
cat *.body > timeline.body
Conversione formato mactime->csv
mactime -y -m -d -i day c-timeline-daily.csv -z Europe/Rome -b timeline.body > timeline.csv
mactime -y -m -d -i hour c-timeline-hourly.csv -z Europe/Rome -b timeline.body > timeline.csv

Estrazione MFT

cat -c /mnt/c/\$MFT> mft.bin
[ oppure “icat -o 63 /mnt/raw/nps-2009-domexusers.dd 0 > mft.bin”]

Estrazione USNJRNL

cat /mnt/c/\$Extend/\$UsnJrnl:\$J > usnjrnl.bin

Ricerca di file per nome

Uso catfish, oppure “updatedb” e quindi “locate *nomefile*”

Recupero dei nomi dei file cancellati e spostati nel cestino

find /mnt/c -name INFO2 -exec rifiuti2 {} \;

(“rifiuti2” recupera data di cancellazione, percorso originale e dimensione dei file cancellati, rilevando anche se i file sono stati estratti dal cestino dopo esservi stati riposti. Per Windows Vista e Windows Server si usa il comando “rifiuti-vista”)


Per informazioni o preventivi contattate lo Studio d'Informatica Forense tramite la Pagina Contatti o compilando il modulo seguente.

    Nome o Ragione Sociale *

    Email *

    Telefono

    Messaggio *

    Ho letto l'informativa sul trattamento dati *
    Do il mio consenso al trattamento dati *