Timeline Mode

概要

調査によっては、行なわれた操作の timeline を作成することで、解析を開始すべき場所を特定することが容易になる場合もある。もちろん、ファイルの時刻は攻撃者によって簡単に改変され得るため、100% 信頼することはできない。しかし Autopsy ではファイル操作の timeline を生成することができる。

ファイルには、少なくとも三つの時刻が関連づけられている。各時刻の詳細はファイルシステムのタイプに依存する。

以下の時刻は、UNIX のファイルシステム (EXT2FS & FFS) に存在する:

EXT2FS ファイルシステムには、削除時刻も存在する。 しかし、これは timeline では表示されない。

以下の時刻は、FAT ファイルシステムに存在する:

NTFS ファイルシステムには、いくつかの時刻が記録されるが、 以下の 3 つのみが timeline で用いられる。 これらの時刻は \$STANDARD_INFORMATION 属性から収集される。

Timeline の作成

timeline を作成するには、二つのステップが必要である。 最初のステップは、各ファイルシステムのイメージから必要なデータを取り出し、保存することである。 このステップで、各ファイルシステムからのデータは、汎用のフォーマットで格納される。 (TCT からの)歴史的な理由により、このファイルは body ファイルと呼ばれる。 次のステップは body ファイルを入力として、指定された時間帯のファイル操作の timeline が格納される ASCII ファイルを生成することである。最終的に出力された timeline は Autopsy やテキストエディタなどを用いて参照することが可能である。

body ファイルの作成

ファイルのメタデータは、ファイルシステムから収集されて、bodyファイルに格納されている必要がある。データの抽出先のファイルには、大きく 3 つの形式がある:

body ファイルを生成するには、まずトップにあるリストから解析したいイメージを選択する。引続き、抽出したいデータのタイプを指定する。 デフォルトでは、すべてのタイプが抽出される。 最後に、生成する body ファイルの名前を指定する。 ファイルは、output ディレクトリ内に作成され、 エントリがホスト設定ファイルに追加される。 新しいファイルの MD5 の値を計算するオプションを設定することも可能である。

Timeline の生成

次のウインドウで、新規に作成されたbodyファイルに基づいた timeline を生成することが可能である。 左側のメニューからオプションを選択する。日付の範囲も timeline ファイルの名前と同様に選択する必要がある。 生成される timeline は ホストのタイムゾーンを利用する。

イメージが UNIX ファイルシステムのものである場合、UID や GID を実際の名前に変換する際に、パスワードおよびグループファイルを使うことができる。 現在のところ、この作業は簡単には行なえないが、ファイルがどこに存在するかの記述してある「Notes」機能を利用することが可能である。

time line はoutputディレクトリ中に作成される。 新しいファイルの MD5 のハッシュ値を計算するオプションを選択することも可能である。

Timeline の表示

timeline は Autopsy で表示することができる。Timelines は非常に範囲が広くなる傾向があり、数千にも及ぶ行が存在することもあり得る。 HTML ブラウザはこのサイズのテーブルを適切に扱えず、処理を行なう際にトラブルが発生することも多い。 そのため、Autopsy では timeline を一度に1ヶ月分のみ表示することが可能にしている。 これはシェルをオープンして、timeline をテキストエディタや「less」や「more」のようなページャで開くよりも簡単であろう。
Brian Carrier