@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Autopsy 4.4.1 タイムライン機能(1)

Autopsy のタイムライン機能

Timeline

http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/timeline_page.html

 サンプルのイメージファイルとしては、マイクロソフト社が提供している仮想マシンのイメージを利用しています。ブラウザの履歴なども確認していく予定ですが、まずはファイルシステムのタイムラインから確認します。

インジェストモジュールは何も実行しない状態で、Autopsyでイメージファイルを参照し、『Timeline』を選択。

f:id:hideakii:20170819163906p:plain

「タイムラインウィンドウ」が起動。

インジェストモジュールを何も実行していない為、ファイルシステムの項目を示す「赤色」だけが表示されている状態になっている。

f:id:hideakii:20170819164145p:plain

『カウント』のグラフを利用した場合、タイムラインからは何を読み取れる事が出来るでしょうか?、または何が読み取れないでしょうか?

 

項目数が多いので、まずは「テキストフィルター」を利用し、メモ帳(notepad.exe)の項目だけを参照。テキストフィルタに Windows\Notepad.exe を入力し、『適用』を選択。フィルタに指定した文字列に一致した項目だけが表示される。

f:id:hideakii:20170819164500p:plain

イベントタイプの項目はデフォルトで「ベースタイプ」となっているので、この項目を「サブタイプ」に切り替える事で、どのタイムスタンプが変化したのかを更に色分けする。

f:id:hideakii:20170819164806p:plain

デフォルトではスケールが「対象数」となっているが、「リニア」に切り替える事で件数ベースでカウントを表示できる。notepad.exe のタイムスタンプ 情報 4件が、3件と1件に分かれて表示されている。

f:id:hideakii:20170819165042p:plain

テキストフィルタに「.dll」を設定し、作成日時(作成されたファイル)でフィルタした結果が下記グラフ(スケールはリニア)。

7月29日に多くのDLLファイルが作成されているように見えます。

f:id:hideakii:20170820072226p:plain

次に、フィルタをエントリ更新日時(変更されたファイル)に切り替えた結果が下記グラフ。

8月5日に多くのファイルでMTFレコードが更新されている事が分かる。

f:id:hideakii:20170820072412p:plain

DLLファイルの作成日時とエントリ更新日時の両方をグラフに表示。

f:id:hideakii:20170820072737p:plain

この二つのタイムスタンプを示すグラフから、何を読み取ればよいでしょうか?

 

詳細モード

ビジュアライゼーションモードを「詳細」に切り替えると、下記のような表示モードとなる。項目に選択し、イベントをピン止めする事もできる。

f:id:hideakii:20170819170230p:plain

表示方法は、「アドバンスレイアウトオプション」で変更が可能。

f:id:hideakii:20170819170549p:plain

詳細モードを利用した場合、それぞれのイベントがどの程度近いのか、離れているのかを確認する事ができる。右クリックメニューからはPlace Marker を設定できる。(設置したマーカーを解除する場合は、マーカー上で右クリックする)

f:id:hideakii:20170819171005p:plain

複数のイベントが存在する場合は、項目がまとめて表示するようになっており、+記号をクリックする事で開く事ができる。

f:id:hideakii:20170819195251p:plain

展開した項目を再度まとめたい場合はー記号をクリックする。

f:id:hideakii:20170819195433p:plain

項目の表示を抑止したい場合は、眼のアイコンをクリックすることで表示しないようにできる。

f:id:hideakii:20170819195621p:plain

詳細ビューで隠すように設定した項目は、『隠された説明』のウインドウに登録されており、チェックボックスを外すか、右クリックメニューからリストから削除を選択する事で戻す事が可能。

f:id:hideakii:20170819195823p:plain

イベントのタブを利用する事で、詳細項目と連動して確認を行う事も可能。

f:id:hideakii:20170819200913p:plain

Listモード

ビジュアライゼーションモードを「List」に切り替える事でリスト形式で項目が表示される。リスト形式であれば、Event Type の項目からどのタイムスタンプが該当時刻になっているかを確認できる。

f:id:hideakii:20170819165405p:plain

表示されている項目を選択する事で、ファイルメタデータなどをボトムのウインドウで確認できる。

$FNのタイムスタンプ情報

Autopsy 4.4.1 のタイムラインでは、標準属性($SIA)のタイムスタンプだけを表示している。ファイル名属性($FN)のタイムスタンプを確認するには、該当項目を選択し、ファイルメタデータから istat の出力結果を確認する必要がある。

以下は notepad.exe の istat 結果。

$FN と $SIA のタイムスタンプが逆転している箇所がある事を確認できる。また、タイムラインウィンドウ上では $FN のタイムスタンプが示されていない事が分かる。

Sleuth Kit istatツールから: 

MFT Entry Header Values:
Entry: 30100 Sequence: 1
$LogFile Sequence Number: 186998428
Allocated File
Links: 2

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 444 (S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)
Created: 2017-07-29 21:41:14.041050600 (JST)
File Modified: 2017-07-29 21:41:14.041050600 (JST)
MFT Modified: 2017-08-05 12:05:34.844662200 (JST)
Accessed: 2017-07-29 21:41:14.041050600 (JST)

$FILE_NAME Attribute Values:
Flags: Archive
Name: notepad.exe, notepad.exe
Parent MFT Entry: 10669 Sequence: 1
Allocated Size: 0 Actual Size: 0
Created: 2017-08-05 12:05:29.594674700 (JST)
File Modified: 2017-08-05 12:05:29.594674700 (JST)
MFT Modified: 2017-08-05 12:05:29.594674700 (JST)
Accessed: 2017-08-05 12:05:29.594674700 (JST)

Attributes:
Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72
Type: $FILE_NAME (48-4) Name: N/A Resident size: 88
Type: $FILE_NAME (48-2) Name: N/A Resident size: 88
Type: $DATA (128-3) Name: N/A Non-Resident size: 246784 init_size: 246784
1947129 1947130 1947131 1947132 1947133 1947134 1947135 1947136
1947137 1947138 1947139 1947140 1947141 1947142 1947143 1947144
1947145 1947146 1947147 1947148 1947149 1947150 1947151 1947152
1947153 1947154 1947155 1947156 1947157 1947158 1947159 1947160
1947161 1947162 1947163 1947164 1947165 1947166 1947167 1947168
1947169 1947170 1947171 1947172 1947173 1947174 1947175 1947176
1947177 1947178 1947179 1947180 1947181 1947182 1947183 1947184
1947185 1947186 1947187 1947188 1947189
Type: $EA_INFORMATION (208-5) Name: N/A Resident size: 8
Type: $EA (224-6) Name: N/A Resident size: 120

 

Autopsyでファイルシステムのタイムラインを表示した場合、Plasoとは異なり VSS に含まれているファイルのタイムスタンプ情報は表示されません。その他に、どの様なファイルシステム上のタイムスタンプが表示されていないでしょうか?