Timeline

Informacion del sistema de archivos dond se identifica el tipo de sistema de archivo ext4 el 2048 viene de los volumenes asignados

fsstat -o 2048 server.raw

Creacion de linea de tiempo con metadatos recursivo

# -r ruta base para los archivos listados 
# -m / sistema de archivos
# -f ext4
# offset -o 2048

fls -r -m / -f ext4 -o 2048 server.raw > server.txt

# para windows solo se cambia el ext4 por ntfs
# fls -r -m / -f ntfs -o 2048 server.raw > server.txt

La generación de linea de tiempo nos sirve para buscar tiempos mac y asociarlo al incidente

# Análisis rapido
mactime -b server.txt > timeline.timeline

# Análisis estructurado y visual
mactime -d -z UTC -b server.txt > timeline.csv

# 
log2timeline.py server.plaso server.raw

# 
psort.py -z "UTC" -o L2tcsv server.plaso "date > '2021-04-01 00:00:00' AND date < '2021-06-24 00:00:00'" -w server.csv

Fitra las que inician con un formato de fecha

grep -E '^[A-Z][a-z]{2} [A-Z][a-z]{2}' timeline.timeline > timeline_odate.timeline

Quick and Dirty Linux Forensicscenturion

PreviousAnálisis de Volumenes no Asignados NextAnálisis Temporal y Estructural de Inodes

Last updated 6 months ago