Forensik und Incident Response
Timeline-Analyse
Auch bekannt als: Super-Timeline, Forensische Zeitachse
Definition
Forensische Technik, die die chronologische Abfolge von Systemereignissen rekonstruiert, indem sie Zeitstempel aus Dateisystem, Registry, Logs und Anwendungen korreliert.
Die Timeline-Analyse führt zeitgestempelte Artefakte – MFT-Einträge, $LogFile, Prefetch, Registry-Hives, Browserverlauf, Eventlogs und Anwendungsspuren – zu einer einheitlichen chronologischen Sicht zusammen, mit der Ermittler feststellen, was wann und in welcher Reihenfolge geschah. In der Praxis erzeugt man eine "Super-Timeline" mit Plaso/log2timeline und wertet sie in Timeline Explorer, Timesketch oder ELK aus. Die Technik ist unverzichtbar, um Vorfälle einzugrenzen, Initial Access, Lateral Movement und Datenabfluss zu identifizieren und tragfähige Narrative zu erstellen. Uhrabweichungen, Zeitzonen-Normalisierung (meist UTC) und Timestomping durch Angreifer müssen berücksichtigt werden, um Fehlschlüsse zu vermeiden.
Beispiele
- Erzeugen einer Plaso-Super-Timeline aus einem Disk-Image, um die erste Ausführung eines verdächtigen Binarys zu lokalisieren.
- Korrelation von Windows-Event 4624 mit Prefetch-Einträgen, um die Sitzung des Angreifers nachzuvollziehen.
Verwandte Begriffe
Digitale Forensik
Wissenschaftliche Disziplin zur Identifikation, Sicherung, Analyse und gerichtsfesten Dokumentation digitaler Beweise aus Computern, Netzwerken und Geräten.
Artifact Analysis
Artifact Analysis — definition coming soon.
Log Analysis
Log Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.
Datenträgerforensik
Untersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten.
Anti-Forensics
Anti-Forensics — definition coming soon.