Криминалистика и реагирование
Анализ временной шкалы
Также известно как: Супер-таймлайн, Криминалистическая хронология
Определение
Криминалистический метод, восстанавливающий хронологию системных событий путём сопоставления меток времени из файловой системы, реестра, журналов и приложений.
Анализ временной шкалы объединяет артефакты с метками времени — записи MFT, $LogFile, Prefetch, ульи реестра, история браузера, журналы событий и следы приложений — в единое хронологическое представление, помогающее следователю установить, что произошло, когда и в каком порядке. На практике аналитики создают «супер-таймлайн» с помощью Plaso/log2timeline и анализируют его в Timeline Explorer, Timesketch или ELK. Метод необходим для определения границ инцидента, выявления первоначального доступа, латерального перемещения и эксфильтрации данных, а также для построения доказательного нарратива. Чтобы избежать ошибочных выводов, нужно учитывать рассинхронизацию часов, нормализацию часовых поясов (обычно UTC) и «таймстомпинг», применяемый злоумышленниками.
Примеры
- Построение супер-таймлайна Plaso по образу диска для определения первого запуска подозрительного бинарного файла.
- Сопоставление событий входа 4624 Windows с записями Prefetch для восстановления сеанса атакующего.
Связанные термины
Цифровая криминалистика
Научная дисциплина по выявлению, сохранению, анализу и документированию цифровых доказательств с компьютеров, сетей и устройств в юридически допустимой форме.
Artifact Analysis
Artifact Analysis — definition coming soon.
Log Analysis
Log Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.
Дисковая криминалистика
Анализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС.
Anti-Forensics
Anti-Forensics — definition coming soon.