Hola secuaces:
Hace un par de entradas vimos cómo crear un caso y un índice en OSForensics, y nos quedamos en la imagen de la cabecera, relativa a la línea temporal. También vimos lo mismo, usando Autopsy en su versión para Linux y creamos un Timeline, para ver las diferencias entre una y otra.
Para terminar, es hora de hablar de la línea temporal con OSForensics.
El Timeline que podemos ver con esta suite no es como los que estamos acostumbrados a ver. No se trata de un fichero con un listado de rutas, nombres, tiempos, permisos… Consiste en una visión gráfica de todo lo que ha pasado en la evidencia, separado por módulos.
Si nos fijamos en la imagen de la cabecera, vemos que nos encontramos ante el módulo ‘Search index’, en su pestaña, ‘Timeline’. Si nos fijamos en la parte inferior, se nos presentan los años en los que ha habido actividad, con el número de eventos que han ocurrido, representado en cifras en la parte de la izquierda.
Si clicamos en el año, esto nos llevará a los meses de ese año, donde de igual forma, se representa la actividad diferenciada.
Podemos seguir clicando en el mes que deseemos.
En el día que nos interese.
En la hora que queramos.
En cualquier momento podemos desplegar un menú contextual, clicando con el botón derecho del ratón sobre una columna, e indicarle que nos muestre esos ficheros. También podemos exportarlos.
Podemos volver atrás, para movernos a otro mes.
A otro día.
Y a otra hora.
Y realizar la misma operación para mostrar los ficheros.
Si le decimos que nos muestre esos ficheros, nos lleva a ellos. En este caso es una imagen.
Si clicamos sobre ella con el botón derecho, podemos añadirla al caso.
Asignarle un nombre.
Para reconocerla en el menú principal del caso y acceder a ella de una forma rápida.
Si clicamos con el botón derecho sobre ese fichero podemos realizar varias acciones, como ver su propiedades.
Que nos muestra, entre otras cosas, el nombre, la fecha de creación y modificación, sus correspondientes huellas digitales, y el módulo al que pertenece.
Igualmente, si nos dirigimos a ‘View Log’, dentro del menú principal.
Vemos que figura que ese fichero se ha añadido al caso, con indicación de la fecha y el nombre que le hemos asignado.
También podemos irnos al módulo de ‘Recent Activity’, un módulo muy interesante.
Donde debemos elegir la unidad o fichero de imagen que queremos escanear. Si clicamos en el botón ‘config’
Podemos elegir los objetos que queremos que se busquen. En este caso, ‘Check All’.
Una vez que hemos seleccionado la unidad y hemos indicado los objetos que queremos buscar, clicamos en OK para que comience la búsqueda.
Una vez terminada la misma, se nos presenta una pequeña ventana emergente con un resumen de lo que ha encontrado.
En el margen izquierdo de este módulo, se nos presentan todos los resultados separados por tipos de objeto. Y es desde aquí donde comenzaremos a poder navegar.
Tal y como estamos, en ‘All’, se nos presenta en el cuerpo del módulo todos los resultados en una vista detallada, en el que se aprecia el tipo de actividad, el usuario al que pertenece, las marcas de tiempo,…
Si nos movemos a la siguiente pestaña, ‘File List’, podemos apreciar, además, la ruta, si esta está disponible.
Se nos presenta, abajo a la derecha, un pequeño desplegable que podemos usar para ordenar los resultados.
Podemos ir seleccionando diferentes objetos, como Dispositivos USB conectados…
Archivos recientes…
Documentos recientes…
Y si volvemos a todos los objetos, ‘All’, y nos desplazamos a siguiente pestaña, ‘Timeline’, volvemos a ver de forma muy gráfica y muy intuitiva la actividad que ha tenido lugar en la eviencia.
Veréis que hay diferentes colores. Esto es así porque que cada color se corresponde a un tipo de actividad.
Como en el caso anterior de ‘Search Index’, podemos desplazarnos por el año que nos interese.
Navegar por el mes deseado.
Entrar al día que queramos.
Y hasta seleccionar la hora que nos interese.
Podemos desplegar también su correspondiente menú contextual para mostrar los ficheros correspondientes a esa franja temporal.
Podemos intentar abrir, ahí mismo, por ejemplo, un fichero de imagen.
Que, en este caso concreto, dice que no encuentra. Simplemente con esto, ya sabemos que ese fichero, o ha sido eliminado o ha sido movido a otro sitio fuera del sistema.
Así pues, podemos seleccionarlo, desplegar un menú contextual y añadir al caso ese fichero seleccionado, o todos los que se nos presentan.
¿Con qué módulos podemos ver líneas temporales? Pues podemos realizar todas estas operaciones en los módulos de ‘File Name Search’, en ‘Search Index’, En ‘Recent Activity’, y en ‘Deleted Files Search’.
Y ¿Por qué es importante establecer una línea temporal? Tanto si sabemos lo que buscamos como si no, poder ver una línea temporal de la evidencia de una forma gráfica e intuitiva nos ayudará a ver, a simple vista, si tenemos alguna actividad fuera de lo normal. Por ejemplo, actividades fuera de un horario laboral, o en algún día señalado, festivo, donde teóricamente no debe haber ninguna; un exceso de actividad de un tipo determinado de objetos, …
Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.
Marcos @_N4rr34n6_