Obtención de líneas temporales para análisis forense mediante log2timeline

Publicada en Por Sergio Hernando

Hola,

En cualquier investigación forense es vital la obtención de una línea temporal que permita recrear la sucesión de eventos. Cuando los eventos son numerosos, complejos y concurrentes, tener una representación gráfica de dicha sucesión puede ayudar al investigador a plantear y resolver el caso.

Os dejo una reseña sobre log2timeline, una útil aplicación que nos permitirá generar ficheros compatibles con, entre otros, líneas temporales SIMILE. La aplicación permite igualmente generar líneas temporales compatibles con ArcSight Commen Event Format (CEF), XML estándar para procesar con CyberForensics TimeLab (CFTL), CSV, mactime, SQLite y TLN.

Log2timeline puede leer datos de ficheros de eventos de Windows, exif, favoritos e historia en los principales navegadores (Firefox, Opera, IE, Chrome), logs IIS, pcap, pdf y otros tipos de ficheros que están descritos en la documentación. Se pueden enumerar ejecutando log2timeline -f list.

log2timeline

A modo de prueba, aquí tenéis el código que se genera a partir de un histórico de navegación de Google Chrome, una vez exportado para ser procesado con SIMILE. En este caso en concreto se muestra el total de la actividad de mi navegador Chrome en una corta sesión de ejemplo. Nótese la utilidad que puede tener para el investigador la presencia de datos relacionados con el comportamiento del usuario, como por ejemplo

  • type: [START_PAGE – The start page of the browser] (URL not typed directly)
  • type: [TYPED – User typed the URL in the URL bar] (directly typed)
  • type: [LINK – User clicked a link] (URL not typed directly)

Instalación de log2timeline

El proceso es bastante simple, ya que tiene únicamente tres pasos: perl Makefile.PL, make y make install (como root). No obstante, y dependiendo de lo que tengas instalado en tu máquina, es frecuente que al crearse el fichero make se presenten algunos warnings con aquellos módulos que no han sido encontrados. La mayoría son prerrequisitos para poder parsear distintos tipos de fichero, en mi caso faltaban File::Mork, HTML::Scrubber, Image::ExifTool, Net::Pcap y XML::LibXML. Aunque puedan parecer simples avisos, y aunque no vayamos a usar el soporte para los ficheros afectados, es conveniente instalar los módulos para prevenir fallos en el funcionamiento de log2timeline (lo que incluye operativas básicas como listar los tipos de logs procesables, los tipos de salida generables, etc)

Un saludo,

Entrada relacionada

5 métodos para la extracción forense de ficheros en capturas de tráfico de red

Publicada en

Análisis avanzado de memoria de sistemas Microsoft Windows con Volatility

Publicada en

Análisis forense de Volume Shadow Copy Service (VSCS) mediante herramientas Sleuth Kit

Publicada en

Chrome forensics. Processing the history file with Perl

Publicada en

Using Perl and SQLite in digital forensics: Firefox Download Manager as an example

Publicada en

3 comentarios sobre “Obtención de líneas temporales para análisis forense mediante log2timeline

  1. Pingback: de la red – 12/04/2010 « Tecnologías y su contexto
  3. Pingback: Obtención de líneas temporales para análisis forense. Un ejemplo práctico con Google Chrome | Sergio Hernando

Comentarios cerrados.