Timeline Analysis — Reconstituer les événements

DFIR Chronologie

Pourquoi la timeline ?

La timeline reconstitue chronologiquement tous les événements sur un système : créations/modifications/accès de fichiers, connexions, exécutions de processus, logs. Elle permet d'identifier le vecteur initial d'attaque et de comprendre la progression de l'attaquant.

Construire une timeline

# Plaso (log2timeline) : tout en un
log2timeline.py --storage-file timeline.plaso /image.dd
psort.py -o dynamic timeline.plaso > timeline.csv

# Sleuth Kit + mactime
fls -r -m / -o 2048 disk.img > body.txt
mactime -b body.txt -d 2024-01-01 2024-01-31 > january.csv

# Event logs uniquement
hayabusa csv-timeline -d evtx/ -o events.csv

# Visualiser
# Timeline Explorer (Eric Zimmermann)
# Timesketch (Google, web-based)

Timestamps à connaître

MACE : Modified, Accessed, Created, Entry Modified
$STANDARD_INFORMATION vs $FILE_NAME (anti-forensics)

# Manipulation de timestamps (timestomping)
touch -t 202001010000 fichier   # changer les timestamps
# Signe d alerte : $SI plus ancien que $FN