Home
Latest images
Search
Register
Log inProblema Timeline
Page 1 of 1
Problema Timeline
recmil Wed Oct 10, 2012 3:28 pm
Ciao,
mi serviva un aiuto per una anomalia riscontrata su una timeline di un filesystem.
Ho effettuato l'estrazione della timeline su un'immagine di un hard disk inizialmente procedendo manualmente con fls e successivamente ho utilizzato autopsy per cercare delle conferme.
Quello che ho riscontrato è che i due metodi "concordano" nell'individuare 8 file con attributi modificati in una data/ora che non sono quelle attese (tra l'altro 8 file modificati in 8 secondi).
Più precisamente analizzando i file di registro di windows mi aspettavo che le attività sul PC fossero terminate alle 17:44 del 12 aprile, mentre i risultati ottenuti mi dicono che 8 file risultano modificati alle 5:40 del giorno 13 aprile.
Ho quindi esplorato il file system dell'immagine cercando uno di questi file, ho verificato le proprietà e la data di ultima modifica risultano in linea con le mie attese.
Ho quindi estratto il file sul mio disco e sorpresa la data di modifica da ragione ai risultati ottenuti nelle verifiche sia con autopsy che con la procedura manuale.
Da cosa dipende questa anomalia.
In attesa di qualche riscontro ringrazio tutti.
Fri Apr 13 2012 05:47:29 168 mac. d/drwxrwxrwx 0 0 38340-144-6 /Windows/System32/wdi/{ffc42108-4920-4acf-a4fc-8abdcc68ada4}
Fri Apr 13 2012 05:47:30 16618 .a.. r/rrwxrwxrwx 0 0 21466-128-3 /Windows/System32/drivers/en-US/qwavedrv.sys.mui (deleted-realloc)
Fri Apr 13 2012 05:47:31 1839104 m.c. r/rrwxrwxrwx 0 0 117963-128-3 /Users/xxxxxxx/AppData/Roaming/Skype/xxxxxxxx/main.db
Fri Apr 13 2012 05:47:32 517657 m.c. r/rrwxrwxrwx 0 0 65784-128-3 /Windows/tracing/RASTAPI.LOG
Fri Apr 13 2012 05:47:33 27622 m.c. r/rrwxrwxrwx 0 0 32812-128-4 /Windows/Prefetch/WMPNSCFG.EXE-18FC9E64.pf
Fri Apr 13 2012 05:47:36 16252928 m.c. r/rrwxrwxrwx 0 0 20757-128-3 /Windows/System32/config/SYSTEM
Fri Apr 13 2012 05:47:37 34454 m.c. r/rrwxrwxrwx 0 0 64333-128-4 /Windows/Prefetch/AGENT.EXE-F4E4DB59.pf
Fri Apr 13 2012 05:47:38 13392 m.c. r/rrwxrwxrwx 0 0 34005-128-4 /Windows/SysWOW64/en-US/mscms.dll.mui (deleted-realloc)
mi serviva un aiuto per una anomalia riscontrata su una timeline di un filesystem.
Ho effettuato l'estrazione della timeline su un'immagine di un hard disk inizialmente procedendo manualmente con fls e successivamente ho utilizzato autopsy per cercare delle conferme.
Quello che ho riscontrato è che i due metodi "concordano" nell'individuare 8 file con attributi modificati in una data/ora che non sono quelle attese (tra l'altro 8 file modificati in 8 secondi).
Più precisamente analizzando i file di registro di windows mi aspettavo che le attività sul PC fossero terminate alle 17:44 del 12 aprile, mentre i risultati ottenuti mi dicono che 8 file risultano modificati alle 5:40 del giorno 13 aprile.
Ho quindi esplorato il file system dell'immagine cercando uno di questi file, ho verificato le proprietà e la data di ultima modifica risultano in linea con le mie attese.
Ho quindi estratto il file sul mio disco e sorpresa la data di modifica da ragione ai risultati ottenuti nelle verifiche sia con autopsy che con la procedura manuale.
Da cosa dipende questa anomalia.
In attesa di qualche riscontro ringrazio tutti.
Fri Apr 13 2012 05:47:29 168 mac. d/drwxrwxrwx 0 0 38340-144-6 /Windows/System32/wdi/{ffc42108-4920-4acf-a4fc-8abdcc68ada4}
Fri Apr 13 2012 05:47:30 16618 .a.. r/rrwxrwxrwx 0 0 21466-128-3 /Windows/System32/drivers/en-US/qwavedrv.sys.mui (deleted-realloc)
Fri Apr 13 2012 05:47:31 1839104 m.c. r/rrwxrwxrwx 0 0 117963-128-3 /Users/xxxxxxx/AppData/Roaming/Skype/xxxxxxxx/main.db
Fri Apr 13 2012 05:47:32 517657 m.c. r/rrwxrwxrwx 0 0 65784-128-3 /Windows/tracing/RASTAPI.LOG
Fri Apr 13 2012 05:47:33 27622 m.c. r/rrwxrwxrwx 0 0 32812-128-4 /Windows/Prefetch/WMPNSCFG.EXE-18FC9E64.pf
Fri Apr 13 2012 05:47:36 16252928 m.c. r/rrwxrwxrwx 0 0 20757-128-3 /Windows/System32/config/SYSTEM
Fri Apr 13 2012 05:47:37 34454 m.c. r/rrwxrwxrwx 0 0 64333-128-4 /Windows/Prefetch/AGENT.EXE-F4E4DB59.pf
Fri Apr 13 2012 05:47:38 13392 m.c. r/rrwxrwxrwx 0 0 34005-128-4 /Windows/SysWOW64/en-US/mscms.dll.mui (deleted-realloc)
recmil- Number of posts : 4
Registration date : 2011-06-12
Similar topics» What is the timeline for a new CAINE based on Ubuntu 12.04?
» Problema con Guida.flv
» Problema caine from deb su ubuntu 10.04
» Caine 2.0 da usb non si avvia
» problema grep e file docx e xlsx
» Problema con Guida.flv
» Problema caine from deb su ubuntu 10.04
» Caine 2.0 da usb non si avvia
» problema grep e file docx e xlsx
Page 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum