Adli-Timeliner, dijital adli tıp ve olay yanıtı (DFIR) ekiplerinin hızlı bir şekilde Windows eserlerinin birleşik bir zaman çizelgesini oluşturmasına yardımcı olmak için tasarlanmış hızlı, açık kaynaklı bir komut satırı aracıdır.
Popüler triyaj araçlarından CSV çıkışını otomatik olarak toplayarak, filtreleyerek ve birleştirerek, güvenlik araştırmacıları tarafından bildirildiği gibi, zaman çizelgesi Explorer veya Excel gibi araçlarda analize hazır olan mini bir zaman çizelgesi oluşturur.
Anahtar Özellikler
Birleşik Zaman Çizelgesi Oluşturma – Adli-Timeliner, EZ Tools, Kape, Axiom, Chainsaw, Hayabusa ve Nirsoft gibi araçlardan CSV dosyaları için bir temel dizini tarar. AMCACE, Olay Günlükleri, MFT, ön yarma, jumplistler, kabuk çantaları, tarayıcı geçmişlerinden ve daha fazlasını tek bir zaman çizelgesinde birleştirir.
Otomatik CSV keşfi – Araç, klasör adlarına, dosya adlarına veya sütun başlıklarına göre CSV dosyalarını keşfeder. Varsayılan YAML ayarları en yaygın araç çıkışlarını işler, bu nedenle minimum yapılandırmaya ihtiyaç vardır.
Tarih filtreleme ve tekilleştirme – Müfettişler, başlangıç ve bitiş tarihlerini yalnızca ilgili olayları içerecek şekilde belirleyebilirler. Yinelenen satırlar, istenirse otomatik olarak kaldırılır ve zaman çizelgesini özlü tutar.
Anahtar kelime etiketleme ve TLE Oturum Desteği – Anahtar kelime etiketleme için yerleşik destek, kullanıcıların bir Yaml dosyasındaki anahtar kelimeleri tanımlamasına olanak tanır. Etkinleştirildiğinde, araç etiketlenmiş olayları içeren bir zaman çizelgesi kaşif (.tle_sess) oturumu oluşturur ve ilgilenilen öğeleri vurgular.
Etkileşimli CLI ve önizleme – Etkileşimli bir mod, kullanıcıları filtre ve tagger ayarları aracılığıyla yönlendirir. Spectre.Console Oluşturma işleminden önce MFT filtrelerinin, olay günlük filtrelerinin ve anahtar kelime gruplarının zengin önizlemelerini gösterir.
Esnek çıkış formatları – Zaman çizelgesini CSV, JSON veya JSONL olarak dışa aktarın. CSV çıkışı, diğer araçlarla uyumluluk için RFC-4180 uyumludur.
Kapsamlı eser desteği – Ayrıntılı YAML yapılandırmaları, dosya uzantıları, yollar, olay kanalları ve sağlayıcılar için özel filtrelere izin verir. Varsayılan ayarlar, incelemeyi kolaylaştırmak için yüksek değerli zaman damgalarına ve uzantılara odaklanır.
Kurulum ve hızlı başlangıç
- En son sürümü indirin
Adli-Timeliner Github Beraberlikleri sayfasını ziyaret edin ve en son forensictiMeLiner.exe’yi (v2.2 veya daha yeni) indirin. - Triyaj verilerini hazırlayın
Triyaj çıktı dizinlerinizin varsayılan veya özel adlara sahip CSV dosyaları içerdiğinden emin olun (örn. Hayabusa.csv, jumplists.csv, amcache dosya girişleri.csv). - Adli timeliner çalıştırın
Bir komut istemini açın ve yürütün:
ForensicTimeliner.exe --InteractiveBu, filtreleri seçmek ve anahtar kelime etiketini etkinleştirmek için etkileşimli bir kurulum başlatır.
- Bir Zaman Çizelgesi Oluşturun
İstemsiz otomatik işleme için şu kullanın:
ForensicTimeliner.exe --BaseDir "C:\triage\host01" --ALL --OutputFile "C:\timelines\host01.csv"- Anahtar kelime etiketlemeyi etkinleştir (isteğe bağlı)
Anahtar kelime gruplarını yapılandırma/anahtar kelimeler/anahtar kelimelerde tanımlayın. Sonra koş:
ForensicTimeliner.exe --BaseDir "C:\triage\host01" --EnableTagger --OutputFile "C:\timelines\host01"A .tle_sess file is created for Timeline Explorer.Adli-timeliner, CSV keşfi, filtreleme, tekilleştirme ve anahtar kelime etiketlemesini otomatikleştirerek adli zaman çizelgeleri oluşturma işlemini kolaylaştırır.
Etkileşimli CLI ve esnek çıkış seçenekleri, zamandan tasarruf etmek ve olay yanıtı sırasında doğruluğu korumak isteyen DFIR araştırmacıları için önemli bir araç haline getirir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.