背景

許多文件和目錄都有與之關聯的時間。其數量和描述取決于文件系統類型。例如，FFS和Ext2 / 3文件系統具有修改時間，訪問時間和更改時間。Ext2 / 3也具有刪除時間。FAT存儲“寫入”，“訪問”和“創建”時間，盡管從規格上說，“創建”和“訪問”時間是可選的，并且“訪問”時間僅精確到一天。NTFS已創建，修改，更改和訪問時間。

其他日志和數據源也可能具有時間數據。例如，事件日志，系統日志，Windows注冊表和文檔元數據。將這些事件與文件系統數據一起放在單個時間軸上可以幫助重建事件。您可以創建或找到將時態數據保存為主體文件格式的工具。

時間表創建

從高層次上講，生成是一個兩步過程。第一步，從各種數據源（例如文件系統，注冊表，日志等）中收集時間數據，并將其保存為主體文件格式。使用TSK中的“ fls”工具或下面列出的其他工具可以完成此步驟。第二步是將所有時間數據排序并合并到單個時間軸中。使用TSK中的’mactime’腳本完成此步驟。

資料收集

從文件系統中收集時態數據的主要方法是運行帶有’-m’標志的fls。對于TSK的1.X和2.X版本，還必須運行ils命令來獲取所有未分配的文件，但這不再是必需的。

‘fls’命令需要帶有’-r’標志的’-m’參數來收集所有文件。此步驟遍歷目錄層次結構，并為文件系統中的每個文件輸出一行。需要為磁盤映像中的每個分區運行此命令。

例如，考慮一個只有一個分區（從偏移量扇區63開始）的Windows系統：

＃fls -m“ C：/” -o 63 -r images / disk.dd> body.txt

具有兩個分區的OpenBSD系統的示例可能是：

＃fls -o 63 -f openbsd -m / -r images / disk.dd> body.txt
＃fls -o 3233664 -f openbsd -m / var / -r images / disk.dd >> body.txt

在此步驟中也可以考慮系統的時間偏差。使用’fls’的’-s’參數，主體文件可以調整時間，以便系統與其他服務器保持一致。

注意：這代替了TCT中’grave-robber -m’的動作。該mac-robber工具（在 www.sleuthkit.org 網站）也可用于收集分配的文件數據上已安裝的文件系統。“ mac-robber”對于不存在工具的文件系統（例如AIX jfs）很有用。

任何帶有時間的數據都可以轉換為mactime所需的格式。我創建了腳本來將日志文件轉換為以前的格式，以便所有數據都在單個時間軸中。

編寫用于將數據轉換為mactime格式的其他腳本包括：

• 在這里添加…

時間表創建

當所有時間數據都已合并到單個主體文件中時，可以根據時間對數據進行排序。該mactime程序做到這一點。

所述Zeitline工具還導入相同的數據格式，并且具有多個圖形顯示。