總覽

本文檔概述了驗尸的時間軸功能的使用。此功能由DHS S＆T資助，以幫助向執法部門提供免費和開源的數字取證工具。時間軸功能可以幫助回答以下問題：

• 系統何時發生主要的網絡活動？
• 何時將外部設備插入系統？
• 何時添加了帶有EXIF信息的圖片？
• 訪問哪些網站后立即修改了文件系統？

請注意，從尸檢4.13開始，現在在攝取期間會生成時間軸事件，并將其存儲在case數據庫中，而不是存儲在單獨的數據庫中。因此，較舊的案例將不再適用于時間表。

快速開始

使用本節學習時間軸的基礎。有關顯示選項的更多詳細信息，可以在本文檔的后面找到。

首先，您需要在尸檢中打開一個案例。為了充分利用時間線，您需要在攝取期間執行以下操作：

• 啟用哈希查找模塊并使用NSRL忽略已知文件
• 啟用最近活動模塊以生成與Web相關的事件和其他各種事件類型
• 啟用EXIF解析器模塊以生成有關圖像何時發生的事件
• 啟用其他適用于您數據的提取模塊。如果您有電子郵件數據，請確保已啟用電子郵件解析器模塊。如果要分析移動設備，請確保已啟用Android分析器模塊和任何其他相關模塊。

要打開時間軸，請使用“時間軸”按鈕或導航至菜單中的“工具”，然后導航至“時間軸”。您可以在圖像處理過程中打開時間軸，但是直到完成數據才完整。時間線將從“ 計數”視圖開始，并帶有一個圖表，該圖表顯示每個時間段內的事件數。

您可以單擊圖的一部分，以查看左下方的事件列表。單擊單個事件將在右下方顯示詳細信息。

您可以使用窗口中間上方的按鈕更改查看模式。第二種視圖模式，即“ 詳細信息視圖”，顯示有關在特定時間段內發生的事件的信息。向下過濾一小段時間后，最好使用此模式。

最終視圖模式是列表視圖。此視圖按事件發生的順序顯示每個事件。這有助于查看哪些其他事件與感興趣的事件在同一時間范圍內發生。與詳細信息模式一樣，此模式最好與過濾器一起使用，以減少顯示的事件數。

基本概念

本節介紹了接口的一些基本概念。

大事記

時間軸工具是圍繞事件組織的。事件具有時間戳，類型和描述。注意：所有事件都是離散的，但可能會組合在一起以形成集群，這些集群在“詳細信息”視圖中具有持續時間，具體取決于UI中啟用的“描述”級別。

時間軸從多個來源收集數據并將事件組織為以下分類法：

• 文件系統
  • 改性
  • 訪問
  • 已建立
  • 已變更
• 網絡活動
  • 網頁下載
  • 網絡餅干
  • 網絡書簽（創建）
  • 網絡歷史
  • 網頁搜尋
  • Web表格自動填寫
  • 網絡表格地址
• 雜
  • 留言內容
  • GPS路線
  • 位置記錄
  • 來電
  • 電子郵件
  • 最近文件
  • 已安裝程序
  • Exif元數據
  • 連接的設備
  • 日志輸入
  • 登記處

可視化類型

尸檢查看器提供了三種不同的圖形類型。每種方法都更適合調查人員嘗試回答的不同類型的問題。您可以在界面頂部的三種類型之間進行切換。

所述計數查看示出了堆疊的條形圖。使用這種類型的圖表可以顯示在給定的時間范圍內發生了多少活動。它不會顯示特定事件。確定上次使用計算機的頻率或使用頻率會有所幫助。當您打開時間線時，它將以這種圖形樣式打開。

在詳細信息視圖顯示了個人或相關事件的群體。日期/時間沿x軸水平表示，但垂直軸不表示任何特定單位。您將使用此界面來回答有關在給定時間范圍內發生了哪些特定事件或在給定事件之前或之后發生了什么事件的問題。通常，在使用“計數”視圖確定需要詳細信息的時間段后，通常會使用這種類型的界面。此視圖中可能有很多細節，我們將介紹縮放概念，如下一節所述，以幫助實現此目的。

該列表視圖顯示了事件的發生順序的所有事件。這對于了解特定事件之前和之后發生的情況很有用。例如，如果您有Web下載，則可以查找在此之前或之后創建的其他文件。列表視圖可能會讓人感到費解，因為在任何給定的時間范圍內都會有數千個事件。使用下面描述的過濾器將事件數量減小到適當的大小。

面板左下方的表具有UI快速搜索功能，可用于快速查找表中的節點。

可視化設置

可視化區域上方的工具欄顯示了特定于活動可視化的設置。這些設置會影響事件的顯示方式和/或可視化的布局。

縮放

時間線分析的一個常見挑戰是信息過載。為了解決這個問題，“驗尸”界面提供了三種縮放方法，可以幫助您識別正確的數據。可以從界面左上角的單個區域進行控制。

• 時間單位：此縮放級別控制X軸上顯示的時間細節。它指示是否將以年或秒為單位進行標記。當您需要有關給定時間范圍內發生的情況的更多詳細信息時，可以使用此控件進行更多放大。
• 事件類型：此縮放級別控制您看到的事件類型的級別。例如，存在“文件系統”事件的頂級類型，其子類型用于修改時間，訪問時間和創建時間。如果需要有關給定類型的更多詳細信息，則可以使用此控件放大更多。
• Description Detail（詳細信息）：這種縮放級別對于尸檢最為獨特，并根據其描述將相似事件分組在一起。例如，如果將文件系統事件全部縮放到同一根文件夾中，則它們會將文件系統事件分組在一起。這樣一來，您通常就可以看到活動所在的位置，而無需查看每個文件。

對于事物的快速入門方法，您應該記住這一點：雙擊某物只會更改這些縮放級別之一。我們試圖選擇在大多數情況下最直觀的方法。如果要選擇其他縮放方法，請使用左上角或右鍵單擊圖表上的滑塊。

歷史

如果您想隨時退回到之前看到的內容，請使用左上角的前進和后退歷史記錄按鈕或鍵盤快捷鍵Alt + Left/Right。

時間軸交互和配置詳細信息

過濾器/事件

該區域允許用戶應用過濾器以限制可視化中顯示的事件。當“詳細信息視圖”處于活動狀態時，該區域中的一個選項卡還允許按事件描述導航可視化（有關更多信息，請參見“詳細信息視圖”部分）

當“ 隱藏已知文件”過濾器處于活動狀態時，帶有已知哈希的文件將不會以任何方式包含在時間軸工具的其余部分中（顯示所有事件的直方圖除外）。為了使此過濾器起作用，必須在啟用“已知”哈希集的情況下運行“哈希查找”攝取模塊。

當文本過濾器處于活動狀態時，將僅顯示帶有包含所提供的字符串作為子字符串的描述的事件。注意：即使沒有顯示，此過濾器也會在搜索中使用完整的描述。

通過事件類型過濾器，用戶可以選擇應顯示的事件類型。右鍵單擊事件類型會彈出一個上下文菜單，其中包含用于選擇不同類型集的選項。

過濾器選項卡中顯示的“事件類型”層次結構還用作可視化的圖例。事件以顏色編碼以匹配其類型，并在多個位置顯示相應的圖標。

時間范圍選擇

時間范圍選擇區域提供了幾種調整顯示時間范圍的方法。日期/時間字段顯示顯示范圍的開始（左）和結束（右）的確切日期和時間。用戶可以直接在這些字段中鍵入，也可以使用圖形化的日期/時間選擇器來修改開始時間或結束時間。減號和加號沙漏按鈕（/）將可見時間范圍縮小并以設定的百分比縮小。右側的下拉菜單允許選擇預設時間范圍。這些方法將調整其中心附近的可見時間范圍。調整可見時間范圍的最后一種方法是通過范圍滑塊。用戶可以獨立定位每個端點以分別調整開始時間和結束時間，或者拖動突出顯示的藍色部分以移動可見范圍而不更改其長度。在兩種可視化中 用戶還可以右拖動（從空白處開始）一個由淺藍色框表示的時間范圍，然后雙擊它以縮放可見的時間范圍。右鍵單擊藍色時間跨度框將其清除。

直方圖

時間范圍滑塊的后面是案例中所有事件的直方圖。直方圖可以通過顯示案例中所有事件的高級摘要來幫助使主要可視化效果清晰可見，并通過時間范圍滑塊疊加可見時間范圍的表示。直方圖將案例中所有事件的整個時間范圍劃分為相等的間隔，并通過相應條形的高度顯示每個間隔中的事件數。直方圖僅應用于相對比較和上下文，而不應用于確定事件的確切數量或時間。注意：此直方圖不受濾鏡或縮放的影響。

時區

用戶可以在其本地時區或世界標準時間中查看事件之間進行選擇。

可視化區域：計數視圖

“計數”視圖顯示堆積的條形圖，其中沿x軸顯示時間段，沿y軸顯示事件計數。每個條形圖的高度表示該時間段內發生的事件數。不同的顏色段代表不同的事件類型。右鍵單擊這些條會彈出一個上下文菜單，其中包含選擇和縮放操作。

特定于“計數”視圖的唯一設置是使用哪種垂直比例尺：線性比例尺適用于許多用例。選擇此比例尺后，條形的高度以線性，一對一的方式表示計數，并且y軸標記有值。當值的范圍很大時，計數較低的時間段可能會顯示一個很小的條形。為了幫助用戶檢測到這一點，帶有事件的日期范圍的標簽為粗體。要查看條形圖太小，有三個選項：調整窗口大小，以便可視化區域具有更大的垂直空間；調整顯示的時間范圍，以排除具有較大條形圖的時間段；或將比例設置調整為對數。

對數刻度以非線性方式表示事件數，該事件壓縮了大小數之間的差異。請注意，即使使用對數刻度，計數上的極大差異仍可能產生太小的條形而看不到。在這種情況下，唯一的選擇可能是過濾事件以減少計數差異。注意：因為對數刻度分別應用于每種事件類型，所以組合條形的高度含義不直觀，并且為了強調這一點，y軸上沒有顯示帶有對數刻度的標簽。對數刻度應用于快速比較一個類型中某個時間或一個時間段中不同類型的計數，但不能同時比較兩者。實際計數（在工具提示或結果查看器中可用）應用于絕對比較。小心使用對數刻度。

可視化區域：詳細信息視圖

詳細信息視圖顯示了按事件描述聚類的事件。日期/時間沿x軸水平表示，但垂直軸不代表任何內容，僅用作布局重疊事件的空間。在時間上靠近在一起的具有相同類型和描述的事件可以聚在一起。時間單位，事件類型和描述詳細信息滑塊可控制事件的群集方式。當“描述詳細信息”級別已滿時，很可能將很少的事件聚集在一起，從而導致顯示大量的詳細信息。這可能會導致嚴重的UI滯后，因此不建議使用完整的描述，除非縮小了時間范圍和/或應用了過濾器以減少顯示的事件數。所選群集的投影顯示在x軸上，以幫助可視化它們之間的時間關系。

詳細信息視圖具有四個設置，這些設置會影響可見信息和事件群集的布局。這四個設置是獨立的，可以組合使用不同密度的信息和布局模式來實現各種效果。

按類型劃分：如果未選擇按類型劃分，則所有不同類型的事件簇將以緊湊的布局進行混合。如果選擇“按類型劃分”，則每種事件類型都將為其保留一個水平帶，并且不同類型的事件將不會混合在一起。當用戶要主要比較相同類型的事件時，按類型劃分非常有用。

每行一個事件：如果選擇每行一個事件，則事件簇不會垂直重疊，這將使可視化效果更像甘特圖，但會占用更多垂直空間。

截斷描述：用戶可以選擇“截斷描述”并選擇長度（以像素為單位）來截斷每個群集顯示的文本標簽。如果描述很長并且妨礙緊湊的布局，這將很有用。

描述可見性：用戶可以選擇“顯示”，“僅計數”或“隱藏”的描述可見性級別。顯示是默認設置。如果選擇“僅計數”，則僅顯示括號中的計數，如果選擇“隱藏”，則將隱藏整個文本標簽。如果用戶希望獲得一個簡潔的視圖，更多地關注事件簇的發生時間及其類型，并且對描述不感興趣，則僅計數和隱藏非常有用。

單擊群集中的綠色小[+]按鈕將其擴展到下一級。聚類中的事件將以適合其范圍和所選詳細程度的時間比例聚類顯示。可以為子群集重復此操作，以創建嵌套的群集層次結構。單擊紅色的[-]按鈕會將群集折疊到較低的詳細信息級別。與全局描述級別一樣，在完全擴展大型群集時應格外小心，因為這可能會導致顯示大量細節，從而降低了工具的速度。

可視化區域：列表視圖

列表視圖顯示您選擇的時間范圍內的所有事件。您可以使用列表下方的“開始”和“結束”條目，或移動列表下方條形圖上顯示的藍線的端點來控制此時間范圍。在列表中選擇一個事件將在屏幕底部顯示其詳細信息。