39
Люди любят врать. Свидетели путают время, подозреваемые придумывают алиби про поход к бабушке, а камеры наблюдения вечно смотрят не в ту сторону. Но есть один свидетель, который (почти) никогда не врет: файловая система.
Таймлайн — это святой грааль форензики. Это способ взять кучу разрозненного мусора — логи, метаданные, кэши — и выстроить их в одну жесткую линию, которая пригвоздит вашего «клиента» к месту преступления точнее, чем отпечатки пальцев. Сегодня я расскажу, как мы собираем этот цифровой пазл, и почему ваш компьютер знает о вас больше, чем вы сами.
Фундамент: MAC-времена и почему им нельзя верить слепо
Начнем с базы, на которой сыпятся новички. У каждого файла есть MAC-атрибуты:
• Modified (Изменен)
• Accessed (Доступен)
• Created (Создан)
• Born (В некоторых системах, дата “рождения” файла)
Казалось бы, бери дату изменения файла с ворованным отчетом — и дело в шляпе. Ага, разбежались. Опытный преступник (или просто везучий идиот) может изменить системное время или использовать утилиты для “timestomping” (подделки временных меток).
Поэтому, если вы строите таймлайн только на атрибутах файлов, вы — не эксперт, а гадалка на кофейной гуще. Настоящая магия начинается, когда мы лезем глубже.
LNK-файлы и Jump Lists: Предатели в вашей панели задач
Вы открыли флешку, скопировали документы, выдернули её и выбросили в реку. Думаете, вы чисты? Windows так не думает.
Каждый раз, когда вы открываете файл, система заботливо создает LNK-файл (ярлык) в скрытых папках, чтобы вам было удобно открыть его снова. Эти маленькие гаденыши хранят:
• Путь к файлу (даже если он был на той самой утопленной флешке).
• Дату первого и последнего открытия.
• Серийный номер тома (Volume Serial Number).
Jump Lists (списки переходов в меню “Пуск”) работают еще жестче, сохраняя историю ваших действий по приложениям. Сопоставив это с системным временем, мы видим не просто “файл был создан”, а “файл был открыт пользователем X через Word в 14:03:12”.
Реестр и Shellbags: Память слона
Реестр Windows — это кладбище ваших секретов. Одной из самых вкусных находок для меня всегда были Shellbags.
Shellbags запоминают настройки отображения папок (размер окна, вид значков и т.д.). Зачем это нужно системе? Для удобства. Зачем это нужно мне? Потому что даже если вы удалили папку с компроматом, запись в Shellbag останется. Она скажет мне: “В 10:15 утра этот парень заходил в папку ‘Схемыотмыва’, хотя сейчас её на диске нет”.
Prefetch и Shimcache: Доказательство запуска
“Я не запускал эту хакерскую утилиту, она сама скачалась вирусом!” — классическая отмазка.
Тут на сцену выходит Prefetch. Windows следит за тем, какие программы вы запускаете, чтобы в следующий раз они грузились быстрее. Файл .pf расскажет мне:
1. Имя исполняемого файла.
2. Сколько раз его запускали.
3. Дату и время последнего запуска (с точностью до секунды).
А если вы попытались почистить Prefetch (что уже само по себе подозрительно), у нас есть Shimcache (или AppCompatCache). Это механизм совместимости приложений, который хранит данные о запущенных файлах даже после перезагрузки. Он помнит всё, даже если файл давно стерт с лица земли.
Браузер и Event Logs: Финальный штрих
Теперь накладываем сверху вишенку на торт.
• Браузерная история: Кэш, куки, история загрузок. Мы видим, что в 14:00 вы гуглили “как скрыть следы удаления файлов”, а в 14:05 скачали чистильщик.
• Event Logs (Журналы событий): Security Log покажет моменты входа в систему, смены паролей и повышения привилегий. System Log покажет моменты подключения USB-устройств.
Как это выглядит в итоге?
Мы берем инструмент (например, Plaso/Log2Timeline или Magnet AXIOM), скармливаем ему образ диска, и он выплевывает гигантскую таблицу. А дальше начинается работа мозга.
Картина маслом:
• 13:55:00 — Вход в систему (Event Log).
• 13:57:12 — Подключение USB-накопителя “KINGSTON” (Registry/USBSTOR).
• 13:58:45 — Открытие папки “Конфиденциально” на диске D (Shellbags).
• 13:59:10 — Открытие файла “База_клиентов.xlsx” (LNK-файл + JumpList).
• 14:01:05 — Копирование файла (создание LNK на USB-накопителе).
• 14:02:00 — Извлечение USB (Event Log).
• 14:05:00 — Гугл-запрос “билет в Мексику” (Browser History).
Вот и всё. Алиби рассыпалось, адвокат плачет, а мы идем пить кофе. Цифра не врет, врут только люди, которые не знают, как она работает.
P.S. Не пытайтесь использовать CCleaner или “вайперы”, чтобы скрыть следы. Для эксперта сам факт использования таких утилит в критический момент — это как неоновая вывеска “Я ВИНОВЕН”. Лучшая защита — не делать глупостей.