Ereignislisten

WinHex & X-Ways

Ereignislisten

 

Verfügbar nur mit einer forensischen Lizenz, beim Arbeiten mit einem Fall, für Asservate mit einem Datei-Überblick.

 

Beim Extrahieren von Metadaten (Teil des Erweiterns des Datei-Überblicks), kann X-Ways Forensics eine Liste von Ereignissen zusammenstellen aus Zeitstempeln. die auf Dateisystemebene gefunden werden sowie intern in Dateien und im Hauptspeicher. Denkbare Quellen sind Verläufe von Internet-Bowsern, Event-Logs von Windows, Registry-Hives von Windows, E-Mails usw. Eine Ereignisliste funktioniert genau wie eine Suchtrefferliste und wird angezeigt, wenn Sie einen Schalter anklicken, der sich direkt neben dem Schalter für Suchtrefferlisten befindet, an einem Uhrensymbol zu erkennen. Genau wie eine Suchtrefferliste kommt eine Ereignisliste mit weiteren Spalten daher: Zeitstempel des Ereignisses, Ereignistyp, Ereigniskategorie, und einige Ereignisse haben eine individuelle Beschreibung/zusätzlichen Text, z. B. Ereignisse in der Windows-Registry und in Internet Explorer index.dat-Dateien verzeichnete Ereignisse.

 

Wenn eine Ereignisliste chronologisch sortiert ist, nach Zeitstempeln, dann funktioniert sie wie eine Zeitleiste, anhand der Sie leichter eine Folge von Ereignissen ablesen können, die an unterschiedlichen Orten gespeichert sind (z. B. E-Mail empfangen, Anhang abgespeichert, Anwendung gestartet, Dokument gedruckt, Datei gelöscht), die Sie sonst nicht untereinander im Zusammenhang sehen könnten. Wie üblich können Sie im Asservat-Überblick Ereignisse von verschiedenen Asservaten auf einmal sehen, rekursiv oder verzeichnisweise erkunden, nach Ereignistyp sortieren oder nach Ereigniskategorie sowie tagesgenau nach bestimmten Zeitspannen filtern.

 

Sie können Ereignisse genau wie Suchtreffer als wichtig kennzeichen. Nach als wichtig gekennzeichneten Ereignisse läßt sich über die Zeitstempel-Spalte filtern.

 

Ereignisbasierte Auswertung anstelle von dateibasierter Auswertung ist ein progressiver neuer Ansatz mit völlig anderer Perspektive, der zu Wissen über von Computern aufgezeichnete Aktivitäten führen kann, das auf andere Weise nur schwerlich gewonnen werden könnte. Sie können u. U. Zusammenhänge erkennen (in Verbindung mit Aktivität x stehende andere Aktivität), die ansonsten leicht übersehen wird, und die Logik hinter dem, was passiert ist, besser erklären.

 

Die Quellen von Ereignissen, die von der Metadaten-Extraktion in dieser Version ausgewertet werden, umfassen alle unterstützten Dateisysteme (d. h. alle auch in den Zeitstempel-Spalten des Verzeichnis-Browser zu sehenden Zeitstempel; Änderung, Record-Änderung und letzter Zugriff werden ausgelassen, wenn sie identisch zur Erzeugungszeit sind), Prozesse in unterstützten Hauptspeicher-Dumps, extrahierte oder verarbeitete E-Mails sowie Dateien der folgenden Typen:

index.dat

Internet browser SQLite databases

.firefox (~55) fragments

_CACHE_001_ and _CACHE_002_

.lnk shortcuts

.automaticDestination-ms

.chrome Chromium cache data_1, data_2

.usnjrnl fragments

Registry hives*

Windows .evt event logs

Windows .evtx event logs (Most extracted events come with a description that includes the event source, the event ID and the record number. The record number allows you to quickly search for the record in the HTML preview if you need further details about that particular event.)

DataStore.edb (MS Windows operating system update events)

.hbin Registry hive fragments

.doc (last printed)

.msg

rp.log XP restore point

INFO2 XP recycle bin

.recycler Vista recyle bin

.snapprop Vista volume shadow copy properties

.cookie

.gthr;.gthr2 Gatherer and Gatherer fragments

.pf prefetch

attach timestamps from EDB

signing date from EXE/DLL/SYS/...

boot time from ETL (event trace log) files

OLE2 last modification

last saved in Office documents and RTF

Skype main.db (chats, calls, file transfers, account creation, ... - you can read entire chats if sorted chronologically)

Skype Chat Sync

internal creation from miscellaneous file types, including Exif timestamps from photos

JPEG GPS

Unix/Linux/Macintosh system logs (These events are practically of significance especially for USB device history examinations.)

 

* Weitere, speziellere Ereignisse als nur Standard-Registry-Zeitstempel werden optional ausgegeben, wenn man einen Registry-Bericht erzeugt, in Abhängigkeit von den verwendeten Berichtsdefinitionen.

 

The event type is displayed in gray if the timestamp is a previously valid timestamp, for example such as those found in NTFS in 0x30 attributes or index records of INDX buffer slack or in $LogFile.

 

Timestamps from 0x30 attributes in NTFS file systems are output as events only if actually different from their 0x10 counterparts and not identical to the 0x30 creation timestamp. They are marked as "0x30" in the Event Type column. Malware might give itself harmless looking timestamps after deployment, so that it does not seem to be related to the time of intrusion/infection. The 0x30 attribute timestamps, however, remain unaltered (except if the file is renamed or moved later), and that is the reason why some examiners are interested in them. If the time frame of intrusion/infection is known, related files would be found in the event list thanks to the original 0x30 attribute timestamps.

 

0x30 timestamps are marked in the event list with an asterisk if they are later than the corresponding 0x10 timestamps, which seems unnatural and in some rare cases might be the result of backdating by the rightful users of the computers themselves. Under certain circumstances, backdating documents is seen as fraudulent and illegal. However, much more commonly 0x10 timestamps predating 0x30 timestamps is just the work of installation programs or the result of copying a file or moving a file from one volume to another or extracting a file from a zip archive, where Windows or other programs artificially apply the original creation time of the source file to the destination once copying turns out to be successful (internal programmatic backdating).

 

The selections in the event type filter are not remembered by the program from one session to the next.
 
Please see the description of the timestamp columns for more information.