AF-2DFB-D3 · Disk
Zaman Yalanı
Timestomp ($SI vs $FN tutarsızlığı) + temizlenmiş event log + bir görüntüde steganografi.
Senaryo
Şüpheli olay zamanını gizlemek için dosya zamanlarını manipüle etti ve event log temizledi. Gerçek timeline'ı yeniden kur, görüntüdeki gizli mesajı çıkar, timestomp'u kanıtla. Sahte bir log kaydı yanlış kullanıcıyı işaret ediyor.
Anti-forensics teknikleri
- Timestomping (MAC zaman manipülasyonu)
- Event log temizleme (1102)
- Steganografi (görüntüde gizli yazı)
- Sahte log enjeksiyonu
Sağlanan artefaktlar
- Disk imajı (E01) + Security.evtx
Örnek sorular
- Timestomp edilen dosya hangisi? $SI ve $FN zamanlarını ver.
- Olayın gerçek zamanı (UTC) nedir?
- Görüntüye gömülü mesajı çıkar.
Soundness tuzağı
Sahte log kaydındaki kullanıcıyı fail göstermek tuzaktır; çapraz-kanıt çürütür.
Puanlama
Timeline doğruluğu + stego + sahte-log direnci.
Artefakt yakında. Bu vakanın indirilebilir artefaktı enstrümante-VM hattımızla üretiliyor ve F0 pilotuyla yayınlanıyor.