Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

「生成AI開発の珍プレー好プレー大賞!(珍プレー多め)」
@HALO-Laboratory

【HALO-TIMELINE v0.9】Windowsタイムライン統合の最小ステップ

Posted at

HALO-TIMELINE v0.9 — Windowsタイムライン統合の最小ステップ

#DFIR #forensics #Windows #timeline #PowerShell

フォレンジックを学習していると、痕跡は見えても「行動の流れ」を掴めない瞬間が多くあります。
その流れを作るための、できるだけ小さく、再現性のあるタイムライン生成コアを作りました。

正直フォレンジックで何を見ればいいのか、というのが最初の壁になるかなと思うんですが、
最初は全体が見えなくても大丈夫です。
Windowsの痕跡は一箇所にまとまっていないので、流れが掴めないのは自然なことです。

EventLog、LNK、JumpList、MFT、USN…
個別に見ることはできても、「結局なにが起きたのか」が時間軸で見えないと、理解は点で止まってしまいます。

私も最初はそうでした。
そこで、まずは 最小の範囲で統合されたタイムライン を作ることから始めました。

その結果として生まれたのが HALO-TIMELINE v0.9 です。

これは “高機能なツール” ではありません。

  • 「とにかく一回動かせる」
  • 「理解の土台になる」

ことだけに焦点を当てた、最小のタイムライン統合スクリプトです。

なぜ「タイムラインを統合」するのか

Windowsの操作は、複数のアーティファクトに跨って痕跡が残ります。
単体で見ても「出来事の流れ」は見えません。

逆に言えば、

時間軸で並べることができれば、Windows は読める。

ということです。

HALO-TIMELINE v0.9 がやること

  • 各ツールで出力された CSV を読み込む
  • 時刻を UTC に揃える
  • 時系列に並べる

これだけです。

扱うアーティファクト:

Artifact Tool
EVTX EvtxECmd
LNK LECmd
JumpList JLECmd
MFT MFTECmd
USN Journal ($J) MFTECmd

使い方(最小手順・3行)

git clone https://github.com/HALO-Laboratory/halo-timeline-core-v0.9
cd halo-timeline-core-v0.9/HALO-TIMELINE_v0.9
powershell -ExecutionPolicy Bypass -File .\Build-HALO-Timeline.ps1 -Root "PATH_TO_CSVS"

super_timeline_v09.csv が生成されれば成功です。

出力例(example_case)

image.png

TimestampUTC Source Artifact Path Details
2025-11-09T01:00:00.000Z EVTX Security Logon - Successful logon (EventID 4624)
2025-11-09T01:05:00.000Z LNK LNK C:\Users\TestUser\Documents\report.docx Shortcut reference (LECmd)
2025-11-09T01:06:00.000Z JumpList AutomaticDestinations C:\Users\TestUser\Documents\report.docx MRU=1; Interactions=3
2025-11-09T01:07:00.000Z MFT FileMeta C:\Users\TestUser\Documents\report.docx Ext=docx; Size=20480 bytes
2025-11-09T01:08:00.000Z USNJ $J (USN Journal) C:\Users\TestUser\Documents\report.docx FILE_CREATE / DATA_EXTEND

まとめ

ここまでで、HALO-TIMELINE v0.9 が行っていることはとてもシンプルです。

  • 各アーティファクトから CSV を集める
  • 時刻を UTC に揃える
  • 時系列に並べる

それだけです。

ですが、この「最小の統合」があるだけで、
Windows の行動が 流れで理解できるようになります。

理解は、実行のあとに追いついてきます。
もし興味があれば、一度動かしてみてください。

→ GitHub リポジトリ
https://github.com/HALO-Laboratory/halo-timeline-core-v0.9

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?