mercoledì 9 marzo 2011

NBTempo una GUI per le timeline




Svolgendo alcuni casi in cui serviva creare delle timeline per verificare l'attività del computer in esame, mi è venuta la voglia di creare una piccola GUI (Graphical User Interface), insomma un'interfaccia grafica, per i due strumenti presenti nello Sleuthkit ossia tsk_gettimes emactime, che servono proprio a generare la timeline e salvarla in formato CSV (leggibile con un foglio elettronico).
Il programmino l'ho chiamato NBTempo, un semplice Bash script con interfaccia di dialogo fatta tramite YAD (Yet Another Dialog).
I parametri configurabili comprendono il GMT (Greenwich Mean Time), il Time Skew (lo scostamento in secondi dell'orario del sistema, es. del BIOS, dall'orario reale), la scelta del device o del file immagine (supporta solo il raw), l'intervallo delle date.
Chiaramente lo script lavora in Linux e va lanciato con l'immancabile SUDO.
sudo ./nbtempo.sh

Nel pacchetto c'è anche il file .DEB per installare lo YAD.

Insomma è nato così NBTempo scaricabile qui http://scripts4cf.sourceforge.net/tools.html