Mettere in ordine cronologico tutti gli eventi trovati (file creati, email inviate, chiavette inserite, siti visitati).
Obiettivo
Ricostruire la storia del crimine.
Esempio di Super-Timeline
Unendo i log di sistema, la data dei file e la cronologia web, puoi creare una narrazione:
'Alle 14:00 l'utente ha cercato 'come cancellare tracce' (Web). Alle 14:05 ha scaricato CCleaner (Prefetch). Alle 14:10 ha collegato la USB Serial #123 (Registro). Alle 14:15 ha copiato 500 file riservati (LNK/Shellbags).'