Info

https://github.com/r3nzsec/irflow-timeline

Высокопроизводительное нативное приложение macOS для анализа временной шкалы DFIR. Построено на Electron + SQLite для обработки больших файлов для криминалистических временных шкал (CSV, TSV, XLSX, EVTX, Plaso) без лишних усилий.

Вдохновлено приложением Timeline Explorer для Windows от Эрика Циммермана.

IRFlow Timeline - macOS-нативное приложение для анализа таймлайнов в ходе расследований инцидентов. По сути - аналог Timeline Explorer от Eric Zimmerman, но для macOS.

Стек: Electron + SQLite (better-sqlite3, WAL mode, FTS5) + React UI. Версия v2.1.0 от 26.02.2026.

Поддерживаемые форматы:

• CSV / TSV / pipe-delimited
• XLSX (multi-sheet)
• EVTX (Windows Event Logs до 3GB, нативный парсинг)
• Plaso SQLite (авто-определение схемы, zlib-decompress)

Ключевые возможности:

• Импорт нескольких файлов параллельно, каждый в отдельном табе, слияние табов в единый таймлайн с колонкой _Source
• FTS5 полнотекстовый поиск с поддержкой AND/OR/Exclude/Regex/Fuzzy, поиск по всем табам сразу
• Фильтрация: per-column, checkbox, date range, advanced builder (11 операторов), сохраняемые presets
• Process Tree - реконструкция дерева процессов из Sysmon EventID 1 с детекцией подозрительных паттернов (Office-to-script spawns, LOLBins, temp path execution)
• Lateral Movement Tracker - граф хост-хост логонов из EventID 4624/4625/4648, multi-hop chain detection
• IOC Matching - загрузка списков IOC (IP, домены, хеши, URL) и подсветка совпадений