19. Privremeni Fajlovi i Tragovi Sa Interneta
-
Upload
zeljko-tomic -
Category
Documents
-
view
237 -
download
8
description
Transcript of 19. Privremeni Fajlovi i Tragovi Sa Interneta
UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE
-Master studije-
Privremeni fajloviTragivi sa Interneta
Prof. dr Gojko Grubor
18.04.23 Digitalna forenzika 1
Ciljevi
– Identifikovati uobičajane tragove ostavljene na računaru posle
rada na iInternetu
– Obezbediti primere privremenih fajlova koje kreira računar i kako
se mogu koristiti za dokaze
– Opisati kako Windows OS-i koriste link & log fajlove za pomoć
korisniku
18.04.23 Digitalna forenzika 2
Internet pretraživači
• Četiri glavne oblasti su:
– Temporary Internet Cache
– Internet History folder
– Internet Cookies
– Favourites
18.04.23 Digitalna forenzika 3
Privremeni Internet fajlovi
Internet CacheZašto postoji Internet keš?
Lokacija:• Win9X & ME
– Bez korisničkog profila• C:\Windows
– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su podrazumevana podešavanja – mogu se nalaziti bilo gde
18.04.23 Digitalna forenzika 4
Podešavanje Internet Cache-a
• Kontroliše se u meniju
Tools u toku
podešavanja
u IE.
• Korisnik može izbrisati
fajlove koje želi brisati
18.04.23 Digitalna forenzika 5
Podešavanje Interent Cache-a
18.04.23 Digitalna forenzika 6
• Podrazumevana veličina keša je normalno oko 3% slobodnog prostora diska
• Minimum je 0%???
• Može biti velik koliko korisnik želi
• 0% nije normalna – treba videti zašto?
Struktura Internet Cache-a
18.04.23 Digitalna forenzika 7
Zapazite kreiranu strukturu
fajla– slučajno imenovani
folderi
INDEX.DAT
fajl je zapis koji skuplja
sve informacije
Sadržaj Internet Cache-a
18.04.23 Digitalna forenzika 8
Svi fajlovi koji čine
pogled na web
stranice su zadržane
Šta je Internet Explorer istorija?
• Zapis računara o web sajtovima koje je posetio
korisnik, uključujući:
– Zaštićene servere
– FTP
– Newsgroups
• Kreirani da omoguće naknadnu navigaciju
korisnika kroz ove sajtove sa liste18.04.23 Digitalna forenzika 9
Internet istorija
• Lokacija
• Win9X & ME– Bez korisničkih profila
• C:\Windows
– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su predefinisana podešavanja – može biti bilo gde
18.04.23 Digitalna forenzika 10
Internet istorija – pogled na fajl
18.04.23 Digitalna forenzika 11
Internet istorija• Može se videti
ime putanje i sadržaj
• Može videti sve u Windows formatu
18.04.23 Digitalna forenzika 12
Internet istorija
18.04.23 Digitalna forenzika 13
Omogućava navigaciju kroz stranice gde su korisnici već bili
pomoću IE pretraživača
Na dnevnoj i nedeljnoj bazi
Podešavanja
• Podešavanje Internet Cache i History može se izmeniti u pretraživaču
• Mogu biti važni za ispitivanje
• Podrazumevana istorija je 20 dana Ako nije, zašto?
Digitalna forenzika18.04.23 14
Šta su Cookies (kolačići)?
• Tekstualni fajlovi deponovani na HD računara od strane pretraživača posle posete web lokacija koje ih koriste.
18.04.23 Digitalna forenzika 15
Variable Name
Variable Value
Domain & Path Data
Security Tag
Expiry Date & Time
Modification Date & Time
Record Separator
Cookies• Lokacija
• Win9X & ME– Bez korisničkih profila
• C:\Windows
– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su podrazumevane lokacije - mogu biti bilo gde
18.04.23 Digitalna forenzika 16
Cookies – pogled na fajl
18.04.23 Digitalna forenzika 17
Šta su Favourites
• Način na koji korisnik upravlja listom često
posećivanih (omiljenih) web lokacija
• Može biti organizovana u odvojene
foldere/kategorije
• Postoji kao URL fajl, koji sadrži tekst
• Imaju sličnosti sa LNK fajlovima
18.04.23 Digitalna forenzika 18
Favourites• Lokacija
• Win9X & ME– Bez korisničkog profila
• C:\Windows
– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo je podrazumevana lokacija – može biti bilo gde
18.04.23 Digitalna forenzika 19
Internet Explorer i Registry
• Održavanje danima
• Veličina keša
• Otkucani URL’s
• Startna stranica
• Zaštićeno skladištenje/Auto-kompletiranje
18.04.23 Digitalna forenzika 20
Ostali Internet pretraživači
18.04.23 Digitalna forenzika 21
Ostali Internet pretraživači
• Neki koriste IE tehnologiju – i imaju istu
strukturu fajla
• Neki imaju svoju strukturu neki ne
• IE je najviše korišćen
• Forenzičar možda treba istraživati neki
pretraživač i otkriti gde se nalaze dokazi
18.04.23 Digitalna forenzika 22
Peer to Peer
18.04.23 Digitalna forenzika 23
P2P tipovi
• FastTrack
• Gnutella
• Rade na različite načine i imaju različite pridružene skupove fajlova
18.04.23 Digitalna forenzika 24
KaZaA
• Forenzički
– Skladišti termine pretraživanja (šifrovano)
– Skladišti blok liste (liste blokiranih sajtova)
– Skladišti .DAT fajlove (downloads – preuzimanja)
18.04.23 Digitalna forenzika 25
KaZaA
• Forenzički (instaliran)– Skladišti termine pretraživanja (šifrovano)– Skladišti blok liste (liste blokiranih sajtova)– Skladišti .DAT fajlove (downloads – preuzimanja)– DATA{No}.DBB files
• 256, 1024,4096
• Kada se de-instalira– Očišćen je Registar
– Zajednički folder ostaje
– DBB folderi i sadržaji ostaju u korisničkom profilu (ako je primenljivo)
18.04.23 Digitalna forenzika 26
Transfer fajlova (FTP)
• FTP (File Transfer Protocol)
– Log fajlovi su korisni i često se nalaze
– Sadrže vremena i datume aktivnosti
18.04.23 Digitalna forenzika 27
18.04.23 Digitalna forenzika 28
E-Mail baziran u aplikacijama • Outlook
• Outlook Express
• America Online (AOL) 9.0
• Outlook Exchange (PST)
• USENET Groups
• Eudora
• Netscape Messenger
• Pegasus Mail
• Pine
• The Bat!
• Forte Agent
• PocoMail
• Calypso
• FoxMail
• Juno 3.x
• EML message files
• Mozilla Mail
• Entourage
18.04.23 Digitalna forenzika 29
Uskladišteni su na ispitivanom računaru!
E-Mail baziran na web lokacijiNeki primeri• Hotmail• MSN• Yahoo!• Lycos• Mail.com• Fastmail• Neomail• i mnogo drugih……….
Nisu uskladišteni na ispitivanom računaru nego na udaljenom web serveru.
18.04.23 Digitalna forenzika 30
Outlook & Outlook Express
• Outlook
– .PST i .OST tipovi fajlova
• Outlook Express
– .DBX tip fajlova
• Generalno ih kopiraju i koriste forenzički alati
• Pitanja sa kompresijom i šifrovanim fajlovima18.04.23 Digitalna forenzika 31
E-Mail baziran na web lokaciji
• Način rada sa Temp Internet Cache
• Mogu li se uvesti u aplikaciju
• Koristi iste fajlove za skladištenje kao drugi mail-ovi
Koriste iste fajlove za skladištenje18.04.23
Digitalna forenzika 32
Ostaci e-mail-a• Obično se nalaze u nealociranom i Slack prostoru• Informacije hedera lako se nalaze i pretražuju
18.04.23 Digitalna forenzika 33
Servis za ‘četovanje’ (Chat)
18.04.23 Digitalna forenzika 34
Servisi za četovanje
• Yahoo Messenger
• MSN Messenger
• MIRC
• ICQ
• AIM (AOL Instant Messenger)
• Trillian
18.04.23 Digitalna forenzika 35
Servisi za četovanje
• Većina klijenata ostavlja dobre zapise
• Većina ima podrazum-evano logovanje
18.04.23 Digitalna forenzika 36
Servisi za četovanje• Log fajlovi mogu biti korisni sa datumom i
vremenom
• Kao i Registar
18.04.23 Digitalna forenzika 37
Servisi za četovanje• Privremeni fajlovi kreirani u toku daunlodovanja mogu biti
korisni
18.04.23 Digitalna forenzika 38
Servisi za četovanje• Fajl transfer može biti težak za rebutovanje ako su izmenjena
podrazumevana podešavanja korisnika
18.04.23 Digitalna forenzika 39
Servisi za četovanjeLogovanje je korisno bilo da je četovanje tekstualno ili šifrovano (slabijom š.)
18.04.23 Digitalna forenzika 40
Newsgroups
18.04.23 Digitalna forenzika 41
Newsgroups
• Vrlo su slične e-pošti
• Koriste format hedera
• Čitači aplikacija kao što su Outlook Express
mogu se ispitivati na isti način kao za e-poštu
• Čitači tipa Forte Agent mogu se kompletno
kopirati i aktivirati
• Traženje adresa je kao u e-pošti
18.04.23 Digitalna forenzika 42
Fajlovi
• Each screen name gets a set of files
18.04.23 Digitalna forenzika 43
PFC
• Personalni Filing Cabinet
• Pogled na kopiju u forenzičkom alatu
18.04.23 Digitalna forenzika 44
Fajlovi dokaznih informacija
• VERSION.INF – Broj poslednje verzije
• STATUS.INI – Status informacija o klijentu
• INSTALL.LOG –Informacije o instalaciji (vreme i
datum)
• UPDATE.INI – Ažuriranje aplikacije
• PH.PH – Poslednji aktivni fajl
• ERRORLOG.INI – Greške u AOL (vreme i
datum)
18.04.23 Digitalna forenzika 45
Pitanja?
18.04.23 Digitalna forenzika 46