UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE-Master studije-Izbrisani fajlovi i korpa za recikliranje u NTFS

Prof. dr Gojko Grubor*Digitalna forenzika*

Digitalna forenzika

CiljeviOpisati promene u NTFS fajl sistemu kada se fajl izbrieIdentifikovati nain oporavka fajla u NTFS fajl sistemuObjasniti strukturu foldera Recycle Bin-aOpisati promene koje se dogaaju kada se fajl premesti ili oporavi iz Recycle Bin-aIdentifikovati forenziki aspekt Recycle Bin-a

ZATO?*Digitalna forenzika*

Digitalna forenzika

Brisnje fajlova Ima vie od jednog naina brisanja fajlova*Digitalna forenzika*Desni klik-Selektuj DeleteDrag&Drop u Recycle BinDelete Key -Confirm DeleteShift DeleteDelete u DOS

Digitalna forenzika

Brisanje fajlovaRazliiti metodi brisanja fajlova imaju razliite rezultate!*Digitalna forenzika*Shift DeleteDelete in DOSOvi metodi briu fajlove!

Digitalna forenzika

Izbrisani fajlovi*Digitalna forenzika*Brisanje fajlovaKako je fajl izbrisan u NTFS fajl sistemu?

Kako fajl moe, a kako ne moe biti oporavljen?

ta se dogaa kada se izbrie fajl ili folder?

Digitalna forenzika

$Logfile

$Logfile se aurira da oznai da ima promena koja se dogaa na volumenuKoristi se za povratak fajlova (Roll Back)*Digitalna forenzika*

Digitalna forenzika

$MFTAtributi $MFT i $BITMAP se auriraju

Ulazi (entries) koji oznaavaju da je fajl u upotrebi sada se menjaju i oznaavaju da fajl nije u upotrebi

Ovo indicira da se Record Entry moe koristiti za snimanje novog fajla.

VANO: Fajl Record DATA NIJE prepisn!Rezidentni podaci NISU prepisani!*Digitalna forenzika*

Digitalna forenzika

Ulaz zapisa fajla (File Record Entry)Informacije hedra su aurirane Offset: 22 i 23 bajt

Ova dva bajta indiciraju status MFT - stanje Zapisa

01 00 = Tekui fajl00 00 = Izbrisani fajl03 00 = Tekui direktorijum02 00 = Izbrisani direktorijum

MFT entry NIJE prepisan!*Digitalna forenzika*

Digitalna forenzika

$BitmapFajl metapodataka $Bitmap je auriranNerezidentni fajlovi?

Ako podaci nisu rezidentni, entriji oznaeni kao da su uupotrebi promenie se u entrije koji oznaavaju kao da nisu u upotrebi

Ovo indicira da se klaster moe koristiti za podatke novog fajla

PODACI u klasterima NISU prepisani!*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaRezidentni fajlovi

Znamo da u ovom sluaju MFT entry ostaje netaknut!

Ako je podatak rezidentan nalazimo ga nepromenjenog u MFT entry-ju.

*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaNerezidentni podaci

File Record sadri Run Listu koja usmerava lokaciju na kojoj su podaci uskladiteni u klasterima i moemo je koristiti za lokaciju podataka.

*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaU FAT fajl sistemu fragmentovani fajlovi izazivaju pravi problem.Entriji u FAT tabeli su nulirani.

U NTFS fajl sistemu ovo nije takav problem.NTFS ekvivalent, Run List ostaje netaknuta.

Pod pretpostavkom da klasterima nisu pripisane nove vrednosti lokacija (reassigned)*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaNije uvek tako lak posao!

MFT Entry je oznaen kao da nije u upotrebi.To znai da moe biti prepisan!

MFT entriji se prepisuju odozgo na dole.

Koliko je verovatno da e sve biti prepisano?*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaPodaci su sada u Nealociranom prostoru i jo ostaju neizmenjeni i ako su prostorno povezani mogu se oporaviti.

Meutim, sada nema korisnih informacija kao to suDatum/VremeiIme fajla*Digitalna forenzika*

Digitalna forenzika

Oporavak fragmentovanih fajlovaTakoe moe biti sluaj da u ovoj fazi MFT Entry ne bude prepisan.

Meutim, oblast podataka moe biti prepisana.

Sada imamo informacije o fajlu, ali nemamo podatke.

Na ta sada usmeravaju Data Runs podaci?*Digitalna forenzika*

Digitalna forenzika

PITANJA ?*Digitalna forenzika*

Digitalna forenzika

Korpa za recikliranje (Recycle Bin)*Digitalna forenzika*

Digitalna forenzika

Fajlovi za recikliranjeRazliiti metodi brisanja fajlova imaju razliite rezultate!*Digitalna forenzika*Right Click-Select DeleteDrag & Drop u Recycle BinDelete Key-Confirm Delete

Korienjem ovih metoda brisanja, fajl se alje uRecycle Bin!

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Prvi put Recycle Bin se pojavio u Win95 OS

Za korisnika ovaj Recycle Bin jo uvek nije izmenjen.

Digitalna forenzika

Recycle BinFajlovi za recikliranje*Digitalna forenzika*FAT32 Win95RecycledFAT32 Win95RecycledFAT/NTFS Win2000Recycled/RecyclerFAT/NTFS WinXPRecycled/Recycler

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Logiki diskovi

Digitalna forenzika

Recycle Bin*Digitalna forenzika*ta je Recycle Bin?Fizike analogije!!!DeleteShift DeleteSoftversko brisanje

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Posle nove instalacije OS folder Recycler ne sadri fajlove

U prvom sluaju kada korisnik premesti fajl u Recycle Bin kreiraju se:

SID ime foldera za korisnikaINFO2 fajlDesktop.iniPlaceholder (s)

Digitalna forenzika

Desktop.ini*Digitalna forenzika*Ovaj fajl se modifikuje kada se recycle bin isprazni

Modifikovani podaci ovog fajla zbog toga indiciraju vreme kada je poslednji put sadraj Recycle Bin-a potpuno restauriran ili ispranjen

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Recycle Bin je skriveni folder

Ovaj folder se zove RECYCLER

Moe se nai u root-u svakog logikog diska

Digitalna forenzika

SID Ime Foldera*Digitalna forenzika*Vie korisnika

Digitalna forenzika

INFO2 fajl*Digitalna forenzika*ta je INFO2 fajl?

Uvek ima heder duine 20 Bajta

Posle hedera dolazi 800 Bajta dugi entry za svaki fajl ili folder koji je koisnik poslao u Recycle bin

Sadri informacije premetene u Recycle bin

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Lets move some files to the Bin!

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Premestimo neke fajlove u Recycle Bin!

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Neka su 3 fajla premetena u Recycle Bin.

Kreirana su tri Placeholders fajla:

INFO2 fajl sada sadri informacije koje se odnose na ove fajlove!Dc5.docDc6.txtDc7.jpg

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Dc5.doc - Dc6.txt - Dc7.jpg

Dekomponujmo ovu konvenciju imenovanja fajlova.

Ovo su tri naa fajla!

Digitalna forenzika

Lets move some files to the Bin!Record Place Holder NumberOffset 260 Within the Record EntryPlace Holder Drive LetterOffset 26400 = A01 = B02 = C03 = D04 = EEtc.Date/Time Placed in RecyclerOffset 268*Digitalna forenzika*

Digitalna forenzika

Lets move some files to the Bin![]Original File Name & PathOffset 280*Digitalna forenzika*

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Logiki diskovi

Digitalna forenzika

INFO2 Entries*Digitalna forenzika*800 Bajta duine

Sadri informacije koje omoguavaju da se fajlovi restauriraju u originalno stanje

Takoe, sadre informacije o vremenu/datumu njihovog brisanja

Digitalna forenzika

Recycle Bin*Digitalna forenzika*ta se stvarno deava kada se fajl premesti u Recycle Bin?

Kreira se jedan entry u folderu SID imena u Recycler-u

Ime fajla se zamenjuje sa imenom Placeholder

INFO2 fajl se aurira

Aurira se vremenski peat poslednji pristupljen/poslednji modifikovan

Digitalna forenzika

Recycle Bin*Digitalna forenzika*ta se u ovoj taki deava?

Fajl se NE brie!

Nita nije izgubljeno, podaci su jo uvek tekui i nepromenjeni. MFT entry jo uvek je tekui.

Data Runs ostaju nepromenjeni

$Bitmap fajl ostaje nepromenjen

Digitalna forenzika

Recycle Bin*Digitalna forenzika*ta se stvarno deava kada restauriramo fajl iz Recycle Bin?

INFO2 fajl se aurira, aurirajui relevantni entry

Entry u SID folderu se uklanja

Entry za originalni folder se kreira

Aurira se ime fajla u MFT

Fajl je sada restauriran!

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Prazan Recycle Bin

Ovo e biti pokriveno u Deleting files

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Kada je fajl u Recycle Bin-u da li je izbrisan?DELETED BY USER?DELETED BY COMPUTER?REMOVED FROM MACHINE?DELIBERATE ACTION?USER KNOWLEDGE?USER ACTIVITY?

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Prenosni mediji (Removable Media)

U veini sluajeva removable media NEMAJURecycle Bin

Postoje izuzeci od ovog pravila

Digitalna forenzika

Recycle Bin*Digitalna forenzika*Konfigurisanje Recycle Bin

Recycle Bin se moe konfigurisati za svaki logiki disk.

Recycle Bins mogu biti onemogueni (Disabled).

Veliina Recycle Bin moe se menjati.

Recycle Bin se ponaa kao FIFO memorija!(prvi u prvi iz)

Digitalna forenzika

Provera znanja o NTFS fajl sistemu Q. U NTFS, kako se zove Recycle Bin folder?Recycler

Q. Koja je veliina hedera INFO2 fajla?A. 20 Bajta*Digitalna forenzika*

Digitalna forenzika

Provera znanja o NTFS fajl sistemu Q. Objasni ime fajla De3.docIzbrisan Word dokument sa E:\ u 3. sekvenci brisanja

Q. Koliko Bajta je velik INFO2 zapis u NTFS fajl sistemu?A. 800 Bajta*Digitalna forenzika*

Digitalna forenzika

Provera znanja o NTFS fajl sistemu Q. Kada se fajl izbrie da li se izbrie MFT entry? Ne

Q. Kada je fajl izbrisan da li se aurira $Bitmap fajl? Da, ako su podaci nerezidentni *Digitalna forenzika*

Digitalna forenzika

Provera znanja o NTFS fajl sistemu Q. Kada je fajl izbrisan da li su podaci izbrisani? Ne

Q. Ako je MFT entry prepisan ta postaju podaci? A. Nealocirani, slobodan prostor za upisivanje novih podataka.*Digitalna forenzika*

Digitalna forenzika

WinHex alatPRAKTINA VEBA!

Posmatranje izbrisanih fajlovaGledanje entrija Recycle Bin-a uNTFS fajl sistemu

*Digitalna forenzika*

Digitalna forenzika

PITANJA?*Digitalna forenzika*

Digitalna forenzika

******Assuming non-resident data.**Assuming non-resident data.************Every logical drive has a recycle bin*discussion about what the bin actually is!

compare to the images.*Recycled under FAT*Recycled under FAT*Recycled under FAT*SIDs*****D = not really deleted, but makes sense. explain this.starts at 1 in 2000nXP***Appears as one bin on the desktop*D = not really deleted, but makes sense. explain this.*Explain that the LA stamp may not in all cases be updated.*BITS 22/23 not changes

The $Bitmap will not change if the file is non-resident or if the file is resident!!!*The drive letter is removed at this stage from the INFO2 record*SIDs***FIFO = when the bin is full, the first file to go in will be the first file to be automatically deleted.******