19. privremeni fajlovi i tragovi sa interneta

UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE

-Master studije-

Privremeni fajloviTragivi sa Interneta

Prof. dr Gojko Grubor

18.04.23 Digitalna forenzika 1

Ciljevi

– Identifikovati uobičajane tragove ostavljene na računaru posle

rada na iInternetu

– Obezbediti primere privremenih fajlova koje kreira računar i kako

se mogu koristiti za dokaze

– Opisati kako Windows OS-i koriste link & log fajlove za pomoć

korisniku

Internet pretraživači

• Četiri glavne oblasti su:

– Temporary Internet Cache

– Internet History folder

– Internet Cookies

– Favourites

Privremeni Internet fajlovi

Internet CacheZašto postoji Internet keš?

Lokacija:• Win9X & ME

– Bez korisničkog profila• C:\Windows

– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}

• Windows 2000 & XP• C:\Documents and Settings\{User Name}

• Ovo su podrazumevana podešavanja – mogu se nalaziti bilo gde

Podešavanje Internet Cache-a

• Kontroliše se u meniju

Tools u toku

podešavanja

• Korisnik može izbrisati

fajlove koje želi brisati

Podešavanje Interent Cache-a

• Podrazumevana veličina keša je normalno oko 3% slobodnog prostora diska

• Minimum je 0%???

• Može biti velik koliko korisnik želi

• 0% nije normalna – treba videti zašto?

Struktura Internet Cache-a

Zapazite kreiranu strukturu

fajla– slučajno imenovani

folderi

INDEX.DAT

fajl je zapis koji skuplja

sve informacije

Sadržaj Internet Cache-a

Svi fajlovi koji čine

pogled na web

stranice su zadržane

Šta je Internet Explorer istorija?

• Zapis računara o web sajtovima koje je posetio

korisnik, uključujući:

– Zaštićene servere

– FTP

– E-mail

– Newsgroups

• Kreirani da omoguće naknadnu navigaciju

korisnika kroz ove sajtove sa liste18.04.23 Digitalna forenzika 9

Internet istorija

• Lokacija

• Win9X & ME– Bez korisničkih profila

• C:\Windows

– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}

• Ovo su predefinisana podešavanja – može biti bilo gde

Internet istorija – pogled na fajl

Internet istorija• Može se videti

ime putanje i sadržaj

• Može videti sve u Windows formatu

Internet istorija

Omogućava navigaciju kroz stranice gde su korisnici već bili

pomoću IE pretraživača

Na dnevnoj i nedeljnoj bazi

Podešavanja

• Podešavanje Internet Cache i History može se izmeniti u pretraživaču

• Mogu biti važni za ispitivanje

• Podrazumevana istorija je 20 dana Ako nije, zašto?

Digitalna forenzika18.04.23 14

Šta su Cookies (kolačići)?

• Tekstualni fajlovi deponovani na HD računara od strane pretraživača posle posete web lokacija koje ih koriste.

Variable Name

Variable Value

Domain & Path Data

Security Tag

Expiry Date & Time

Modification Date & Time

Record Separator

Cookies• Lokacija

• Win9X & ME– Bez korisničkih profila

• C:\Windows

– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}

• Ovo su podrazumevane lokacije - mogu biti bilo gde

Cookies – pogled na fajl

Šta su Favourites

• Način na koji korisnik upravlja listom često

posećivanih (omiljenih) web lokacija

• Može biti organizovana u odvojene

foldere/kategorije

• Postoji kao URL fajl, koji sadrži tekst

• Imaju sličnosti sa LNK fajlovima

Favourites• Lokacija

• Win9X & ME– Bez korisničkog profila

• C:\Windows

– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}

• Ovo je podrazumevana lokacija – može biti bilo gde

Internet Explorer i Registry

• Održavanje danima

• Veličina keša

• Otkucani URL’s

• Startna stranica

• Zaštićeno skladištenje/Auto-kompletiranje

Ostali Internet pretraživači

• Neki koriste IE tehnologiju – i imaju istu

strukturu fajla

• Neki imaju svoju strukturu neki ne

• IE je najviše korišćen

• Forenzičar možda treba istraživati neki

pretraživač i otkriti gde se nalaze dokazi

Peer to Peer

P2P tipovi

• FastTrack

• Gnutella

• Rade na različite načine i imaju različite pridružene skupove fajlova

• Forenzički

– Skladišti termine pretraživanja (šifrovano)

– Skladišti blok liste (liste blokiranih sajtova)

– Skladišti .DAT fajlove (downloads – preuzimanja)

• Forenzički (instaliran)– Skladišti termine pretraživanja (šifrovano)– Skladišti blok liste (liste blokiranih sajtova)– Skladišti .DAT fajlove (downloads – preuzimanja)– DATA{No}.DBB files

• 256, 1024,4096

• Kada se de-instalira– Očišćen je Registar

– Zajednički folder ostaje

– DBB folderi i sadržaji ostaju u korisničkom profilu (ako je primenljivo)

Transfer fajlova (FTP)

• FTP (File Transfer Protocol)

– Log fajlovi su korisni i često se nalaze

– Sadrže vremena i datume aktivnosti

E-Mail

E-Mail baziran u aplikacijama • Outlook

• Outlook Express

• America Online (AOL) 9.0

• Outlook Exchange (PST)

• USENET Groups

• Eudora

• Netscape Messenger

• Pegasus Mail

• Pine

• The Bat!

• Forte Agent

• PocoMail

• Calypso

• FoxMail

• Juno 3.x

• EML message files

• Mozilla Mail

• Entourage

Uskladišteni su na ispitivanom računaru!

E-Mail baziran na web lokacijiNeki primeri• Hotmail• MSN• Yahoo!• Lycos• Mail.com• Fastmail• Neomail• i mnogo drugih……….

Nisu uskladišteni na ispitivanom računaru nego na udaljenom web serveru.

Outlook & Outlook Express

• Outlook

– .PST i .OST tipovi fajlova

• Outlook Express

– .DBX tip fajlova

• Generalno ih kopiraju i koriste forenzički alati

• Pitanja sa kompresijom i šifrovanim fajlovima18.04.23 Digitalna forenzika 31

E-Mail baziran na web lokaciji

• Način rada sa Temp Internet Cache

• Mogu li se uvesti u aplikaciju

• Koristi iste fajlove za skladištenje kao drugi mail-ovi

Koriste iste fajlove za skladištenje18.04.23

Digitalna forenzika 32

Ostaci e-mail-a• Obično se nalaze u nealociranom i Slack prostoru• Informacije hedera lako se nalaze i pretražuju

Servis za ‘četovanje’ (Chat)

Servisi za četovanje

• Yahoo Messenger

• MSN Messenger

• MIRC

• ICQ

• AIM (AOL Instant Messenger)

• Trillian

Servisi za četovanje

• Većina klijenata ostavlja dobre zapise

• Većina ima podrazum-evano logovanje

Servisi za četovanje• Log fajlovi mogu biti korisni sa datumom i

vremenom

• Kao i Registar

Servisi za četovanje• Privremeni fajlovi kreirani u toku daunlodovanja mogu biti

korisni

Servisi za četovanje• Fajl transfer može biti težak za rebutovanje ako su izmenjena

podrazumevana podešavanja korisnika

Servisi za četovanjeLogovanje je korisno bilo da je četovanje tekstualno ili šifrovano (slabijom š.)

Newsgroups

• Vrlo su slične e-pošti

• Koriste format hedera

• Čitači aplikacija kao što su Outlook Express

mogu se ispitivati na isti način kao za e-poštu

• Čitači tipa Forte Agent mogu se kompletno

kopirati i aktivirati

• Traženje adresa je kao u e-pošti

Fajlovi

• Each screen name gets a set of files

• Personalni Filing Cabinet

• Pogled na kopiju u forenzičkom alatu

Fajlovi dokaznih informacija

• VERSION.INF – Broj poslednje verzije

• STATUS.INI – Status informacija o klijentu

• INSTALL.LOG –Informacije o instalaciji (vreme i

datum)

• UPDATE.INI – Ažuriranje aplikacije

• PH.PH – Poslednji aktivni fajl

• ERRORLOG.INI – Greške u AOL (vreme i

datum)

Pitanja?

19. privremeni fajlovi i tragovi sa interneta

Documents

tartalija - tragovi rimske farmacije u hrvatskoj

privremeni uvoz/izvoz i vraćanje ambalaŽe -...

privremeni nerevidirani godiŠnji financijski izvjeŠtaji...

fajlovi i folderi

moji tragovi - doisrpska.nub.rs

tragovi po filmskom platnu

leskovacki pisci tragovi i traganja ii deo

digitalni tragovi

g i s - grf.bg.ac.rs · 15 strukture baza podataka flat...

hani mej - tragovi na koži

bioloski tragovi dnk

tragovi goveda - elektronickeknjige.com

kriminalisticka tehnika-reljefni tragovi

tragovi carskoga kulta u saloni

tragovi pored puta sociološki fragmenti o procesu

Ĉuvanje tragova uzroka...

tragovi kod eksplozija

privremeni radovi u fiksnoj protetici - unizg.hr

kotor morsko dobro privremeni objekti

privremeni nerevidirani godiŠnji financijski izvjeŠtaji za...