Slijede razlike između dviju inačica stranice
skupljanje_dokaza_forenzika [2015/01/21 13:37] |
skupljanje_dokaza_forenzika [2015/01/21 13:37] (trenutno) |
||
---|---|---|---|
Redak 1: | Redak 1: | ||
+ | ====== Skupljanje dokaza ====== | ||
+ | |||
+ | ===== Tipovi podataka ===== | ||
+ | |||
+ | Standardna forenzička analiza računala uključuje pregledavanje materijala na medijima (tvrdi disk, USB diskovi, CD diskovi, DVD diskovi, ...), pregledavanje Windows registra (za računala s Microsoft Windows operacijskim sustavom), otkrivanje lozinki (npr. za pristup računu e-pošte ili forumima i sličnim stranicama koje mogu otkriti nešto o korisnikovim navikama), pretraga po ključnim riječima, izdvajanje e-pošte i slika za pregled. Podaci na računalu mogu se s obzirom na vidljivost podijeliti u dvije skupine: | ||
+ | |||
+ | === Vidljivi === | ||
+ | * dokumenti, datoteke koje sadrže sliku programa ili operacijskog sustava (eng. //image files//), e-mail poruke, proračunske tablice (eng. //spreadsheets//), | ||
+ | * programi i aplikacije, | ||
+ | * povezničke datoteke (eng. //link files//) te | ||
+ | * dnevničke datoteke (eng. //log files//). | ||
+ | |||
+ | === Nevidljivi === | ||
+ | * izbrisane datoteke (dokumenti, //image// datoteke, e-mail poruke, proračunske tablice i sl.), | ||
+ | * namjerno skrivene (eng. //hidden//) datoteke i mape, | ||
+ | * zastarjeli sistemski podaci (eng. //file system artifacts//), | ||
+ | * povijest pregledavanja Internet stranica (eng. //history//), | ||
+ | * ispisivani dokumenti, | ||
+ | * radna memorija (RAM), | ||
+ | * zaštićena područja pohrane (npr. gdje se čuvaju brojevi kreditnih kartica uneseni u web preglednike), | ||
+ | * područja u memoriji računala iz kojih operacijski sustav ne čita podatke kao datoteke već kao naredbe sustava (osobe koje su ih tamo pohranile alatom poput [[alati_web_forenzika#hex editori|heksadecimalnog uređivača]], znaju što traže, ali drugima to može predstavljati traženje igle u plastu sijena) te | ||
+ | * sistemski zapisnici (eng. //system log files//). | ||
+ | |||
+ | Dok neke od ovih podataka korisnik stvara vlastitom voljom, većina ih ipak nastaje zbog korisnikovih radnji, ali bez njegove suradnje. | ||
+ | |||
+ | ===== Redoslijed prikupljanja podataka ===== | ||
+ | |||
+ | === Ako je računalo upaljeno === | ||
+ | - Napraviti sliku radne (RAM) memorije i pohraniti je na pripremljeni tvrdi ili USB disk za pohranjivanje dokaza. Napraviti [[http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetak (eng. //hash//) image datoteke, sačuvati je na disku i zapisati u bilježnicu. | ||
+ | - Popisati sve procese, mrežne veze, instalirane programe i sklopovlje. Sačuvati podatke u datoteci na dokaznom disku. Napraviti [[http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetak datoteke, sačuvati ga i zapisati u bilježnicu. | ||
+ | |||
+ | === Ako je računalo ugašeno (ili nakon prethodnog koraka) === | ||
+ | - Napraviti sliku tvrdog diska i pohraniti je na dokazni tvrdi ili USB disk. Napraviti [http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetak slike, sačuvati ga i zapisati u bilježnicu. | ||
+ | - Fotografirati računalo sa svih strana, slike sačuvati na dokazni disk. Napraviti [[http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetke svih fotografija, pohraniti ih na disk i zapisati u bilježnicu. | ||
+ | - Ako su vidljive ikakve fizičke promjene računala ili opreme (npr. u kućište je ugrađen još jedan ventilator za hlađenje ili je zamijenjen jedan zid kućišta i sl.), fotografirati ih zasebno i posavjetovati se s forenzičkim stručnjakom koji će potražiti dodatne tragove (otiske prstiju, tragove alata i sl.). | ||
+ | - Otvoriti kućište računala i fotografirati unutrašnjost pod dobrim osvjetljenjem. Napraviti [[http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetke fotografija, pohraniti ih na disk i zapisati u bilježnicu. | ||
+ | |||
+ | ===== Checklista za analizu podataka ===== | ||
+ | * Prenijeti kopije dokaznih datoteka na forenzičko računalo i napraviti još jednu kopiju svih kopija. Potvrditi da imaju isti [[http://en.wikipedia.org/wiki/MD5|MD5]]/[[http://en.wikipedia.org/wiki/SHA-1|SHA1]] sažetak koji je sačuvan na disku i zapisan u bilježnici kako bi se uvjerilo da podaci nisu izmijenjeni na putu od mjesta zločina do laboratorija. | ||
+ | * Pretražiti izvorne slike radne memorije i diska, ako se nađu kakvi znakovni nizovi (eng. //string//) zapisati ih i pohraniti rezultate. | ||
+ | * Pregledati ispis svih nizova (eng. //string dump//), tražiti ključne riječi. | ||
+ | * Ukoliko su nađene ključne riječi koje se tiču istrage (npr. "plaća", "lozinka", "bomba"), potražiti te riječi u izvornim image datotekama. Pohraniti rezultate. | ||
+ | * Na forenzičkom računalu pregledati sliku diska uzetu s istraživanog računala (paziti da se datoteka otvori u načinu rada samo za čitanje (eng. //read-only//). Skenirati disk u potrazi za virusima, spyware i rootkit programima. Spremiti rezultate u obliku slike zaslona (eng. //screenshot//) ili log datoteke. | ||
+ | * Analizirati dnevnik događaja (eng. //event log//) računala osumnjičenika i tražiti nepravilnosti. Ako se nađu, pohraniti ih zajedno s vremenima kad su se nepravilnosti dogodile. | ||
+ | * Analizirati dnevnik izvršavanja procesa (eng. //running processes log//) računala osumnjičenika i tražiti sumnjive procese. Ako se nađu, provjeriti ispis sadržaja memorije (eng. //memory dump//) i istražiti proces (pomoću bilo kojeg [[alati_web_forenzika#hex editori|heksadecimalnog uređivača]]) | ||
+ | * Naći slike, filmove, dokumente, pohranjenu e-poštu i dokumentirati njihove lokacije za kasniji pregled. | ||
+ | * Ako je potrebno, primijeniti programe za detekciju steganografije kako bi se našli skriveni podaci u slikama i glazbenim datotekama. | ||
+ | * Analizirati cookie zapise u web preglednicima kako bi se otkrilo da li je osumnjičenik posjećivao sumnjive ili neke određene stranice. | ||
+ | * Analizirati e-mail poruke. | ||
+ | * Istražiti datoteke u neiskorištenom prostoru na disku (eng. //slack space//). To su datoteke koje su izbrisane iz korisničkog prostora (naredbom delete ili shift+delete), ali su još uvijek fizički zapisane na disku. | ||
+ | |||
+ | Svi inkriminirajući dokazi (ovisno o kontekstu) se moraju zabilježiti i pohraniti zajedno s vremenskim oznakama i pripadajućim prikazima (slike zaslona, ispisi teksta, audio zapisi). | ||
+ | |||
+ | |||