19. Privremeni Fajlovi i Tragovi Sa Interneta

UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE

-Master studije-

Privremeni fajloviTragivi sa Interneta

Prof. dr Gojko Grubor

18.04.23 Digitalna forenzika 1

Ciljevi

– Identifikovati uobičajane tragove ostavljene na računaru posle

rada na iInternetu

– Obezbediti primere privremenih fajlova koje kreira računar i kako

se mogu koristiti za dokaze

– Opisati kako Windows OS-i koriste link & log fajlove za pomoć

korisniku


Internet pretraživači

• Četiri glavne oblasti su:

– Temporary Internet Cache

– Internet History folder

– Internet Cookies

– Favourites


Privremeni Internet fajlovi

Internet CacheZašto postoji Internet keš?

Lokacija:• Win9X & ME

– Bez korisničkog profila• C:\Windows

– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}

• Windows 2000 & XP• C:\Documents and Settings\{User Name}

• Ovo su podrazumevana podešavanja – mogu se nalaziti bilo gde


Podešavanje Internet Cache-a

• Kontroliše se u meniju

Tools u toku

podešavanja

u IE.

• Korisnik može izbrisati

fajlove koje želi brisati


Podešavanje Interent Cache-a


• Podrazumevana veličina keša je normalno oko 3% slobodnog prostora diska

• Minimum je 0%???

• Može biti velik koliko korisnik želi

• 0% nije normalna – treba videti zašto?

Struktura Internet Cache-a


Zapazite kreiranu strukturu

fajla– slučajno imenovani

folderi

INDEX.DAT

fajl je zapis koji skuplja

sve informacije

Sadržaj Internet Cache-a


Svi fajlovi koji čine

pogled na web

stranice su zadržane

Šta je Internet Explorer istorija?

• Zapis računara o web sajtovima koje je posetio

korisnik, uključujući:

– Zaštićene servere

– FTP

– E-mail

– Newsgroups

• Kreirani da omoguće naknadnu navigaciju

korisnika kroz ove sajtove sa liste18.04.23 Digitalna forenzika 9

Internet istorija

• Lokacija

• Win9X & ME– Bez korisničkih profila

• C:\Windows

– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}


• Ovo su predefinisana podešavanja – može biti bilo gde


Internet istorija – pogled na fajl


Internet istorija• Može se videti

ime putanje i sadržaj

• Može videti sve u Windows formatu


Internet istorija


Omogućava navigaciju kroz stranice gde su korisnici već bili

pomoću IE pretraživača

Na dnevnoj i nedeljnoj bazi

Podešavanja

• Podešavanje Internet Cache i History može se izmeniti u pretraživaču

• Mogu biti važni za ispitivanje

• Podrazumevana istorija je 20 dana Ako nije, zašto?

Digitalna forenzika18.04.23 14

Šta su Cookies (kolačići)?

• Tekstualni fajlovi deponovani na HD računara od strane pretraživača posle posete web lokacija koje ih koriste.


Variable Name

Variable Value

Domain & Path Data

Security Tag

Expiry Date & Time

Modification Date & Time

Record Separator

Cookies• Lokacija

• Win9X & ME– Bez korisničkih profila

• C:\Windows

– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}


• Ovo su podrazumevane lokacije - mogu biti bilo gde


Cookies – pogled na fajl


Šta su Favourites

• Način na koji korisnik upravlja listom često

posećivanih (omiljenih) web lokacija

• Može biti organizovana u odvojene

foldere/kategorije

• Postoji kao URL fajl, koji sadrži tekst

• Imaju sličnosti sa LNK fajlovima


Favourites• Lokacija

• Win9X & ME– Bez korisničkog profila

• C:\Windows

– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}


• Ovo je podrazumevana lokacija – može biti bilo gde


Internet Explorer i Registry

• Održavanje danima

• Veličina keša

• Otkucani URL’s

• Startna stranica

• Zaštićeno skladištenje/Auto-kompletiranje


Ostali Internet pretraživači


Ostali Internet pretraživači

• Neki koriste IE tehnologiju – i imaju istu

strukturu fajla

• Neki imaju svoju strukturu neki ne

• IE je najviše korišćen

• Forenzičar možda treba istraživati neki

pretraživač i otkriti gde se nalaze dokazi


Peer to Peer


P2P tipovi

• FastTrack

• Gnutella

• Rade na različite načine i imaju različite pridružene skupove fajlova


KaZaA

• Forenzički

– Skladišti termine pretraživanja (šifrovano)

– Skladišti blok liste (liste blokiranih sajtova)

– Skladišti .DAT fajlove (downloads – preuzimanja)


KaZaA

• Forenzički (instaliran)– Skladišti termine pretraživanja (šifrovano)– Skladišti blok liste (liste blokiranih sajtova)– Skladišti .DAT fajlove (downloads – preuzimanja)– DATA{No}.DBB files

• 256, 1024,4096

• Kada se de-instalira– Očišćen je Registar

– Zajednički folder ostaje

– DBB folderi i sadržaji ostaju u korisničkom profilu (ako je primenljivo)


Transfer fajlova (FTP)

• FTP (File Transfer Protocol)

– Log fajlovi su korisni i često se nalaze

– Sadrže vremena i datume aktivnosti


E-Mail


E-Mail baziran u aplikacijama • Outlook

• Outlook Express

• America Online (AOL) 9.0

• Outlook Exchange (PST)

• USENET Groups

• Eudora

• Netscape Messenger

• Pegasus Mail

• Pine

• The Bat!

• Forte Agent

• PocoMail

• Calypso

• FoxMail

• Juno 3.x

• EML message files

• Mozilla Mail

• Entourage


Uskladišteni su na ispitivanom računaru!

E-Mail baziran na web lokacijiNeki primeri• Hotmail• MSN• Yahoo!• Lycos• Mail.com• Fastmail• Neomail• i mnogo drugih……….

Nisu uskladišteni na ispitivanom računaru nego na udaljenom web serveru.


Outlook & Outlook Express

• Outlook

– .PST i .OST tipovi fajlova

• Outlook Express

– .DBX tip fajlova

• Generalno ih kopiraju i koriste forenzički alati

• Pitanja sa kompresijom i šifrovanim fajlovima18.04.23 Digitalna forenzika 31

E-Mail baziran na web lokaciji

• Način rada sa Temp Internet Cache

• Mogu li se uvesti u aplikaciju

• Koristi iste fajlove za skladištenje kao drugi mail-ovi

Koriste iste fajlove za skladištenje18.04.23

Digitalna forenzika 32

Ostaci e-mail-a• Obično se nalaze u nealociranom i Slack prostoru• Informacije hedera lako se nalaze i pretražuju


Servis za ‘četovanje’ (Chat)


Servisi za četovanje

• Yahoo Messenger

• MSN Messenger

• MIRC

• ICQ

• AIM (AOL Instant Messenger)

• Trillian


Servisi za četovanje

• Većina klijenata ostavlja dobre zapise

• Većina ima podrazum-evano logovanje


Servisi za četovanje• Log fajlovi mogu biti korisni sa datumom i

vremenom

• Kao i Registar


Servisi za četovanje• Privremeni fajlovi kreirani u toku daunlodovanja mogu biti

korisni


Servisi za četovanje• Fajl transfer može biti težak za rebutovanje ako su izmenjena

podrazumevana podešavanja korisnika


Servisi za četovanjeLogovanje je korisno bilo da je četovanje tekstualno ili šifrovano (slabijom š.)


Newsgroups


Newsgroups

• Vrlo su slične e-pošti

• Koriste format hedera

• Čitači aplikacija kao što su Outlook Express

mogu se ispitivati na isti način kao za e-poštu

• Čitači tipa Forte Agent mogu se kompletno

kopirati i aktivirati

• Traženje adresa je kao u e-pošti


Fajlovi

• Each screen name gets a set of files


PFC

• Personalni Filing Cabinet

• Pogled na kopiju u forenzičkom alatu


Fajlovi dokaznih informacija

• VERSION.INF – Broj poslednje verzije

• STATUS.INI – Status informacija o klijentu

• INSTALL.LOG –Informacije o instalaciji (vreme i

datum)

• UPDATE.INI – Ažuriranje aplikacije

• PH.PH – Poslednji aktivni fajl

• ERRORLOG.INI – Greške u AOL (vreme i

datum)


Pitanja?
