Embed Size (px)
DESCRIPTION
racunalna forenzika
Citation preview
29-Jan-13
1
1
RAČUNALNA FORENZIKA
UVOD U RAČUNALNU FORENZIKU
2
Razvoj kompjuterske tehnologije
� Kompjuterska je tehnologija ubrzanim tempom neprestano napredovala, što je rezultiralo njenim uvođenjem u različite aspekte našeg života.• osobna oprema (pageri, mobiteli i srodni uređaji, audio i video
plejeri)• oprema u stanu (telefon, telefaks, video i sl. oprema, DTV,
automatizirani kućanski aparati)• računalna i njoj srodna oprema u uredu i stanu (server, osobno
računalo, prenosivo računalo, terminal, dlanovnik, žična i bežična infrastruktura)
• identifikacijski dokumenti (e-indeks, "pametne kartice", e-socijalno)
• kreditne i debitne kartice (American, Diners, Maestro, Visa i sl.)• e-informacije (vijesti, novine, forumi, društvene mreže, oglasnici)• e-reklamiranje• e-plaćanja• e-pošta
29-Jan-13
2
3
Nove tehnologije u poslovanju
� Tvornice koriste tehnološki napredak u zamjeni starijih strojeva sofisticiranijom opremom kako bi poboljšale svoju proizvodnju.
� Tvrtke mnoštvo papira u arhivama zamijenjuju elektroničkom arhivom (bazom podataka).
� Menadžeri tih istih tvrtki umjesto rokovnika koriste različite elektroničke planere, tablične kalkulatore i sl.
� Korisnici Interneta postali su sudionici on-line trgovine. � Bolnice su kartone pacijenata zamijenile informacijama u
elektroničkom obliku. � Novi oblik pohrane podataka znači bitno poboljšanje u odnosu na
prethodno stanje, ali i otvara vrata skupini ljudi koja je te podatke zloupotrebljava.
� Podaci su postali lakše dostupni, a sama tehnologija donijela je moćnije alate i u ruke osoba koji bi ih mogli zloporabiti.
4
Potreba zaštite podataka
� Primjena novih tehnologija stvorila je potrebu za različitim vrstama zaštite podataka, međutim, koliko god da je znanost uspješna u tom aspektu, onaj tko je htio doći do podatka uvijek je nekako pronalazio način da to i učini.
� Sudionici online trgovine shvatili su da im netko krade novac sa računa, tvrtke su uočile neautoriziran pristup važnim podacima, banke su oštećene transakcijama koje je izvršila nepoznata vanjska osoba, bolesnicima je ugroženo pravo na liječničku tajnu, vojni sustavi postaju neprestana meta hakera, ali i ozbiljnih špijunskih aktivnosti.
� Postaje je očito da smo sve češće žrtve nove vrste kriminala koji prije svega treba prevenirati, a ako se već dogodi tada svoju ključnu ulogu ima danas relativno mlada znanost - računalna forenzika u otkrivanju počinitelja i dokazivanju njegove krivnje.
29-Jan-13
3
5
Računalna forenzika kao dio forenzičke znanosti
� Računalna forenzika je grana forenzičke znanosti koja se bavi prikupljanjem, pretraživanjem, zaštitom i analizom dokaza u digitalnom obliku te uključuje njihovu prezentaciju kao materijalni dokaz u kasnijim eventualnim sudskim postupcima.
� Prilikom provođenja forenzičke istrage potrebno je poduzeti posebne mjere postupanja kako bi dokazi mogli biti prihvatljivi na sudu.
� Jedna od najvažnijih mjera jest prikupljanje dokaza na ispravan način, tj. treba poštovati slijed posjeda dokaza od mjesta počinjenja sporne radnje (zločina) do laboratorija i konačno do suda.
6
Objekti pretrage postupcima računalne forenzike
� Elektronički uređaj nad kojim je počinjena nedozvoljena ili kriminalna radnja (bankomat, računalo, igraći aparat) ili koji je bio alat za izvršenje takve radnje (softver za razbijanje ugrađenih mehanizama zaštite, provalnički alat), ako je to moguće i ako se na taj način neće izgubiti dio dragocjenih informacija, transportira se u forenzički laboratorij (kontrolirani radni uvjeti) u stanju u kojem je pronađen radi daljnje analize.
� Podaci (informacije) koje se mogu dohvatiti s elektroničkog uređaja kopiraju se uporabom forenzičkih alata (hardvera i softvera) na siguran medij i ta kopija postaje dokaz, odnosno predmet daljnje istrage.
29-Jan-13
4
7
Objekti pretrage postupcima računalne forenzike
� Izvorni uređaj (računalo, vanjska memorija, mobilni komunikacijski uređaj i sl,) u pravilu ne bi trebao biti objekt nad kojim se neposredno vrši istraga jer mora cijelo vrijeme postupka (istraga, suđenje, žalbeni postupak) služiti kao dokaz, te zbog toga niti jedan podatak na njemu ne smije biti izmijenjen, a što nažalost uvijek nije moguće izvesti .
� Primjer 1: Zbog zloporabe Interneta rijetko se kao dokaz izuzima server na kojem osim relevantnog i za istragu interesantnog sadržaja postoji još mnogo irelevantnih sadržaja te se u tom slučaju izuzimaju samo određeni podaci i pohranjuju na siguran medij).
� Primjer 2: Zbog opravdane sumnje da uposlenici manipuliraju eketroničkim ruletom potrebno je izuzeti podatke s računala koja kontroliraju igraća mjesta (obično ih ima 8 + centralno računalo), ali pri tome se ne odnosi cijeli uređaj u laboratorij ili vještaku u ured
8
Uloga računalnog forenzičara
� Danas vrlo često su forenzičari specijalizirani za određeni operacijski sustav (Windows, Linux, Mac OS), mrežne sustave, Internet, kontrolirano provaljivanje u štićene računalne sustave radi naknadnog poboljšanja zaštite i sl.
� Računalni forenzičari moraju redovno pratiti razvoj tehnologije te poznavati i staru tehnologiju koja je vrlo često predmet forenzičke pretrage (npr. računalo koje radi pod MS DOS-om ili nekom inačicom OS-a koja više nije u uporabi ili očitavanjem podataka sa traka ili streamer traka, disketa i sl.
� Forenzičar, slijedeći strogo definirana pravila, prikuplja medije za koje pretpostavlja da se na njima nalaze relevantni dokazi, osigurava ih od mogućnosti oštećenja prilikom pretrage ili potpunog gubitka, pronalazi eventualne dokaze i vrši analizu kako bi rekonstruirao aktivnosti koje su vršene nad podacima i priprema razumljivo izvješće koji će moći poslužiti za vođenje sudskog procesa ili interne istrage u kompaniji.
29-Jan-13
5
9
Uloga računalnog forenzičara
� Digitalna forenzika ima široku primjenu i nije ograničena samo na policijsko-sudske i vojno-obavještajne aktivnosti.
� Bankarski sektor, osiguravajuća društva i kompanije raznih profila imaju potrebu i moraju biti izuzetno oprezni sa podacima kojima raspolažu jer je mnogim kompanijama nanesena nemjerljiva šteta zbog industrijske špijunaže i generalno zloupotrebe IT sistema.
� Napad uvijek ima veći izgled za uspjeh ukoliko se izvede iznutra i zato ozbiljne kompanije ne štede truda ni novca da se zaštite od insidera koji su spremni raditi za konkurenciju ili nanijeti štetu iz drugih njima poznatih razloga. Ovdje forenzička istraga dolazi do punog izražaja.
10
Definicija računalne (digitalne) forenzike
� Računalna forenzika je znanost koja se bavi • identifikacijom, prikupljanjem i čuvanjem podataka
• pretraživanjem prikupljenih informacija/dokaza
• analizom prikupljenih informacija/dokaza
• interpretacijom rezultata analize
• prezentacijom zaključaka na primjeren način
� Informacije koje su predmet analize mogu se prikupiti s uređaja ili komponenti uređaja na kojima je ta informacija u nekom času bila pohranjena (aktualni podaci, "obrisani" podaci, trajno obrisani podaci)
� S obzirom na objekt od interesa moguće je digitalnu forenziku podijeliti na:• forenzika računala i pripadne opreme • forenziku mobilnih uređaja (mobile device forensis) • mrežnu forenziku (network forensics)• forenziku baza podataka (database forensics)
29-Jan-13
6
11
Identifikacija, prikupljanje i čuvanje podataka
� Ovisno o vrsti računalne opreme koja je predmet pretrage, o tome jeli oprema bila u pogonu ili je bila isključena, koriste se i prikladni postupci identifikacije postojanja i smještaja relevantnih informacija
� Prema očekivanoj količini informacija koje treba preslikati s izvora priprema se sigurni medij dovoljnog kapaciteta
� Prikladnim uređajima i sofverskim alatima se na odabrani medij za pohranu utvrđuje tzv. sigurna kopija podataka, načinjena na način da bude u najvećij mogućoj mjeri vjerodostojna kako bi uopće mogla biti objekt istrage i eventualni dokaz na sudu.
� Ponekad elektronički uređaj nije moguće transportirati u laboratorij pa se kopiranje sadržaja mora obaviti na mjestu počinjenja.
� Nakon što se različitim metodama i postupcima dokaže vjerodostojnost kopije s nje se počinju izdvajati i ispitivati podaci koji se u kasnijim fazama (analiza, sinteza) povezuju da bi ispričali priču o prekršaju (eventualno o zločinu).
12
Evidencija događanja
� Tijekom cjelokupnog procesa, počevši od mjera praćenja i nadzora, istražnih radnji, te eventualnog provođenja sudskog postupka računalni forenzičar mora detaljno bilježiti sve radnje koje je obavio.
� Ponekad prođe i više godina da bi rezultati neke forenzičke pretrage bili razmatrani kao dokaz na sudu, a u tom vremenu forenzički stručnjaci mogu obaviti stotine drugih pretraga i zaboraviti detalje o prvoj istrazi/pretrazi.
� Iz tog razloga se obično u izvješću (Nalaz i mišljenje) opisuje • tko je sudjelovao u istrazi • kada je ona obavljena • kojim metodama su podaci prikupljani i obrađeni • što je korišteno od hardverskih i softverskih alata • kako prema sakupljenim dokazima izgleda rekonstrukcija kriminalne
radnje • tko je i kada u međuvremenu imao pristup dokazima.
29-Jan-13
7
13
Prezentiranje rezultata pretrage
� Na posljetku, kada predmet dođe na sud, rezultati istrage se prezentiraju sucu i poroti te odvjetnicima (Nalaz i mišljenje sudskog vještaka).
� U određenom broju slučajeva, vanraspravno, naručioci usluga računalnog forenzičara su knjigovodstva, osiguravajuća društva, financijske ustanove
� Izuzetno je važno da forenzički stručnjak na jednostavan način prezentira rezultate kako bi ga svi mogli razumjeti jer njegova uloga može biti ključna u rješavanju počinjene kriminalne radnje.
14
Pretraživanje prikupljenih informacija/dokaza
� Tijekom stvaranja sigurne kopije digitalnih dokaza vrlo često se obuhvaća i velika količina irelevantnih informacija
� Da bi se iz obilja prikupljenih informacija izdvojile potencijalno zanimljivi za konkretno vještačenje/pretragu koriste se različite tehnike i prikladni programski alati• izdvajanja na osnovi korištenih ekstenzija datoteka• pronalaženje skrivenih mapa i datoteka• uvid u sistemske datoteke• izdvajanja na osnovi veličine, nadnevka ili nekog drugog svojstva
datoteke• izdvajanja na osnovi stvarnog sadržaja datoteke, a ne korištenih
ekstenzija (namjerno skrivanje informacija)• pronalaženje i izdvajanje i restauracija podataka koji su trajno
izbrisani• pronalaženje i izdvajanje podataka o korištenju Interneta (e-pošta,
gledanje i preuzimanje nedopuštenih sadržaja, prijetnje i sl.)
29-Jan-13
8
15
Analiza prikupljenih informacija/dokaza
� Nakon izdvajanja relevantnih i potencijalno relevantnih podataka te njihovog pohranjivanja na neki medij u svrhu dokaza forenzičar mora detaljno analizirati te informacije prilikom čega posebnu pozornost obraća na:• pouzdanost/vjerodostojnost analizirane informacije• moguću međuovisnost različitih skupina podataka čime se
dodatno potvrđuje vjerodostojnost nalaza• utvrđivanje izvora informacije (sudionici u zajedničkom poslu,
autor informacije, posjećivana web sjedišta, korisnici e-mail i drugih internetskih servisa)
• vremenski slijed radnji pri formiranju informacija• radnje koje ukazuju na namjeru korisnika računalne opreme
da svoje radnje sakrije od pogleda forenzičara
16
Interpretacija i prezentacija rezultata analize
� Bez obzira kako kvalitetno bile provedene prethodne radnje vještina interpretacije i konačne prezentacije rezultata pretrage i analize provedene na izdvojenim informacijama u mnogome utječe na to kako će naručioc, pretežno je to sud ili odvjetnici stranaka, nečiji Nalaz i mišljenje prihvatiti
� Mogući ishod je i da sud ili neki drugi naručioc ponekad uvjerljiv i gotovo nesporni dokaz odbije kao nevjerodostojan samo zato što je nedovoljno kvalitetno obrazložen i na taj način nerazumljiv strankama ili sudu
� Nažalost, događa se da forenzičar ili sudski vještak u nedostatku dokaza ili osobnog znanja ponekad pogrešno interpretira pronađene informacije koje onda još mogu biti i prihvaćene na sudu kao vjerodostojne te dolazi do pogrešnih presuda, naknadnih obnavljanja procesa, nadvještačenja, poništenja presude ...
� Uobičajeno se tijekom analize koristi nešto stručniji pristup koji koristi stručnu terminologiju, dok se u interpretaciji rezultata analize i kasnije u zaključku koristi nešto drugačiji stil izražavanja za koji se očekuje da ga generalno razumije veći broj sudionika raznih struka (stranke, odvjetnici, sudac, stručni savjetnici, svjedoci)
29-Jan-13
9
17
Protokoli postupanja
� Tradicionalna računalna forenzika odvija se u četiri osnovne faze: • prikupljanje informacija• pretraživanje/pregled nosača informacija (radna
memorija, magnetski diskovi, trake i diskete, optički medij, flah memorija)
• analiza prikupljenih podataka• prezentacija informacija na prikladan način
Forenzika računala i pridružene
opreme
29-Jan-13
10
19
Forenzički hardverski i softverski alati
� Postoje više opskrbljivača forenzičkog hardvera i softvera. Također postoji više softverskih kuća koji proizvode samostalno ili u suradnji s proizvođačima hardvera distribuiraju programsku opremu koja se može atribuirati "forenzičkom"
� Neki važnijih su:• Digital Intelligence (http://www.digitalintelligence.com/ ) • Vogon International (http://www.vogon-investigation.com/index.htm)• AccesData (http://accessdata.com/)• Guidance Software (http://www.guidancesoftware.com/)• Paraben corporation (http://www.paraben.com/)• Hot Pepper Technology (http://www.hotpepperinc.com/)
� Softverski alati moraju biti pokrenuti na određenom hardveru. Iako sam softver često može biti pokrenut i na standardnim osobnim računalima, većina ipak zahtjeva posebni i često skupi hardver. S jedne strane je to zato što ova oprema mora omogućiti priključak pogonskih jedinica za rad s različitim memorijskim medijima (disk, memory stick, trake, optički mediji), a s druge strane postoje vrlo oštri zahtjevi na vjerodostojnost preuzetih informacija kako bi oni mogli biti dio dokaznog materijala.
20
� http://www.digitalintelligence.com/� forenzički sustavi� hardver za prikupljanje podataka� prijenosni hardver� hardver za obradu CD-a i DVD-a� blokeri� hardver za dupliciranje podataka
29-Jan-13
11
21
Forenzički računalni sustavi
http://www.digitalintelligence.com/products/fredselect/
22
Forenzička računalna mreža
� Server je jezgreni dio forenzičke računalne mreže� Podaci se drže na serveru� Klijenti mogu simulirati stvarno radno okruženje
http://www.digitalintelligence.com/products/forensic_network/
29-Jan-13
12
23
Razni forenzički uređaji
Kolekcija alata za zaštitu od prepisivanja podataka
http://www.h11-digital-forensics.com/forensic-hardware-accessories.phphttp://www.logicubeforensics.com/products/hd_duplication/pfl.asp
Prenosivi forenzički laboratorij
Forensic card readerUSB bloker
24
Razni forenzički uređaji
Integrirana sučelja SATA, IDE, SCSI, USB FireWire
Multidrive adapter
Disk duplikatori
29-Jan-13
13
25
Forenzički pribor
http://www.digitalintelligence.com/products/accessories/
USB 3 Hub
Arhiviranje i obnova
adapteri, spojni kabeli
26
� http://www.vogon-investigation.com/forensic_services-00.htm� prijenosni i laboratorijski forenzički sustavi� prijenosni i laboratorijski hardver za forenzičko kopiranje� prijenosne i laboratorijske radne stanice
29-Jan-13
14
27
http://www.paraben.com/
28
http://www.guidancesoftware.com/
29-Jan-13
15
29
http://accessdata.com/
30
http://www.hotpepperinc.com/
29-Jan-13
16
31
http://www.forensicpc.com/index.asp
32
Računalo i njegove komponenteforenzički aspekti
� Za računalnu forenziku od posebnog su interesa ugrađeni memorijski sklopovi, pogonski mehanizmi za pohranu i čitanje podataka te njima pridruženi pogonski (drajveri) i ostali servisni programi.
� Ugrađeni memorijski sklopovi• BIOS (basic input/output system) • operativna (radna) memorija• tvrdi diskovi• ugrađene flash memorije
� Pogonski mehanizmi i mediji za pohranu i čitanje podataka zajedno s pripadnim softverom • tvrdi disk (HDD, hard disk drive)• disketa (FDD, floppy disk drive, fleksibilni disk)• magnetska traka (streamer i druge vrste)• optički disk (CD, DVD i drugee• flash memorija (memorijske kartice različitih izvedbi i kapaciteta)
29-Jan-13
17
33
Skidanje poklopca računala
� Kod pretrage računala forenzičar vrlo često mora skinuti poklopac računala i intervenirati unutar kućišta.
� Ukoliko je računalo ili neka komponenta zapečaćena (garantni rok, osiguranje dokaza) treba to prije otvaranja fotodokumentirati.
� Mogući razlozi za skidanje poklopca računala su:• vađenje tvrdog diska radi izrade forenzičke kopije• dodavanje vlastitog forenzičkog hardvera• prespajanje spojnih kabela u svrhu isključivanja ili
uključivanja pojedinih komponenti• utvrđivanje naziva dobavljača komponenti i cijelog računala• utvrđivanje tipa komponente radi pribavljanja pogonskih
programa• nefunkcioniranje računala zbog kvara ili prethodnih
nestručnih rukovanja opremom
34
BIOS
� BIOS (basic input/output system) tj. skup računalnih programa neovisan o operacijskom sustavu namijenjen osnovnoj komunikaciji sa sklopovljem računala.
� Ponekad se u žargonu rabi sinonim CMOS što je ustvari kratica za komplementarni metal-oksidni poluvodič, odnosno to je čip na koji se pohranjuju postavke BIOS-a
� ACPI (Advanced Configuration and Power Interface) industrijski je standard koji određuje značajke upravljanja energijom i ostale informacije o konfiguraciji računala. Neke starije verzije BIOS-a ne podržavaju ACPI te zbog toga računala ne mogu koristiti dodatne načine rada kao što su mirovanje ili hibernacija.
� Kada računalo dugo stoji nekorišteno može se isprazniti baterija koja CMOS sklop drži u pogonu i kada računalo nije spojeno na napajanje uslijed čega računalo "zaboravi" osnovne podatke o instaliranom hardveru.
29-Jan-13
18
35
Potreba upravljanja BIOS-om
� Postoji više razloga da forenzičar mijenja osnovne (zatečene ) postavke BIOS/a• promjena redoslijeda
prozivanja ulaznih jedinica s kojih se pokušava obaviti inicijalno pokretanje (boot)operacijskog sustava
• unos informacija o instaliranom hardveru kada je pogonska baterija ispražnjena ili kada je dodan novi hardver
• upravljanje sistemskim satom• uvid u status postavljene
zaštite od neovlaštenog pristupa računalu
36
Matična ploča
29-Jan-13
19
3737
Središnja jedinica za obradu
CPU (Central Processing Unit)
� Matična ploča (motherboard, mainboard) je tiskana ploča koja služi za povezivanje glavnih dijelova računala, a koristi konektore ili priključnice (utore) povezane sabirnicama
� Komponente koje mogu biti od značaja za forenzička ispitivanja:
• radna memorija (zanimljiva dok je računalo uključeno)• upravljanje postavkama BIOS-a i mogućnosti poništavanja
postavljene zaporke (password) pomoću "jumpera"• upravljanje sistemskim satom
3838
Mikroprocesori (CPU)
� poluvodička komponenta na pločici s više milijuna tranzistora na nekoliko desetaka mm2
� 32-bitni procesori� Intel: Pentium II, III i IV� AMD: K6, Athlon� Cyrix (IBM): 6x86-P200
� 64-bitni procesori� Intel Core i3� Alpha (DIGITAL)
� Forenzički alati u mnogome ovise o tipu korištenog mikroprocesora te se informacija o njemu obično navodi u izviješćima
29-Jan-13
20
3939
Mjere za veličinu memorije
� Najveća količina podataka koja se u memoriju možepohraniti naziva se kapacitet memorije i izražava se ubajtovima.
� Uobičajene kratice za označavanje veličine memorije su:bit - jedna binarna znamenkabyte (bajt, oktet) - obično 8 bita1 KB (kilobyte) = 1024 bajta1 MB (megabyte) = 1024 x 1024 = 1,048.576 bajta1 GB (gigabyte) = 1024 x 1024 x 1024 = 1,073,741.824 bajta1 TB (terabyte) = 1,099,511,627,776 bajta1 PB (petabyte) = 1,125,899,906,842,624 bajta
4040
Vrste i svojstva korištenih memorija
� RAM - (Random Access Memory) - upisno-ispisna memorija sa nasumičnim pristupom) je oblik primarne računalne memorije čijem se sadržaju može izravno pristupiti, za razliku od sekvencijskih memorijskih uređaja kao što su magnetne vrpce, CD i DVD diskovi te tvrdi diskovi, u kojima pristup određenom sadržaju ovisi o položaju glave za čitanje
� Glavne značajke su:• relativno veliki kapacitet 512 MB- 4 GB (2004. je
proizveden 128 kbitni čip kapaciteta 10 GB)• izuzetno velika brzina posluživanja• može se particionirati tako da imaju funkciju
tvrdog diska (tzv. RAM disk)� S forenzičkog gledišta značajna je
nepostojanost sadržaja koji se gubi prekidom napajanja što je izuzetno važno za računalnu forenziku jer se računalo zatečeno u radu vrlo često ne smije "gasiti" sve dok se ne izuzmu potrebni podaci
29-Jan-13
21
41
Statički RAM
� SRAM (Static Random Access Memory) izgrađen je od poluvodičkihintegriranih krugova, a obično se koristi kao tzv "cash"memorija• vrsta statičke radne memorije kojoj je svaki bit pohranjen u
jednom od bistabilnih sklopova smještenih u memorijskom integriranom sklopu, a spremljene podatke održava sve dok integrirani krug dobiva napajanje, pa je u prednosti u odnosu na tipove memorija čiji se sadržaj mora stalno osvježavati (npr. DRAM).
• prednosti: jednostavnost građe i pogona, pristupačna cijena i brz pristup do podataka
• nedostaci: relativno velike dimenzije bistabilnog sklopa, cijena
� Podaci koji se nalaze u memoriji ovog tipa gube se prestankom napajanja i često se u forenzici moraju prije gašenja i izuzimanja računala preslikati na sigurni medij
41
42
Dinamički RAM
� DRAM - (Dynamic Random Access Memory) ili dinamički RAM vrsta je poluvodičke dinamičke radne memorije kod koje se podaci čuvaju kao električni naboj u kondenzatoru unutar integriranog sklopa
� Podaci koji se nalaze u memoriji ovog tipa gube se prestankom napajanja i često se u forenzici moraju prije gašenja i izuzimanja računala preslikati na sigurni medij
� Prednosti: male dimenzije kondenzatora koji pohranjuje bit informacije i pristupačna cijena
� Nedostaci: složeni pogonski sklop i sporost u radu
42
29-Jan-13
22
43
Još neki tipovi RAM memorija
SDRAM (Synchronous Dynamic Random Access Memory)
SIMM (Single In-line Memory Module) najstarija vrsta memorijskog modula
DIMM (Dual In-line Memory Module) - najrasprostranjenija vrsta modula
EDO RAM (Extended Data Out RAM) - najnovija DRAM tehnologija
SODIMM (Small Outline Dual Inline Memory Module) -namijena za prijenosna računala, najmanje dimenzije
RIMM (Rambus Inline Memory Module)
43
44
Ostali tipovi memorija
ROM (engl. read only memory) - ispisna memorija
- podatak se može upisati samo jednom
- podatke u ROM upisuje proizvođač računala, a korisnik ih ne mijenja
- najčešće su ovako pohranjeni podaci potrebni operacijskom sustavu računala
PROM - (Programmable Read Only Memory) kratica je za memoriju koja se dade programirati samo jednom.
EPROM - (Erasable Programabile Read Only Memory) - brisanje ultraljubičastim svjetlom
EAROM - (Electricaly Alterable ROM) - brisanje povećanim naponom
44
29-Jan-13
23
4545
Ostale kratice za tipove memorije
EMS - (Expanded Memory Specification) - razvučena memorijaXMS - (Extended Memory Specification) - proširena memorijaCache Memory - priručna memorija Video RAM ili VRAM - dual-port memorija sa jednim portom
nasumičnog pristupa i drugim, sekvencijalnim. Ova je vrsta sve popularnija zbog sve izraženijom potrebom korisnika za sve više video memorije.
46
Sabirnice
� Skupom normi propisuju se načini povezivanja komponenti računala unutar kućišta te uređaja izvan računala u funkcionalnu cjelinu
� Dijele se na dvije skupine:
• unutarnje sabirnice koje služe za razmjenu podataka u računalu, a izvedene kao vodovi koji na matičnoj ploči računala završavaju odgovarajućim utorima ž
• vanjske sabirnice koje služe za povezivanje perifernih uređaja na računalo
46
29-Jan-13
24
47
ISA, PCI, AGP sabirnica
� ISA sabirnica (eng. Industry Standard Architecture) je stari 8-bitni IBM-ov tip sabirnice koji je kasnije proširen na 16-bitni
� PCI sabirnica (eng. PCI bus, peripheral component interconnect bus) je sabirnica opće namjene predviđena za priključak dodatnih sklopova unutar kućišta računala
� AGP sabirnica (engl. accelerated graphics port, advanced graphics port) namijenjena priključku sklopova za prikaz slika (videa)
47
4848
Ostale sabirnice
EISA (Extended Industry Standard Architecture) 2 bita, velika brzina prijenosa
VL sabirnica (VL-Bus) priključak uređaja neposredno na mikroprocesor
PCI (Periferal Component Interconnect) uvedena 1993.
PCI EXPRESS (Peripheral Component Interconnect Express) zamjena za starije PCI i PC-X
29-Jan-13
25
4949
Serijska vrata za priključak U/I uređaja
� Serijska vrata (Serial Port) 9 i 25 pinova• prijenos bit po bit• tipične brzine 4800, 9600 i 19200, 28800,
33600 bps• Baud je jedinica za mjerenje količine
informacije u jedinici vremena 1 baud = 1 bps
• način prometa preko vrata:simpleks - samo u jednom smjerupoludupleks - u oba smjera, ali ne
istovremenopuni dupleks - u oba smjera istovremeno
� Standard RS 232 C - asinkroni serijski prijenosgdje između dva odaslana podataka možeproteći bilo koje vrijeme (kod sinkronog suvremenski intervali stalni)
5050
Paralelna vrata za priključak U/I uređaja
� Paralelna vrata (Parallel Port)• 8 bita odjednom• 100.000 do 1,000.000 bps (bita u sek)• glavna primjena je priključak pisača• Standard Centronics (25 nožica na PC, 36 na printer)
29-Jan-13
26
51
USB vrata
� Vanjske USB (Universal Serial Bus) sabirnice su višežilni kabeli s priključnicama izvedenim na vanjskom dijelu kućišta
� Pregled USB sabirnica s brzinom prijenosa • USB 1.1 do 2 Mbps • USB 2.0 do 480 Mb/s • USB 3.0 do 4,8 Gb/s - optički kabel
51
USB 1.1 i USB 2.0
USB 3.0
52
FireWire sabirnica
FireWire sabirnica (Norma IEEE 1394):serijsko spajanje velikom brzinom prijenosa (engl. high performance serial bus) zapovezivanje računala i uređaja za prijenos grafike, video zapisa
52
29-Jan-13
27
5353
Ulazne jedinice
� Tipkovnica (Keyboard, slovište)� Slovni dio (QWERTY, QWERTZ, DVORAK)
Za forenziku su značajna obilježja: slovište tipkovnice, razmještaj
hrvatskih fonema te postavljene kodne stranice.
54
MICROSOFT KEYBOARD SHORTCUTSFor Microsoft Windows 95, 98, NT4 & 2000 Keyboards
KEYS ACTION
Windows logo key or CTRL+ESC Opens the Start menu
CTRL+ALT+DELETE Opens the Windows Close Program or NT Security dialog box
DELETE Deletes the selected item(s).
SHIFT+DELETE Delete the selected items permanently (without moving them to the Recycle Bin)
CTRL+Escape Opens Start Menu
CTRL+B Bold
CTRL+I Italics
CTRL+N Opens a new web page or file.
CTRL+O Opens the open web page or file dialog box
CTRL+P Opens the Print dialog box.
CTRL+S Opens the Save dialog box.
CTRL+U Underline
CTRL+X Cuts the selected item(s) to the Clipboard.
CTRL+C or CTRL+INSERT Copies the selected item(s) to the Clipboard.
CTRL+V or SHIFT+INSERT Pastes the copied items(s) from the Clipboard.
CTRL+Z or ALT+BACKSPACE Undoes the last action if possible.
CTRL+Shift Do this while dragging a file to create a shortcut
ALT+SHIFT+BACKSPACE Redoes the previously undone action.
29-Jan-13
28
55
MICROSOFT KEYBOARD SHORTCUTSFor Microsoft Windows 95, 98, NT4 & 2000 Keyboards
KEYS ACTION
F1 Displays help information
F2 Rename a selected item.
F3 Opens the Find All Files dialog box.
F4 Opens the drop-down list box on the toolbar, if there is one.
F5 Refreshes the current window.
F6 Switch Panes in Explorer
F10 Activates Windows Menu Bar
ALT+F4 Closes the current window.
ALT+F6 Switch between multiple windows in the same program
ALT+ENTER Displays properties for the selected item.
ALT+TAB Switches between application windows.
ALT+ underlined first letter in
menuOpens the Indicated Menu Item
PRINT SCREEN Copies an image of the screen to the Windows Clipboard.
ALT+PRINT SCREENCopies an image of the active window to the Windows
Clipboard.
5656
Ulazne jedinice (1)
� Miš (Mouse) je pokazna naprava koja služi za pomicanje pokazivača i davanje naredbi računalu
• Elektromehanički miš• Optički miš• Pomična kuglica (Track Ball)
� Grafička tabla� Palica (Joystick)
Za računalnu forenziku su ove ulazne jedinice od manjeg značaja
29-Jan-13
29
5757
Ulazne jedinice (2)
� Svjetlosna olovka (Light Pen)� Zaslon osjetljiv na dodir (Touch Screen)� Osjetilna ploha (Touch Pad)
Za računalnu forenziku su od manjeg značaja
58
Ulazni uređaji - skener
� Skener (engl. scanner) je namjenjen izravnom unosu (digitalizaciji) crteža i slika s predloška u računalo (digitalizacija slike). Rad se temelji na pretvorbi odbijene ili propuštene svjetlosti sa slike u električne impulse.
� Uređaj se često uz kvalitetne laserske pisače u boji koristi u krivotvorenju novčanica, fotografija, identifikacijskih dokumenata te ostale papirnate dokumentacije
58
29-Jan-13
30
59
Ulazni uređaji - fotoaparat, kamera
� Digitalni fotoaparat – koji snima na neki medij ali može i izravno komunicirati s računalom kao njegova vanjska jedinica
� Webcam – videokamera koja može biti spojena na računalo i koja omogućuje da se dva udaljena sugovornika vide na zaslonu monitora.
� Često se videozapisi u vještačenjima koriste za prepoznavanje osoba na snimci
59
60
Ulazni uređaji - crtični kôd
� Čitalo crtičnoga (prugastog) kôda (engl. bar code reader) je posebna vrsta skenera. Najčešće je rabljena tehnologija automatskog raspoznavanja brojki i slova
� Sastoji se od izvora svjetlosti koje osvjetljava crtični kôd, osjetila koje pretvara odbijenu zraku u električne impulse i elektroničkog sklopa koji impulse pretvara u oblik prihvatljiv računalu.
� Često se zlorabe fotokopije originalnog crtičnog koda
60
29-Jan-13
31
6161
Monitori
� Monitor je najčešći izlazni uređaj koji vizualizira podatke iz računala i prikazuje ih na zaslonu (ekranu)
� Obično nisu relevantni za utvrđivanje počinjenja neke radnje iako postoje situacije kada je zbog specifičnosti izvedbe potrebno uz računalo imati na raspolaganju i sam monitor, npr. kada se koristi monitor osjetljiv na dodir ("touch screen")
� Vjerojatno iz tog razloga policija često kod izuzimanja računalne opreme izuzima i monitor
62
Grafička kartica
� Monitor se s računalom spaja sklopom koji se naziva grafička kartica (en. graphics card, video card, vga card, graphics adapter) koja pretvara digitalne signale iz računala u oblik prihvatljiv monitoru, a sastoji se od tri glavna dijela: grafičkog procesora, memorije i digitalno-analognog pretvornika
� Video-memorija ili video-RAM je dio memorije koji se koristi za pohranu slike. Kapacitet određuje razlučivost i broj boja koje može prikazati grafička kartica npr. za 1024 x 768 i 16 milijuna boja potrebno je oko 3 MB VRAM-a
� Osnovni element slike na zaslonu monitora je zaslonska točka (engl. pixel, picture element), akvaliteta slike ovisi o rezoluciji (razlučljivosti) prikaza odnosno o najvećem broju piksela koje nazaslonu može prikazati monitor
� U ovisnosti od kvalitete same kartice te načina snimanja digitalne fotografije ovisi kvaliteta prikaza na zaslonu, a time i preuzeta slika (screen capture)
62
29-Jan-13
32
6363
Iglični (matrični) pisači
� Iglični pisač (Dot Matrix Printer) radi ispis pomoću iglica, koje preko trake s bojom udaraju u papir. Najkorisniji je u ispisivanju dokumenata u više kopija (iglice snažno udaraju u papir). No zbog velike buke koju proizvodi i sporosti, ovaj oblik pisača je danas u sve manjoj općoj upotrebi, dok se i dalje koristi za ispis dokumenata kad trebamo više identičnih kopija (uplatnice)
� Iglični pisači ispisuju monokromatski u boji trake koja se koristi
� Mod rada (tekstualni, grafički)• Broj iglica (9 ili 24)• Slovne matrice: brzi jednostavni ispis: 12 x 8, spori
jednostavni ispis: 12 x 12, HQ draft: 24 x 12, NLQ: 12 x 36,LQ: 24 x 36
� Tipične brzine pisanja teksta su od 750 cps (jednostavni ispis- draft) do 200 cps (NLQ)
� Za forenziku su značajni otisci slovne matrice na papiru jer se na taj način može utvrditi izvor printanog materijala, odnosno korišteni pisač
6464
Pisači s mlazom tinte, laserski pisači
� Pisač s mlazom tinte (Ink Jet, Bubble Jet) sliku napapiru stvaraju štrcanjem mlaza tinte• jednobojni• višebojni
� Za forenziku su značajni ispisi koje karakterizira vrsta korištene tinte i pritičnost dizni za raspršivanje boja jer se na taj način može eventualno utvrditi izvor printanog materijala
� Laserski pisači• tipična razlučljivost 300 - 600 dpi (Dot Per Inch), a za
bolje pisače minimalno 1200 dpi• Prednosti: visoka kakvoća otiska i cijena
� Za forenziku su značajni ispisi koje karakterizira istovjetnost otiska te kvaliteta fotoosjetljivog materijala bubnja jer se na taj način može eventualno utvrditi izvor printanog materijala
29-Jan-13
33
65
� Termički pisač (engl. thermal printer)- stvara otisak na posebnom papiru toplinskim djelovanjem termičke glave
� Prednosti: male dimenzije, bešuman rad i relativno niska cijena
� Nedostaci: Otisak koji izblijedi
� Za forenziku predstavlja problem upravo činjenica da slika blijedi kada je izložena dnevnom svjetlu, pa takve dokaze treba prethodno fotokopirati
Termički pisači
65
66
� Crtalo (engl. plotter) je namijenjeno izradi crteža i nacrta pomoću računala
• Crtalo s nepomičnim papirom (flat bed plotter)
• Crtalo s pomičnim papirom (drum plotter)
Crtala (ploteri)
66
29-Jan-13
34
67
Uređaji i mediji za pohranu podataka
� Medij za pohranu podatka treba imati slijedeća svojstva:
• pohranjeni podaci trebaju što dulje ostati nepromjenjeni i neoštećeni
• trebaju biti jednostavni za rukovanje i što manjih dimenzija
• upis i čitanje podataka treba biti što brže, a priključak na računalo što jednostavnije
• cijena ukupnog sustava za pohranu treba biti što niža
� Ovi uređaji su najznačajniji izvori podataka koji mogu poslužiti kao dokazni materijal i treba vrlo oprezno s njima postupati kako se informacije ne bi degadirale ili nepovratno uništile.
67
68
Tehnologije pohrane podataka
� Danas su zastupljene slijedeće tehnologije
• magnetska
• optička
• poluvodička
� Magnetska tehnologija: koristi svojstva nekih materijala da "pamte" izlaganje elektromagnetskom polju što se koristi za pohranu i čitanje podataka pomoću magnetske glave
� Optička tehnologija: koristi fizikalna svojstva svjetlosti, a za čitanje i pisanje koristi se laser
� Poluvodička tehnologija: flash memorija, najveća brzina, karakteristike RAM-a
68
29-Jan-13
35
69
Magnetski mediji - tvrdi disk
� Tvrdi disk (engl. Hard Disk, HD) je aluminijski disk presvučen magnetskom tvari, a na istu osovinu može biti smješteno i više diskova
� Za svaku ploču diska postoje po dvije magnetske glave koje su učvršćene u jedan sklop i istodobno se pomiču
� Izvedeni su kao diskovi za ugradnju u računalo, izmjenjivi diskovi ili prenosivi diskovi
� Tipični kapaciteti su 100 GB, 320 GB, 640 GB
� Tipične brzine vrtnje 5400, 7200, 10000 o/min
69
70
Označavanje kapaciteta tvrdog diska
� Poluvodičke memorije su organizirane tako da im se kapacitet izražava višekratnikom 2n
� Tvrdi diskovi nemaju inherentnu binarnu veličinu već je kapacitet diska određen produktom broja glava, broja staza, broja sektora po stazi te duljine svakog sektora.
� Duljine sektora su standardizirane i iznose 256 ili 512, a u novije vrijeme 4096 bajta (potencija 2n). Ovo ponekad izaziv zabunu jer operacijski sustav često iskazuje kapacitet formatiranog tvrdog diska koristeći "binarni prefiks" čiji je inkrement potencija od 1024
� Npr. za disk od 1 TB (terabajt, terabyte) se očekuje da ima kapacitet oko 1012 bajta (1,000,000,000,000) ili 1000 GB iako se radi o kapacitetu koji je nešto veći od tog broja. Međutim, neki operacijski sustavi će javiti da se radi o disku od 931 GB ili 953,674 MB.Slijedi nekoliko načina označavanja kapaciteta od 1 terabajta:
70
29-Jan-13
36
71
Sučelja za priključak tvrdog diska
� Sučelja (IDE, EIDE, ESDI, SCSI, ultra-SCSI, ATA, SATA) za
paralelnu razmjenu podataka sastoji se od jednostavnog ijeftinog digitalnog sklopa i spojnog kabela koji prenosi samo digitalne signale
� ATA (engl. parallel Advanced Technology Attachment, parallel ATA, PATA) ima svu upravljačku elektronikutvrdog diska je smještenu na pogonskom mehanizmu
� SATA (engl. serial advanced technology attachment, serial ATA, SATA) sučelje za serijsku razmjenu podataka između tvrdog diska i računala
� SCSI, (skraćenica od Small Computer System Interface), je standardni interfejs i skup komandi za prijenos podataka među računarskim uređajima. Pretežno se koristi u serverskim hard diskovima gdje je neophodna velika brzina koju posjeduju SCSI diskovi.
� Kolekcija ovih kabela je standardna oprema računalnog forenzičara 71
72
Magnetski mediji - magnetske kartice
� Magnetske kartice (eng. magnetic card) služe za pohranu male količine podataka (nekoliko KB)
� Niska cijena, male dimenzije, jednostavna uporaba
� Koriste se kao zdravstvene iskaznice, kreditne kartice i X-ice
� Za analizu sačuvanih sadržaja potrebno je imati odgovarajući softver i hardver te informacije potrebne za autentifikaciju korisnika
72
29-Jan-13
37
73
SMART kartice (1)
� Smart - kartica je kartica u kojoj se nalazi ili mikroprocesor i memorijski čip ili samo memorijski čip s neprogramabilnom logikom. • Na kartici koja sadrži mikroprocesor postoji mogućnost upisivanja
podataka, brisanja ili neke druge vrste manipulacije podacima. • Kartica koja ima samo memorijski čip može izvoditi samo predefinirane
funkcije.
� Smart-kartice, za razliku od kartica s magnetskom trakom, sadrže sve potrebne funkcije i informacije potrebne za nečiju autorizaciju, zbog čega u trenutku transakcije nije potreban pristup udaljenim bazama podataka.
73
74
SMART kartice (2)
� Smart - kartica se uvelike razlikuje od npr. kreditne kartice unatoč sličnostima u obliku i veličini. Dok je u unutrašnjost smart-kartice umetnut 8-bitni mikroprocesor, normalna kreditna kartica u potpunosti je sačinjena od plastike.
� Mikroprocesor se u smart-kartici nalazi ispod zlatnog čipa na prednjoj strani kartice. Na čip se može gledati kao na zamjenu za magnetsku traku prisutnu na nekim kreditnim ili debitnim karticama.
� Najčešće primjene smart-kartica su:• kreditne kartice • elektroničke kartice za Internet bankarstvo • kod kodiranih satelitskih programa • kao identifikacije u vladinim institucijama • kod bežične komunikacije • kod računalnih sigurnosnih sustava • kod mobilnih uređaja na karticu
74
29-Jan-13
38
75
Tipovi SMART kartica
75
Bezkontaktne Smart kartice imaju ugrađenu neku vrstu antene i umjesto kontaktne veze koriste nekakvu vrstu elektromagnetskog povezivanja.
Ove kartice imaju svu mikroelektroniku ugrađenu u unutrašnjost kartice u obliku jednog čipa, veličine oko 10 mm, kojem su zlatni kontakti izvedeni na površinu kartice.
76
Optički mediji za pohranu podataka
� Optički disk podrazumijeva više različitih postupaka za upis informacija na plastični disk
• izobličenje podloge "prženjem" laserskom zrakom
• promjena molekula podloge iz jednog u neko drugo stanje
� Čitanje zapisa zasniva se na svojstvu odbijanja ili refleksije laserske zrake od površine optičkoga diska
� Disk za reprodukciju glazbe 1976. Phillips i SONY
76
29-Jan-13
39
77
Optički mediji za pohranu podataka CD-ROM
� CD-ROM (compact disc read only memory) koji se isporučuje s tvornički upisanim podacima
� Kapacitet 527, 650 ili 700 MB, ø 120 mm
� Primjena je ograničena na distribuciju računalnih programa i podataka
� Podaci su snimljeni samo s jedne strane u neprekinutoj spirali od središta prema rubu diska
� Prednosti: niska cijena, veliki kapacitet, normirani format zapisa i dugotrajnost upisanih podataka
� Nedostatak: nemogućnost promjene tvornički upisanih podataka i upisa novih podataka
� U forenzici se obično analiziraju u običnom pogledu "nevidljivi" podaci koji su upisani na medij (postavljen atribut da se sadržaj ne vidi, dijelovi označeni kao "brisani")
77
78
CD-R
� CD–R (engl. compact disk recordable): zapisivi diskovi istih su dimenzija i slične građe kao CD–ROM
� Pomoću pogonskog mehanizmamogu se upisati podaci djelovanjem snažne laserske zrake na površinu optičkoga diska, pri čemu se površina zagrijava i mijenja svojstvo refleksnog sloja
� Postupak je nepovratan
78
29-Jan-13
40
79
CD-RW
� CD–RW (engl. compact disk rewritable): moguće snimanje i brisanje podataka
� Pogodni za pohranu velike količine podataka koje ne treba dulje čuvati i koji se češće mijenjaju
� Forenzičkim postupcima je moguće očitavati i obrisane dijelove podataka, kao i one koji su prepisani novima
79
80
DVD
� DVD ( engl. digital versatile disc, digital video disc):posebna vrsta optičkih diskova velikog kapaciteta
� Vanjske dimenzije jednake dimenzijama CD–ROM–a
� DVD može imati dva sloja podatka i zapise s obije strane
� Mogući kapacitet od 4,7 do 17 GB
� Koristi se za pohranu igranih filmova; trajnost i kvaliteta reprodukcije je mnogo bolja nego s magnetskih vrpci
� DVD–R i DVD+R podaci se mogu zapisati samo jednom
� DVD–RW i DVD+RW podaci se mogu pisati i brisati više puta.
� Očitavanje tragova korištenja moguće je softverskim alatima te elektronskim mikroskopom
80
29-Jan-13
41
81
Blu-Ray
� Izum plave laserske diode koja se koristi u ovoj tehnologiji pripisuje se Shuji Nakamura profesoru na College of Engineering, UCSB .
� Zapis podataka se zasniva na phase-change tehnici (dvostruka brzina prijenosa podataka od 9,0 MB/s)
• jednoslojni do 27 GB, • dvoslojni do 54 GB
� Četveroslojna verzija• BD(100GB)
� Izvedbe BD
• BD–R i
• BD-RE
81
82
Toshibin HD DVD
� Pojavio se je kada i Blu-Ray i ustvari se borio za tržište sa tvrtkom Sony
� Nakon nekog vremena (2008.) je Toshiba odustala od daljnjeg razvoja
29-Jan-13
42
83
IsoBuster – Windows alat za restauraciju BD, HD, DVD i CD podataka
� Obnavlja izgubljene datoteke s loših ili oštećenih CD, DVD ili Blu Ray diskova (npr. BD ili HD DVD). Koristi se za spašavanje važne dokumente, fotografija, videa i sl.
� Ovaj softverski alat podržava sve formate zapisa za različite tipove optičkih diskova i njihovih datotečnih sustava.
� Nakon pokretanja IsoBuster stavlja se disk odabire pogon (ako već nije odabran) i pušta se IsoBuster da mount-a medij.
� IsoBuster će odmah pokazati sve staze (track) i sekcije (session) na mediju, kombinirajući ih s datotečnim sustavom koji je korišten. Na taj način se dobiva pristup datotekama sličan onom koji koriste Windowsi (za sve datoteke i mape posebno za svaki korišteni datotečni sustav) bez obzira je su li na razini operacijskog sustava označeni kao nevidljivi.
84
Flash memorija
� Flash memorija (engl. flash memory) ili Flash EEPROM (Electrically-Erasable Programmable Read-Only Memory) posebna je vrsta poluvodičkih memorija, ponaša se poput RAM-a, ali joj je sadržaj neovisan o napajanju
� Podaci se spremaju na medij kao naboj u poluvodiču
� Primjena kod osobnih računala kao prijenosni medij za pohranu i kod digitalnih fotoaparata
� Memorijski ključić (engl. keydrive, USB flash memory drive, USB memory key, USB stick i drugi): popularna inačica flash memorije
smještene u praktično kućište malih dimenzija
84
29-Jan-13
43
85
Flash memorijske kartice
� Memorijska kartica (engl. flash memory card): najveća primjena kod fotoaparata i videokamera, mp3 plejera, mobitela...
� Za spajanje na računalo koristi se posebni uređaj-čitač kartica
� Vrlo su zanimljive za forenzičko otkrivanje postojećih, a osobito obrisanih sadržaja
85
86
Memorijski ključić (memory stick)
� Memorijski ključić (engl. keydrive, USB flash memory drive, USB memory key, disk key, USB stick): popularna inačica flash memorije smješteneu praktično kućište malih dimenzija
� Zanimljivi u forenzici s obzirom da su obrisani podaci dohvatljivi forenzičkim alatima
86
29-Jan-13
44
8787
Jednice s magnetskim trakama
� Iako se radi o zastarjeloj tehnologiji još je puno arhiviranih podataka upravo na ovakvom mediju
� Magnetska vrpca• Streamer vrpca (QIC, PC/T, DAT)• Profesionalna vrpca
� U forenzici poseban problem predstavlja pronalaženje starih konfiguracija računala te uređaja koji mogu čitati ove trake, ali i loše stanje pogonskog mehanizma kod kojih su pogonske gume potpuno dotrajale.
88
Diskete
� Disketa (floppy disk) je uređaj za spremanje podataka unutar koji se sastoji od savitljive (eng. floppy = savitljiv) tanke okrugle ploče presvučene tankim slojem magnetske tvari koja se nalazi unutar jedne plastične omotnice kvadratnog oblika.
� Vrlo je teško danas pronaći potreban harver za čitanje s ovog medija
� Za čitanje i pisanje diskete koristi se disketna jedinica (eng. floppy disk drive) ili skraćeno FDD.
• 8"
• 5 ¼ "
• 3 ½ "
• 3 " (mikrodisketa)
29-Jan-13
45
89
� Programska podrška (eng. software) je skup svih programa koji se mogu izvršavati na računalu
� Naredba je temeljni element programa
� Program je skup naredbi nanizanih strogo utvrđenim redoslijedom, čijim izvršenjem se obavlja željeni posao
� Prema namjeni dijeli se na:• sistemsku - operacijski sustavi (engl. operating system)
• aplikativnu - korisnički programi (engl. application software)
Programska podrška
89
90
Operacijski sustavi
� Skup programa koji povezuju i objedinjuju sve sklopovske dijelove računala i omogućuju njihovu djelotvornu uporabu
� Za različite arhitekture računala postoje i različiti operacijski sustavi koji mogu biti usko vezani za određenu vrstu mikroprocesora
90
29-Jan-13
46
91
Sigurno pokretanje računala
� Za metode računalne forenzike izuzetno je bitno da se svaki puta kada je to moguće zaobiđe pokretanje kroz ugrađeni operacijski sustav jer se na taj način mogu spasiti neke vrlo bitne informacije
� Isključeno računalo treba pokrenuti s forenzičkog CD-a (DVD-a, memorijskog ključića) odabirući forenzičke alate koji najbolje odgovaraju očekivanom operacijskom sustavu
� Prilikom osiguravanja uvjeta da se pokretanje (boot) obavlja s CD-a potrebno je podesiti parametre BIOS-a
� Kod pokretanja računala na opisani način uglavnom se zaobilazi korisnička zaštita (login, password)
� Novija računala, posebno noviji laptopi, opremljeni su tvrdim diskom koji je također štićen zaporkom i vrlo je teško zaobići takvu vrstu zaštite s obzirom da je disk uvijek u uskoj koolaboraciji s BIOS-om koju prekida eventualna promjena računala i već nakon nekog broja pokušaja "probijanja" zaštite razina zaštite se povećava i vrlo lako može doći do samouništavanja podataka.
91
92
Operacijski sustavi
� Jednokorisnički operacijski sustav osigurava radne uvjete samo jednom korisniku
� Višekorisnički operacijski sustav omogućuje istodobni rad više korisnika i više programa na istom računalu te su forenzička ispitivanja znatno složenija
� Prijava (login) uz korisničko ime (user name) i poznatu lozinku (password)
� Postoje i druge tehnike prijave uz autorizaciju korisnika kao što su otisak prsta, slika zjenice oka, zvučni signal (npr. glas)
� Postoje brojni nelegalni i legalni alati za zaobilaženje ili dokinuće ovakve zaštite kako bi se računalo pokrenulo i pohranjeni sadržaji postali dostupni
92
29-Jan-13
47
93
Aplikativna programska podrška
� Namijenjena je rješavanju nekog posebnog zadatka zakorisnika
� Podjela s obzirom na vrstu zadataka koje rješavaju:
• programi za obradu teksta,
• programi za obradu slike,
• programi za obradu zvuka,
• programi za crtanje, slikanje, projektiranje,
• tablični kalkulatori,
• programi pretraživači
93
94
Prikaz informacija u
računalu
29-Jan-13
48
95
Brojevni sustavi
� Osnovna jedinica informacije: broj
� Prikazuje se nizom znamenki, pri kojem je značajan položaj
znamenke u broju.
• Npr. broj 123
� 1 ∙ 100 + 2 ∙ 10 +3 ili
� 1 ∙ 102 + 2 ∙ 101 + 3 ∙ 100
� 10 nazivamo bazom brojevnog sustava
� moguće znamenke: 0, 1, 2, 3, 4, 5, 6, 7, 8 i 9
� Općenito: Brojevni sustav s bazom brojanja B ima
znamenke z ∈ { 0, 1, 2, ... , B-1}
� Općenito napisan broj od n znamenki u brojevnom sustavu
s bazom B
� zn-1 ∙ Bn-1 + zn-2 ∙ Bn-2 + ... + z1 ∙ B1 + z0 ∙ B0
96
Binarni brojevni sustav
� Znamenke su 0 i 1, dakle baza brojanja B=2 što određuje
binarni brojevni sustav
� Iz engleskog BInary digiT nastalo je ime za najmanju
količinu informacije, znamenku binarnog brojevnog sustava
BIT.
� Prikaz znamenki je pouzdan i neosjetljiv na manje
promjene napona.
� Broj od n znamenki u brojevnom sustavu s bazom 2:
zn-1 ∙ 2n-1 + zn-2 ∙ 2n-2 + ... + z1 ∙ 21 + z0 ∙ 20, zi ∈ { 0, 1 }
29-Jan-13
49
97
Oktalni brojevni sustav
� Baza sustava je B=8 a znamenke su 0,1,2,3,4,5,6,7• Koristi se za skraćeno zapisivanje binarnih sadržaja kada je to
spretno, obično ako je broj bita djeljiv s tri, a nije djeljiv s četiri• Zapis se može dobiti iz dekadskog sukcesivnim dijeljenjem s 8 i
zapisivanjemo ostataka s desna na lijevo, ali i direktno iz binarnogzapisa:
N = z5 · 25 + z4 · 24 + z3 · 23 + z2 · 22 + z1 · 21 + z0 · 20
grupiramo li tri po tri pribrojnika i izlučimo zajednički faktor:N = (z5 · 22 + z4 · 21 + z3 · 20 ) · 23 + (z2 · 22 + z1 · 21 + z0 · 20) ·
20
N = (z5 · 22 + z4 · 21 + z3 · 20 ) · 81 + (z2 · 22 + z1 · 21 + z0 · 20) ·80
o1 = (z5 · 22 + z4 · 21 + z3 · 20 ) , o0 = (z2 · 22 + z1 · 21 + z0 · 20)Primjer:36-bitni broj 001 110 000 101 111 001 010 011 111 000 100 001oktalni ekvivalent 1 6 0 5 7 1 2 3 7 0 4 1
98
Heksadekadski brojevni sustav
� Baza sustava je B = 16, a znamenke su 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F• Koristi se za skraćeno zapisivanje binarnog sadržaja kada je
broj bita djeljiv s četiri.• Zapis se može dobiti iz dekadskog sukcesivnim dijeljenjem s
16 i zapisivanjemo ostataka s desna na lijevo, ali i direktno iz binarnog zapisa
� Primjer:
16-bitni broj 0111 1011 0011 1110heksadekadski ekvivalent 7 B 3 E
29-Jan-13
50
9999
� Kako inženjeri i znanstvenici prikazuju vrlo velike i vrlo
male brojeve?
� Znanstvena notacija: decimalni broj s jednom znamenkom
ispred decimalne točke (zareza), pomnožen
odgovarajućom potencijom broja 10 (baza brojanja = 10).
� Kolika je prosječna udaljenost Neptuna i Sunca?
• 4503930000000 m
• 4.50393 ∙ 1012 m
� Koliko iznosi masa elektrona?
• 0.000000000000000000000000000000910938188 kg
• 9.10938188 ∙ 10-31 kg
Prikaz realnih brojeva u dekadskom obliku
mantisa eksponent
10
0
10
0
31 30 23 22 0P Karakteristika Mantisa bez skrivenog bita
� P je oznaka za predznak• P = 1: negativan broj• P = 0: pozitivan broj
� BE je oznaka za binarni eksponent normaliziranog broja• raspon binarnog eksponenta BE ∈ [-126, 127]
� karakteristika K• K = BE + 127• raspon karakteristike: K ∈ [0, 255]• K = 0 i K = 255 se koriste za posebne slučajeve (objašnjeno kasnije)
� mantisa M• u registar se ne pohranjuje cijela mantisa M, već mantisa iz koje je
uklonjen skriveni bit
Realni brojevi jednostruke preciznosti
29-Jan-13
51
10
1
10
1
Raspon realnih brojeva(za format IEEE 754 - jednostruka preciznost)
-3.4 ⋅ 1038 -1.4 ⋅ 10-45 +1.4 ⋅ 10-45 +3.4 ⋅ 1038
0
Moguć prikaz brojeva
Prikaz nije moguć
Prikaz nije moguć
Prikaz nije moguć
+1.17 ⋅ 10-38-1.17 ⋅ 10-38
10
2
10
2
� Najčešće prikazuje double tip podatka u jeziku C
� Koristi se 8 okteta (64 bita)� Realni broj se pohranjuje u obliku
63 62 52 51 0P Karakteristika Mantisa
� P je predznak (P = 1: negativan broj; P = 0: pozitivan broj)� K = BE + 1023 (11 bita)
Raspon karakteristike: K ∈ [0,2047].Raspon binarnog eksponenta BE ∈ [-1022,1023]
� Mantisa (52+1 bit).
Realni brojevi dvostruke preciznosti
29-Jan-13
52
10
3
10
3
Raspon realnih brojeva(za format IEEE 754 - dvostruka preciznost)
-1.8 ⋅ 10308 -4.9 ⋅ 10-324
+2.2 ⋅ 10-308
+1.8 ⋅ 10308
0
Moguć prikaz brojeva
Prikaz nije moguć
Prikaz nije moguć
Prikaz nije moguć
-2.2 ⋅ 10-308
+4.9 ⋅ 10-324
10
4
10
4
Prikaz slova i ostalih znakova
� Kombinacijom jedinica i nula – kôdom� Koliko ima znakova?
• 26 velikih slova engleske abecede A - Z• 26 malih slova engleske abecede a - z• 10 znamenaka 0 - 9• operatori, interpunkcije, upravljački znakovi
� Za prikaz je dovoljan 1 oktet� ASCII (ISO-7 standard): 7 bita za informaciju + 1 bit za paritet
� 27 = 128 različitih znakova• ASCII - American Standard Code for Information Interchange• ISO - International Organization for Standardization.
� Paritet: ako je u informaciji neparan broj bita, bit pariteta postavlja se na 1, inače na 0 (može i obratno: odd/even parity). Omogućuje otkrivanje jednostruke pogreške pri prijenosu informacija
29-Jan-13
53
10
5
10
5
Tablica ASCII kontrolnih znakova koji se ne mogu ispisatiDec. broj C konst. Znak Dec. broj Znak
0 '\0' Nul znak (NULL) 16 znak prekida veze (DLE)
1 početak zaglavlja (SOH) 17 provjera uređaja 1 (DC1)
2 početak teksta (STX) 18 provjera uređaja 2 (DC2)
3 kraj teksta (ETX) 19 provjera uređaja 3 (DC3)
4 kraj prijenosa (EOT) 20 provjera uređaja 4 (DC4)
5 kraj upita (ENQ) 21 negativna potvrda (NAK)
6 Potvrda (ACK) 22 sinkrono mirovanje (SYN)
7 '\a' Alarm (BEL) 23 kraj prijenosnog bloka (ETB)
8 '\b' Backspace (BS) 24 otkaži (CAN)
9 '\t' vodoravni tabulator (HT) 25 kraj medija (EM)
10 '\n'sljedeći red/novi red
(LF)26 Zamjena (SUB)
11 '\v' okomiti tabulator (VT) 27 Escape (ESC)
12 '\f' nova stranica (FF) 28 razdjelnik datoteka (FS)
13 '\r'skok na početak reda
(CR) 29 razdjelnik grupe (GS)
14 pomak van (SO) 30 razdjelnik zapisa (RS)
15 pomak unutra (SI) 31 razdjelnik jedinice (US)
10
6
10
6
Dec. broj Znak
48 0
49 1
50 2
51 3
52 4
53 5
54 6
55 7
56 8
57 9
58 :
59 ;
60 <
61 =
62 >
63 ?
64 @
Dec. broj Znak
32 razmak
33 !
34 "
35 #
36 $
37 %
38 &
39 '
40 (
41 )
42 *
43 +
44 ,
45 -
46 .
47 /
Tablica ASCII znakova koji se mogu ispisati
Dec. broj Znak
65 A
66 B
67 C
68 D
69 E
70 F
71 G
72 H
73 I
74 J
75 K
76 L
77 M
78 N
79 O
Dec. broj Znak
80 P
81 Q
82 R
83 S
84 T
85 U
86 V
87 w
88 X
89 Y
90 Z
91 [
92 \
93 ]
94 ^
95 _
29-Jan-13
54
10
7
10
7
Dec. broj Znak
112 p
113 q
114 r
115 s
116 t
117 u
118 v
119 w
120 x
121 y
122 z
123 {
124 |
125 }
126 ~
127 DEL
Dec. broj Znak
96 `
97 a
98 b
99 c
100 d
101 e
102 f
103 g
104 h
105 i
106 j
107 k
108 l
109 m
110 n
111 o
Tablica ASCII znakova koji se mogu ispisati
Znakovi za upravljanje ulazno-izlaznim jedinicama računala (kontrolni znakovi, nonprintable) nalaze se na pozicijama 0-31
Znakovi koji se mogu tiskati (printable) nalaze se na pozicijama 32-126
Na poziciji 127 nalazi se još jedan od kontrolnih znakova, znak DEL
10
8
Problem prikaza internacionalnih znakova
� Naši znakovi (č,ć,đ,š,ž): prvi standard – YUASCII � CROSCII� CROSCII, na svu sreću, nije više tako široko rasprostanjeni "standard" u
Hrvatskoj. Neki znakovi iz ASCII tablice su zamijenjeni s našim znakovima, stoga nije moguće imati tekstove istovremeno s jednim i drugim znakovima.
� Raspored na ASCII tablici je slijedeći:
č: malo slovo 126 ( ~ ), veliko slovo 94 ( ^ ) ć: malo slovo 125 ( } ), veliko slovo 93 ( ] ) đ: malo slovo 124 ( | ), veliko slovo 92 ( \ ) š: malo slovo 123 ( { ), veliko slovo 91 ( [ ) ž: malo slovo 96 ( ` ), veliko slovo 64 ( @ )
U zagradama je naveden ASCII ekvivalent.
29-Jan-13
55
10
9
Problem prikaza internacionalnih znakova
� 8-bitni ASCII kôd � 28 = 256 različitih znakova� Naši su znakovi smješteni u područje 128-255� Osobna računala koja rade pod Windowsima imaju
nekoliko načina prikaza naših slova. Starije verzije koristile su CE - varijantu za Centralnu i Istočnu Europu. Sada se to postiže automatski odabirom hrvatske tipkovnice, međutim ipak može doći do zbrke jer su u uporabi dva standarda; Central European (Windows 1250) i Central European (ISO 8852).
� 8-bitni ASCII kôd nije dovoljan za prikaz znakova svih jezika u svijetu, a pogotovo za kineska i japanska slova
� UNICODE: 1 znak � 16 bita � 216 = 65536 različitih znakova
