Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:forenzika_aplikacija:forenzicka_analiza_podataka_outlook_android_aplikacije [2023/01/10 20:14]
dt51904
racfor_wiki:forenzika_aplikacija:forenzicka_analiza_podataka_outlook_android_aplikacije [2023/06/19 18:17] (trenutno)
Redak 7: Redak 7:
 ===== Uvod ===== ===== Uvod =====
  
-E-pošta je i dalje najčešće korištena tehnologija za poslovnu komunikaciju, stoga ne čudi što je forenzika e-pošte vrlo česta i bitna u forezničkim istragama. Microsoft Outlook je jedan od najpopularnijih klijenata za rad s e-poštom, postoji kao program za sve veće operacijske sustave uključujući i operacijske sustave za mobitele a prvi put je objavljen 1997. godine. Outlook zapravo nije kategoriziran kao klijent za e-poštu, već kao upravitelj osobnim informacijama odnosno u originalnom terminu Personal Information Manager(PIM). To je zato što osim pružanja mogućnosti rada s e-poštom, pruža i dodatne mogućnosti upravljanja kalendarom, zadatcima, kontaktima, itd. Iz prespektive računalne forenzike to znači da je potencijalno moguće saznati puno raznih informacija, puno više od samo poruka e-pošte. +E-pošta je i dalje najčešće korištena tehnologija za poslovnu komunikaciju, stoga ne čudi što je forenzika e-pošte vrlo česta i bitna u forenzičkim istragama. Microsoft Outlook je jedan od najpopularnijih klijenata za rad s e-poštom, postoji kao program za sve veće operacijske sustave uključujući i operacijske sustave za mobitele a prvi put je objavljen 1997. godine. Outlook zapravo nije kategoriziran kao klijent za e-poštu, već kao upravitelj osobnim informacijama odnosno u originalnom terminu Personal Information Manager(PIM). To je zato što osim pružanja mogućnosti rada s e-poštom, pruža i dodatne mogućnosti upravljanja kalendarom, zadatcima, kontaktima, itd. Iz perspektive računalne forenzike to znači da je potencijalno moguće saznati puno raznih informacija, puno više od samo poruka e-pošte. 
  
 S razvojem i popularizacijom pametnih mobitela, Outlook je 2015. godine dobio prvu mobilnu verziju. Postojeća forenzika Outlook programa uglavnom se svodi na analiziranje PST datoteke koju je moguće generirati na verziji programa za osobna računala. Iz tog razloga, a i aktualnosti mobilnih uređaja, u ovom seminaru ćemo proanalizirati podatke Outlook aplikacije za operacijski sustav Android. Želimo saznati što to Outlook sprema na mobilni uređaj, štiti li podatke, i koje informacije je moguće saznati iz tih podataka.  S razvojem i popularizacijom pametnih mobitela, Outlook je 2015. godine dobio prvu mobilnu verziju. Postojeća forenzika Outlook programa uglavnom se svodi na analiziranje PST datoteke koju je moguće generirati na verziji programa za osobna računala. Iz tog razloga, a i aktualnosti mobilnih uređaja, u ovom seminaru ćemo proanalizirati podatke Outlook aplikacije za operacijski sustav Android. Želimo saznati što to Outlook sprema na mobilni uređaj, štiti li podatke, i koje informacije je moguće saznati iz tih podataka. 
Redak 13: Redak 13:
 ===== Prikupljanje i struktura podataka ===== ===== Prikupljanje i struktura podataka =====
  
-Kako bi prikupili podake, potrebno je znati nešto o strukturi podataka na Android operacijskom sustavu.+Kako bi prikupili podatke, potrebno je znati nešto o strukturi podataka na Android operacijskom sustavu.
  
 Glavni direktoriji su: Glavni direktoriji su:
Redak 25: Redak 25:
  
 Nama je zanimljiv ''/data'' direktorij jer se u njemu nalaze svi korisnikovi podatci, uključujući podatke od aplikacija. Konkretno, podatci Outlook aplikacije nalaze se u ''/data/data/com.microsoft.office.outlook'' direktoriju. Da bi pristupili tom direktoriju potrebne su root ovlasti, koje nemamo dok koristimo mobilni uređaj. Bez root ovlasti ipak možemo pristupiti direktoriju koji sadrži cache datoteke. Te datoteke nam nisu od velike koriste jer ne sadrže puno podataka, nisu lijepo strukturirane i teško im je pristupiti jer su u posebnom ''.m'' formatu koji ne možemo čitati bez posebnih programa. Nama je zanimljiv ''/data'' direktorij jer se u njemu nalaze svi korisnikovi podatci, uključujući podatke od aplikacija. Konkretno, podatci Outlook aplikacije nalaze se u ''/data/data/com.microsoft.office.outlook'' direktoriju. Da bi pristupili tom direktoriju potrebne su root ovlasti, koje nemamo dok koristimo mobilni uređaj. Bez root ovlasti ipak možemo pristupiti direktoriju koji sadrži cache datoteke. Te datoteke nam nisu od velike koriste jer ne sadrže puno podataka, nisu lijepo strukturirane i teško im je pristupiti jer su u posebnom ''.m'' formatu koji ne možemo čitati bez posebnih programa.
-Ostaje pitanje kako doći do root ovlasti? Kada bi radili forenziku na stvarnom uređaju bilo bi potrebno steći root ovlasti za taj uređaj, za što postoje brojne upute na internetu. No, kako se stjecanjem root ovlasti gubi garancija na uređaj za potrebe ovog seminara korišten je **virtualni Android uređaj** na koji je stavljena slika operacijskog sustava u kojoj su već prisutne root ovlasti. Aplikacija Outlook u izvođenju na virtualnom Android uređaju prikazana je na slici Zatim je ručno instalirana Outlook mobilna aplikacija. Sada kada imamo root ovlasti možemo pristupiti prethodno navedenom direktoriju i pogledati koje datoteke se unutra nalaze. Ovo radimo pomoću Device File Explorer alata koji je dostupan u Android Studio programu.+ 
 +Ostaje pitanje kako doći do root ovlasti? Kada bi radili forenziku na stvarnom uređaju bilo bi potrebno steći root ovlasti za taj uređaj, za što postoje brojne upute na internetu. No, kako se stjecanjem root ovlasti gubi garancija na uređajza potrebe ovog seminara korišten je **virtualni Android uređaj** na koji je stavljena slika operacijskog sustava u kojoj su već prisutne root ovlasti. Zatim je ručno instalirana Outlook mobilna aplikacija. Aplikacija Outlook u izvođenju na virtualnom Android uređaju prikazana je na slici ispod. Sada kada imamo root ovlasti možemo pristupiti navedenom direktoriju i pogledati koje datoteke se unutra nalaze. Ovo radimo pomoću **Device File Explorer** alata koji je dostupan u **Android Studio programu**. 
 {{ :racfor_wiki:forenzika_aplikacija:outlook_aplikacija_u_simulatoru.jpg?nolink&200 |}} {{ :racfor_wiki:forenzika_aplikacija:outlook_aplikacija_u_simulatoru.jpg?nolink&200 |}}
  
Redak 37: Redak 39:
  
 Svi poddirektoriji su prikazani na slici Svi poddirektoriji su prikazani na slici
-{{ :racfor_wiki:forenzika_aplikacija:sadrzaj_outlook_direktorija.jpg?nolink&200 |}}+{{ :racfor_wiki:forenzika_aplikacija:sadrzaj_outlook_direktorija.jpg?nolink |}}
  
  
 ==== Logovi ==== ==== Logovi ====
  
-Logovi se nalaze u ''app_logs'' direktoriju. Na slici je prikazan sadržaj ''app_logs'' direktorija. +Logovi se nalaze u ''app_logs'' direktoriju. Na slici ispod je prikazan sadržaj ''app_logs'' direktorija. 
-Log datoteka koja sadrži najviše podataka je ''outlook.log''. U njoj je zapisano gotovo sve što je korisnik radio u aplikaciji, te je uz pomoću puno truda moguće odrediti koje poruke je čitao i slao i kada. Datoteka je vrlo opsežna i teško ju je čitati. Druge manje zanimljive log datoteke su ''appUpdates.log'' koja govori kada je aplikacija ažurirana, ''calendarSync.log'' koja govori kada je sinkroniziran kalendar te ''contactSync.log'' koja govori kada su sinkronizirani kontakti. Direktorij sadrži još log datoteka no iz nijhovog sadržaja je teško išta zaključiti. +Log datoteka koja sadrži najviše podataka je ''outlook.log''. U njoj je zapisano gotovo sve što je korisnik radio u aplikaciji, te je uz pomoću puno truda moguće odrediti koje poruke je čitao i slao i kada. Datoteka je vrlo opsežna i teško ju je čitati. Druge manje zanimljive log datoteke su ''appUpdates.log'' koja govori kada je aplikacija ažurirana, ''calendarSync.log'' koja govori kada je sinkroniziran kalendar te ''contactSync.log'' koja govori kada su sinkronizirani kontakti. Direktorij sadrži još log datoteka no iz njihovog sadržaja je teško išta zaključiti. 
-{{ :racfor_wiki:forenzika_aplikacija:sadrzaj_app_logs_direktorija.jpg?nolink&200 |}}+{{ :racfor_wiki:forenzika_aplikacija:sadrzaj_app_logs_direktorija.jpg?nolink |}}
  
 ==== Baze Podataka ==== ==== Baze Podataka ====
  
-Aplikacija sadrži nekoliko baza podataka, slika prikazuje sadržaj ''/databases'' direktorija. Baze podataka nisu sadržavale puno korisnih informacija, to je vjerojatno zbog toga što je aplikacija tek instalirana na uređaj i nije puno korištena. Za čitanje podataka iz datoteke baze podataka formata ''.db'' korišten je alat **sqlitebroswer**(www.sqlitebrowser.org).  Najkorisnije baze podataka su ispale ''accompliAcct.db'' i ''olmcore.db'' koje jedine sadrže neke korisne podatke. +Aplikacija sadrži nekoliko baza podataka, slika ispod prikazuje sadržaj ''/databases'' direktorija. Baze podataka nisu sadržavale puno korisnih informacija, to je vjerojatno zbog toga što je aplikacija tek instalirana na uređaj i nije puno korištena. Za čitanje podataka iz datoteke baze podataka formata ''.db'' korišten je alat **sqlitebroswer**([[www.sqlitebrowser.org]]).  Najkorisnije baze podataka su ispale ''accompliAcct.db'' i ''olmcore.db'' koje jedine sadrže neke korisne podatke. 
-Baza ''accompliAcct.db'' sadrži podatke o postojećim korisničkim računima zajedno s korisničkim postavkama. Sadržaj tablice ''mailAccounts'' je prikazan na slici X+Baza ''accompliAcct.db'' sadrži podatke o postojećim korisničkim računima zajedno s korisničkim postavkama. Sadržaj tablice ''mailAccounts'' je prikazan na slici ispod
-Baza ''olmcore.db'' sadrži podatke o cache-iranim body dijelovima poruka e-pošte. Sadržaj njene tablice ''message_body_cache'' je prikazan na slici X. +Baza ''olmcore.db'' sadrži podatke o cache-iranim body dijelovima poruka e-pošte. Sadržaj njene tablice ''message_body_cache'' je prikazan na slici ispodZa bolju kvalitetu slika kliknuti na sliku! 
-{{ :racfor_wiki:forenzika_aplikacija:tablica_message_body_cache.jpg?nolink&600 |}} +{{ :racfor_wiki:forenzika_aplikacija:tablica_mailaccounts.jpg?direct&400 |}}
-{{ :racfor_wiki:forenzika_aplikacija:tablica_mailaccounts.jpg?nolink&600 |}}+
  
 +{{ :racfor_wiki:forenzika_aplikacija:tablica_message_body_cache.jpg?direct&400 |}}
 ==== Datoteke ==== ==== Datoteke ====
  
-U direktoriju files se nalazi veći broj poddirektorija, no samo mali broj tih direktorija sadrži korisne datoteke. Poddirektorij ''files/files/S0/1/Attachments'' sadrži privitke poruka e-pošte, što su dosad najkorisnije informacije koje smo uspjeli prikupiti. Sadržaj tog direktorija je prikazan na slici X. Poddirektorij ''files/files/S0/1/Photos'' sadrži slike korisnika s kojima smo komunicirali porukama e-pošte preko Outlook klijenta. Prikaz direktorija i primjera slike privitka e-pošte nalazi se na slici X+U direktoriju ''/files'' se nalazi veći broj poddirektorija, no samo mali broj tih direktorija sadrži korisne datoteke. Poddirektorij ''files/files/S0/1/Attachments'' sadrži privitke poruka e-pošte, što su dosad najkorisnije informacije koje smo uspjeli prikupiti. Jedna slika iz privitka i preglednik datoteka za taj direktorij su prikazani na slici ispod. Poddirektorij ''files/files/S0/1/Photos'' sadrži slike korisnika s kojima smo komunicirali porukama e-pošte preko Outlook klijenta. 
-{{ :racfor_wiki:forenzika_aplikacija:prikaz_privitka_i_files_direktorija.jpg?nolink&400 |}}+{{ :racfor_wiki:forenzika_aplikacija:prikaz_privitka_i_files_direktorija.jpg?direct&400 |}}
  
  
 ===== Zaključak ===== ===== Zaključak =====
  
-Doći do podataka mobilnih aplikacija na operacijskom sustavu Android nije lagan zadatak te je za prikupljanje podataka bilo koje aplikacije potrebna root razina ovlasti. U podatcima Outlook Android aplikacije nisam uspio pronaći puno podataka, a još manje stvarno korisnih podataka za forenzičku analizu. Moguć uzrok ovoga je što je analizirana svježe instalirana Android aplikacija na svježe pokrenutoj inačici operacijskog sustava, pa kako aplikacija nije puno korištena nije ni spremljeno puno podataka. Drugi mogući uzroci su da Outlook aplikacija bitne podatke ne sprema na standardnu lokaciju što je moguće, no malo vjerojatno. Moguće je da su podatci sadržani u datotekama kojima nisam uspio pristupiti zbog nepoznatih formata i ne poznavanja alata kojim bi mogao doći do informacija sadržanih u tim datotekama.+Doći do podataka mobilnih aplikacija na operacijskom sustavu Android nije lagan zadatak te je za prikupljanje podataka bilo koje aplikacije potrebna root razina ovlasti. U podatcima Outlook Android aplikacije nije pronađeno puno podataka, a još manje stvarno korisnih podataka za forenzičku analizu. Moguć uzrok ovoga je što je analizirana svježe instalirana Android aplikacija na svježe pokrenutoj inačici operacijskog sustava, pa kako aplikacija nije puno korištena nije ni spremljeno puno podataka. Drugi mogući uzroci su da Outlook aplikacija bitne podatke ne sprema na standardnu lokaciju što je moguće, no malo vjerojatno. Moguće je da su podatci sadržani u datotekama kojima nisam uspio pristupiti zbog nepoznatih formata i ne poznavanja alata kojima je moguće doći do informacija sadržanih u tim datotekama.
  
 ===== Literatura ===== ===== Literatura =====
Redak 75: Redak 77:
  
  
 +Poveznice na prezentaciju:
 +
 +PDF -> [[https://drive.google.com/file/d/1Qx_X4pUiRVF2m3FQqOMypK9J-vlTcsvw/view?usp=share_link]]
 +
 +PPTX -> [[https://docs.google.com/presentation/d/1J5URF6ssoMCNS5L7GMsaDxqrPZj6QWWv/edit?usp=share_link&ouid=101885060050855535465&rtpof=true&sd=true
 +]]
racfor_wiki/forenzika_aplikacija/forenzicka_analiza_podataka_outlook_android_aplikacije.1673378040.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0