Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:forenzika_windows_prefatch_datoteka [2021/01/15 21:24]
izuglic [Prefetch konfiguracija u Windows Registry-u] 		racfor_wiki:forenzika_windows_prefatch_datoteka [2024/12/05 12:24] (trenutno)
Redak 3: Redak 3:
 ===== Sažetak ===== ===== Sažetak =====
  
-Prefetch datoteke su osmišljene kako bi se ubrzalo pokretanje operacijskog sustava i korisničkih aplikacija. Prefetch proces može biti omogućen ili onemogućen od strane korisnika pri čemu se svaki puta sadržaj prefetch datoteka resetira. Osim njihove primarne svrhe, prefetch datoteke, kao jedan od brojnih Windows artefakata, se mogu koristiti u forenzičkoj analizi jer se njima može dokazati instalacija i pokretanje pojedine aplikacije na sustavu. Prefetch datoteke pružaju točno vrijeme pokretanja aplikacije u obliku vremenske oznake te koliko je puta ta aplikacija bila pokrenuta. Također mogu otkriti s koje je diskovne particije pokrenuta te ostale učitane module te aplikacije. One mogu još dodatno otkriti neke sakrivene direktorije, privremene, neautorizirane ili bilo kakve neobičajene korisničke račune operacijskog sustava, vanjske uređaje za pohranu i slično.+Prefetch datoteke su osmišljene kako bi se ubrzalo pokretanje operacijskog sustava i korisničkih aplikacija. Prefetch proces može biti omogućen ili onemogućen od strane korisnika pri čemu se svaki puta sadržaj prefetch datoteka izbriše. Osim njihove primarne svrhe, prefetch datoteke, kao jedan od brojnih Windows artefakata, se mogu koristiti u forenzičkoj analizi jer se njima može dokazati instalacija i pokretanje pojedine aplikacije na sustavu. Prefetch datoteke pružaju točno vrijeme pokretanja aplikacije u obliku vremenske oznake te koliko je puta ta aplikacija bila pokrenuta. Također mogu otkriti s koje je diskovne particije pokrenuta te ostale učitane module te aplikacije. One mogu još dodatno otkriti neke sakrivene direktorije, privremene, neautorizirane ili bilo kakve neobičajene korisničke račune operacijskog sustava, vanjske uređaje za pohranu i slično. 
 Keywords: prefetch, prefetch datoteka, prefetch proces, vremenske oznake, forenzička analiza, izvršna datoteka Keywords: prefetch, prefetch datoteka, prefetch proces, vremenske oznake, forenzička analiza, izvršna datoteka
  
Redak 13: Redak 14:
 ===== Svrha Prefetch procesa i datoteka ===== ===== Svrha Prefetch procesa i datoteka =====
  
-Cilj Prefetch procesa je analizirati i zabilježiti ponašanje aplikacije pri pokretanju njene izvršne datoteke kako bi buduća pokretanja bili efikasnija. Zabilježeno ponašanje datoteke se sprema u datoteku koja se naziva prefetch datoteka. Kada korisnik prvi put pokrene aplikaciju s određene datotečne putanje, operacijski sustav Windows stvori prefetch datoteku za tu aplikaciju unutar „%SystemRoot%\Prefetch” („C:\Windows\Prefetch”) direktorija. Prefetch datoteke imaju slijedeću konvenciju imenovanja:+Cilj Prefetch procesa je analizirati i zabilježiti ponašanje aplikacije pri pokretanju njene izvršne datoteke kako bi buduća pokretanja bila efikasnija. Zabilježeno ponašanje izvršne datoteke se sprema u datoteku koja se naziva prefetch datoteka. Kada korisnik prvi put pokrene aplikaciju s određene datotečne putanje, operacijski sustav Windows stvori prefetch datoteku za tu aplikaciju unutar „%SystemRoot%\Prefetch” („C:\Windows\Prefetch”) direktorija. Prefetch datoteke imaju slijedeću konvenciju imenovanja:
  
        {exename}-{hash}.pf        {exename}-{hash}.pf
  
-gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Stoga, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2]. +gdje je exename ime izvršne datoteke, hash sažetak putanje s koje je izvršna datoteka pokrenuta te je duljine osam heksadecimalnih znakova i .pf je datotečna ekstenzija. Važno je za napomenuti da znak povlake u imenu razdvaja exename od hash-a te da ime prefetch datoteke smije sadržavati samo velika slova. Nadalje, ako je aplikacija pokrenuta s tri različite lokacije na disku, OS će stvoriti tri različite prefetch datoteke koje odgovaraju pojedinim lokacijama s kojih su te aplikacije pokrenute (detaljnije objašnjenje algoritama imenovanja prefetch datoteka je dostupno na [3]). Također, najveći dozvoljeni broj prefetch datoteka je 128 na operacijskim sustavima od Windows XP do Windows 7, te 1024 na operacijskim sustavima od Windows 8 do Windows 10 [2]. 
  
 Prefetch proces se izvodi kada operacijski sustav, odnosno Windows Cache Manager nadgleda koje podatkovne komponente se izvlače iz tvrdog diska u RAM memoriju, a samo nadgledanje se odvija u tri slučaja [1]. Najprije počinje sa svakim pokretanjem operacijskog sustava i traje dvije minute tijekom procesa pokretanja sustava (Boot procesa). Također, nadgledanje se odvija nakon dovršetka pokretanja svih Win32 servisa i traje 60 sekundi. Posljedni slučaj nadgledanja je pri svakom pokretanju aplikacije te traje prvih 10 sekundi njenog izvršavanja. Usporedno s nadgledanjem, Windows Cache Manager zajedno s Task Scheduler-om upisuje podatke u .pf datoteke. Te datoteke zatim ubrzaju sustav na način da služe kao alokator podataka s tvrdog diska u RAM memoriju prije nego što korisnik napravi zahtjev za njima. Zbog tog svojstva, prefetch datoteke su vrlo korisne pri forenzičkoj analizi pojedine aplikacije kao i analizi pokrenutih zloćudnih programa (poput npr. virusa, crva i sl.). Prefetch proces se izvodi kada operacijski sustav, odnosno Windows Cache Manager nadgleda koje podatkovne komponente se izvlače iz tvrdog diska u RAM memoriju, a samo nadgledanje se odvija u tri slučaja [1]. Najprije počinje sa svakim pokretanjem operacijskog sustava i traje dvije minute tijekom procesa pokretanja sustava (Boot procesa). Također, nadgledanje se odvija nakon dovršetka pokretanja svih Win32 servisa i traje 60 sekundi. Posljedni slučaj nadgledanja je pri svakom pokretanju aplikacije te traje prvih 10 sekundi njenog izvršavanja. Usporedno s nadgledanjem, Windows Cache Manager zajedno s Task Scheduler-om upisuje podatke u .pf datoteke. Te datoteke zatim ubrzaju sustav na način da služe kao alokator podataka s tvrdog diska u RAM memoriju prije nego što korisnik napravi zahtjev za njima. Zbog tog svojstva, prefetch datoteke su vrlo korisne pri forenzičkoj analizi pojedine aplikacije kao i analizi pokrenutih zloćudnih programa (poput npr. virusa, crva i sl.).
Redak 36: Redak 37:
   * 2 – omogućava prefetching za Boot proces   * 2 – omogućava prefetching za Boot proces
   * 3 – omogućava prefetching za pokretanje aplikacija i Boot proces   * 3 – omogućava prefetching za pokretanje aplikacija i Boot proces
-Pošto se prefetch proces može onemogućiti od strane korisnika, korištenje prefetch datoteka pri analizi nije uvijek moguće jer svakim ponovnim omogućavanjem ili onemogućavanjem prefetching procesa, sadržaj svih prefetch datoteka se resetira. 
 Prefetching za pokretanje aplikacija i Boot procesa je po zadanim pretpostavkama omogućen za svaki Windows OS osim Windows Server 2003, za koji je omogućen samo Boot proces [4].  Prefetching za pokretanje aplikacija i Boot procesa je po zadanim pretpostavkama omogućen za svaki Windows OS osim Windows Server 2003, za koji je omogućen samo Boot proces [4]. 
 +
 +Pošto se prefetch proces može onemogućiti od strane korisnika, korištenje prefetch datoteka pri analizi nije uvijek moguće jer svakim ponovnim omogućavanjem ili onemogućavanjem prefetching procesa, sadržaj svih prefetch datoteka se izbriše.
 +
  
 ===== Struktura Prefetch datoteka ===== ===== Struktura Prefetch datoteka =====
Redak 51: Redak 54:
      * Directory names      * Directory names
      * Trailing data         * Trailing data   
-Nabrojani elementi su zapravo tablice koje u svakom retku sadrže adresu odmaka do pojedinog podatka. Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka, tj. različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:+Nabrojani elementi su zapravo tablice koje u svakom retku sadrže podatke na određenom adresnom odmaku od adrese početnog retka Ovisno o verziji prefetch datoteka, odnosno verziji Windows OS-a, svaki od nabrojenih elemenata će imati sličnu ili različitu strukturu podataka i s time različite odmake koji se nalaze u njima. Trenutne verzije prefetch datoteka su:
   * 17 – za Windows XP i Windows 2003   * 17 – za Windows XP i Windows 2003
   * 23 – Vista i Windows 7   * 23 – Vista i Windows 7
Redak 72: Redak 75:
 Još jedan primjer primjene može biti u činjenici da navedena putanja direktorija prefetch datoteke sadrži i račun korisnika sustava – analizom je moguće utvrditi da je stvoren privremeni račun korisnika sa svrhom izvršenja neke kriminalne radnje tako što se točno odrede koje su aplikacije bile pokrenute u nekom vremenskom trenutku. Dodatnim pregledom putanje u prefetch datoteci se može vidjeti je li aplikacija ili datoteka pokrenuta s nekog vanjskog uređaja za pohranu. To je vidljivo zbog različitih načina pristupa samim uređajima, pa se radi toga i zapisi pristupa razlikuju. Također se u pregledu putanje može vidjeti nalazi li se ta izvršna datoteka u nekom sakrivenom direktoriju.   Još jedan primjer primjene može biti u činjenici da navedena putanja direktorija prefetch datoteke sadrži i račun korisnika sustava – analizom je moguće utvrditi da je stvoren privremeni račun korisnika sa svrhom izvršenja neke kriminalne radnje tako što se točno odrede koje su aplikacije bile pokrenute u nekom vremenskom trenutku. Dodatnim pregledom putanje u prefetch datoteci se može vidjeti je li aplikacija ili datoteka pokrenuta s nekog vanjskog uređaja za pohranu. To je vidljivo zbog različitih načina pristupa samim uređajima, pa se radi toga i zapisi pristupa razlikuju. Također se u pregledu putanje može vidjeti nalazi li se ta izvršna datoteka u nekom sakrivenom direktoriju.  
  
-Zadnji primjer primjene koji će biti naveden je analiza vremenskih oznaka u MFT (Master File Table). MFT u NFTS datotečnom sustavu sadrži podatke o svakoj datoteci kao npr. veličinu datoteke, dozvole, sadržaj i vremenske i podatkovne oznake. Ako napadač želi sakriti izmjenu neke datoteke, treba osim vremenske oznake iz MFT-a, u obzir uzeti i vremenske oznake u prefetch datotekama. Naime, ako napadač promijeni neku aplikaciju i izmijeni joj vremensku oznaku, unosi u prefetch datoteci će ostati isti i prikazivat će ispravne vremenske oznake. Na taj načinforenzičari mogu lako zaobići napadačeve pokušaje lažiranja vremenskih oznaka izmjena datoteka.+Zadnji primjer primjene koji će biti naveden je analiza vremenskih oznaka u MFT (Master File Table). MFT u NFTS datotečnom sustavu sadrži podatke o svakoj datotecikao npr. veličinu datoteke, dozvole, sadržaj i vremenske i podatkovne oznake. Ako napadač želi sakriti izmjenu neke datoteke, treba osim vremenske oznake iz MFT-a, u obzir uzeti i vremenske oznake u prefetch datotekama. Naime, ako napadač promijeni neku aplikaciju i izmijeni joj vremensku oznaku, unosi u prefetch datoteci će ostati isti i prikazivat će ispravne vremenske oznake. Na taj način forenzičari mogu lako zaobići napadačeve pokušaje lažiranja vremenskih oznaka izmjena datoteka.
  
 ===== Zaključak ===== ===== Zaključak =====
  
-Kao jedan od brojnih forenzičkih Windows artefakata, prefetch datoteke nude dobar izvor dokaza o postojanju i izvođenju raznih izvršnih datoteka na sustavu. One pomažu pri analizi time što mogu dati uvid u određene radnje korisnika na sustavu u određenom vremenu. Međutim, forenzičar mora biti svjestan činjenice da se Prefetch proces može isključiti od strane korisnika kroz Windows Registry što korištenje prefetch datoteka u forenzičkoj analizi čini nemogućim jer se zaustavljanjem procesa  onemogućava njihovo stvaranje. Stoga je najbolji pristup pri forenzičkoj analizi uzeti u obzir ostale Windows artefakte kako bi se stvorila vjerodostojnija rekonstrukcija događaja kojeg je napadač prouzročio.+Kao jedan od brojnih forenzičkih Windows artefakata, prefetch datoteke nude dobar izvor dokaza o postojanju i izvođenju raznih izvršnih datoteka na sustavu. One pomažu pri analizi time što mogu dati uvid u određene radnje korisnika na sustavu u određenom vremenu. Međutim, forenzičar mora biti svjestan činjenice da se Prefetch proces može isključiti od strane korisnika kroz Windows Registry što korištenje prefetch datoteka u forenzičkoj analizi čini nemogućim jer se zaustavljanjem procesa  onemogućava njihovo stvaranje te se sadržaj postojećih prefetch datoteka izbriše. Stoga je najbolji pristup pri forenzičkoj analizi uzeti u obzir ostale Windows artefakte kako bi se stvorila vjerodostojnija rekonstrukcija događaja kojeg je napadač prouzročio.
  
  
racfor_wiki/forenzika_windows_prefatch_datoteka.1610745882.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0