Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:razno:detecting_timestamp_manipulation [2022/01/09 22:12]
vkurdija [LogFile]
+++ racfor_wiki:razno:detecting_timestamp_manipulation [2023/06/19 18:17] (trenutno)
@@ Redak 2: / Redak 2: @@
 ===== Sažetak =====
-Ovdje će ići sažetak.
+Vremenske oznake na operacijskom sustavu Windows sadrže vrijedne informacije o datotekama. Napadač koji mijenja datoteke, a želi sakriti svoj trag, vjerojatno će promijeniti i njihove vremenske oznake.
+Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION atributa (SIA) i FILE_NAME atributa (FNA). Ovi unosi imaju različita svojstva te se mijenjaju na različite načine. Vremenskim oznakama je relativno jednostavno manipulirati, ali manipulirati njima bez ostavljanja tragova zahtijeva vještinu i poznavanje metoda detekcije.
-Ključne riječi: ključna; riječ
+Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedbu vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od ovih metoda nije potpuno učinkovita, ali njihovom kombinacijom moguće je ući u trag napadaču koji nije bio dovoljno oprezan.
+Ključne riječi: timestamp; timestomping; manipuliranje vremenskim oznakama
 ===== Uvod =====
@@ Redak 19: / Redak 25: @@
 NTFS je zadani datotečni sustav operacijskog sustava Windows. Sadrži MFT (Master File Table), relacijsku bazu podataka koja se sastoji od redova datoteka zapisa i stupaca atributa datoteka. Ona sadrži barem jedan unos za svaku datoteku na NTFS jedinici, uključujući i samog MFT. Svaka datoteka na NTFS jedinici predstavljena je zapisom u MFT-u. <sup>[1]</sup>
-Dva atributa unutar MFT-a čuvaju informacije o vremenskim oznakama, STANDARD_INFORMATION atribut (SIA) i FILE_NAME atribut (FNA). Svaki od tih atributa ima pohranjen set vremenskih oznaka, no za razliku od vremenskih oznaka prikazanih korisniku, ovdje se radi o četiri oznake koje zajedno zovemo MACE.
+Dva atributa unutar MFT-a čuvaju informacije o vremenskim oznakama, STANDARD_INFORMATION atribut (SIA) i FILE_NAME atribut (FNA). Svaki od tih atributa ima pohranjen set vremenskih oznaka, no za razliku od vremenskih oznaka prikazanih korisniku, ovdje se radi o četiri oznake koje zajedno zovemo MACE (Tablica 1).
 ^ Vremenska oznaka      ^ Informacija                                                     ^
@@ Redak 61: / Redak 67: @@
 ==== LogFile ====
-Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka.
+Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. <sup>[3]</sup>
 ===== Zaključak =====
-Zaključak rada.
+Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, ali u kombinaciji mogu ući u trag nekim napadačima.
 ===== Literatura =====

racfor_wiki/razno/detecting_timestamp_manipulation.1641762727.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)