Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:razno:detecting_timestamp_manipulation [2022/01/09 22:26] vkurdija [Sažetak] |
racfor_wiki:razno:detecting_timestamp_manipulation [2023/06/19 18:17] (trenutno) |
||
---|---|---|---|
Redak 2: | Redak 2: | ||
===== Sažetak ===== | ===== Sažetak ===== | ||
- | Vremenske oznake na operacijskom sustavu Windows sadrže vrijedne informacije o datotekama. Napadač koji mijenja datoteke, a želi sakriti svoj trag, vjerojatno će promijeniti i vremenske oznake | + | Vremenske oznake na operacijskom sustavu Windows sadrže vrijedne informacije o datotekama. Napadač koji mijenja datoteke, a želi sakriti svoj trag, vjerojatno će promijeniti i njihove |
+ | |||
+ | Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION | ||
- | Ključne riječi: | + | Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedbu vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od ovih metoda nije potpuno učinkovita, |
+ | |||
+ | |||
+ | |||
+ | Ključne riječi: | ||
===== Uvod ===== | ===== Uvod ===== | ||
Redak 63: | Redak 69: | ||
Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. < | Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. < | ||
===== Zaključak ===== | ===== Zaključak ===== | ||
- | Zaključak rada. | + | Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, |
===== Literatura ===== | ===== Literatura ===== | ||