Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:razno:detecting_timestamp_manipulation [2022/01/09 22:29]
vkurdija [Sažetak]
+++ racfor_wiki:razno:detecting_timestamp_manipulation [2023/06/19 18:17] (trenutno)
@@ Redak 2: / Redak 2: @@
 ===== Sažetak =====
-Vremenske oznake na operacijskom sustavu Windows sadrže vrijedne informacije o datotekama. Napadač koji mijenja datoteke, a želi sakriti svoj trag, vjerojatno će promijeniti i njihove vremenske oznake. Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION atributa (SIA) i FILENAME_INFORMATION atributa (FNA). Ovi unosi imaju različita svojstva te se mijenjaju na različite načine. Vremenskim oznakama je relativno jednostavno manipulirati, ali manipulirati njima bez ostavljanja tragova zahtijeva vještinu i poznavanje metoda detekcije. Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedba vrijednosti vremenskih oznaka SIA i FNA,
+Vremenske oznake na operacijskom sustavu Windows sadrže vrijedne informacije o datotekama. Napadač koji mijenja datoteke, a želi sakriti svoj trag, vjerojatno će promijeniti i njihove vremenske oznake.
+Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION atributa (SIA) i FILE_NAME atributa (FNA). Ovi unosi imaju različita svojstva te se mijenjaju na različite načine. Vremenskim oznakama je relativno jednostavno manipulirati, ali manipulirati njima bez ostavljanja tragova zahtijeva vještinu i poznavanje metoda detekcije.
+Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedbu vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od ovih metoda nije potpuno učinkovita, ali njihovom kombinacijom moguće je ući u trag napadaču koji nije bio dovoljno oprezan.
-Ključne riječi: ključna; riječ
+Ključne riječi: timestamp; timestomping; manipuliranje vremenskim oznakama
 ===== Uvod =====
@@ Redak 64: / Redak 69: @@
 Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. <sup>[3]</sup>
 ===== Zaključak =====
-Zaključak rada.
+Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, ali u kombinaciji mogu ući u trag nekim napadačima.
 ===== Literatura =====

racfor_wiki/razno/detecting_timestamp_manipulation.1641763770.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)