Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:razno:detecting_timestamp_manipulation [2022/01/09 21:31]
vkurdija [Sažetak] 		racfor_wiki:razno:detecting_timestamp_manipulation [2024/12/05 12:24] (trenutno)
Redak 6: Redak 6:
 Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION atributa (SIA) i FILE_NAME atributa (FNA). Ovi unosi imaju različita svojstva te se mijenjaju na različite načine. Vremenskim oznakama je relativno jednostavno manipulirati, ali manipulirati njima bez ostavljanja tragova zahtijeva vještinu i poznavanje metoda detekcije.  Vremenske oznake datotečnog sustava NTFS pohranjene su u MFT-u (Master File Table) u obliku STANDARD_INFORMATION atributa (SIA) i FILE_NAME atributa (FNA). Ovi unosi imaju različita svojstva te se mijenjaju na različite načine. Vremenskim oznakama je relativno jednostavno manipulirati, ali manipulirati njima bez ostavljanja tragova zahtijeva vještinu i poznavanje metoda detekcije. 
  
-Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedba vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od ovih metoda nije potpuno učinkovita, ali njihovom kombinacijom moguće je ući u trag napadaču koji nije bio dovoljno oprezan. +Od metoda detekcije opisat ćemo provjeru odnosa MFT ID-jeva i vremenskih oznaka, usporedbu vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od ovih metoda nije potpuno učinkovita, ali njihovom kombinacijom moguće je ući u trag napadaču koji nije bio dovoljno oprezan. 
  
  
  
-Ključne riječi: ključnariječ+Ključne riječi: timestamptimestomping; manipuliranje vremenskim oznakama
  
 ===== Uvod ===== ===== Uvod =====
Redak 69: Redak 69:
 Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. <sup>[3]</sup> Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. <sup>[3]</sup>
 ===== Zaključak ===== ===== Zaključak =====
-Zaključak rada. +Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, ali u kombinaciji mogu ući u trag nekim napadačima
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/razno/detecting_timestamp_manipulation.1641763892.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0