Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:razno:detecting_timestamp_manipulation [2022/01/09 22:47] vkurdija [Zaključak] |
racfor_wiki:razno:detecting_timestamp_manipulation [2023/06/19 18:17] (trenutno) |
||
|---|---|---|---|
| Redak 10: | Redak 10: | ||
| - | Ključne riječi: timestamp; timestomping; | + | Ključne riječi: timestamp; timestomping; |
| ===== Uvod ===== | ===== Uvod ===== | ||
| Redak 69: | Redak 69: | ||
| Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. < | Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka. < | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| - | Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. | + | Napadaču je relativno jednostavno promijeniti vremenske oznake datoteka na operacijskom sustavu Windows (datotečni sustav NTFS), ali ako to želi učiniti bez da ostavi ikakav trag, potrebno je dobro poznavanje NTFS-a, kao i brojnih metoda koje su trenutno poznate za detekciju manipulacije vremenskim oznakama. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, |
| - | + | ||
| - | U ovom su radu opisane metode: provjera odnosa MFT ID-jeva i vremenskih oznaka, usporedba vrijednosti vremenskih oznaka SIA i FNA, format vremenske oznake - završavanje nulama, USNjrnl te LogFile. Niti jedna od tih metoda nije potpuno učinkovita i konzistentna, | + | |
| ===== Literatura ===== | ===== Literatura ===== | ||