Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari:forenzicka_analiza_google_chrome_web_preglednika [2023/01/13 12:15]
ds50632 [Zaključak]
+++ racfor_wiki:seminari:forenzicka_analiza_google_chrome_web_preglednika [2023/06/19 18:17] (trenutno)
@@ Redak 1: / Redak 1: @@
-==== Uvod ====
+===== Uvod =====
 Ideja ovog rada je obaviti forenzičku analizu //Google Chrome// web preglednik na platformi //Windows//. U moderno doba većina korisnika računala većinu vremena provodi pretraživajući Internetske stranice (world wide web - WWW). Moglo bi se reći da je operacijski sustav na računalu samo //bootloader// za web preglednik. Prema statistikama [3, 4] - 75 % korisnika računala koristi Windows operacijski sustav, a 66 % korisnika računala koristi Google Chrome kao web preglednik. Iz tog razloga izabran je Google Chrome na Windows platformi.
-==== Analiza datoteka unutar appdata direktorija ====
+===== Analiza datoteka unutar appdata direktorija =====
 Kako bi se mogla napraviti sveobuhvatna forenzička analiza Google Chrome web preglednika (od sada nadalje Chrome preglednik) na Windows 10 operacijskom sustavu (od sada nadalje OS) prvo je potrebno istražiti koje sve direktorije Google Chrome koristi.
@@ Redak 28: / Redak 31: @@
 Sve datoteke i (pod)direktoriji na koje će se referencirati od sada nadalje će biti iz //Chrome direktorija// (2) - koji je prikazan na slici 1 - i označavat će se **<//chrome_dir//>**.
-=== Povijest pretraživanja interneta ===
+==== Povijest pretraživanja interneta ====
 Povijest pretraživanja interneta (i povijest preuzimanja) nalazi se u datoteci //History// unutar Chrome direktorija. Radi se o SQLite bazi podataka koju je moguće otvoriti programom [[https://sqlitebrowser.org/|DB browser for SQLite]].
 Otvorena SQLite datoteka/baza podataka //History// može se vidjeti na slici 2.
-{{:racfor_wiki:seminari:history.png?400|Slika 2 (SQLite History)}}\\
+{{:racfor_wiki:seminari:history.png?400|Slika 2 (SQLite baza podataka //History//)}}\\
-Slika 2 (SQLite History)
+Slika 2 (SQLite baza podataka //History//)
+==== Kolačići ====
-=== Kolačići ===
 Kolačići s posjećenih web stranica nalaze se u datoteci SQLite baze podataka <//chrome_dir//>//\netowk\Cookies//. Otvaranjem baze podataka (slika 3) vidljivo je da je sadržaj kolačića kriptiran. Više o kriptiranju kolačića i lozinka u poglavlju o lozinkama. Na slici 3 se jasno vidi //encrypted_value// stupac u tablici //cookies// baze podataka //Cookies// - prikazana je vrijednost //BLOB// (ili drugi naziv eng. //binary blob//).
@@ Redak 47: / Redak 52: @@
 Slika 4 (//ChromeCookiesView v1.73// - prikaz kolačića)
-=== Add-ons ===
+==== Add-ons ====
 Proširenja (eng. add-ons) koje korisnik instalira unutar Google Chrome preglednika nalaze se u direktoriju <//chrome_dir//>//\Extensions// kao što je vidljivo na slici 5.
@@ Redak 58: / Redak 64: @@
 Slika 6 (Direktorij - //Google prevoditelj add-on//)
-=== Cache podaci ===
+==== Cache podaci ====
 Privremene (eng. cache) podatke Google Chrome privremeno pohranjuje lokalno na računalo (kako ih prilikom ponovnog otvaranja iste web stranice ne bi morao ponovo preuzimati pohranjuje) u direktorij <//chrome_dir//>//\Cache\Cache_data//. Forenzička analiza privremenih datoteka prvo je obavljena ChromeCacheView v2.41 [9] alatom. Rezultati izvođenja prikazani su na slici 7.
@@ Redak 69: / Redak 76: @@
 Slika 8 (//Cache// datoteke - ručna forenzička identifikacija //PNG// slike)
-=== Podaci za automatsko popunjavanje obrazaca ===
+==== Podaci za automatsko popunjavanje obrazaca ====
 Podaci pohranjeni za automatski popunjavanje web obrazaca (eng. autofill data) pohranjeni su u SQLite bazi podataka <//chrome_dir//>//\Web Data//. Svi podaci koji se pohranjuju mogu se vidjeti na slici 9. Na slici 10 prikazana su imena i prezimena, a na slici 11 prikazani su e-mail adrese.
@@ Redak 81: / Redak 89: @@
 Slika 11 (Primjer pohranjenih e-mail adresa)
-=== Lozinke ===
+==== Lozinke ====
 Lozinke za prijavu na web stranice pohranjuju se u SQLite bazu podataka <//chrome_dir//>//\Login Data//. Lozinke se prije pohrane kriptiraju. Prilikom ispisa baze podataka se u stupcu //password_value// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12.
@@ Redak 92: / Redak 101: @@
 Slika 13 (//WebBrowserPassView v2.12// - prikaz dekriptiranih lozinka)
-=== Podaci bankovnih kartica ===
+==== Podaci bankovnih kartica ====
 Podaci bankovnih kartica, odnosno //brojevi kartica// - nalaze se pohranjeni u SQLite bazi podataka <//chrome_dir//>//\Web Data// u tablici //credit_cards// i kriptirani su, te ih nije moguće pročitati. Prilikom ispisa baze podataka se u stupcu //card_number_encrypted// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12.
@@ Redak 107: / Redak 117: @@
 Slika 16 (Podaci preglednika Google Chrome koje je alat //HackBrowserData// uspio dobaviti)
-Dekriptirane lozinke nalaze se u datoteci //chrome_default_creditcard.csv//. Nakon otvaranja datoteke moguće je pročitati pohranjene brojeve kreditnih kartica. Navedeno je vidljivo na slici 17.
+Dekriptirani brojevi kartica nalaze se u datoteci //chrome_default_creditcard.csv//. Nakon otvaranja datoteke moguće je pročitati pohranjene brojeve kreditnih kartica. Navedeno je vidljivo na slici 17.
 {{:racfor_wiki:seminari:hackbrowserdata-out-card_num.png?400|Slika 17 (Dekriptirani brojevi bankovnih kartica korištenjem alata //HackBrowserData//)}}\\
@@ Redak 113: / Redak 123: @@
-==== Dekriptiranje lozinka ====
+===== Dekriptiranje lozinka =====
 Prema literaturi [11, 12] Google Chrome koristi [[https://en.wikipedia.org/wiki/Galois/Counter_Mode|AES GCM]] kriptiranje za pohranu lozinka. Za kriptiranje (i dekriptiranje) potreban je (AES) ključ. Radi povećanja razine sigurnosti enkripcije, Google Chrome koristi funkciju //[[https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata|CryptProtectData]]// funkciju (ugrađenu u //[[https://en.wikipedia.org/wiki/Data_Protection_API|Data Protection Application Programming Interface (DPAPI)]]// - koji dolazi kao dio Windows operacijskog sustava) kako bi (de)kriptirao lozinke.
-==== Zaključak ====
+===== Zaključak =====
 Rad uspješno obavlja forenzičku analizu svih artefakata koje za sobom ostavlja Google Chrome web preglednik. Uspješno su dobavljene lozinke, brojevi bankovnih kartica, kolačići, povijest pretraživanja interneta, povijest preuzimanja, sva proširenja (eng. add-ons), privremene datoteke (eng. cache) i podaci za automatsko popunjavanje obrazaca.
@@ Redak 121: / Redak 134: @@
 Preporuka za daljnji rad bila bi detaljno istražiti kako funkcionira (de)kriptiranje lozinka, kolačića i brojeva bankovnih kartica na razini programskog koda Google Chrome web preglednika, te pokušati ručno obaviti dekriptiranje navedenog bez korištenja gotovih forenzičkih alata.
-==== Sažetak ====
+===== Sažetak =====
 Rad analizira direktorije koje za svoj rad koristi Google Chrome web preglednik.
@@ Redak 127: / Redak 142: @@
 Postupak forenzičke analize je detaljno dokumentiran - detaljnim opisima i snimkama zaslona (alati, direktoriji).
-==== Literatura ====
+===== Prezentacija =====
+{{ :racfor_wiki:seminari:strbad_d-forenzicka_analiza_google_chrome_web_preglednika-prez_v1.pdf | Strbad D. - Forenzička analiza Google Chrome web preglednika - PREZ v1.pdf}}
+===== Literatura =====
 [1] [[https://chromium.googlesource.com/chromium/src.git|Chromium Git]]

racfor_wiki/seminari/forenzicka_analiza_google_chrome_web_preglednika.1673608513.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)