Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2022/12/31 07:44]
pk51867 [Forenzička analiza]
+++ racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2024/12/05 12:24] (trenutno)
@@ Redak 1: / Redak 1: @@
 ===== Forenzička analiza Skype aplikacije =====
+[[https://docs.google.com/presentation/d/1uVwOAd40UQh6VwSeVhlNkCWiozdVKeI0/edit?usp=sharing&ouid=113746906681100440253&rtpof=true&sd=true| Prezentacija]]
 ===== Uvod =====
@@ Redak 11: / Redak 12: @@
 Skype je takozvana VoIP (Voice over Internet Protocol) aplikacija što znači da omogućuje upućivanje poziva korištenjem širokopojasne internetske veze umjesto obične (ili analogne) telefonske linije. Osim toga, Skype koristi Peer-to-Peer arhitekturu umjesto konvencionalnog modela klijent-poslužitelj za trenutnu komunikaciju. Za razliku od modela klijent-poslužitelj, u kojem klijent postavlja zahtjev za uslugu, a poslužitelj ispunjava zahtjev, model P2P mreže omogućuje svakom čvoru da funkcionira i kao klijent i kao poslužitelj. P2P sustavi mogu pružiti anonimizirano usmjeravanje mrežnog prometa, masivna paralelna računalna okruženja, distribuiranu pohranu i druge funkcije. Kako bi upravljao i osigurao vezu između korisnika, Skype koristi jače metode kodiranja kao što su protokoli TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol). TLS je široko prihvaćen sigurnosni protokol osmišljen kako bi omogućio privatnost i sigurnost podataka za internetsku komunikaciju. TLS-a se uglavnom koristi za šifriranje komunikacije između web aplikacija i poslužitelja, ali može se koristiti i za šifriranje drugih načina komunikacija kao što su e-pošta, slanje poruka i glas preko IP-a (VoIP). SRTP ili Secure Real-Time Transport Protocol, proširenje je profila RTP-a (Real-Time Transport Protocol) koji dodaje dodatne sigurnosne značajke, kao što su provjera autentičnosti poruka, povjerljivost i zaštita od ponavljanja uglavnom namijenjene aplikacijama preko VoIP.
-===== Forenzička analiza =====
+===== Forenzička analiza datoteka=====
 Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima.
 Kod //Windows// operacijskog sustava putanja je <code>C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\</code> za Windows XP i prethodne verzije te <code>C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\</code> za Windows Vistu i daljnje verzije.
+S ažuriranjem verzije **12.X** Microsoft je prebacio mjesto spremanja informacija o Skype-u u Microsoft direktorij.
+U nastavku je napisana putanja do Skype aplikacije na operacijskom sustavu Windows 11:
+<code>~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/</code>
+{{zad_4_0036518670.jpeg?620x400}}
+Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji:
+<code>~/Korisnici/{korisničko ime}/AppData/Local/Packages/Microsoft.SkypeApp_kzf8qxf38zg5c/</code>
+{{zad_5_0036518670.jpeg?620x300}}
 Na Linux operacijskom sustavu to je: <code>~/.Skype/SKYPE-USER/</code>
 Dok je na MacOS-u <code>~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/</code>
@@ Redak 22: / Redak 36: @@
 Iz toga se direktorija može pristupiti raznim datotekama koje sadrže informacije o ponašanju korisnika.
-U starijoj verziji Skype aplikacije postojala je i datoteka **Main.db** u kojoj su bile sadržane sve informacije o korisničkim računima (primjerice: kontakti, informacije o razgovorima, poruke, videi, glasovne poruke...) te se mogla čitati pomoću odredenih alata ili hex-editora, medutim, unazad dvije godine te se infomracije spremaju u oblaku te do njih nije moguće doći iz operacijskog sustava.
+U starijoj verziji Skype aplikacije postojala je i datoteka **Main.db** u kojoj su bile sadržane sve informacije o korisničkim računima (primjerice: kontakti, informacije o razgovorima, poruke, videi, glasovne poruke...) iz Skype-ove SQLLite baze te se mogla čitati pomoću odredenih alata ili hex-editora, medutim, unazad dvije godine Microsoft je te se informacije počeo spremati u oblaku te do njih nije moguće doći iz operacijskog sustava, već isključivo internetom preko Microsoftovog računa ukoliko je potrebno.
 Budući da te informacije više nisu dostupne, predmet zanimanja postaju //cache// datoteke. To su privremene datoteke u kojima se pohranjuju često korištene informacije kako bi se smanjilo potrebno vrijeme za pokretanje aplikacije i izvršavanje zadataka.
@@ Redak 30: / Redak 44: @@
 {{2_z_0036518670.png?600x200}}
+Njih se može otvoriti u većini text-editora te se iščitati iz njih sadržaj.
+{{3_z_0036518670.png?380x600}}
+Iz otvorene se datoteke može vidjeti zadnji predmet pretraživanja korisnika. U ovom je slučaju to niz znakova //'palma'//. Zatim se mogu vidjeti i rezultati prikazani korisniku tom pretragom.
+Skype zatim pohranjuje datoteke vezane uz Cookie-je - //Cookies// i //Cookies-journal//. Datoteka //Cookies// sadrži samo SQL naredbu za kreiranje kolačića dok je //Cookies-journal// datoteka prazna.
+Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme.
+Nakon toga, na redu je direktorij //LocalStorage// koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - //leveldb//. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih //"blobo-va"// podataka. Ta mapa sadržava datoteke pod nazivom nazivom //“CURRENT”//, //“LOCK”//, //“LOG”//, //“LOG.old”// i datoteke naziva kao //“MANIFEST-######”//, //“######.log”// i //“######.ldb”//,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke //“.log”// i //“.ldb”// sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. Njihov se sadržaj može pročitati pomoću naredbe
+<code>strings {{naziv_datoteke}}.ldb</code>
+iz terminala.Isto vrijedi i za direktorij IndexedDB.
+Otvorivši datoteku pod nazivom //000021.ldb// mogu se vidjeti razne informacije o korisniku (koji je uredaj kada koristio za prijavu i s koje lokacije, druge korisnike koje je tražio, pozive koje je uputio itd.)
+{{zad_6_0036518670.png?540x180}}
+{{zad_7_0036518670.png?400x580}}
+===== Zaključak =====
+Iako je odnedavno tek nemoguće lokalno iščitati poruke samih razgovora preko Skype-a, mnoge su informacije o ponašanju korisnika pri korištenju aplikacije lako dostupne i čitljive iz datoteka spremljenih na uredaj.
+===== Literatura =====
+[1] [[https://resources.infosecinstitute.com/topic/skype-forensics-2/| Warlock: Skype Forensics]]
+[2][[https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/ | Katalov, V.: Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition ]]
+[3] [[https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-and-skype-logging-privacy-issue/| Jayapaul, R.: Microsoft Teams and Skype Logging Privacy Issue ]]
+[4][[https://www.mailxaminer.com/blog/skype-forensic-analysis/ | Mayank: Skype forensic analysis for in-depth investigation]]

racfor_wiki/seminari/forenzicka_analiza_skype_aplikacije.1672472682.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)