Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2023/01/06 14:31]
pk51867 [Forenzička analiza] 		racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2024/12/05 12:24] (trenutno)
Redak 1: Redak 1:
 ===== Forenzička analiza Skype aplikacije ===== ===== Forenzička analiza Skype aplikacije =====
  
 +[[https://docs.google.com/presentation/d/1uVwOAd40UQh6VwSeVhlNkCWiozdVKeI0/edit?usp=sharing&ouid=113746906681100440253&rtpof=true&sd=true| Prezentacija]]
  
 ===== Uvod ===== ===== Uvod =====
Redak 15: Redak 16:
 Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima.  Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima. 
 Kod //Windows// operacijskog sustava putanja je <code>C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\</code> za Windows XP i prethodne verzije te <code>C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\</code> za Windows Vistu i daljnje verzije.  Kod //Windows// operacijskog sustava putanja je <code>C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\</code> za Windows XP i prethodne verzije te <code>C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\</code> za Windows Vistu i daljnje verzije. 
 +
 +S ažuriranjem verzije **12.X** Microsoft je prebacio mjesto spremanja informacija o Skype-u u Microsoft direktorij. 
 +
 +U nastavku je napisana putanja do Skype aplikacije na operacijskom sustavu Windows 11:
 +<code>~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> 
 +
 +{{zad_4_0036518670.jpeg?620x400}}
 +
 +Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji: 
 +<code>~/Korisnici/{korisničko ime}/AppData/Local/Packages/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> 
 +
 +{{zad_5_0036518670.jpeg?620x300}}
 +
 Na Linux operacijskom sustavu to je: <code>~/.Skype/SKYPE-USER/</code>  Na Linux operacijskom sustavu to je: <code>~/.Skype/SKYPE-USER/</code> 
 Dok je na MacOS-u <code>~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/</code>  Dok je na MacOS-u <code>~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/</code> 
Redak 40: Redak 54:
  
 Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme.  Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme. 
 +
 +Nakon toga, na redu je direktorij //LocalStorage// koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - //leveldb//. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih //"blobo-va"// podataka. Ta mapa sadržava datoteke pod nazivom nazivom //“CURRENT”//, //“LOCK”//, //“LOG”//, //“LOG.old”// i datoteke naziva kao //“MANIFEST-######”//, //“######.log”// i //“######.ldb”//,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke //“.log”// i //“.ldb”// sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. Njihov se sadržaj može pročitati pomoću naredbe
 + 
 +<code>strings {{naziv_datoteke}}.ldb</code>
 +
 +iz terminala.Isto vrijedi i za direktorij IndexedDB.
 +Otvorivši datoteku pod nazivom //000021.ldb// mogu se vidjeti razne informacije o korisniku (koji je uredaj kada koristio za prijavu i s koje lokacije, druge korisnike koje je tražio, pozive koje je uputio itd.) 
 +
 +{{zad_6_0036518670.png?540x180}}
 +
 +{{zad_7_0036518670.png?400x580}}
 +
 +===== Zaključak =====
 +
 +Iako je odnedavno tek nemoguće lokalno iščitati poruke samih razgovora preko Skype-a, mnoge su informacije o ponašanju korisnika pri korištenju aplikacije lako dostupne i čitljive iz datoteka spremljenih na uredaj. 
 +===== Literatura =====
 +
 +[1] [[https://resources.infosecinstitute.com/topic/skype-forensics-2/| Warlock: Skype Forensics]]
 +
 +[2][[https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/ | Katalov, V.: Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition ]]
 +
 +[3] [[https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-and-skype-logging-privacy-issue/| Jayapaul, R.: Microsoft Teams and Skype Logging Privacy Issue ]]
 +
 +[4][[https://www.mailxaminer.com/blog/skype-forensic-analysis/ | Mayank: Skype forensic analysis for in-depth investigation]]
racfor_wiki/seminari/forenzicka_analiza_skype_aplikacije.1673015503.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0