| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2023/01/06 17:18]
pk51867 [Forenzička analiza datoteka] |
racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2024/12/05 12:24] (trenutno)
|
| ===== Forenzička analiza Skype aplikacije ===== | ===== Forenzička analiza Skype aplikacije ===== |
| |
| | [[https://docs.google.com/presentation/d/1uVwOAd40UQh6VwSeVhlNkCWiozdVKeI0/edit?usp=sharing&ouid=113746906681100440253&rtpof=true&sd=true| Prezentacija]] |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| <code>~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> | <code>~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> |
| |
| {{zad_4_0036518670.jpeg?620x380}} | {{zad_4_0036518670.jpeg?620x400}} |
| |
| Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji: | Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji: |
| Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme. | Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme. |
| |
| Nakon toga, na redu je direktorij //LocalStorage// koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - //leveldb//. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih //"blobo-va"// podataka. Ta mapa sadržava datoteke pod nazivom nazivom //“CURRENT”//, //“LOCK”//, //“LOG”//, //“LOG.old”// i datoteke naziva kao //“MANIFEST-######”//, //“######.log”// i //“######.ldb”//,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke //“.log”// i //“.ldb”// sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. | Nakon toga, na redu je direktorij //LocalStorage// koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - //leveldb//. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih //"blobo-va"// podataka. Ta mapa sadržava datoteke pod nazivom nazivom //“CURRENT”//, //“LOCK”//, //“LOG”//, //“LOG.old”// i datoteke naziva kao //“MANIFEST-######”//, //“######.log”// i //“######.ldb”//,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke //“.log”// i //“.ldb”// sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. Njihov se sadržaj može pročitati pomoću naredbe |
| | |
| | <code>strings {{naziv_datoteke}}.ldb</code> |
| | |
| | iz terminala.Isto vrijedi i za direktorij IndexedDB. |
| | Otvorivši datoteku pod nazivom //000021.ldb// mogu se vidjeti razne informacije o korisniku (koji je uredaj kada koristio za prijavu i s koje lokacije, druge korisnike koje je tražio, pozive koje je uputio itd.) |
| | |
| | {{zad_6_0036518670.png?540x180}} |
| | |
| | {{zad_7_0036518670.png?400x580}} |
| | |
| | ===== Zaključak ===== |
| | |
| | Iako je odnedavno tek nemoguće lokalno iščitati poruke samih razgovora preko Skype-a, mnoge su informacije o ponašanju korisnika pri korištenju aplikacije lako dostupne i čitljive iz datoteka spremljenih na uredaj. |
| | ===== Literatura ===== |
| | |
| | [1] [[https://resources.infosecinstitute.com/topic/skype-forensics-2/| Warlock: Skype Forensics]] |
| | |
| | [2][[https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/ | Katalov, V.: Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition ]] |
| | |
| | [3] [[https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-and-skype-logging-privacy-issue/| Jayapaul, R.: Microsoft Teams and Skype Logging Privacy Issue ]] |
| | |
| | [4][[https://www.mailxaminer.com/blog/skype-forensic-analysis/ | Mayank: Skype forensic analysis for in-depth investigation]] |
