Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari:forenzicka_analiza_telegram_aplikacije [2023/01/12 17:39]
tp51782 [Identifikacija]
+++ racfor_wiki:seminari:forenzicka_analiza_telegram_aplikacije [2024/12/05 12:24] (trenutno)
@@ Redak 3: / Redak 3: @@
 ===== Sažetak =====
-Telegram Messenger ((U nastavku Telegram.)) je globalno dostupna, besplatna aplikacija za slanje poruka u stvarnom vremenu. Telegram pruža zaštitu komunikacije primjenom end-to-end enkripc siije. U proteklih nekoliko godina aplikacija se značajno promjenila te će ovom radu biti opisane metode za generiranje artifakata u virtualnom okruženju. Prikupljeni artifakti pomoću poruka, lokacije korisnika i datotečne strukture prikupljeni su i uspoređeni sa artifaktima prijašnjih verzija aplikacije. Usporedbom artefakata pokazano je unaprijeđenje aplikacije u području sigurnosti.
+Telegram Messenger ((U nastavku Telegram.)) je globalno dostupna, besplatna aplikacija za slanje poruka u stvarnom vremenu. Telegram pruža zaštitu komunikacije primjenom end-to-end enkripcije. U proteklih nekoliko godina aplikacija se značajno promjenila te će ovom radu biti opisane metode za generiranje artifakata u virtualnom okruženju. Prikupljeni artifakti pomoću poruka, lokacije korisnika i datotečne strukture prikupljeni su i uspoređeni sa artifaktima prijašnjih verzija aplikacije. Usporedbom artefakata pokazano je unaprijeđenje aplikacije u području sigurnosti.
 ===== Uvod =====
@@ Redak 14: / Redak 14: @@
 ==== Očuvanje ====
+Svi prikupljeni dokazi koji mogu biti korišteni u svrhe digitalne forenzike moraju biti čuvani u stanju o kojem su originaklno pronađeni jer bilo kakve modifikacije ili nezgode mogu proizvesti netočnosti u digitalnoj analizi.
 ==== Analiza ====
-==== Prezentacija i dokumentiranje ====
+Nakon što su digitalni dokazi prikupljeni i očuvani mogu se koristiti za potrebe analize. Podaci se ne mogu čitati direktno te je pokrebno koristiti alate poput Android Debug Bridge(ADB), Virtual Box, Gennymotion, SQL Database Browser.
 ===== Rezultati =====
-==== Postavke i priprema ====
-==== Istraga ====
 === Struktura datoteka ===
+Prilikom ekstrakcije podataka pronađene su različite datoteke i folderi u relaciji sa direktorijem aplikacije na više lokacija. data/data/org.telegram.messenger.web sadrži nekoliko datoteka koje su bile važne za prikupljanje dokaza. Takođe pronađena je datoteka cache4.db koja sadrži lokalno cachiranu bazu podataka koja sadrži tablice koje uključuju podatke o kontaktima, korisnicima, grupama, porukama itd. Nadalje, na lokaciji data/media/0/Telegram gdje aplikacija pohranjuje svoje datoteke i medijske datoteke. To su datoteke koje su preuzete iz razmjena poruka te pohranjene u lokalnoj ili eksternoj memoriji.
+{{ :racfor_wiki:seminari:image_2023-01-12_190615280.png?nolink&400 |}}
+{{ :racfor_wiki:seminari:image_2023-01-12_190745240.png?nolink&400 |}}
+Prijavom korisnika u cache4.db datoteci uočen je unos u tablicu korisnika. To pruža dokaz da se aktivnost na uređaju može dokazati. Zabilježen je broj mobitla korisnika u blob formatu te identifikator korisnika koji može koristiti u daljnjoj istrazi.
+{{ :racfor_wiki:seminari:image_2023-01-12_191216638.png?nolink&400 |}}
 === Kontakti ===
+Kao i kod prošle aktivnosti ista metoda je korištena za prikupljanje korisnikovih podataka. Online log pohranio je podatke vezane uz kontakte  kada je korisnik dodao kontakt zatim ga uredio i na kraju obrisao. Ovi podaci mogu se koristiti kao dokaz za ojačanje slučaja. Podaci su pronađeni u cache4.db datoteci. Svaki korisnik prikazan je pomoću id iza kojeg dolazi ime. S obzirom da na Telegramu postoje nadimci te svaki korisnik ima korisničko ime, oni su prikazani odvojeni ;. Ovi podaci su ključni jer je uz nadimak prikazano i korisničko ime koje je unique.
+{{ :racfor_wiki:seminari:image_2023-01-12_191940509.png?nolink&400 |}}
+U usporedbi sa starijim verzijama aplikacije postoje male promjene u imenima tablica.
 === Chat poruke ===
+Kreirano je nekoliko scenarija upotrebe aplikacije.
+  - Poslana jednostavna tekstualna poruka
+  - Poslana slika
+  - Poslana medijska datoteka
+  - Poslan spremljeni kontakt
+  - Poslana lokacija
+Svi logovi prikupljeni su kao i u prošlim zadacima.
+U datoteci cache4.db pohranjen je id korisnika koji je poslao tekstualnu poruku te blob koji prikazuje sadržaj poruke.
+{{ :racfor_wiki:seminari:image_2023-01-12_192811711.png?nolink&400 |}}
+Sadržaj medijske datoteke nije čitljiv iako je do Telegram v3.4.2 sadržaj bio čitljiv. Vrijedi napomenuti da svaki opis fotografije ostaje vidljiv.
+{{ :racfor_wiki:seminari:image_2023-01-12_193123752.png?nolink&400 |}}
+Logovi su pohranili sve aktivnosti koje su provedene no samo neke od njih pružaju korisne informacije vezane uz istragu.
+{{ :racfor_wiki:seminari:image_2023-01-12_193302488.png?nolink&400 |}} ((veličina čelije je prevelika pa ne mogu koristiti tablicu))
 ===== Zaključak =====
+U ovom seminaru opisano je 5 glavnih scenarija prikupljanja podataka u aplikaciji Telegram te je u nekim slučajevima provedena i usporedba sa starijim verzijama Telegram aplikacije. Rezultati su bili uspješni u nekoliko scenarija gdje je bilo moguće identificirati korisnika i prikupiti njegove osobne podatke poput broja telefona, nadimka, kontakata. Također, uspješno je otkrivena i poruka koju je korisnik poslao zajedno sa njegovim identifikatorom i sadržajom poruke.
 ===== Literatura =====
+  - Raza, Ahmed & Hassan, Muhammad. (2022). Digital Forensic Analysis of Telegram Messenger App in Android Virtual Environment. Mobile and Forensics. 4. 31-43. 10.12928/mf.v4i1.5537.
+  - https://en.wikipedia.org/wiki/Telegram_(software)
+  - https://telegram.org

racfor_wiki/seminari/forenzicka_analiza_telegram_aplikacije.1673545170.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)