Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:forenzika_linux_datotecnih_sustava [2023/01/08 19:28]
iz51628 [Sbin] 		racfor_wiki:seminari:forenzika_linux_datotecnih_sustava [2024/12/05 12:24] (trenutno)
Redak 8: Redak 8:
  
 Ključne riječi: Linux, linux datotečni sustav, linux logs Ključne riječi: Linux, linux datotečni sustav, linux logs
 +
 +==== Video ====
 +Link na video ukoliko ga želite pogledati
 +
 +https://ferhr-my.sharepoint.com/:v:/g/personal/iz51628_fer_hr/EcQcmttdx99OlP-IgWz9868B5umZIWWPJVVAe4FdQBEreA?e=t5z3Y1
  
 ===== Osnovne funkcije datotečnog sustava ===== ===== Osnovne funkcije datotečnog sustava =====
Redak 99: Redak 104:
 ==== Tmp ==== ==== Tmp ====
 /tmp je direktorij unutar kojeg imamo privremene podatke od aplikacija koje ukoliko trebaju te podatke mogu ih iskoristiti. Unutar njega možemo i pohraniti neke podatke bez odobrenja Superusera. /tmp je direktorij unutar kojeg imamo privremene podatke od aplikacija koje ukoliko trebaju te podatke mogu ih iskoristiti. Unutar njega možemo i pohraniti neke podatke bez odobrenja Superusera.
- 
 ==== Var ==== ==== Var ====
-/var direktorij sadrži direktorije poput zapisa događaja na računalu u /var/log direktoriju. Osim zapisnika događaja može imati i podatke koji su na čekanju za ispis na printeru koji je povezan sa našim računalom, e-mail koji je u čekanju dok se šalje korisnicima našeg sustava. Unutar /var direktorija možemo pronaći i cache memorije gdje se pohrane cachevi od naših aplikacija ili web preglednika koje koristimo. +/var direktorij sadrži direktorije poput zapisa događaja na računalu u /var/log direktoriju. Osim zapisnika događaja može imati i podatke koji su na čekanju za ispis na printeru koji je povezan našim računalom, e-mail koji je u čekanju dok se šalje korisnicima našeg sustava. Unutar /var direktorija možemo pronaći i cache memorije gdje se pohrane cachevi od naših aplikacija ili web preglednika koje koristimo.
 ===== Tipovi linux datotečnog sustava ===== ===== Tipovi linux datotečnog sustava =====
-Linux zbog svojih različitih upravljačkih programa upravo ima mogućnost pristupa različitim datotečnim sustavima. Linux je u mogućnosti čitati više različitih datotečnih sustava ukoliko imamo particije sa različitim datotečnim sustavima. +Linux zbog svojih različitih upravljačkih programa upravo ima mogućnost pristupa različitim datotečnim sustavima. Linux može čitati više različitih datotečnih sustava ukoliko imamo particije različitim datotečnim sustavima.
 ==== EXT, EXT2, EXT3, EXT4 datotečni sustav ==== ==== EXT, EXT2, EXT3, EXT4 datotečni sustav ====
-EXT znači Extended File System. Primarno razvijena za MINIX OS. EXT2 je prvi linux datotečni sustav koji omogućuje upravljanje 2 TiB podataka. Dužina imena datoteka više nije bila limitirana u karakterima, već u byteovima i to 255. Glavna dva problema EXT2 su bili korupcija datoteka u slučaju da dođe do gubitka napajanja prilikom pisanja na disk i gubitak peformansi ukoliko jedan datoteka je razdvojena na više dijelova na više lokacija u disku.+EXT znači Extended File System. Primarno razvijena za MINIX OS. EXT2 je prvi linux datotečni sustav koji omogućuje upravljanje 2 TiB podataka. Dužina imena datoteka više nije bila limitirana u karakterima, već u byteovima i to 255. Glavna dva problema EXT2 su bili korupcija datoteka u slučaju da dođe do gubitka napajanja prilikom pisanja na disk i gubitak performansi ako jedna datoteka je razdvojena na više dijelova na više lokacija u disku.
 Ext3 je prvi datotečni sustav generacije koji je omogućio dnevnike. Dnevnici su zapisi metapodataka i sadržaj datoteke prije nego se promjene pohrane u glavnom sustavu, no omogućuje sačuvanje podataka ukoliko dođe do pada sustava. Postoje tri načina rada dnevnika: Ext3 je prvi datotečni sustav generacije koji je omogućio dnevnike. Dnevnici su zapisi metapodataka i sadržaj datoteke prije nego se promjene pohrane u glavnom sustavu, no omogućuje sačuvanje podataka ukoliko dođe do pada sustava. Postoje tri načina rada dnevnika:
   - Journal (čuvaju se i podaci i metapodaci mijenjanih datoteka   - Journal (čuvaju se i podaci i metapodaci mijenjanih datoteka
Redak 113: Redak 115:
   - Ordered (kompromis između dvije opcije, čuvaju se samo metapodaci no promjene se prvo zapisuju u dnevnik, a tek onda na disk   - Ordered (kompromis između dvije opcije, čuvaju se samo metapodaci no promjene se prvo zapisuju u dnevnik, a tek onda na disk
 Ext4 se razvio 2008. godine i omogućuje 16TiB maksimalnu veličinu datoteke i maksimalnu dužinu imena datoteke od 255 byteova. Ext4 se razvio 2008. godine i omogućuje 16TiB maksimalnu veličinu datoteke i maksimalnu dužinu imena datoteke od 255 byteova.
- 
 ==== JFS datotečni sustav ==== ==== JFS datotečni sustav ====
 JFS (Journaled File System) razvijen je od IBM za AIX Unix sisteme. JFS je alternativa za Ext4 ukoliko sustav ima manje resursa budući da je sustav više pogodan za procesore gdje je napajanje i brzina manja. JFS (Journaled File System) razvijen je od IBM za AIX Unix sisteme. JFS je alternativa za Ext4 ukoliko sustav ima manje resursa budući da je sustav više pogodan za procesore gdje je napajanje i brzina manja.
Redak 124: Redak 125:
  
 ==== FAT32, NTFS ==== ==== FAT32, NTFS ====
-FAT32 (File Allocation Table) je datotečni sustav koji je u mogućnosti podržati datoteke do 4GB te ga svi operacijski sustavi današnjice podžavaju, prvobitno određen za DOS i Windows operacijske sustave. NTFS (New Technology File System) razvio se za Windows OS kako bi riješio problem veličine datoteka koji je FAT32 imao te osigurao  efikasnije korištenje prostora i imao je sustav vođenja dnevnika čime je kompenzirao oštećenje podataka u slučaju gubitka napajanja sustava ili greške sustava koja uništi memoriju. NTFS za razliku od FAT32 nije kompatibilan sa nekim operacijskim sustavima i programima te neke od stavki nije moguće ostvariti na drugim tipovima diskova za pohranu memorije. +FAT32 (File Allocation Table) je datotečni sustav koji može podržati datoteke do 4 GB te ga svi operacijski sustavi današnjice podržavaju, prvobitno određen za DOS i Windows operacijske sustave. NTFS (New Technology File System) razvio se za Windows OS kako bi riješio problem veličine datoteka koji je FAT32 imao te osigurao  efikasnije korištenje prostora i imao je sustav vođenja dnevnika čime je kompenzirao oštećenje podataka u slučaju gubitka napajanja sustava ili greške sustava koja uništi memoriju. NTFS za razliku od FAT32 nije kompatibilan nekim operacijskim sustavima i programima te neke od stavki nije moguće ostvariti na drugim tipovima diskova za pohranu memorije.
 ===== Forenzika linux datotečnog sustava ===== ===== Forenzika linux datotečnog sustava =====
-Za forenziku linux datotečnog sustava morali bismo se prvobitno dobro upoznati sa cijelom organizacijom datotečnog sustava linux OS. Poznavanje gdje je nalaze volatile podaci, log datoteke i mnoge druge informacije ključni su za istragu i pronalazak napadača ili stanja žrtve prije ili poslije napada.+Za forenziku linux datotečnog sustava morali bismo se prvobitno dobro upoznati cijelom organizacijom datotečnog sustava linux OS. Poznavanje gdje je nalaze volatile podaci, log datoteke i mnoge druge informacije ključni su za istragu i pronalazak napadača ili stanja žrtve prije ili poslije napada.
  
 ==== Shell komande ==== ==== Shell komande ====
   - dmseg -> komanda s kojom želimo saznati informacije o upravljačkim programima u jezgri sustava prilikom pokretanja i sve poruke prilikom postavljanja tih upravljačkih programa. '' dmseg | grep -i eth0 ''   - dmseg -> komanda s kojom želimo saznati informacije o upravljačkim programima u jezgri sustava prilikom pokretanja i sve poruke prilikom postavljanja tih upravljačkih programa. '' dmseg | grep -i eth0 ''
-  - fsck -> naredbe sa kojom možete provjeriti konzistentnost datotečnog sustava ukoliko ga treba popraviti +  - fsck -> naredbe kojom možete provjeriti konzistentnost datotečnog sustava ako ga treba popraviti 
-  - history -> naredba koja može biti korisna ukoliko želite vidjeti koje su zadnjih n komandi bile pokrenute na sustavu+  - history -> naredba koja može biti korisna ako želite vidjeti koje su zadnjih n komandi bile pokrenute na sustavu
   - netstat -> prikupljanje liste trenutno aktivnih mrežnih konekcija   - netstat -> prikupljanje liste trenutno aktivnih mrežnih konekcija
   - nc -> netcat naredba koja se koristi za skeniranje portova konekcija, prijenos i čitanje podataka tijekom konekcije    - nc -> netcat naredba koja se koristi za skeniranje portova konekcija, prijenos i čitanje podataka tijekom konekcije 
Redak 141: Redak 141:
 '' sudo cat /var/log/messages '' '' sudo cat /var/log/messages ''
    
-Jan  8 01:36:28 zugislav NetworkManager[297]: <info>  [1673138188.5320] dhcp4 (enp0s3):   address 10.0.2.15+Jan  8 01:36:28 zugislav NetworkManager[297]:   [1673138188.5320] dhcp4 (enp0s3):   address 10.0.2.15
  
 Datum, ime hosta uređaja,  jezgra sustava ili servis (primjerice NetworkManager), PID, poruka prema sustavu Datum, ime hosta uređaja,  jezgra sustava ili servis (primjerice NetworkManager), PID, poruka prema sustavu
   * /var/log/lastlog -> ispis zadnjih login podataka   * /var/log/lastlog -> ispis zadnjih login podataka
-  * /var/log/bot.log -> sadrži infromacije pohranjene tijekom pokretanja sustava i što se događa sa sustavom tijekom pokretanja gdje [  OK/FAILED   ] označava stanje prilikom pokretanja određenog modula. +  * /var/log/bot.log -> sadrži informacije pohranjene tijekom pokretanja sustava i što se događa sa sustavom tijekom pokretanja gdje [  OK/FAILED   ] označava stanje prilikom pokretanja određenog modula.
  
 ===== Zaključak ===== ===== Zaključak =====
-Za istraživanje i prikupljanje podataka o žrtvi i napadaču te pronalazak takvih informacija računalni detektivi moraju razumijeti datotečni sustav linux operacijskog sustava. Hijearhija direktorija i značenje direktorija te koji je sadržaj datoteka u direktorijima omogućuju lakši pronalazak forenzičkih informacija. Poznavajući različite datotečne sustave ukoliko postoji način oporavka podataka možemo vratiti dio podataka, no osim poznavanja različitih alata za istragu možemo se poslužiti različitim shell naredbama kako bismo saznali stanje sustava i pročitali log datoteke i saznali što se događa na našem uređaju. +Za istraživanje i prikupljanje podataka o žrtvi i napadaču te pronalazak takvih informacija računalni detektivi moraju razumjeti datotečni sustav linux operacijskog sustava. Hijerarhija direktorija i značenje direktorija te koji je sadržaj datoteka u direktorijima omogućuju lakši pronalazak forenzičkih informacija. Poznavajući različite datotečne sustave ako postoji način oporavka podataka možemo vratiti dio podataka, no osim poznavanja različitih alata za istragu možemo se poslužiti različitim shell naredbama kako bismo saznali stanje sustava i pročitali log datoteke i saznali što se događa na našem uređaju.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/seminari/forenzika_linux_datotecnih_sustava.1673206117.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0