Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:forenzika_ios-a_-_alat_ileapp [2025/01/25 17:10]
Markulin Fran seminar fran markulin
+++ racfor_wiki:seminari2024:forenzika_ios-a_-_alat_ileapp [2025/01/27 01:29] (trenutno)
Markulin Fran urediti link
@@ Redak 1: / Redak 1: @@
-===== Forenzika iOS-a - alat ILEAPP =====
+===== PETAR HOTOVEC: Forenzika iOS-a - alat ILEAPP =====
+===== Sažetak =====
+U ovom seminaru istražuje se alat ILEAPP (iOS Logs, Events, And Protobuf Parser) koji se koristi za forenzičku analizu iOS uređaja. Seminar obuhvaća pregled funkcionalnosti alata, ključne značajke, te primjere uporabe u analizi mobilnih podataka i dokaza uz fokus na praktičnu primjenu alata u forenzičkim istragama.
+===== Uvod =====
+Forenzička analiza mobilnih uređaja igra ključnu ulogu u modernim istragama kriminalnih aktivnosti, s obzirom na sve veće korištenje pametnih telefona. iOS uređaji, zbog svojih sigurnosnih mehanizama, predstavljaju poseban izazov. ILEAPP je open-source alat razvijen za forenzičku analizu podataka s iOS uređaja. Ovaj seminar istražuje njegovu strukturu, funkcionalnosti i primjenu.
+===== Povijest i razvoj alata =====
+ILEAPP je razvio forenzički stručnjak Alexis Brignoni kako bi olakšao analizu mobilnih podataka. Alat je dio serije alata za mobilnu forenziku, uključujući ALEAPP (za Android) i CLEAPP (za ChromeOS). ILEAPP se kontinuirano ažurira kako bi podržavao najnovije verzije iOS-a.
+===== Struktura iOS backup-a =====
+iOS backup datoteke organizirane su u hijerarhijsku strukturu koja omogućuje spremanje svih bitnih podataka s uređaja. Svaki backup sadrži nekoliko ključnih elemenata: Manifest.db, Info.plist i Manifest.plist. Datoteka Manifest.db je SQLite baza podataka koja pohranjuje metapodatke o svim datotekama unutar backup-a, uključujući putanju, veličinu i status enkripcije. Info.plist je XML datoteka koja sadrži osnovne informacije o uređaju, uključujući verziju iOS-a, serijski broj te druge detalje o sistemu. Manifest.plist pohranjuje informacije o načinu šifriranja backup-a te popis spremljenih datoteka. Svaka aplikacija u backup-u pohranjuje svoje podatke u direktorijskom sustavu koji odgovara njenom identifikatoru, omogućujući forenzičarima jednostavno izdvajanje relevantnih artefakata.
+===== Funkcionalnosti ILEAPP-a =====
+=== Podrška za iOS artefakte ===
+ILEAPP omogućuje analizu širokog raspona iOS artefakata. Među najvažnijima su podaci vezani uz povijest poziva, poruke, lokacijske podatke i aktivnosti aplikacija. Povijest poziva pohranjena je u call_history.db, dok se lokacijski podaci mogu pronaći u datotekama GeoServices i LocationD. Alat također podržava analizu podataka iz aplikacija poput WhatsApp, Signal i Telegram.
+=== Generiranje izvještaja ===
+Jedna od ključnih značajki ILEAPP-a je mogućnost generiranja izvještaja u raznim formatima, uključujući HTML, CSV i Excel. Ti izvještaji omogućuju istražiteljima brzo i jednostavno pregledavanje ključnih podataka te daljnju analizu u drugim alatima.
+=== Korisničko sučelje i platforme ===
+ILEAPP nudi grafičko korisničko sučelje (GUI) koje pojednostavljuje rad s alatom, ali podržava i naredbeno sučelje (CLI) za napredne korisnike. Alat je kompatibilan s macOS, Windows i Linux operacijskim sustavima.
+===== Praktična primjena ILEAPP-a =====
+=== Analiza povijesti poziva ===
+Kao primjer, ILEAPP može analizirati povijest poziva iz datoteke call_history.db, koja se obično nalazi u iOS backup datotekama. Generirani izvještaj uključuje informacije poput brojeva pozivatelja, datuma i vremena poziva te trajanja poziva.
+=== Lokacijski podaci ===
+Lokacijski podaci iz datoteka GeoServices i LocationD omogućuju rekonstrukciju kretanja korisnika. Ti podaci mogu se prikazati na kartama koristeći formate poput KML, čime se dobiva vizualni prikaz korisničkog kretanja.
+=== Poruke i aplikacije ===
+Analiza poruka uključuje iMessage i aplikacije poput WhatsApp-a. ILEAPP omogućuje ekstrakciju tekstualnih poruka, privitaka i drugih povezanih metapodataka, što je ključno u mnogim istragama.
+===== Usporedba s drugim alatima =====
+U usporedbi s drugim alatima, ILEAPP se ističe kao open-source rješenje koje podržava širok spektar iOS artefakata. Za razliku od Cellebrite UFED-a, koji je komercijalan alat s naprednim mogućnostima ekstrakcije, ILEAPP je besplatan, ali ne može zaobići enkripciju backup-a. Oxygen Forensics pruža detaljnu analizu aplikacija, ali je plaćeni softver, dok iBackup Extractor omogućuje osnovni pregled backup podataka, ali nema forenzičke mogućnosti poput ILEAPP-a. Time se ILEAPP pokazuje kao praktičan alat za forenzičku analizu iOS uređaja, posebno u situacijama kada su potrebne brze analize dostupnih podataka.
+===== Primjer forenzičke analize =====
+=== Koraci analize ===
+Generiranje backup-a: Kreiranje nekriptiranog backup-a pomoću Finder-a ili iTunes-a.
+{{:racfor_wiki:seminari2024:petar-hotovec-3-direktorij-ios-backupa.png?600|Primjer direktorija iOS backupa.}}
+** Izgled grafičkog sučelja iLEAPP-a **
+Učitavanje u ILEAPP: Odabir ulazne datoteke i postavljanje izlaznog direktorija.
+{{:racfor_wiki:seminari2024:petar-hotovec-2-ileapp-gui-moduli.png?600|Izgled grafičkog sučelja iLEAPP-a.}}
+** Izgled grafičkog sučelja iLEAPP-a **
+Odabir modula: Aktivacija modula za analizu povijesti poziva i lokacijskih podataka.
+{{:racfor_wiki:seminari2024:petar-hotovec-1-ileapp-gui.png?600|Pregled dostupnih modula unutar iLEAPP-a.}}
+** Pregled dostupnih modula unutar iLEAPP-a **
+Pregled izvještaja: Analiza HTML izvještaja i dodatna obrada podataka u CSV formatu.
+{{:racfor_wiki:seminari2024:petar-hotovec-4-direktorij-ileapp-outputa.png?600|Izgled izlaznog direktorija nakon iLEAPP analize.}}
+** Izgled izlaznog direktorija nakon iLEAPP analize **
+===== Sigurnosni aspekti i ograničenja =====
+Prednosti iOS sigurnosnog modela
+iOS koristi napredne sigurnosne mehanizme, uključujući enkripciju backup datoteka i sandboxing aplikacija. Ti mehanizmi osiguravaju zaštitu korisničkih podataka, ali istovremeno otežavaju forenzičku analizu.
+Ograničenja ILEAPP-a
+ILEAPP ne može analizirati šifrirane backup datoteke bez odgovarajuće lozinke. Također, alat ovisi o dostupnosti backup datoteka, što znači da istražitelji moraju imati fizički pristup uređaju ili prethodno izrađeni backup.
+===== Gdje se može više naučiti? =====
+Forenzička analiza iOS uređaja zahtijeva kontinuirano istraživanje i praćenje novih alata i tehnika. Postoji nekoliko izvora koji mogu pomoći u produbljivanju znanja o iLEAPP-u i digitalnoj forenzici.
+=== Online dokumentacija, resursi i tečajevi ===
+- [[https://github.com/abrignoni/iLEAPP|iLEAPP GitHub repo]] – službena dokumentacija i kod alata.
+- [[https://swiftforensics.com/|Swift Forensics Blog]] – blog autora iLEAPP-a s analizama novih iOS artefakata.
+- [[https://developer.apple.com/documentation/|Apple iOS dokumentacija]] – službeni Apple resursi o iOS sustavu i sigurnosti.
+- [[https://www.udemy.com/|Udemy]] – forenzički tečajevi, uključujući iOS analizu.
+=== Alternativni alati ===
+- [[https://www.cellebrite.com/en/ufed/|Cellebrite UFED]] – napredni komercijalni alat za ekstrakciju podataka.
+- [[https://www.oxygen-forensic.com/|Oxygen Forensic Detective]] – alat za dubinsku analizu aplikacija i podataka.
+- [[https://www.wideanglesoftware.com/ibackupextractor/|iBackup Extractor]] – osnovni alat za pregled iOS backup-a.
+=== Forumi i zajednice ===
+- [[https://www.forensicfocus.com/|Forensic Focus]] – forum posvećen digitalnoj forenzici.
+- [[https://www.reddit.com/r/digitalforensics/|Reddit r/digitalforensics]] – diskusije o alatima i tehnikama.
+- [[https://forum.xda-developers.com/|XDA Developers]] – korisne teme o iOS datotečnom sustavu.
+===== Zaključak =====
+Alat ILEAPP značajan je dodatak arsenalu forenzičkih alata za iOS uređaje. Njegova sposobnost detaljne analize logova i drugih artefakata omogućuje istražiteljima učinkovitiju i precizniju obradu mobilnih podataka. Iako postoje određena ograničenja, prednosti koje pruža čine ga ključnim alatom u forenzičkim istragama.
+===== Video prezentacija =====
+[[https://ferhr-my.sharepoint.com/:v:/g/personal/ph53495_fer_hr/EcoUt8v1DFNLiq0WVnRhQeUBwgg84ehZ-Ym1e-xVhbtjbg?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=dxAgVA|Video prezentacija]]
+===== Literatura =====
+[1] [[https://github.com/abrignoni/iLEAPP]]
+[2] [[https://developer.apple.com/documentation]]
+[3] [[https://theapplewiki.com/wiki/ITunes_Backup]]
+[4] [[https://www.infosecinstitute.com/resources/digital-forensics/ios-forensics/]]
+===== ------ =====
+===== ------ =====
+===== ------ =====
+===== FRAN MARKULIN: Forenzika iOS-a - alat ILEAPP =====
 ===== Sažetak =====
@@ Redak 137: / Redak 272: @@
 Svakako je alat koji je korisno imati u svom arsenalu alata za forenzičku analizu.
+===== Video prezentacija =====
+Za korištenje podnaslova (titlova) skinuti datoteku i lokalno pokrenuti u programu koji podržava podnaslove (npr. VLC): [[https://ferhr-my.sharepoint.com/:v:/g/personal/fm52761_fer_hr/ET9irJeg74hBhWV9l0GA4qoB0wKhk0xTTlFtBrHEsL9VxA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=ePn8hU|Video prezentacija]]
 ===== Literatura =====
@@ Redak 147: / Redak 286: @@
 [4] How to Use iOS Bluetooth Connections to Solve Crimes Faster: [[https://cellebrite.com/en/how-to-use-ios-bluetooth-connections-to-solve-crimes-faster/]]

racfor_wiki/seminari2024/forenzika_ios-a_-_alat_ileapp.1737825056.txt.gz · Zadnja izmjena: 2025/01/25 17:10 od Markulin Fran