Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzika_ios-a_-_alat_ileapp [2025/01/26 21:36]
Hotovec Petar SPOJENA DVA RADA 		racfor_wiki:seminari2024:forenzika_ios-a_-_alat_ileapp [2025/01/27 01:29] (trenutno)
Markulin Fran urediti link
Redak 4: Redak 4:
  
 U ovom seminaru istražuje se alat ILEAPP (iOS Logs, Events, And Protobuf Parser) koji se koristi za forenzičku analizu iOS uređaja. Seminar obuhvaća pregled funkcionalnosti alata, ključne značajke, te primjere uporabe u analizi mobilnih podataka i dokaza uz fokus na praktičnu primjenu alata u forenzičkim istragama. U ovom seminaru istražuje se alat ILEAPP (iOS Logs, Events, And Protobuf Parser) koji se koristi za forenzičku analizu iOS uređaja. Seminar obuhvaća pregled funkcionalnosti alata, ključne značajke, te primjere uporabe u analizi mobilnih podataka i dokaza uz fokus na praktičnu primjenu alata u forenzičkim istragama.
- 
  
 ===== Uvod ===== ===== Uvod =====
Redak 10: Redak 9:
 Forenzička analiza mobilnih uređaja igra ključnu ulogu u modernim istragama kriminalnih aktivnosti, s obzirom na sve veće korištenje pametnih telefona. iOS uređaji, zbog svojih sigurnosnih mehanizama, predstavljaju poseban izazov. ILEAPP je open-source alat razvijen za forenzičku analizu podataka s iOS uređaja. Ovaj seminar istražuje njegovu strukturu, funkcionalnosti i primjenu. Forenzička analiza mobilnih uređaja igra ključnu ulogu u modernim istragama kriminalnih aktivnosti, s obzirom na sve veće korištenje pametnih telefona. iOS uređaji, zbog svojih sigurnosnih mehanizama, predstavljaju poseban izazov. ILEAPP je open-source alat razvijen za forenzičku analizu podataka s iOS uređaja. Ovaj seminar istražuje njegovu strukturu, funkcionalnosti i primjenu.
  
-===== Ključne značajke ILEAPP-a =====+===== Povijest i razvoj alata =====
  
-- Pregled funkcionalnosti: ILEAPP omogućuje ekstrakciju i analizu logovadogađaja podataka pohranjenih protobuf formatima iOS uređaja. +ILEAPP je razvio forenzički stručnjak Alexis Brignoni kako bi olakšao analizu mobilnih podataka. Alat je dio serije alata za mobilnu forenzikuuključujućALEAPP (za Android) i CLEAPP (za ChromeOS). ILEAPP se kontinuirano ažurira kako bi podržavao najnovije verzije iOS-a. 
-- Podržani artefaktiAnalizira podatke aplikacija, uključujući porukepovijest pozivageolokacijske podatkezapise aktivnostima aplikacija i mnoge druge artefakte+ 
-Korisničko sučelje: ILEAPP nudi jednostavno sučelje za brzu analizu i generiranje izvještaja u raznim formatima (HTML, CSVExcel)+===== Struktura iOS backup-a ===== 
-- Kompatibilnost: Kompatibilan je s najnovijim verzijama iOS-a i podržava moderne metode izvlačenja podataka.+ 
 +iOS backup datoteke organizirane su hijerarhijsku strukturu koja omogućuje spremanje svih bitnih podataka s uređaja. Svaki backup sadrži nekoliko ključnih elemenataManifest.db, Info.plist i Manifest.plist. Datoteka Manifest.db je SQLite baza podataka koja pohranjuje metapodatke o svim datotekama unutar backup-a, uključujući putanjuveličinu i status enkripcije. Info.plist je XML datoteka koja sadrži osnovne informacije o uređajuuključujući verziju iOS-aserijski broj te druge detalje sistemu. Manifest.plist pohranjuje informacije o načinu šifriranja backup-a te popis spremljenih datoteka. Svaka aplikacija u backup-u pohranjuje svoje podatke u direktorijskom sustavu koji odgovara njenom identifikatoru, omogućujućforenzičarima jednostavno izdvajanje relevantnih artefakata
 + 
 +===== Funkcionalnosti ILEAPP-a ===== 
 + 
 +=== Podrška za iOS artefakte === 
 + 
 +ILEAPP omogućuje analizu širokog raspona iOS artefakata. Među najvažnijima su podaci vezani uz povijest poziva, poruke, lokacijske podatke i aktivnosti aplikacija. Povijest poziva pohranjena je u call_history.db, dok se lokacijski podaci mogu pronaći u datotekama GeoServices i LocationD. Alat također podržava analizu podataka iz aplikacija poput WhatsApp, Signal Telegram. 
 + 
 +=== Generiranje izvještaja === 
 + 
 +Jedna od ključnih značajki ILEAPP-a je mogućnost generiranja izvještaja u raznim formatima, uključujući HTML, CSV Excel. Ti izvještaji omogućuju istražiteljima brzo i jednostavno pregledavanje ključnih podataka te daljnju analizu u drugim alatima
 + 
 +=== Korisničko sučelje platforme === 
 + 
 +ILEAPP nudi grafičko korisničko sučelje (GUI) koje pojednostavljuje rad s alatom, ali podržava i naredbeno sučelje (CLI) za napredne korisnike. Alat je kompatibilan s macOS, Windows i Linux operacijskim sustavima.
  
 ===== Praktična primjena ILEAPP-a ===== ===== Praktična primjena ILEAPP-a =====
  
-1. Primjeri forenzičke analize: +=== Analiza povijesti poziva ===
-    - Analiza poruka iOS aplikacija kao što su iMessage i WhatsApp. +
-    - Praćenje povijesti lokacija korisnika kroz artefakte poput `LocationD` i `GeoServices`. +
-    - Ekstrakcija podataka iz backup datoteka generiranih putem iTunesa.+
  
-2Prednosti u odnosu na druge alate: +Kao primjer, ILEAPP može analizirati povijest poziva iz datoteke call_history.db, koja se obično nalazi u iOS backup datotekamaGenerirani izvještaj uključuje informacije poput brojeva pozivatelja, datuma i vremena poziva te trajanja poziva.
-    - Fokus na specifične iOS artefakte. +
-    - Besplatan i otvorenog koda, što ga čini dostupnim širokom spektru korisnika.+
  
-3. Ograničenja: +=== Lokacijski podaci ===
-    - Ovisnost o dostupnosti podataka iz backup datoteka. +
-    - Komplikacije kod analize enkriptiranih podataka.+
  
 +Lokacijski podaci iz datoteka GeoServices i LocationD omogućuju rekonstrukciju kretanja korisnika. Ti podaci mogu se prikazati na kartama koristeći formate poput KML, čime se dobiva vizualni prikaz korisničkog kretanja.
 +
 +=== Poruke i aplikacije ===
 +
 +Analiza poruka uključuje iMessage i aplikacije poput WhatsApp-a. ILEAPP omogućuje ekstrakciju tekstualnih poruka, privitaka i drugih povezanih metapodataka, što je ključno u mnogim istragama.
 +
 +===== Usporedba s drugim alatima =====
 +U usporedbi s drugim alatima, ILEAPP se ističe kao open-source rješenje koje podržava širok spektar iOS artefakata. Za razliku od Cellebrite UFED-a, koji je komercijalan alat s naprednim mogućnostima ekstrakcije, ILEAPP je besplatan, ali ne može zaobići enkripciju backup-a. Oxygen Forensics pruža detaljnu analizu aplikacija, ali je plaćeni softver, dok iBackup Extractor omogućuje osnovni pregled backup podataka, ali nema forenzičke mogućnosti poput ILEAPP-a. Time se ILEAPP pokazuje kao praktičan alat za forenzičku analizu iOS uređaja, posebno u situacijama kada su potrebne brze analize dostupnih podataka.
 +
 +===== Primjer forenzičke analize =====
 +
 +=== Koraci analize ===
 +
 +Generiranje backup-a: Kreiranje nekriptiranog backup-a pomoću Finder-a ili iTunes-a.
 +
 +{{:racfor_wiki:seminari2024:petar-hotovec-3-direktorij-ios-backupa.png?600|Primjer direktorija iOS backupa.}}
 +
 +** Izgled grafičkog sučelja iLEAPP-a ** 
 +
 +Učitavanje u ILEAPP: Odabir ulazne datoteke i postavljanje izlaznog direktorija.
 +
 +{{:racfor_wiki:seminari2024:petar-hotovec-2-ileapp-gui-moduli.png?600|Izgled grafičkog sučelja iLEAPP-a.}}
 +
 +** Izgled grafičkog sučelja iLEAPP-a ** 
 +
 +Odabir modula: Aktivacija modula za analizu povijesti poziva i lokacijskih podataka.
 +
 +{{:racfor_wiki:seminari2024:petar-hotovec-1-ileapp-gui.png?600|Pregled dostupnih modula unutar iLEAPP-a.}}
 +
 +** Pregled dostupnih modula unutar iLEAPP-a ** 
 +
 +Pregled izvještaja: Analiza HTML izvještaja i dodatna obrada podataka u CSV formatu.
 +
 +{{:racfor_wiki:seminari2024:petar-hotovec-4-direktorij-ileapp-outputa.png?600|Izgled izlaznog direktorija nakon iLEAPP analize.}}
 +
 +** Izgled izlaznog direktorija nakon iLEAPP analize ** 
 +===== Sigurnosni aspekti i ograničenja =====
 +
 +Prednosti iOS sigurnosnog modela
 +
 +iOS koristi napredne sigurnosne mehanizme, uključujući enkripciju backup datoteka i sandboxing aplikacija. Ti mehanizmi osiguravaju zaštitu korisničkih podataka, ali istovremeno otežavaju forenzičku analizu.
 +
 +Ograničenja ILEAPP-a
 +
 +ILEAPP ne može analizirati šifrirane backup datoteke bez odgovarajuće lozinke. Također, alat ovisi o dostupnosti backup datoteka, što znači da istražitelji moraju imati fizički pristup uređaju ili prethodno izrađeni backup.
 +
 +===== Gdje se može više naučiti? =====
 +
 +Forenzička analiza iOS uređaja zahtijeva kontinuirano istraživanje i praćenje novih alata i tehnika. Postoji nekoliko izvora koji mogu pomoći u produbljivanju znanja o iLEAPP-u i digitalnoj forenzici.
 +
 +=== Online dokumentacija, resursi i tečajevi ===
 +- [[https://github.com/abrignoni/iLEAPP|iLEAPP GitHub repo]] – službena dokumentacija i kod alata.
 +
 +- [[https://swiftforensics.com/|Swift Forensics Blog]] – blog autora iLEAPP-a s analizama novih iOS artefakata.
 +
 +- [[https://developer.apple.com/documentation/|Apple iOS dokumentacija]] – službeni Apple resursi o iOS sustavu i sigurnosti.
 +
 +- [[https://www.udemy.com/|Udemy]] – forenzički tečajevi, uključujući iOS analizu.
 +
 +=== Alternativni alati ===
 +- [[https://www.cellebrite.com/en/ufed/|Cellebrite UFED]] – napredni komercijalni alat za ekstrakciju podataka.
 +
 +- [[https://www.oxygen-forensic.com/|Oxygen Forensic Detective]] – alat za dubinsku analizu aplikacija i podataka.
 +
 +- [[https://www.wideanglesoftware.com/ibackupextractor/|iBackup Extractor]] – osnovni alat za pregled iOS backup-a.
 +
 +=== Forumi i zajednice ===
 +- [[https://www.forensicfocus.com/|Forensic Focus]] – forum posvećen digitalnoj forenzici.
 +
 +- [[https://www.reddit.com/r/digitalforensics/|Reddit r/digitalforensics]] – diskusije o alatima i tehnikama.
 +
 +- [[https://forum.xda-developers.com/|XDA Developers]] – korisne teme o iOS datotečnom sustavu.
  
 ===== Zaključak ===== ===== Zaključak =====
  
 Alat ILEAPP značajan je dodatak arsenalu forenzičkih alata za iOS uređaje. Njegova sposobnost detaljne analize logova i drugih artefakata omogućuje istražiteljima učinkovitiju i precizniju obradu mobilnih podataka. Iako postoje određena ograničenja, prednosti koje pruža čine ga ključnim alatom u forenzičkim istragama. Alat ILEAPP značajan je dodatak arsenalu forenzičkih alata za iOS uređaje. Njegova sposobnost detaljne analize logova i drugih artefakata omogućuje istražiteljima učinkovitiju i precizniju obradu mobilnih podataka. Iako postoje određena ograničenja, prednosti koje pruža čine ga ključnim alatom u forenzičkim istragama.
 +
 +===== Video prezentacija =====
 +[[https://ferhr-my.sharepoint.com/:v:/g/personal/ph53495_fer_hr/EcoUt8v1DFNLiq0WVnRhQeUBwgg84ehZ-Ym1e-xVhbtjbg?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=dxAgVA|Video prezentacija]]
  
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://github.com/abrignoni/iLEAPP]]  +[1] [[https://github.com/abrignoni/iLEAPP]] 
 + 
 +[2] [[https://developer.apple.com/documentation]] 
 + 
 +[3] [[https://theapplewiki.com/wiki/ITunes_Backup]] 
 + 
 +[4] [[https://www.infosecinstitute.com/resources/digital-forensics/ios-forensics/]] 
  
 ===== ------ ===== ===== ------ =====
Redak 183: Redak 272:
  
 Svakako je alat koji je korisno imati u svom arsenalu alata za forenzičku analizu. Svakako je alat koji je korisno imati u svom arsenalu alata za forenzičku analizu.
 +
 +===== Video prezentacija =====
 +
 +Za korištenje podnaslova (titlova) skinuti datoteku i lokalno pokrenuti u programu koji podržava podnaslove (npr. VLC): [[https://ferhr-my.sharepoint.com/:v:/g/personal/fm52761_fer_hr/ET9irJeg74hBhWV9l0GA4qoB0wKhk0xTTlFtBrHEsL9VxA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=ePn8hU|Video prezentacija]]
  
 ===== Literatura ===== ===== Literatura =====
racfor_wiki/seminari2024/forenzika_ios-a_-_alat_ileapp.1737927368.txt.gz · Zadnja izmjena: 2025/01/26 21:36 od Hotovec Petar
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0