Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/25 23:31] Hošnjak Mario [Forenzika RAM memorije] |
racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/27 01:27] (trenutno) Hošnjak Mario [Forenzika Linux desktopa] |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| ===== Forenzika Linux desktopa ===== | ===== Forenzika Linux desktopa ===== | ||
| Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | ||
| + | |||
| + | [[https:// | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| + | U ovom radu obrađena je forenzika Linux sustava, ključno područje računalne forenzike, s naglaskom na analizu datotečnih sustava, RAM memorije, log datoteka te detekciju zlonamjernog softvera i neovlaštenih upada. Posebna pažnja posvećena je očuvanju integriteta dokaza korištenjem metoda poput stvaranja disk i RAM slika pomoću alata kao što su dd, Guymager i Volatility Framework. | ||
| + | |||
| + | Razmatrane su specifičnosti ext datotečnih sustava, uključujući značajke inode strukture i journaling funkcionalnosti kod ext3 i ext4 sustava, koje omogućuju rekonstrukciju i oporavak izbrisanih podataka. U analizi RAM memorije istaknuta je važnost alata poput Volatility Frameworka za identifikaciju aktivnih procesa, mrežnih veza i zlonamjernih aktivnosti. | ||
| + | |||
| + | Analiza log datoteka naglašena je kao ključan korak u rekonstrukciji događaja na sustavu, uz identifikaciju korisničkih aktivnosti i potencijalnih sigurnosnih prijetnji. Korišteni alati, poput chkrootkit, rkhunter i Snorta, omogućuju detekciju malwarea i otkrivanje anomalija u mrežnim aktivnostima. | ||
| + | |||
| + | Zaključno, rad ističe važnost stručnog pristupa i specijaliziranih alata u forenzičkoj analizi Linux desktopa kako bi se osigurala prevencija i učinkovito upravljanje sigurnosnim incidentima. | ||
| Redak 33: | Redak 42: | ||
| Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: | Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: | ||
| - | Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog teksta, i file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. | + | Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog teksta i file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. |
| Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike. | Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike. | ||
| Redak 91: | Redak 100: | ||
| ===== Malware i Intrusion Detection ===== | ===== Malware i Intrusion Detection ===== | ||
| + | |||
| + | Malware (od engl. malicious software) predstavlja softver osmišljen za nanošenje štete, krađu podataka ili neovlašten pristup sustavima. Primjeri malicioznih aktivnosti uključuju ransomware, keyloggere, backdoor programe i rootkitove. Rootkit je vrsta zlonamjernog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad kompromitiranim računalom. Razvijeni su s ciljem da budu nevidljivi na zaraženom računalu. Iako se Linux sustavi često smatraju sigurnijima od Windows sustava, nisu imuni na napade, osobito jer su široko korišteni na poslužiteljima i ključnoj infrastrukturi. Intrusion Detection je proces prepoznavanja neovlaštenog pristupa ili aktivnosti na sustavu. Forenzička analiza usredotočuje se na tragove koji otkrivaju zlonamjerne aktivnosti, poput izmjena u sustavu, neuobičajenih mrežnih komunikacija, | ||
| + | |||
| + | Za otkrivanje malwarea koriste se specijalni alati poput chkrootkit i rkhunter (od engl. rootkit hunter), koji skeniraju sustav tražeći poznate tragove rootkita ili drugih zlonamjernih softverskih komponenti. ClamAV jedan je od najboljih besplatnih antivirusnih alata koji omogućuje detekciju virusa, malwarea i općenito zlonamjernih programa na Linux sustavu. Lynis je open-source alat za sigurnosni audit UNIX/Linux sustava koji provodi detaljne sigurnosne provjere, identificira ranjivosti i nudi preporuke za unapređenje sigurnosti sustava. Sveobuhvatna analiza ovog alata uključuje provjeru konfiguracija, | ||
| + | |||
| + | Dodatno, IDS (engl. Intrusion Detection Systems) poput open-source alata Snort ili komercijalno dostupnog IBM Security NIPS alata omogućuju otkrivanje neuobičajenih mrežnih aktivnosti pomoću analiza paketa i uzoraka napada. Ovi alati oslanjaju se na unaprijed definirane pravila ili analizu ponašanja kako bi otkrili potencijalne prijetnje. Također, ovi alati održavaju svoje dnevnike, pomoću kojih je ponekad moguće rekonstruirati napad. IDS alati su često zapravo IPS (engl. Intrusion Prevention Systems), jer moderni sigurnosni sustavi ne samo da detektiraju prijetnje, već i automatski poduzimaju akcije kako bi spriječili potencijalne napade i neovlašteni pristup. | ||
| - | ===== Usporedba s forenzikom Windows desktopa ===== | ||
| Redak 102: | Redak 116: | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| + | Forenzika Linux sustava predstavlja kompleksno, ali iznimno važno područje u računalnoj forenzici. Kako sigurnosne prijetnje postaju sve sofisticiranije, | ||
| + | |||
| + | Ovaj rad pružio je pregled osnovnih metoda i alata koji se koriste u forenzičkoj analizi Linux desktopa, od osnovne analize log datoteka i artefakata do naprednih tehnika oporavka podataka i analize RAM-a. Poseban naglasak stavljen je na važnost očuvanja integriteta dokaza, što je temelj svakog uspješnog forenzičkog istraživanja. Također, naglašena je uloga specijaliziranih alata kao što su Autopsy, Volatility Framework, chkrootkit, Snort i mnogi drugi, koji omogućuju istražiteljima preciznu analizu i otkrivanje zlonamjernih aktivnosti. | ||
| + | |||
| + | U konačnici, učinkovita primjena forenzičkih alata i metoda ne samo da omogućuje otkrivanje uzroka incidenta nego i pomaže u njegovoj prevenciji, čime se značajno doprinosi sigurnosti informacijskih sustava. | ||
| ===== Literatura ===== | ===== Literatura ===== | ||
| - | [1] [[https://hr.wikipedia.org/wiki/]] | + | [1] Pale, P., Predavanja iz kolegija Računalna Forenzika (Nastavni materijali) - https:// |
| + | |||
| + | [2] Patil, D., Digital Forensic Analysis of Ubuntu File System (2016), International Journal of Cyber-Security and Digital Forensics 5(4): | ||
| + | |||
| + | [3] Creating a Forensic Disk Image with the Linux Guymager Utility (2020) - https://www.cybrary.it/blog/ | ||
| + | |||
| + | [4] Tools memory imaging - https:// | ||
| + | |||
| + | [5] 7 essential Linux forensics artifacts every investigator should know (2024)- https:// | ||
| + | |||
| + | [6] Linux Log Files Location And How Do I View Logs Files on Linux? (2024) - https:// | ||
| + | |||
| + | [7] O rootkit softveru - https:// | ||
| + | [8] 5 Tools to Scan a Linux Server for Malware and Rootkits (2023) - https:// | ||
| + | [9] The Three Best Tools You Need to Scan Your Linux System for Malware (2024) - https:// | ||