Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/25 23:39] Hošnjak Mario [Zaključak] |
racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/27 01:27] (trenutno) Hošnjak Mario [Forenzika Linux desktopa] |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| ===== Forenzika Linux desktopa ===== | ===== Forenzika Linux desktopa ===== | ||
| Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | ||
| + | |||
| + | [[https:// | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| + | U ovom radu obrađena je forenzika Linux sustava, ključno područje računalne forenzike, s naglaskom na analizu datotečnih sustava, RAM memorije, log datoteka te detekciju zlonamjernog softvera i neovlaštenih upada. Posebna pažnja posvećena je očuvanju integriteta dokaza korištenjem metoda poput stvaranja disk i RAM slika pomoću alata kao što su dd, Guymager i Volatility Framework. | ||
| + | |||
| + | Razmatrane su specifičnosti ext datotečnih sustava, uključujući značajke inode strukture i journaling funkcionalnosti kod ext3 i ext4 sustava, koje omogućuju rekonstrukciju i oporavak izbrisanih podataka. U analizi RAM memorije istaknuta je važnost alata poput Volatility Frameworka za identifikaciju aktivnih procesa, mrežnih veza i zlonamjernih aktivnosti. | ||
| + | |||
| + | Analiza log datoteka naglašena je kao ključan korak u rekonstrukciji događaja na sustavu, uz identifikaciju korisničkih aktivnosti i potencijalnih sigurnosnih prijetnji. Korišteni alati, poput chkrootkit, rkhunter i Snorta, omogućuju detekciju malwarea i otkrivanje anomalija u mrežnim aktivnostima. | ||
| + | |||
| + | Zaključno, rad ističe važnost stručnog pristupa i specijaliziranih alata u forenzičkoj analizi Linux desktopa kako bi se osigurala prevencija i učinkovito upravljanje sigurnosnim incidentima. | ||
| Redak 33: | Redak 42: | ||
| Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: | Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: | ||
| - | Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog teksta, i file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. | + | Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog teksta i file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. |
| Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike. | Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike. | ||
| Redak 92: | Redak 101: | ||
| ===== Malware i Intrusion Detection ===== | ===== Malware i Intrusion Detection ===== | ||
| - | Malware (od engl. malicious software) predstavlja softver osmišljen za nanošenje štete, krađu podataka ili neovlašten pristup sustavima. Primjeri malicioznih aktivnosti uključuju ransomware, keyloggere, backdoor programe i rootkitove. Rootkit je vrsta zlonamjernog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad kompromitiranim računalom. | + | Malware (od engl. malicious software) predstavlja softver osmišljen za nanošenje štete, krađu podataka ili neovlašten pristup sustavima. Primjeri malicioznih aktivnosti uključuju ransomware, keyloggere, backdoor programe i rootkitove. Rootkit je vrsta zlonamjernog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad kompromitiranim računalom. |
| Za otkrivanje malwarea koriste se specijalni alati poput chkrootkit i rkhunter (od engl. rootkit hunter), koji skeniraju sustav tražeći poznate tragove rootkita ili drugih zlonamjernih softverskih komponenti. ClamAV jedan je od najboljih besplatnih antivirusnih alata koji omogućuje detekciju virusa, malwarea i općenito zlonamjernih programa na Linux sustavu. Lynis je open-source alat za sigurnosni audit UNIX/Linux sustava koji provodi detaljne sigurnosne provjere, identificira ranjivosti i nudi preporuke za unapređenje sigurnosti sustava. Sveobuhvatna analiza ovog alata uključuje provjeru konfiguracija, | Za otkrivanje malwarea koriste se specijalni alati poput chkrootkit i rkhunter (od engl. rootkit hunter), koji skeniraju sustav tražeći poznate tragove rootkita ili drugih zlonamjernih softverskih komponenti. ClamAV jedan je od najboljih besplatnih antivirusnih alata koji omogućuje detekciju virusa, malwarea i općenito zlonamjernih programa na Linux sustavu. Lynis je open-source alat za sigurnosni audit UNIX/Linux sustava koji provodi detaljne sigurnosne provjere, identificira ranjivosti i nudi preporuke za unapređenje sigurnosti sustava. Sveobuhvatna analiza ovog alata uključuje provjeru konfiguracija, | ||
| Redak 115: | Redak 124: | ||
| ===== Literatura ===== | ===== Literatura ===== | ||
| - | [1] [[https://hr.wikipedia.org/wiki/]] | + | [1] Pale, P., Predavanja iz kolegija Računalna Forenzika (Nastavni materijali) - https:// |
| + | |||
| + | [2] Patil, D., Digital Forensic Analysis of Ubuntu File System (2016), International Journal of Cyber-Security and Digital Forensics 5(4): | ||
| + | |||
| + | [3] Creating a Forensic Disk Image with the Linux Guymager Utility (2020) - https://www.cybrary.it/blog/ | ||
| + | |||
| + | [4] Tools memory imaging - https:// | ||
| + | |||
| + | [5] 7 essential Linux forensics artifacts every investigator should know (2024)- https:// | ||
| + | |||
| + | [6] Linux Log Files Location And How Do I View Logs Files on Linux? (2024) - https:// | ||
| + | |||
| + | [7] O rootkit softveru - https:// | ||
| + | [8] 5 Tools to Scan a Linux Server for Malware and Rootkits (2023) - https:// | ||
| + | [9] The Three Best Tools You Need to Scan Your Linux System for Malware (2024) - https:// | ||