Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/25 23:56]
Hošnjak Mario [Literatura] 		racfor_wiki:seminari2024:forenzika_linux_desktopa [2025/01/27 01:27] (trenutno)
Hošnjak Mario [Forenzika Linux desktopa]
Redak 1: Redak 1:
 ===== Forenzika Linux desktopa ===== ===== Forenzika Linux desktopa =====
 Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25.
 +
 +[[https://www.youtube.com/watch?v=7_CNzkc5aqI|Video prezentacija]]
 ===== Sažetak ===== ===== Sažetak =====
  
Redak 40: Redak 42:
 Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: vlasnika, dozvole, vremenske oznake te lokacije blokova gdje su stvarni podaci datoteke pohranjeni. Indeksni čvorovi su vrlo važni u forenzičkoj analizi jer je pomoću njih moguće identificirati lokaciju datoteka i njihov sadržaj, povijest izmjena datoteka te potencijalno izbrisane ili fragmentirane podatke.  Za učinkovitu forenzičku analizu Linux sustava, ključno je razumjeti način na koji je datotečni sustav organiziran. Diskovi su podijeljeni na fizičke sektore, koji su najmanje jedinice pohrane podataka na disku. Skup sektora čini particiju, a particijske informacije pohranjuju se u MBR (Master Boot Record) ili GPT (GUID Partition Table), ovisno o tipu diska. Forenzički alati mogu analizirati MBR kako bi identificirali skrivene particije ili modificirane podatke koji ukazuju na prisutnost zlonamjernog softvera ili skrivanja podataka. Koncept svih ext datotečnih sustava zasniva se na blokovima, grupama blokova i indeksnim čvorovima (engl. inode). Inode je glavna podatkovna struktura ext sustava. Svaki objekt u memoriji predstavljen je odgovarajućim indeksnim čvorom. Svaki inode sadrži metapodatke datoteke, uključujući: vlasnika, dozvole, vremenske oznake te lokacije blokova gdje su stvarni podaci datoteke pohranjeni. Indeksni čvorovi su vrlo važni u forenzičkoj analizi jer je pomoću njih moguće identificirati lokaciju datoteka i njihov sadržaj, povijest izmjena datoteka te potencijalno izbrisane ili fragmentirane podatke. 
  
-Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog tekstai file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. +Razumijevanje ovih elemenata omogućava forenzičarima da rekonstruiraju datotečni sustav, prate tok podataka i čak oporave datoteke koje su naizgled izgubljene. Oporavak izbrisanih datoteka relativno je jednostavan kod datotečnih sustava poput ext i ext2, jer oni prilikom brisanja samo uklanjaju referencu na datoteku, dok podaci ostaju netaknuti sve dok nisu pregaženi novim zapisima. Međutim, kod ext3 i ext4 oporavak je mnogo teži ili gotovo nemoguć jer ovi sustavi aktivno prepisuju metapodatke prilikom brisanja, čime uklanjaju ključne informacije potrebne za rekonstrukciju podataka. No, čak i kod ext3 i ext4 postoje načini na koje je moguće vratiti izbrisane podatke, a to su pretraga običnog teksta i file carving po magic numberu datoteka, uz uvjet da podaci nisu fragmentirani. 
  
 Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike. Alati poput extundelete koriste journaling značajku ext3 i ext4 datotečnih sustava za vraćanje podataka iz dnevnika transakcija (engl. journal), gdje se promjene privremeno pohranjuju prije zapisivanja na disk. To omogućuje vraćanje izbrisanih datoteka ako podaci u journalu nisu prepisani, no alat ima ograničenja kod složenijih slučajeva ili sustava bez journaling funkcionalnosti. S druge strane, Autopsy je moćan forenzički alat otvorenog koda koji pruža širok spektar mogućnosti za analizu datotečnih sustava. Omogućuje istražiteljima da pregledavaju strukturu datoteka, analiziraju vremenske oznake, identificiraju korisničke aktivnosti, oporavljaju izbrisane datoteke te pretražuju disk slike.
Redak 99: Redak 101:
 ===== Malware i Intrusion Detection ===== ===== Malware i Intrusion Detection =====
  
-Malware (od engl. malicious software) predstavlja softver osmišljen za nanošenje štete, krađu podataka ili neovlašten pristup sustavima. Primjeri malicioznih aktivnosti uključuju ransomware, keyloggere, backdoor programe i rootkitove. Rootkit je vrsta zlonamjernog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad kompromitiranim računalom. Razvijenu su s ciljem da budu nevidljivi na zaraženom računalu. Iako se Linux sustavi često smatraju sigurnijima od Windows sustava, nisu imuni na napade, osobito jer su široko korišteni na poslužiteljima i ključnoj infrastrukturi. Intrusion Detection je proces prepoznavanja neovlaštenog pristupa ili aktivnosti na sustavu. Forenzička analiza usredotočuje se na tragove koji otkrivaju zlonamjerne aktivnosti, poput izmjena u sustavu, neuobičajenih mrežnih komunikacija, instaliranog malicioznog softvera ili prilagođenih skripti za eksploataciju.+Malware (od engl. malicious software) predstavlja softver osmišljen za nanošenje štete, krađu podataka ili neovlašten pristup sustavima. Primjeri malicioznih aktivnosti uključuju ransomware, keyloggere, backdoor programe i rootkitove. Rootkit je vrsta zlonamjernog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad kompromitiranim računalom. Razvijeni su s ciljem da budu nevidljivi na zaraženom računalu. Iako se Linux sustavi često smatraju sigurnijima od Windows sustava, nisu imuni na napade, osobito jer su široko korišteni na poslužiteljima i ključnoj infrastrukturi. Intrusion Detection je proces prepoznavanja neovlaštenog pristupa ili aktivnosti na sustavu. Forenzička analiza usredotočuje se na tragove koji otkrivaju zlonamjerne aktivnosti, poput izmjena u sustavu, neuobičajenih mrežnih komunikacija, instaliranog malicioznog softvera ili prilagođenih skripti za eksploataciju.
  
 Za otkrivanje malwarea koriste se specijalni alati poput chkrootkit i rkhunter (od engl. rootkit hunter), koji skeniraju sustav tražeći poznate tragove rootkita ili drugih zlonamjernih softverskih komponenti. ClamAV jedan je od najboljih besplatnih antivirusnih alata koji omogućuje detekciju virusa, malwarea i općenito zlonamjernih programa na Linux sustavu. Lynis je open-source alat za sigurnosni audit UNIX/Linux sustava koji provodi detaljne sigurnosne provjere, identificira ranjivosti i nudi preporuke za unapređenje sigurnosti sustava. Sveobuhvatna analiza ovog alata uključuje provjeru konfiguracija, korisničkih računa, firewall-a i softverskih ranjivosti, čime pomaže u otkrivanju ranjivih točaka i jačanju sustava. Za otkrivanje malwarea koriste se specijalni alati poput chkrootkit i rkhunter (od engl. rootkit hunter), koji skeniraju sustav tražeći poznate tragove rootkita ili drugih zlonamjernih softverskih komponenti. ClamAV jedan je od najboljih besplatnih antivirusnih alata koji omogućuje detekciju virusa, malwarea i općenito zlonamjernih programa na Linux sustavu. Lynis je open-source alat za sigurnosni audit UNIX/Linux sustava koji provodi detaljne sigurnosne provjere, identificira ranjivosti i nudi preporuke za unapređenje sigurnosti sustava. Sveobuhvatna analiza ovog alata uključuje provjeru konfiguracija, korisničkih računa, firewall-a i softverskih ranjivosti, čime pomaže u otkrivanju ranjivih točaka i jačanju sustava.
Redak 124: Redak 126:
 [1] Pale, P., Predavanja iz kolegija Računalna Forenzika (Nastavni materijali) - https://www.fer.unizg.hr/predmet/racfor/materijali [1] Pale, P., Predavanja iz kolegija Računalna Forenzika (Nastavni materijali) - https://www.fer.unizg.hr/predmet/racfor/materijali
  
-[2] Patil, D., (2016) Digital Forensic Analysis of Ubuntu File System, International Journal of Cyber-Security and Digital Forensics 5(4):175-186+[2] Patil, D., Digital Forensic Analysis of Ubuntu File System (2016), International Journal of Cyber-Security and Digital Forensics 5(4):175-186 
 + 
 +[3] Creating a Forensic Disk Image with the Linux Guymager Utility (2020) - https://www.cybrary.it/blog/creating-a-forensic-disk-image-using-the-linux-guymager-utility, Pristup: 27.12.2024. 
 + 
 +[4] Tools memory imaging - https://forensics.wiki/tools_memory_imaging/, Pristup: 27.12.2024. 
 + 
 +[5] 7 essential Linux forensics artifacts every investigator should know (2024)- https://www.magnetforensics.com/blog/linux-forensics-artifacts-every-investigator-should-know/, Pristup: 5.1.2025. 
 + 
 +[6] Linux Log Files Location And How Do I View Logs Files on Linux? (2024) - https://www.cyberciti.biz/faq/linux-log-files-location-and-how-do-i-view-logs-files/, Pristup: 5.1.2025. 
 + 
 +[7] O rootkit softveru - https://www.cert.hr/rootkitovi/, Pristup: 20.1.2025. 
 + 
 +[8] 5 Tools to Scan a Linux Server for Malware and Rootkits (2023) - https://www.tecmint.com/scan-linux-for-malware-and-rootkits/, Pristup: 20.1.2025.
  
-[3Creating a Forensic Disk Image with the Linux Guymager Utility - https://www.cybrary.it/blog/creating-a-forensic-disk-image-using-the-linux-guymager-utility, Pristup: 27.12.2024.+[9The Three Best Tools You Need to Scan Your Linux System for Malware (2024) - https://linuxsecurity.com/features/the-three-best-tools-you-need-to-scan-your-linux-system-for-malware, Pristup: 20.1.2025.
racfor_wiki/seminari2024/forenzika_linux_desktopa.1737849362.txt.gz · Zadnja izmjena: 2025/01/25 23:56 od Hošnjak Mario
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0