Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:mobile_verification_toolkit [2025/01/26 21:57] Arambašić Marela [Literatura] |
racfor_wiki:seminari2024:mobile_verification_toolkit [2025/01/27 00:06] (trenutno) Arambašić Marela [Video prezentacija] |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| ===== Mobile Verification Toolkit ===== | ===== Mobile Verification Toolkit ===== | ||
| + | |||
| + | ===== Video prezentacija ===== | ||
| + | [[https:// | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| + | MVT (Mobile Verification Toolkit) je skup programa za forenzičku analizu mobilnih Android ili iOS uređaja. Cilj forenzičke analize jest otkrivanje zlonamjernih aplikacija ili sumnjivih tragova na uređaju. U opsegu forenzičke analize, ključne značajke koje nudi su parsiranje zapisa sustava, analiza aplikacija, generiranje zapisnika i usporedba s poznatim indikatorima kompromitiranosti uređaja. | ||
| + | |||
| + | Rad opisuje Cellebrite UFED i Autopsy alate, te ih uspoređuje s MVT-om. Ističe se moćan opseg forenzičke analize koju nudi MVT, kao i aspekt otvorenog koda, ali i nedostatci alata u pogledu potrebnog korisničkog znanja i razine pristupa koja se zahtjeva uređaju za efikasnu analizu. | ||
| + | |||
| + | Primjer korištenja MVT alata provodi se iz perspektive korisnika na macOS uređaju koji je odlučio analizirati kopiju podataka generiranu s iTunes aplikacijom. Korisnik kroz primjer instalira alat i potrebne ovisnosti alata, generira enkriptiranu kopiju sustava, koristi alat za analizu kopije, te naposljetku iskorištava alat za detekciju zlonamjernih indikatora, tako što uspoređuje rezultat analize kopije s javno dostupnim indikatorima kompromitiranosti. | ||
| + | Rad donosi zaključak da MVT predstavlja moćan alat za forenzičku analizu macOS i Android uređaja, ali istovremeno nije prikladan za korisnike koji nemaju potrebno znanje u području forenzičke analize. Kao nedostatak se također ističe potencijalni negativan utjecaj na uređaje nad kojima se vrši analiza, te nedostatak izvorne podrške alata za Windows operacijski sustav. | ||
| Redak 49: | Redak 58: | ||
| **Ključne značajke**: | **Ključne značajke**: | ||
| - | * __Široka primjena__: analizu različitih digitalnih medija i datotečnih sustava | + | * __Široka primjena__: analizu različitih digitalnih medija i datotečnih sustava, poput poruka kao na slici 1 |
| * __Modularni dizajn__: proširenje funkcionalnosti putem dodataka | * __Modularni dizajn__: proširenje funkcionalnosti putem dodataka | ||
| * __Android Analyzer modul__: osnovna podrška za analizu Android uređaja | * __Android Analyzer modul__: osnovna podrška za analizu Android uređaja | ||
| + | {{: | ||
| + | |||
| + | **//Slika 1. Primjer analize poruka korištenjem alata Autopsy [5]//** | ||
| Iako alati poput Autopsy-a i Cellebrite-a nude različita rješenja za ekstrakciju i analizu podataka, MVT ostaje nezamjenjiv za korisnike koji traže besplatan, prilagodljiv alat otvorenog koda, s posebnim naglaskom na prepoznavanje špijunskog softvera. | Iako alati poput Autopsy-a i Cellebrite-a nude različita rješenja za ekstrakciju i analizu podataka, MVT ostaje nezamjenjiv za korisnike koji traže besplatan, prilagodljiv alat otvorenog koda, s posebnim naglaskom na prepoznavanje špijunskog softvera. | ||
| Redak 106: | Redak 118: | ||
| == iTunes kopija na MacOS == | == iTunes kopija na MacOS == | ||
| - | Korištenjem iTunes aplikacije korisnik može započeti stvaranje kopije, uz preporuku da izabere enkriptirani način jer on omogućuje uvid u dodatne podatke. Na slici je prikazano sučelje iTunes aplikacije za primjerno stvaranje kopije. | + | Korištenjem iTunes aplikacije korisnik može započeti stvaranje kopije, uz preporuku da izabere enkriptirani način jer on omogućuje uvid u dodatne podatke. Na slici 2 je prikazano sučelje iTunes aplikacije za primjerno stvaranje kopije. |
| - | Slika: iTunes sučelje za stvaranje kopije | + | {{:racfor_wiki: |
| + | |||
| + | **//Slika 2. iTunes sučelje za stvaranje kopije | ||
| Nakon stvaranje kopije, korisnik treba premjestiti kopiju u direktorij u kojem ga MVT alat može analizirati. Na macOS, kopija se stvara na putanji ‘~/ | Nakon stvaranje kopije, korisnik treba premjestiti kopiju u direktorij u kojem ga MVT alat može analizirati. Na macOS, kopija se stvara na putanji ‘~/ | ||
| Redak 123: | Redak 137: | ||
| Rezultat analize je niz JSON datoteka koji sadrže analizu pojedinih elemenata sustava. Primjer nekoliko rezultirajućih JSON datoteka su backup_info.json (podatci o uređaju), calls.json (podatci o pozivima), contacts.json (podatci o kontaktima), | Rezultat analize je niz JSON datoteka koji sadrže analizu pojedinih elemenata sustava. Primjer nekoliko rezultirajućih JSON datoteka su backup_info.json (podatci o uređaju), calls.json (podatci o pozivima), contacts.json (podatci o kontaktima), | ||
| - | Korisnik naposljetku treba usporediti rezultate analize kopije sa STIX (Structured Threat Information Expression) datotekama radi detekcije potencijalnih tragova kompromisa. STIX je jezik za razmjenu indikatora kibernetičkih prijetnji, stoga korisnik treba preuzeti .stix datoteke za koje želi napraviti usporedbu s javno dostupnih repozitorija. | + | Korisnik naposljetku treba usporediti rezultate analize kopije sa STIX (Structured Threat Information Expression) datotekama radi detekcije potencijalnih tragova kompromisa. STIX je jezik za razmjenu indikatora kibernetičkih prijetnji, stoga korisnik treba preuzeti .stix2 datoteke za koje želi napraviti usporedbu s javno dostupnih repozitorija. |
| AmnestyTech Github repozitorij predstavlja jedan takav primjer poznatih repozitorija koji sadrži STIX indikatore, kao rezultat njihovih istraga. | AmnestyTech Github repozitorij predstavlja jedan takav primjer poznatih repozitorija koji sadrži STIX indikatore, kao rezultat njihovih istraga. | ||
| Redak 134: | Redak 148: | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| + | Mobile Verification Toolkit (MVT) predstavlja moćan alat za forenzičku analizu Android i iOS uređaja, u cilju otkrivanja tragova malware-a i sumnjivih aktivnosti. Njegova fleksibilnost i mogućnost detaljne analize podataka sadržanih na uređaju omogućava korisnicima da efikasno istraže sumnjive aplikacije, procese i mrežne aktivnosti. | ||
| + | Mogućnost korištenja alata zajedno sa poznatim indikatorima kibernetičkih prijetnji poput STIX jezika nudi znalcima u području široku mogućnost primjene. | ||
| + | Međutim, korištenje MVT-a zahtjeva određenu razinu domenskog znanja i u nekim slučajevima zahtjeva razinu pristupa koji može imati negativne utjecaje na zdravlje samog uređaja. Uz to, instalacija okruženja za korištenje samog alata nije trivijalno. Alat stoga nije primjeren za jednostavne forenzičke analize uređaja od strane korisnika koji nisu upoznati sa domenom forenzičke analize. | ||
| - | ===== Literatura ===== | + | Alat ne podržava izvorni Windows operacijski sustav; ograničen je na korištenje u Linux/macOS okruženju ili zahtjeva instalaciju dodatnih značajki poput WSL-a. |
| - | [1] [[https:// | + | Zaključno, Mobile Verification Toolkit je koristan alat u borbi protiv mobilnih kibernetičkih prijetnji, no njegova efikasnost ograničena je domenskim znanjem korisnika i omogućenom razinom pristupa podacima na uređaju. |
| + | ===== Literatura ===== | ||
| [1] MVT Project Developers [[https:// | [1] MVT Project Developers [[https:// | ||