| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2025:fc54001 [2026/01/23 23:59]
Fran Canjuga [Alati za forenzičku analizu] |
racfor_wiki:seminari2025:fc54001 [2026/01/24 19:17] (trenutno)
Fran Canjuga [Literatura] |
| |
| ===== Sažetak ===== | ===== Sažetak ===== |
| | Ovaj seminarski rad istražuje područje digitalne forenzike web preglednika s pregledom arhitekture pokretača kao što su Chromium, Gecko i WebKit te njihovih metoda. U radu se analizira uloga SQLite baza podataka i JSON datoteka kao formata za bilježenje korisničkih aktivnosti, uključujući povijest pregledavanja, kolačiće, podatke o preuzimanju i spremljene lozinke. Također naglasak je stavljen na forenzički značaj predmemorije u rekonstrukciji vizualnog sadržaja te na mogućnosti povrata obrisanih podataka unutar SQLite struktura. Osim analize artefakata, seminarski rad obrađuje i suvremene izazove poput enkripcije podataka, privatnog načina rada i sinkronizacije u oblaku. Ti noviteti nameću forenzičaru potrebu za korištenjem specijaliziranih alata i naprednih metodologija. Zaključno, rad ukazuje na ključnu ulogu web preglednika kao značajnog i pouzdanog izvora digitalnih dokaza u suvremenim istragama. |
| |
| | Ključne riječi : web preglednik, Chromium, SQLite, kolačići, povijest pregledavanja, predmemorija, enkripcija, privatnost |
| | |
| Ključne riječi : | |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| {{ :racfor_wiki:seminari2025:arhitektura_web_preglednika.png?400 |Arhitektura web preglednika}} | {{ :racfor_wiki:seminari2025:arhitektura_web_preglednika.png?400 |Arhitektura web preglednika}} |
| |
| Moderni preglednici su u potpunosti napustili stare formate tekstualnih datoteka. Danas se većina informacija, poput povijesti pregledavanje, kolačića i podataka o preuzimanju, pohranjuje u SQLite bazama podataka. SQLite je pouzdan i brz alat, ali je značajan za forenzičku analizu jer dopušta povrat obrisanih podataka. Često se događa da zapis koji je korisnik obrisao iz povijesti pregleda i dalje postoji u bazi sve dok ne bude prepisan novim podacima što omogućuje forenzičaru rekonstrukciju aktivnosti korisnika i nakon pokušaja prikrivanja tragova. Preglednici također koriste i JSON format za pohranu statičnijih podataka. JSON se koristi kod upravljanja oznakama (bookmarks) i postavkama ekstenzija. Iako su te datoteke u osnovi tekstualne i naizgled jednostavne, one skrivaju metapodatke o tome kada je neka oznaka dodana ili kada je preglednik zadnji put sinkroniziran s oblakom. | Moderni preglednici su u potpunosti napustili stare formate tekstualnih datoteka. Danas se većina informacija, poput povijesti pregledavanje, kolačića i podataka o preuzimanju, pohranjuje u SQLite bazama podataka. SQLite je pouzdan i brz alat, ali je značajan za forenzičku analizu jer dopušta povrat obrisanih podataka. Često se događa da zapis koji je korisnik obrisao iz povijesti pregleda i dalje postoji u bazi sve dok ne bude prepisan novim podacima što omogućuje forenzičaru rekonstrukciju aktivnosti korisnika i nakon pokušaja prikrivanja tragova. Preglednici također koriste i JSON format za pohranu statičnih podataka. JSON se koristi kod upravljanja oznakama (bookmarks) i postavkama ekstenzija. Iako su te datoteke u osnovi tekstualne i naizgled jednostavne, one skrivaju metapodatke o tome kada je neka oznaka dodana ili kada je preglednik zadnji put sinkroniziran s oblakom. |
| ===== Ključni artefakti za analizu ===== | ===== Ključni artefakti za analizu ===== |
| U forenzici web preglednika, artefakti se dijele prema vrsti informacija koje pružaju o aktivnostima korisnika. Svaki od navedenih elemenata pohranjen je u specifičnim tablicama unutar SQLite baza podataka. | U forenzici web preglednika, artefakti se dijele prema vrsti informacija koje pružaju o aktivnostima korisnika. Svaki od navedenih elemenata pohranjen je u specifičnim tablicama unutar SQLite baza podataka. |
| |
| ==Povijest pregledavanja== | ==Povijest pregledavanja== |
| Ovo je najvažniji artefakt koji zapisuje kretanje korisnika po internetu. Ovdje se mogu pronaći popis URL adresa, naslova stranica, vrijeme posjeta i broj posjeta. Forenzičar može utvrditi je li korisnik svjesno upisao adresu, kliknuo na poveznicu unutar druge stranice ili je na određenu adresu automatski preusmjeren. Povijest pretraživanja otkriva proces razmišljanja i samu namjeru korisnika. | Ovo je najvažniji artefakt koji zapisuje kretanje korisnika po internetu. Ovdje se mogu pronaći popisi URL adresa, naslova stranica, vrijeme posjeta i broj posjeta. Forenzičar može utvrditi je li korisnik svjesno upisao adresu, kliknuo na poveznicu unutar druge stranice ili je na određenu adresu automatski preusmjeren. Povijest pretraživanja otkriva proces razmišljanja i samu namjeru korisnika. |
| |
| {{ :racfor_wiki:seminari2025:browser_history.png?400 |}} | {{ :racfor_wiki:seminari2025:browser_history.png?400 |}} |
| {{ :racfor_wiki:seminari2025:chrome_cache.png?500 |}} | {{ :racfor_wiki:seminari2025:chrome_cache.png?500 |}} |
| |
| Kod složenih istraga koje zahtijevaju poštivanje strogih pravila, standarda i očuvanje lanca dokaza, koriste se sveobuhvatne forenzičke platforme. U ovom slučaju koriste se alati kao što su Magnet AXIOM, Autopsy ili FTK. Ovi sustavi automatski pronalaze i dekodiraju te međusobno povezuju mrežne artefakte. Na primjer platforma može automatski povezati preuzetu datoteku s URL-om s kojeg je došla i ključnom riječi koju je korisnik prethodno upisao u tražilicu. Također ovi alati posjeduju module za dešifriranje lozinki i analizu predmemorije što forenzičaru omogućuje bolju reprezentaciju i vizualizaciju podataka kroz grafove i mape, što može biti ključno na sudu. Korištenjem ovih alata smanjuje se mogućnost da neki dobro skriveni podataka ostane neprimječen. | Kod složenih istraga koje zahtijevaju poštivanje strogih pravila, standarda i očuvanje lanca dokaza, koriste se sveobuhvatne forenzičke platforme. U ovom slučaju koriste se alati kao što su Magnet AXIOM, Autopsy ili FTK. Ovi sustavi automatski pronalaze i dekodiraju te međusobno povezuju mrežne artefakte. Na primjer platforma može automatski povezati preuzetu datoteku s URL-om s kojeg je došla i ključnom riječi koju je korisnik prethodno upisao u tražilicu. Također ovi alati posjeduju module za dešifriranje lozinki i analizu predmemorije što forenzičaru omogućuje bolju reprezentaciju i vizualizaciju podataka kroz grafove i mape, što može biti ključno na sudu. Korištenjem ovih alata smanjuje se mogućnost da neki dobro skriveni podataci ostanu neprimjećeni. |
| |
| {{ :racfor_wiki:seminari2025:autopsy_web_art.png?500 |}} | {{ :racfor_wiki:seminari2025:autopsy_web_art.png?500 |}} |
| ===== Zaključak ===== | ===== Zaključak ===== |
| | Analiza web preglednika danas predstavlja jedan od važnijih sastavnica digitalne forenzike s obzirom na to da su preglednici postali dio svakodnevnog korištenja interneta. Kroz razumijevanje arhitekture pokretača poput Chromiuma, Gecka ili WebKita, forenzičari dobivaju uvid u vizualnu prezentaciju stranica te dobivaju preciznu sliku načina na koji se podaci trajno pohranjuju u memoriju. Uvođenje SQLite i JSON formata omogućilo je standardizaciju pohrane povijesti pregledavanja, kolačića i metapodataka te olakšalo rekonstrukciju korisničkih aktivnosti, čak i u slučajevima kada ih je korisnik pokušao prikriti. |
| | Iako se postiže značajan napredak u razvoju kvalitetnijih alata i metoda digitalne forenzike web preglednika, to područje i dalje predstavlja stalnu borbu između zaštite privatnosti i potreba forenzičkih istraga. Napredni forenzički alati omogućuju automatizaciju i korelaciju dokaza, no i dalje postoje izazovi poput enkripcije podataka, korištenja incognito načina te sinkronizacije podataka u oblaku, što otežava provedbu forenzičkih istraga. Zbog toga se forenzičar ne smije oslanjati isključivo na automatizirane rezultate, već mora imati znanje o tome kako web artefakti nastaju i na koji se način povezuju u cjelinu. |
| | Digitalni tragovi ostavljeni u pregledniku govore puno više od same kronologije posjeta, oni prikazuju namjere, navike i identitet korisnika. Sposobnost precizne ekstrakcije i interpretacije web podataka ostaje ključna za rješavanje suvremenih kibernetičkih i klasičnih kaznenih djela. |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] [[https://www.html5rocks.com/en/tutorials/internals/howbrowserswork/|Garsiel, T. & Irish, P. Dokumentacija. How Browsers Work: Behind the scenes of modern web browsers]] | [1] Garsiel, T. & Irish, P. Dokumentacija. How Browsers Work: Behind the scenes of modern web browsers: [[https://www.html5rocks.com/en/tutorials/internals/howbrowserswork/]] |
| | |
| | [2] CIS.hr. WikiIS. Web forenzika: [[https://www.cis.hr/WikiIS/doku.php?id=web_forenzika]] |
| | |
| | [3] Arhitektura Chromium preglednika :[[https://chromium.googlesource.com/chromium/src/+/HEAD/docs/user_data_dir.md]] |
| | |
| | [4] Struktura Firefox profila (Gecko): [[https://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data]] |
| | |
| | [5] Alat za analizu SQLite podataka (DB Browser): [[https://sqlitebrowser.org/]] |
| |
| [2] [[https://www.cis.hr/WikiIS/doku.php?id=web_forenzika|CIS.hr. WikiIS. Web forenzika]] | [6] Autopsy : [[https://www.autopsy.com/]] |
| |
| [3] | [7] IBM digital forensics : [[https://www.ibm.com/think/topics/digital-forensics]] |
| |
