| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2025:fc54001 [2026/01/24 00:45]
Fran Canjuga [Literatura] |
racfor_wiki:seminari2025:fc54001 [2026/01/24 19:17] (trenutno)
Fran Canjuga [Literatura] |
| |
| ===== Sažetak ===== | ===== Sažetak ===== |
| | Ovaj seminarski rad istražuje područje digitalne forenzike web preglednika s pregledom arhitekture pokretača kao što su Chromium, Gecko i WebKit te njihovih metoda. U radu se analizira uloga SQLite baza podataka i JSON datoteka kao formata za bilježenje korisničkih aktivnosti, uključujući povijest pregledavanja, kolačiće, podatke o preuzimanju i spremljene lozinke. Također naglasak je stavljen na forenzički značaj predmemorije u rekonstrukciji vizualnog sadržaja te na mogućnosti povrata obrisanih podataka unutar SQLite struktura. Osim analize artefakata, seminarski rad obrađuje i suvremene izazove poput enkripcije podataka, privatnog načina rada i sinkronizacije u oblaku. Ti noviteti nameću forenzičaru potrebu za korištenjem specijaliziranih alata i naprednih metodologija. Zaključno, rad ukazuje na ključnu ulogu web preglednika kao značajnog i pouzdanog izvora digitalnih dokaza u suvremenim istragama. |
| |
| | Ključne riječi : web preglednik, Chromium, SQLite, kolačići, povijest pregledavanja, predmemorija, enkripcija, privatnost |
| | |
| Ključne riječi : | |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| {{ :racfor_wiki:seminari2025:arhitektura_web_preglednika.png?400 |Arhitektura web preglednika}} | {{ :racfor_wiki:seminari2025:arhitektura_web_preglednika.png?400 |Arhitektura web preglednika}} |
| |
| Moderni preglednici su u potpunosti napustili stare formate tekstualnih datoteka. Danas se većina informacija, poput povijesti pregledavanje, kolačića i podataka o preuzimanju, pohranjuje u SQLite bazama podataka. SQLite je pouzdan i brz alat, ali je značajan za forenzičku analizu jer dopušta povrat obrisanih podataka. Često se događa da zapis koji je korisnik obrisao iz povijesti pregleda i dalje postoji u bazi sve dok ne bude prepisan novim podacima što omogućuje forenzičaru rekonstrukciju aktivnosti korisnika i nakon pokušaja prikrivanja tragova. Preglednici također koriste i JSON format za pohranu statičnijih podataka. JSON se koristi kod upravljanja oznakama (bookmarks) i postavkama ekstenzija. Iako su te datoteke u osnovi tekstualne i naizgled jednostavne, one skrivaju metapodatke o tome kada je neka oznaka dodana ili kada je preglednik zadnji put sinkroniziran s oblakom. | Moderni preglednici su u potpunosti napustili stare formate tekstualnih datoteka. Danas se većina informacija, poput povijesti pregledavanje, kolačića i podataka o preuzimanju, pohranjuje u SQLite bazama podataka. SQLite je pouzdan i brz alat, ali je značajan za forenzičku analizu jer dopušta povrat obrisanih podataka. Često se događa da zapis koji je korisnik obrisao iz povijesti pregleda i dalje postoji u bazi sve dok ne bude prepisan novim podacima što omogućuje forenzičaru rekonstrukciju aktivnosti korisnika i nakon pokušaja prikrivanja tragova. Preglednici također koriste i JSON format za pohranu statičnih podataka. JSON se koristi kod upravljanja oznakama (bookmarks) i postavkama ekstenzija. Iako su te datoteke u osnovi tekstualne i naizgled jednostavne, one skrivaju metapodatke o tome kada je neka oznaka dodana ili kada je preglednik zadnji put sinkroniziran s oblakom. |
| ===== Ključni artefakti za analizu ===== | ===== Ključni artefakti za analizu ===== |
| U forenzici web preglednika, artefakti se dijele prema vrsti informacija koje pružaju o aktivnostima korisnika. Svaki od navedenih elemenata pohranjen je u specifičnim tablicama unutar SQLite baza podataka. | U forenzici web preglednika, artefakti se dijele prema vrsti informacija koje pružaju o aktivnostima korisnika. Svaki od navedenih elemenata pohranjen je u specifičnim tablicama unutar SQLite baza podataka. |
| |
| ==Povijest pregledavanja== | ==Povijest pregledavanja== |
| Ovo je najvažniji artefakt koji zapisuje kretanje korisnika po internetu. Ovdje se mogu pronaći popis URL adresa, naslova stranica, vrijeme posjeta i broj posjeta. Forenzičar može utvrditi je li korisnik svjesno upisao adresu, kliknuo na poveznicu unutar druge stranice ili je na određenu adresu automatski preusmjeren. Povijest pretraživanja otkriva proces razmišljanja i samu namjeru korisnika. | Ovo je najvažniji artefakt koji zapisuje kretanje korisnika po internetu. Ovdje se mogu pronaći popisi URL adresa, naslova stranica, vrijeme posjeta i broj posjeta. Forenzičar može utvrditi je li korisnik svjesno upisao adresu, kliknuo na poveznicu unutar druge stranice ili je na određenu adresu automatski preusmjeren. Povijest pretraživanja otkriva proces razmišljanja i samu namjeru korisnika. |
| |
| {{ :racfor_wiki:seminari2025:browser_history.png?400 |}} | {{ :racfor_wiki:seminari2025:browser_history.png?400 |}} |
| {{ :racfor_wiki:seminari2025:chrome_cache.png?500 |}} | {{ :racfor_wiki:seminari2025:chrome_cache.png?500 |}} |
| |
| Kod složenih istraga koje zahtijevaju poštivanje strogih pravila, standarda i očuvanje lanca dokaza, koriste se sveobuhvatne forenzičke platforme. U ovom slučaju koriste se alati kao što su Magnet AXIOM, Autopsy ili FTK. Ovi sustavi automatski pronalaze i dekodiraju te međusobno povezuju mrežne artefakte. Na primjer platforma može automatski povezati preuzetu datoteku s URL-om s kojeg je došla i ključnom riječi koju je korisnik prethodno upisao u tražilicu. Također ovi alati posjeduju module za dešifriranje lozinki i analizu predmemorije što forenzičaru omogućuje bolju reprezentaciju i vizualizaciju podataka kroz grafove i mape, što može biti ključno na sudu. Korištenjem ovih alata smanjuje se mogućnost da neki dobro skriveni podataka ostane neprimječen. | Kod složenih istraga koje zahtijevaju poštivanje strogih pravila, standarda i očuvanje lanca dokaza, koriste se sveobuhvatne forenzičke platforme. U ovom slučaju koriste se alati kao što su Magnet AXIOM, Autopsy ili FTK. Ovi sustavi automatski pronalaze i dekodiraju te međusobno povezuju mrežne artefakte. Na primjer platforma može automatski povezati preuzetu datoteku s URL-om s kojeg je došla i ključnom riječi koju je korisnik prethodno upisao u tražilicu. Također ovi alati posjeduju module za dešifriranje lozinki i analizu predmemorije što forenzičaru omogućuje bolju reprezentaciju i vizualizaciju podataka kroz grafove i mape, što može biti ključno na sudu. Korištenjem ovih alata smanjuje se mogućnost da neki dobro skriveni podataci ostanu neprimjećeni. |
| |
| {{ :racfor_wiki:seminari2025:autopsy_web_art.png?500 |}} | {{ :racfor_wiki:seminari2025:autopsy_web_art.png?500 |}} |
| [2] CIS.hr. WikiIS. Web forenzika: [[https://www.cis.hr/WikiIS/doku.php?id=web_forenzika]] | [2] CIS.hr. WikiIS. Web forenzika: [[https://www.cis.hr/WikiIS/doku.php?id=web_forenzika]] |
| |
| [3] Arhitektura Chromium preglednika [[https://chromium.googlesource.com/chromium/src/+/HEAD/docs/user_data_dir.md]] | [3] Arhitektura Chromium preglednika :[[https://chromium.googlesource.com/chromium/src/+/HEAD/docs/user_data_dir.md]] |
| |
| [4] Struktura Firefox profila (Gecko): [[https://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data]] | [4] Struktura Firefox profila (Gecko): [[https://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data]] |
| |
| [6] Autopsy : [[https://www.autopsy.com/]] | [6] Autopsy : [[https://www.autopsy.com/]] |
| | |
| | [7] IBM digital forensics : [[https://www.ibm.com/think/topics/digital-forensics]] |
| |
