Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2025:fk54115 [2026/01/23 15:22]
Frane Kuzmanić
+++ racfor_wiki:seminari2025:fk54115 [2026/01/23 15:45] (trenutno)
Frane Kuzmanić [Literatura]
@@ Redak 38: / Redak 38: @@
 Sljedeće što možemo koristiti je alat ExifTool. Exiftool pruža polje metapodataka pod nazivom "Datum izmjene Zip datoteke", međutim, datum koji daje nije točno isti kao i bilo koja od originalnih vremenskih oznaka. Najbliži datum koji daje je originalna vremenska oznaka pristupa, ali pomaknuta za 1 - 2 sekundu od originalne datoteke. Razlog tomu je što ZIP format koristi MS-DOS format vremena koji ima rezoluciju od 2 sekunde. To znači da se vrijeme mora zaokružiti pa dolazi do malih odstupanja. Stoga, ExifTool može dati koristan trag, ali vremenska oznaka može biti približna, a ne skroz točna.
+Na kraju, postoji i 7-Zip alat kojim možemo pokušati izvući više informacija od onih koje daju prethodni alati. Ono što 7-Zip omogućava jest da vidimo interne datoteke zajedno s vremenskom oznakom "Modified" koja je točna samo u minutu. Druga opcija koju 7-Zip pruža je opcija "Info" kojom možemo dobiti dodatne detalje o datoteci zajedno s vremenskom oznakom "Modified" koja je zaokružena na paran broj sekunda i najbliža je originalnoj vremenskoj oznaci. Ali opet, vremenska oznaka i dalje ne odgovara potpuno nijednoj od vremenskih oznaka iz originalnog dokumenta.
+Ukoliko je ZIP zaštićen lozinkom FTK Imager i ExifTool daju iste rezultate kao i bez lozinke dok 7-Zip prikazuje više vremenskih oznaka: "Modified", "Accessed", "Created". Problem je taj što oznaka "Created" nije uvijek pouzdana i često se dogodi da se "Created" prikazuje jednaka kao "Accessed", stoga "Created" oznaka se ne smije uzeti kao siguran dokaz bez potvrde drugim izvorima.
+| Polje      | Opis                                      | Primjer vrijednosti |
+| Modified   | Vrijeme zadnje izmjene datoteke           | 10-01-2026  14:22   |
+| Accessed   | Vrijeme zadnjeg pristupa                  | 10-01-2026  14:20   |
+| Created    | Vrijeme kreiranja (ne uvijek pouzdano)    | 10-01-2026  14:20   |
+===== Analiza RAR arhiva =====
+Analizu RAR arhive pokazat ćemo na temelju korištenja WinRAR alata. WinRAR je popularan softver za kompresiju datoteka koji koristi format RAR, često u kombinaciji s ZIP formatom.
+Format RAR često koriste napadači zato što omogućuje zaštitu lozinkom koja šifrira cijeli sadržaj datoteka te vrlo učinkovitu kompresiju s relativno malim otiskom podataka. Slučaj je takav da bez lozinke ni jedan od uobičajenih alata (ExifTool, FTK Imager, 7-Zip) ne može otkriti sadržaj RAR arhiva koje su zaštićene lozinkom pa čak ni metapodatke o datotekama, jer su svi podaci enkriptirani. To otežava forenzičku analizu jer forenzičari ne mogu dobiti uvid u unutarnje strukture ili vremenske oznake dok se ne dođe do lozinke.
+Kada se RAR datoteka uspije otvoriti s lozinkom WinRAR može otkriti vrijeme posljednje izmjene originalne datoteke točan do sekunde. Međutim, situacija s drugim vremenskim oznakama ("Created" ili "Accessed") može biti drugačija. "Created" oznaka često ne odgovara stvarnoj originalnoj oznaci, nego se umjesto toga pojavi kao kopija "Accessed" oznaka, što smo viđali u prethodnim primjerima.
+Jedna interesantna opcija koju WinRAR pruža je uklanjanje svih vremenskih oznaka tijekom stvaranja RAR datoteke. Kada osoba ukloni te oznake, forenzičar ostaje „slijep“ na vremenski trag datoteka unutar arhive te jedino što ostaje je naziv datoteke nakon unošenja lozinke. To znači da napadač svjesno može ukloniti svaki vremenski trag informacija čime se dodatno otežava analiza i rekonstrukcija događaja u istrazi.
@@ Redak 43: / Redak 63: @@
 ===== Zaključak =====
+Forenzička analiza ZIP/RAR arhiva je značajan dio digitalne forenzike, posebno u istragama koje uključuju komprimirane podatke. Metode analize uključuju ekstrakciju sadržaja, pregled metapodataka i upotrebu specijaliziranih alata. Iako arhivski formati nude efikasan način za pohranu i prijenos podataka, oni također mogu služiti za skrivanje dokaza što onda dodatno povećava teret i težinu forenzičarima u istragama.
 ===== Literatura =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[https://blog.joshlemon.com.au/forensically-analyzing-zip-compressed-files-7ebe4e9c1647|Josh Lemon, Forensically Analyzing ZIP & Compressed Files]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[2] [[https://www.mailxaminer.com/blog/zip-file-forensics|Tej Pratap Shukla i Anuraag Singh, ZIP File Forensics – Analyze & Extract Evidence from Archive]]
+[3] [[https://www.cis.hr/www.edicija/Osnoveraunalneforenzikeanalize.html|Osnove računalne forenzičke analize, CIS edicija]]
+[4] [[https://arxiv.org/abs/2010.07754|De Gaspari i suradnici, EnCoD: Distinguishing Compressed and Encrypted File Fragments, arXiv]]

racfor_wiki/seminari2025/fk54115.1769181762.txt.gz · Zadnja izmjena: 2026/01/23 15:22 od Frane Kuzmanić