Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2025:fk54115 [2026/01/23 15:31]
Frane Kuzmanić [Analiza ZIP arhiva]
+++ racfor_wiki:seminari2025:fk54115 [2026/01/23 15:45] (trenutno)
Frane Kuzmanić [Literatura]
@@ Redak 47: / Redak 47: @@
 | Accessed   | Vrijeme zadnjeg pristupa                  | 10-01-2026  14:20   |
 | Created    | Vrijeme kreiranja (ne uvijek pouzdano)    | 10-01-2026  14:20   |
+===== Analiza RAR arhiva =====
+Analizu RAR arhive pokazat ćemo na temelju korištenja WinRAR alata. WinRAR je popularan softver za kompresiju datoteka koji koristi format RAR, često u kombinaciji s ZIP formatom.
+Format RAR često koriste napadači zato što omogućuje zaštitu lozinkom koja šifrira cijeli sadržaj datoteka te vrlo učinkovitu kompresiju s relativno malim otiskom podataka. Slučaj je takav da bez lozinke ni jedan od uobičajenih alata (ExifTool, FTK Imager, 7-Zip) ne može otkriti sadržaj RAR arhiva koje su zaštićene lozinkom pa čak ni metapodatke o datotekama, jer su svi podaci enkriptirani. To otežava forenzičku analizu jer forenzičari ne mogu dobiti uvid u unutarnje strukture ili vremenske oznake dok se ne dođe do lozinke.
+Kada se RAR datoteka uspije otvoriti s lozinkom WinRAR može otkriti vrijeme posljednje izmjene originalne datoteke točan do sekunde. Međutim, situacija s drugim vremenskim oznakama ("Created" ili "Accessed") može biti drugačija. "Created" oznaka često ne odgovara stvarnoj originalnoj oznaci, nego se umjesto toga pojavi kao kopija "Accessed" oznaka, što smo viđali u prethodnim primjerima.
+Jedna interesantna opcija koju WinRAR pruža je uklanjanje svih vremenskih oznaka tijekom stvaranja RAR datoteke. Kada osoba ukloni te oznake, forenzičar ostaje „slijep“ na vremenski trag datoteka unutar arhive te jedino što ostaje je naziv datoteke nakon unošenja lozinke. To znači da napadač svjesno može ukloniti svaki vremenski trag informacija čime se dodatno otežava analiza i rekonstrukcija događaja u istrazi.
@@ Redak 53: / Redak 63: @@
 ===== Zaključak =====
+Forenzička analiza ZIP/RAR arhiva je značajan dio digitalne forenzike, posebno u istragama koje uključuju komprimirane podatke. Metode analize uključuju ekstrakciju sadržaja, pregled metapodataka i upotrebu specijaliziranih alata. Iako arhivski formati nude efikasan način za pohranu i prijenos podataka, oni također mogu služiti za skrivanje dokaza što onda dodatno povećava teret i težinu forenzičarima u istragama.
 ===== Literatura =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[https://blog.joshlemon.com.au/forensically-analyzing-zip-compressed-files-7ebe4e9c1647|Josh Lemon, Forensically Analyzing ZIP & Compressed Files]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[2] [[https://www.mailxaminer.com/blog/zip-file-forensics|Tej Pratap Shukla i Anuraag Singh, ZIP File Forensics – Analyze & Extract Evidence from Archive]]
+[3] [[https://www.cis.hr/www.edicija/Osnoveraunalneforenzikeanalize.html|Osnove računalne forenzičke analize, CIS edicija]]
+[4] [[https://arxiv.org/abs/2010.07754|De Gaspari i suradnici, EnCoD: Distinguishing Compressed and Encrypted File Fragments, arXiv]]

racfor_wiki/seminari2025/fk54115.1769182313.txt.gz · Zadnja izmjena: 2026/01/23 15:31 od Frane Kuzmanić