Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:gl55067 [2026/02/01 19:56] Gabriel Leko [Utjecaj opcija montiranja datotečnog sustava] |
racfor_wiki:seminari2025:gl55067 [2026/02/01 20:07] (trenutno) Gabriel Leko [Niskorazinska manipulacija vremenskim oznakama] |
||
|---|---|---|---|
| Redak 19: | Redak 19: | ||
| Datotečni sustavi ext2 i ext3 gotovo su identične osnovne strukture te se često označavaju kao ExtX. Oba sustava koriste se blokovima, koji se sastoje od više diskovnih sektora, pri čemu su podržane veličine blokova od 1024, 2048 i 4096 bajtova. Blokovi su organizirani u blok-grupe, koje predstavljaju osnovnu topološku jedinicu datotečnog sustava. | Datotečni sustavi ext2 i ext3 gotovo su identične osnovne strukture te se često označavaju kao ExtX. Oba sustava koriste se blokovima, koji se sastoje od više diskovnih sektora, pri čemu su podržane veličine blokova od 1024, 2048 i 4096 bajtova. Blokovi su organizirani u blok-grupe, koje predstavljaju osnovnu topološku jedinicu datotečnog sustava. | ||
| - | {{: | + | | {{: |
| + | | Slika 2 - Slika br. 1 – Struktura ext4 particije i blok-grupa | | ||
| Svaka blok-grupa sadrži: | Svaka blok-grupa sadrži: | ||
| Redak 39: | Redak 40: | ||
| * ordered - očuvanje samo metapodataka, | * ordered - očuvanje samo metapodataka, | ||
| - | {{: | + | | {{: |
| + | | Slika br. 2 – Journaling mehanizam u ext4 datotečnom sustavu | | ||
| ==== ext4 ==== | ==== ext4 ==== | ||
| Redak 49: | Redak 51: | ||
| Kada datoteka postane raspršena po disku ili naraste izvan kapaciteta četiri extent zapisa dostupna u standardnom inodeu, ext4 aktivira strukturu extent stabla. Inode tada postaje korijen stabla čiji se dodatni čvorovi i krajnji listovi pohranjuju u zasebnim blokovima. Ova hijerarhijska organizacija omogućuje fleksibilno praćenje i najkompleksnijih obrazaca alokacije, uz ugrađene mehanizme za provjeru valjanosti i očuvanje konzistentnosti podataka. | Kada datoteka postane raspršena po disku ili naraste izvan kapaciteta četiri extent zapisa dostupna u standardnom inodeu, ext4 aktivira strukturu extent stabla. Inode tada postaje korijen stabla čiji se dodatni čvorovi i krajnji listovi pohranjuju u zasebnim blokovima. Ova hijerarhijska organizacija omogućuje fleksibilno praćenje i najkompleksnijih obrazaca alokacije, uz ugrađene mehanizme za provjeru valjanosti i očuvanje konzistentnosti podataka. | ||
| - | {{: | + | | {{: |
| + | | Slika br. 3 – Extent struktura unutar ext4 inode zapisa | | ||
| Tradicionalni ext sustavi zahtijevali su da svaka blok-grupa čuva vlastite metapodatke unutar svojih granica, što je ograničavalo fleksibilnost pri alokaciji. Ext4 rješava ovaj problem uvođenjem fleksibilnih blok-grupa, odnosno mehanizma koji dopušta grupiranje metapodataka više blok-grupa na jedno mjesto. Praktična posljedica jest mogućnost stvaranja velikih neprekinutih područja za korisničke podatke, budući da metapodaci više ne " | Tradicionalni ext sustavi zahtijevali su da svaka blok-grupa čuva vlastite metapodatke unutar svojih granica, što je ograničavalo fleksibilnost pri alokaciji. Ext4 rješava ovaj problem uvođenjem fleksibilnih blok-grupa, odnosno mehanizma koji dopušta grupiranje metapodataka više blok-grupa na jedno mjesto. Praktična posljedica jest mogućnost stvaranja velikih neprekinutih područja za korisničke podatke, budući da metapodaci više ne " | ||
| Redak 93: | Redak 96: | ||
| - | {{: | + | | {{: |
| + | | Slika br. 4 – Prikaz vremenskih oznaka datoteke koristeći se naredbom stat | | ||
| ==== Forenzički značaj timestampova ==== | ==== Forenzički značaj timestampova ==== | ||
| Redak 112: | Redak 116: | ||
| postavlja atime i mtime na određeni datum i vrijeme. Ctime se automatski ažurira, jer se promjena metapodataka smatra promjenom inode strukture. Iz tog razloga, standardni alati ne mogu izravno promijeniti ctime, što ctime čini otpornijim na jednostavne oblike manipulacije. | postavlja atime i mtime na određeni datum i vrijeme. Ctime se automatski ažurira, jer se promjena metapodataka smatra promjenom inode strukture. Iz tog razloga, standardni alati ne mogu izravno promijeniti ctime, što ctime čini otpornijim na jednostavne oblike manipulacije. | ||
| - | {{: | + | | {{: |
| + | | Slika br. 5 – Ručna izmjena vremenskih oznaka datoteke naredbom touch | | ||
| Sličnu funkcionalnost imaju alati za kopiranje i sinkronizaciju datoteka poput cp (uz opciju -p) i rsync (uz opciju -a) koji mogu očuvati izvorne vremenske oznake tijekom prijenosa podataka. Takva funkcionalnost često se koristi u legitimne svrhe, ali može otežati forenzičku analizu jer vremenske oznake ne prikazuju stvarni trenutak kopiranja datoteka. | Sličnu funkcionalnost imaju alati za kopiranje i sinkronizaciju datoteka poput cp (uz opciju -p) i rsync (uz opciju -a) koji mogu očuvati izvorne vremenske oznake tijekom prijenosa podataka. Takva funkcionalnost često se koristi u legitimne svrhe, ali može otežati forenzičku analizu jer vremenske oznake ne prikazuju stvarni trenutak kopiranja datoteka. | ||
| Redak 119: | Redak 124: | ||
| Vremenskim oznakama može se manipulirati i na razini datotečnog sustava s pomoću opcija montiranja (mount). Opcije montiranja (mount options) su parametri koji se definiraju prilikom montiranja datotečnog sustava i određuju kako će se sustav ponašati tijekom rada. Najučestalije opcije su atime, noatime, relatime. Opcija noatime postavlja zabranu ažuriranja atime oznake prilikom pristupa datotekama. Time zlonamjerni napadači na računalne sustave mogu značajno utjecati na interpretaciju atime oznaka. Takve opcije prvenstveno služe za poboljšanje performansi, | Vremenskim oznakama može se manipulirati i na razini datotečnog sustava s pomoću opcija montiranja (mount). Opcije montiranja (mount options) su parametri koji se definiraju prilikom montiranja datotečnog sustava i određuju kako će se sustav ponašati tijekom rada. Najučestalije opcije su atime, noatime, relatime. Opcija noatime postavlja zabranu ažuriranja atime oznake prilikom pristupa datotekama. Time zlonamjerni napadači na računalne sustave mogu značajno utjecati na interpretaciju atime oznaka. Takve opcije prvenstveno služe za poboljšanje performansi, | ||
| - | {{: | + | | {{: |
| + | | Slika br. 6 – Utjecaj opcija montiranja na vremenske oznake datoteka | | ||
| Slika prikazuje da opcije montiranja datotečnog sustava utječu na ponašanje vremenskih oznaka datoteka. Pri korištenju opcije relatime, oznaka vremena pristupa (atime) ažurira se nakon čitanja datoteke, dok oznake promjene sadržaja (mtime) i metapodataka (ctime) ostaju nepromijenjene. | Slika prikazuje da opcije montiranja datotečnog sustava utječu na ponašanje vremenskih oznaka datoteka. Pri korištenju opcije relatime, oznaka vremena pristupa (atime) ažurira se nakon čitanja datoteke, dok oznake promjene sadržaja (mtime) i metapodataka (ctime) ostaju nepromijenjene. | ||
| Redak 127: | Redak 133: | ||
| Osim debugfs-a, vremenskim oznakama može se upravljati i izravnom izmjenom diskovne slike pomoću heksadecimalnih editora. Ova metoda koristi se uglavnom u istraživačke ili forenzičke svrhe, ali ju napadači mogu iskoristiti za naprednije anti-forenzičke napade. Takva manipulacija ostavlja vrlo malo tragova na razini operacijskog sustava, no često se može otkriti analizom journaling zapisa ili nedosljednosti između različitih vremenskih oznaka | Osim debugfs-a, vremenskim oznakama može se upravljati i izravnom izmjenom diskovne slike pomoću heksadecimalnih editora. Ova metoda koristi se uglavnom u istraživačke ili forenzičke svrhe, ali ju napadači mogu iskoristiti za naprednije anti-forenzičke napade. Takva manipulacija ostavlja vrlo malo tragova na razini operacijskog sustava, no često se može otkriti analizom journaling zapisa ili nedosljednosti između različitih vremenskih oznaka | ||
| - | {{: | + | | {{: |
| + | | Slika br. 7 – Forenzički prikaz inode metapodataka u ext4 sustavu | | ||
| - | Prikaz inode strukture i vremenskih oznaka datoteke pomoću alata debugfs, koji omogućuje niskorazinski pristup metapodacima datotečnog sustava | + | Prikaz inode strukture i vremenskih oznaka datoteke |
| ==== Timestomping kao anti-forenzička tehnika ==== | ==== Timestomping kao anti-forenzička tehnika ==== | ||
| Timestomp je najpoznatiji naziv za tehniku mijenjanja vremenskih oznaka datoteka kako bi napadač omogućio brisanje ili mijenjanje tragova koje ostavi na uređaju. Cilj timestompinga je promijeniti karakteristike datoteke kako bi izgledale kao da su postojale ranije ili da pripadaju legitimnim datotekama. Time je forenzičkim alatima otežana analiza anomalija u vremenskim atributima datoteka. | Timestomp je najpoznatiji naziv za tehniku mijenjanja vremenskih oznaka datoteka kako bi napadač omogućio brisanje ili mijenjanje tragova koje ostavi na uređaju. Cilj timestompinga je promijeniti karakteristike datoteke kako bi izgledale kao da su postojale ranije ili da pripadaju legitimnim datotekama. Time je forenzičkim alatima otežana analiza anomalija u vremenskim atributima datoteka. | ||
| Redak 148: | Redak 155: | ||
| [5] [[https:// | [5] [[https:// | ||
| [6] [[https:// | [6] [[https:// | ||
| + | [7] [[https:// | ||