Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:gl55067 [2026/02/01 20:06] Gabriel Leko [Vrijeme stvaranja/Vrijeme rođenja (mtime)] |
racfor_wiki:seminari2025:gl55067 [2026/02/01 20:07] (trenutno) Gabriel Leko [Niskorazinska manipulacija vremenskim oznakama] |
||
|---|---|---|---|
| Redak 116: | Redak 116: | ||
| postavlja atime i mtime na određeni datum i vrijeme. Ctime se automatski ažurira, jer se promjena metapodataka smatra promjenom inode strukture. Iz tog razloga, standardni alati ne mogu izravno promijeniti ctime, što ctime čini otpornijim na jednostavne oblike manipulacije. | postavlja atime i mtime na određeni datum i vrijeme. Ctime se automatski ažurira, jer se promjena metapodataka smatra promjenom inode strukture. Iz tog razloga, standardni alati ne mogu izravno promijeniti ctime, što ctime čini otpornijim na jednostavne oblike manipulacije. | ||
| - | {{: | + | | {{: |
| + | | Slika br. 5 – Ručna izmjena vremenskih oznaka datoteke naredbom touch | | ||
| Sličnu funkcionalnost imaju alati za kopiranje i sinkronizaciju datoteka poput cp (uz opciju -p) i rsync (uz opciju -a) koji mogu očuvati izvorne vremenske oznake tijekom prijenosa podataka. Takva funkcionalnost često se koristi u legitimne svrhe, ali može otežati forenzičku analizu jer vremenske oznake ne prikazuju stvarni trenutak kopiranja datoteka. | Sličnu funkcionalnost imaju alati za kopiranje i sinkronizaciju datoteka poput cp (uz opciju -p) i rsync (uz opciju -a) koji mogu očuvati izvorne vremenske oznake tijekom prijenosa podataka. Takva funkcionalnost često se koristi u legitimne svrhe, ali može otežati forenzičku analizu jer vremenske oznake ne prikazuju stvarni trenutak kopiranja datoteka. | ||
| Redak 123: | Redak 124: | ||
| Vremenskim oznakama može se manipulirati i na razini datotečnog sustava s pomoću opcija montiranja (mount). Opcije montiranja (mount options) su parametri koji se definiraju prilikom montiranja datotečnog sustava i određuju kako će se sustav ponašati tijekom rada. Najučestalije opcije su atime, noatime, relatime. Opcija noatime postavlja zabranu ažuriranja atime oznake prilikom pristupa datotekama. Time zlonamjerni napadači na računalne sustave mogu značajno utjecati na interpretaciju atime oznaka. Takve opcije prvenstveno služe za poboljšanje performansi, | Vremenskim oznakama može se manipulirati i na razini datotečnog sustava s pomoću opcija montiranja (mount). Opcije montiranja (mount options) su parametri koji se definiraju prilikom montiranja datotečnog sustava i određuju kako će se sustav ponašati tijekom rada. Najučestalije opcije su atime, noatime, relatime. Opcija noatime postavlja zabranu ažuriranja atime oznake prilikom pristupa datotekama. Time zlonamjerni napadači na računalne sustave mogu značajno utjecati na interpretaciju atime oznaka. Takve opcije prvenstveno služe za poboljšanje performansi, | ||
| - | {{: | + | | {{: |
| + | | Slika br. 6 – Utjecaj opcija montiranja na vremenske oznake datoteka | | ||
| Slika prikazuje da opcije montiranja datotečnog sustava utječu na ponašanje vremenskih oznaka datoteka. Pri korištenju opcije relatime, oznaka vremena pristupa (atime) ažurira se nakon čitanja datoteke, dok oznake promjene sadržaja (mtime) i metapodataka (ctime) ostaju nepromijenjene. | Slika prikazuje da opcije montiranja datotečnog sustava utječu na ponašanje vremenskih oznaka datoteka. Pri korištenju opcije relatime, oznaka vremena pristupa (atime) ažurira se nakon čitanja datoteke, dok oznake promjene sadržaja (mtime) i metapodataka (ctime) ostaju nepromijenjene. | ||
| Redak 131: | Redak 133: | ||
| Osim debugfs-a, vremenskim oznakama može se upravljati i izravnom izmjenom diskovne slike pomoću heksadecimalnih editora. Ova metoda koristi se uglavnom u istraživačke ili forenzičke svrhe, ali ju napadači mogu iskoristiti za naprednije anti-forenzičke napade. Takva manipulacija ostavlja vrlo malo tragova na razini operacijskog sustava, no često se može otkriti analizom journaling zapisa ili nedosljednosti između različitih vremenskih oznaka | Osim debugfs-a, vremenskim oznakama može se upravljati i izravnom izmjenom diskovne slike pomoću heksadecimalnih editora. Ova metoda koristi se uglavnom u istraživačke ili forenzičke svrhe, ali ju napadači mogu iskoristiti za naprednije anti-forenzičke napade. Takva manipulacija ostavlja vrlo malo tragova na razini operacijskog sustava, no često se može otkriti analizom journaling zapisa ili nedosljednosti između različitih vremenskih oznaka | ||
| - | {{: | + | | {{: |
| + | | Slika br. 7 – Forenzički prikaz inode metapodataka u ext4 sustavu | | ||
| Prikaz inode strukture i vremenskih oznaka datoteke s pomoću alata debugfs, koji omogućuje niskorazinski pristup metapodacima datotečnog sustava | Prikaz inode strukture i vremenskih oznaka datoteke s pomoću alata debugfs, koji omogućuje niskorazinski pristup metapodacima datotečnog sustava | ||