| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2022/01/06 22:26]
pcorluka [Zaključak] |
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2024/12/05 12:24] (trenutno)
|
| {{ :racfor_wiki:tor:torrc_notepad.png?400 | Slika 3: Lokacija Tor preglednika u datotečnom sustavu}} | {{ :racfor_wiki:tor:torrc_notepad.png?400 | Slika 3: Lokacija Tor preglednika u datotečnom sustavu}} |
| |
| Daljnom analizom utvrđeno je da web preglednik ostavlja razne vremenske oznake u datotečnom sustavu, no nisu pronađeni nikakvi podatci o povijesti pregledavanja. Nakon deinstalacije direktorij se briše sa datotečnog sustava. Detaljnija analiza i pronalazak tragova instalacije Tor preglednika može se pronaći u [[#Literatura |[1] ]] gdje Aron Warrner //carvea// datoteke alatom [[http://www.x-ways.net/forensics/|X Ways Forensics]] te analizira podatke u heksadecimalnom zapisu. Takvi detalji nisu obuhvaćeni ovim radom. | Daljnom analizom utvrđeno je da web preglednik ostavlja razne vremenske oznake u datotečnom sustavu, no nisu pronađeni nikakvi podatci o povijesti pregledavanja. Nakon deinstalacije direktorij se briše s datotečnog sustava. Detaljnija analiza i pronalazak tragova instalacije Tor preglednika može se pronaći u [[#Literatura |[1] ]] gdje Aron Warrner //carvea// datoteke alatom [[http://www.x-ways.net/forensics/|X Ways Forensics]] te analizira podatke u heksadecimalnom zapisu. Takvi detalji nisu obuhvaćeni ovim radom. |
| ===== Forenzika radne memorije ===== | ===== Forenzika radne memorije ===== |
| Tim koji se bavio forenzikom radne memorije u članku [[#Literatura |[2]]] otkrio je sljedeće tragove korištenja Tor preglednika: | Tim koji se bavio forenzikom radne memorije u članku [[#Literatura |[2]]] otkrio je sljedeće tragove korištenja Tor preglednika: |
| Osim toga navode da ako se Tor preglednik deinstalira neposredno nakon što se koristio moguće je pronaći i sljedeće tragove: | Osim toga navode da ako se Tor preglednik deinstalira neposredno nakon što se koristio moguće je pronaći i sljedeće tragove: |
| |
| * otvarane ili preusmjerene web adresa | * otvarane ili preusmjerene web adrese |
| * komponente koje čine web stranicu kao što su JavaScript programski kod, CSS i slično | * komponente koje čine web stranicu kao što su JavaScript programski kod, CSS i slično |
| * imena preuzetih datoteka i web adrese s kojih su preuzeti | * imena preuzetih datoteka i web adrese s kojih su preuzeti |
| |
| ===== Forenzika registra ===== | ===== Forenzika registra ===== |
| Windows registar je značajan izvor informacija koji sadrži brojne podatke o događajima unutar sustava i vrlo često se pokaže kao pravo mjesto za početak forenzičkih istraga. Podatke sprema pod jedinstvenim ključevima, a oni su vrlo učinkoviti u povezivanju korisnika, vremenskog trenutka i aplikacije. Tim iz [[#Literatura |[2]]] koristio je alate [[https://sourceforge.net/projects/regshot/|Regshot]], [[https://www.nirsoft.net/utils/regscanner.html|RegScanner]], [[https://notepad-plus-plus.org/downloads/|Notepad++]] i [[https://winmerge.org/|WinMerge]] kako bi analizirao snimke registara. Analizom su otkrili da Tor preglednik dodaje osam ključeva registra nakon instalacije i tri dodatna registra vezana za program za instalaciju Tor preglednika koje koristi za vrijeme instalacije. Svi ključevi se zadržavaju u registru i nakon deinstalacije aplikacije. Vrijednosti određenih ključeva mijenjaju se nakon svakog otvaranja i zatvaranja Tor preglednika, a iz njih se može otkriti je li Tor ikada bio instaliran na sustavu te koliko puta je bio pokrenut nakon instalacije. | Windows registar je značajan izvor informacija koji sadrži brojne podatke o događajima unutar sustava i vrlo često se pokaže kao pravo mjesto za početak forenzičkih istraga. Podatke sprema pod jedinstvenim ključevima, a oni su vrlo učinkoviti u povezivanju korisnika, vremenskog trenutka i aplikacije. Tim iz [[#Literatura |[2]]] koristio je alate [[https://sourceforge.net/projects/regshot/|Regshot]], [[https://www.nirsoft.net/utils/regscanner.html|RegScanner]], [[https://notepad-plus-plus.org/downloads/|Notepad++]] i [[https://winmerge.org/|WinMerge]] kako bi analizirao snimke registara. Analizom su otkrili da Tor preglednik dodaje osam ključeva registra nakon instalacije i tri dodatna ključa registra vezana za program za instalaciju Tor preglednika koje koristi za vrijeme instalacije. Svi ključevi se zadržavaju u registru i nakon deinstalacije aplikacije. Vrijednosti određenih ključeva mijenjaju se nakon svakog otvaranja i zatvaranja Tor preglednika, a iz njih se može otkriti je li Tor ikada bio instaliran na sustavu te koliko puta je bio pokrenut nakon instalacije. |
| ===== Zaključak ===== | ===== Zaključak ===== |
| Tor preglednik znatno povećava anonimnost korisnika i vrlo dobro prikriva korisnikove aktivnosti, no i dalje nije potpuno anoniman. Iako su forenzičari iz radova [[#Literatura |[1]]], [[#Literatura |[2]]], [[#Literatura |[3]]] i [[#Literatura |[5]]] provodili istragu nad gotovo idealno tajmiranim snimkama sustava, što nije u skladu s realnim situacijama, uspjeli su pronaći brojne tragove koje Tor preglednik ostavlja na disku, u radnoj memoriji i u Windows registru. Ipak, tvrdnja Mike Peerya da Tor preglednik ne zapisuje nikakve podatke vezane za korisničku aktivnost na internetu u trajnu memoriju prema rezultatima ovih istraživanja se ispostavila istinitom. | Tor preglednik znatno povećava anonimnost korisnika i vrlo dobro prikriva korisnikove aktivnosti, no i dalje nije potpuno anoniman. Iako su forenzičari iz radova [[#Literatura |[1]]], [[#Literatura |[2]]], [[#Literatura |[3]]] i [[#Literatura |[5]]] provodili istragu nad gotovo idealno tajmiranim snimkama sustava, što nije u skladu s realnim situacijama, uspjeli su pronaći brojne tragove koje Tor preglednik ostavlja na disku, u radnoj memoriji i u Windows registru. Ipak, tvrdnja Mike Peerya da Tor preglednik ne zapisuje nikakve podatke vezane za korisničku aktivnost na internetu u trajnu memoriju prema rezultatima ovih istraživanja se ispostavila istinitom. |
