Razlike
Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2022/01/07 18:35]
pcorluka [Forenzika radne memorije] |
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2024/12/05 12:24] (trenutno)
|
| |
| ===== Forenzika registra ===== | ===== Forenzika registra ===== |
| Windows registar je značajan izvor informacija koji sadrži brojne podatke o događajima unutar sustava i vrlo često se pokaže kao pravo mjesto za početak forenzičkih istraga. Podatke sprema pod jedinstvenim ključevima, a oni su vrlo učinkoviti u povezivanju korisnika, vremenskog trenutka i aplikacije. Tim iz [[#Literatura |[2]]] koristio je alate [[https://sourceforge.net/projects/regshot/|Regshot]], [[https://www.nirsoft.net/utils/regscanner.html|RegScanner]], [[https://notepad-plus-plus.org/downloads/|Notepad++]] i [[https://winmerge.org/|WinMerge]] kako bi analizirao snimke registara. Analizom su otkrili da Tor preglednik dodaje osam ključeva registra nakon instalacije i tri dodatna registra vezana za program za instalaciju Tor preglednika koje koristi za vrijeme instalacije. Svi ključevi se zadržavaju u registru i nakon deinstalacije aplikacije. Vrijednosti određenih ključeva mijenjaju se nakon svakog otvaranja i zatvaranja Tor preglednika, a iz njih se može otkriti je li Tor ikada bio instaliran na sustavu te koliko puta je bio pokrenut nakon instalacije. | Windows registar je značajan izvor informacija koji sadrži brojne podatke o događajima unutar sustava i vrlo često se pokaže kao pravo mjesto za početak forenzičkih istraga. Podatke sprema pod jedinstvenim ključevima, a oni su vrlo učinkoviti u povezivanju korisnika, vremenskog trenutka i aplikacije. Tim iz [[#Literatura |[2]]] koristio je alate [[https://sourceforge.net/projects/regshot/|Regshot]], [[https://www.nirsoft.net/utils/regscanner.html|RegScanner]], [[https://notepad-plus-plus.org/downloads/|Notepad++]] i [[https://winmerge.org/|WinMerge]] kako bi analizirao snimke registara. Analizom su otkrili da Tor preglednik dodaje osam ključeva registra nakon instalacije i tri dodatna ključa registra vezana za program za instalaciju Tor preglednika koje koristi za vrijeme instalacije. Svi ključevi se zadržavaju u registru i nakon deinstalacije aplikacije. Vrijednosti određenih ključeva mijenjaju se nakon svakog otvaranja i zatvaranja Tor preglednika, a iz njih se može otkriti je li Tor ikada bio instaliran na sustavu te koliko puta je bio pokrenut nakon instalacije. |
| ===== Zaključak ===== | ===== Zaključak ===== |
| Tor preglednik znatno povećava anonimnost korisnika i vrlo dobro prikriva korisnikove aktivnosti, no i dalje nije potpuno anoniman. Iako su forenzičari iz radova [[#Literatura |[1]]], [[#Literatura |[2]]], [[#Literatura |[3]]] i [[#Literatura |[5]]] provodili istragu nad gotovo idealno tajmiranim snimkama sustava, što nije u skladu s realnim situacijama, uspjeli su pronaći brojne tragove koje Tor preglednik ostavlja na disku, u radnoj memoriji i u Windows registru. Ipak, tvrdnja Mike Peerya da Tor preglednik ne zapisuje nikakve podatke vezane za korisničku aktivnost na internetu u trajnu memoriju prema rezultatima ovih istraživanja se ispostavila istinitom. | Tor preglednik znatno povećava anonimnost korisnika i vrlo dobro prikriva korisnikove aktivnosti, no i dalje nije potpuno anoniman. Iako su forenzičari iz radova [[#Literatura |[1]]], [[#Literatura |[2]]], [[#Literatura |[3]]] i [[#Literatura |[5]]] provodili istragu nad gotovo idealno tajmiranim snimkama sustava, što nije u skladu s realnim situacijama, uspjeli su pronaći brojne tragove koje Tor preglednik ostavlja na disku, u radnoj memoriji i u Windows registru. Ipak, tvrdnja Mike Peerya da Tor preglednik ne zapisuje nikakve podatke vezane za korisničku aktivnost na internetu u trajnu memoriju prema rezultatima ovih istraživanja se ispostavila istinitom. |
