====== Forenzička analiza ZIP/RAR arhiva ======

===== Sažetak =====

ZIP i RAR arhive se često koriste za komprimiranje velikih količina podataka. To služi za uštedu prostora ili jednostavnu razmjenu datoteka. U računalnoj forenzici, ovi arhivski formati mogu biti važan izvor dokaza u istragama kibernetičkog kriminala. To je posebno važno kada se radi o prijenosu, skrivanju ili modificiranju datoteka. Forenzička analiza ZIP i RAR arhiva uključuje nekoliko koraka. Prvo, identificiramo sadržaj arhive. Zatim, izvlačimo i ispitujemo metapodatke. Ti metapodaci mogu biti vremenske oznake, struktura zapisa i povijest izmjena. U ovom radu će se objasniti osnove forenzičke analize arhiva. Također će se razgovarati o alatima i tehnikama koje se koriste u toj analizi. Na kraju će se spomenuti mogućnosti i ograničenja pri analizi ZIP i RAR formata. Korišteni su relevantni izvori o računalnoj forenzici i praktične analize komprimiranih datoteka kako bi se prikazao primjenjiv postupak istraživanja. Na kraju se daje pregled preporuka za daljnje učenje i istraživanje u području forenzike arhiva.

===== Uvod =====

U računalnoj forenzici radi se o pronalaženju, čuvanju te ispitivanju informacija s elektroničkih uređaja kako bi se razjasnili trenuci nepozvanih upada ili ilegalnih radnji. Budući da takvi tragovi brzo mogu biti izmijenjeni, postupci zahtijevaju preciznost i poštovanje zakonski definiranih smjernica. Arhive poput ZIP-a i RAR-a ponekad služe kao skriveni spremnici za velik broj datoteka, a nalaze se u istragama vezanim uz krađu informacija ili širenje opasnih programa. Kroz njihovo dešifriranje često dolazi do podataka koje nije lako primijetiti na prvi pogled. Podatci mogu biti zaključani, preoblikovani ili namjerno sakriveni.

===== Što su Zip i RAR arhive =====

Kada govorimo o kompresiji datoteka, ZIP tehnologija stupa na scenu kao dominantni izbor među korisnicima. Upravo taj oblik oslanja se na algoritam poznat kao DEFLATE kako bi umanjio prostor kojeg sadržaji zauzimaju. Unutar takve arhive lako može biti zastupljeno više dokumenata, sve unutar jedne povezane cjeline. S druge strane, RAR ili Roshalov arhiv dolazi s jačom kompresijom, uz dodatne funkcionalnosti kao što su  višedijelni arhivi i snažnije opcije za šifriranje. Forenzičari moraju znati kako je složena arhiva jer tragovi ostaju duboko u strukturi. Ime dokumenta, vrijeme promjene te postavke pakiranja, svi ti metapodatci mogu služiti pri istrazi. Otkrivanje tog skrivenog sloja često otvara vrata ka ključnim informacijama.


===== Doseg i važnost analize arhiva =====

Analiza arhiva odnosi se na forenzičke istražitelje u policiji ili privatnim tvrtkama, sigurnosne stručnjake koji istražuju incidente i IT stručnjake koji moraju dokumentirati zlonamjerne aktivnosti. Ako se analiza ne provede pravilno ključni dokazi mogu biti ignorirani, izmijenjeni ili izgubljeni. Uzmimo za primjer analizu vremenskih oznaka unutar ZIP/RAR arhiva koja može otkriti točan trenutak kreiranja ili izmjene datoteka što je ustvari ključno za rekonstrukciju događaja u istrazi.

===== Metodologija forenzičke analize ZIP/RAR arhiva =====

Postoje četiri glavna koraka kod računalne forenzike ZIP/RAR arhiva:

  - Prikupljanju se digitalni dokazi stvaranjem bitne kopiju arhiva i tako se osigurava očuvanje izvornih dokaza
  - ZIP/RAR arhive se pretražuju posebnim forenzičkim alatima koji čuvaju metapodatke koji se ekstrahiraju za daljnju analizu.
  - Istražuje se sadržaj arhive, ekstrahirane datoteke i pripadajući metapodaci (vremenske oznake, komentari, strukturalni zapisi).
  - Rezultati se dokumentiraju i pripremaju za sudske ili druge službene procese.

===== Analiza ZIP arhiva =====

ZIP arhive su dosta često korištene. Koriste se za slanje više datoteka odjednom, za smanjenje veličine podataka, ali često i za skrivanje i pakiranje dokaza te distribuciju zlonamjernih datoteka.

Dosta važna stavka iz perspektive računalne forenzike koju ćemo ovdje razmatrati je vremenska oznaka (datum kreacije, pristupa, izmjene). Problem je što se vremenske oznake kod ZIP datoteka ne ponašaju isto kao u datotečnom sustavu operacijskog sustava.

Ako uzmemo za primjer neku pdf datoteku koju smo stvorili i komprimirali u ZIP datoteku pokazat će se vremenska oznaka ZIP datoteke koja označava kada je ZIP napravljen, no nas više zanima vremenska oznaka datoteke unutar ZIP-a. 

Za analizu ZIP datoteke možemo koristiti alat FTK Imager. U FTK Imageru moguće je otvoriti ZIP i vidjeti osnovne informacije datoteke. Nažalost, te informacije nisu baš detaljne, iz perspektive digitalne forenzike to nije baš korisno. FTK Imager također pokazuje vremensku oznaku naziva "Modified" i možemo pretpostaviti da je to ista "Modified" oznaka iz izvorne datoteke. Međutim, teško je reći jer FTK Imager ne daje sekunde, točan je samo u minutu. Stoga, FTK Imager može pomoći kao brzi pregled, ali nije idealan za preciznu vremensku analizu.

Sljedeće što možemo koristiti je alat ExifTool. Exiftool pruža polje metapodataka pod nazivom "Datum izmjene Zip datoteke", međutim, datum koji daje nije točno isti kao i bilo koja od originalnih vremenskih oznaka. Najbliži datum koji daje je originalna vremenska oznaka pristupa, ali pomaknuta za 1 - 2 sekundu od originalne datoteke. Razlog tomu je što ZIP format koristi MS-DOS format vremena koji ima rezoluciju od 2 sekunde. To znači da se vrijeme mora zaokružiti pa dolazi do malih odstupanja. Stoga, ExifTool može dati koristan trag, ali vremenska oznaka može biti približna, a ne skroz točna.

Na kraju, postoji i 7-Zip alat kojim možemo pokušati izvući više informacija od onih koje daju prethodni alati. Ono što 7-Zip omogućava jest da vidimo interne datoteke zajedno s vremenskom oznakom "Modified" koja je točna samo u minutu. Druga opcija koju 7-Zip pruža je opcija "Info" kojom možemo dobiti dodatne detalje o datoteci zajedno s vremenskom oznakom "Modified" koja je zaokružena na paran broj sekunda i najbliža je originalnoj vremenskoj oznaci. Ali opet, vremenska oznaka i dalje ne odgovara potpuno nijednoj od vremenskih oznaka iz originalnog dokumenta. 

Ukoliko je ZIP zaštićen lozinkom FTK Imager i ExifTool daju iste rezultate kao i bez lozinke dok 7-Zip prikazuje više vremenskih oznaka: "Modified", "Accessed", "Created". Problem je taj što oznaka "Created" nije uvijek pouzdana i često se dogodi da se "Created" prikazuje jednaka kao "Accessed", stoga "Created" oznaka se ne smije uzeti kao siguran dokaz bez potvrde drugim izvorima.

| Polje      | Opis                                      | Primjer vrijednosti |
| Modified   | Vrijeme zadnje izmjene datoteke           | 10-01-2026  14:22   |
| Accessed   | Vrijeme zadnjeg pristupa                  | 10-01-2026  14:20   |
| Created    | Vrijeme kreiranja (ne uvijek pouzdano)    | 10-01-2026  14:20   |

===== Analiza RAR arhiva =====

Analizu RAR arhive pokazat ćemo na temelju korištenja WinRAR alata. WinRAR je popularan softver za kompresiju datoteka koji koristi format RAR, često u kombinaciji s ZIP formatom.

Format RAR često koriste napadači zato što omogućuje zaštitu lozinkom koja šifrira cijeli sadržaj datoteka te vrlo učinkovitu kompresiju s relativno malim otiskom podataka. Slučaj je takav da bez lozinke ni jedan od uobičajenih alata (ExifTool, FTK Imager, 7-Zip) ne može otkriti sadržaj RAR arhiva koje su zaštićene lozinkom pa čak ni metapodatke o datotekama, jer su svi podaci enkriptirani. To otežava forenzičku analizu jer forenzičari ne mogu dobiti uvid u unutarnje strukture ili vremenske oznake dok se ne dođe do lozinke.

Kada se RAR datoteka uspije otvoriti s lozinkom WinRAR može otkriti vrijeme posljednje izmjene originalne datoteke točan do sekunde. Međutim, situacija s drugim vremenskim oznakama ("Created" ili "Accessed") može biti drugačija. "Created" oznaka često ne odgovara stvarnoj originalnoj oznaci, nego se umjesto toga pojavi kao kopija "Accessed" oznaka, što smo viđali u prethodnim primjerima.

Jedna interesantna opcija koju WinRAR pruža je uklanjanje svih vremenskih oznaka tijekom stvaranja RAR datoteke. Kada osoba ukloni te oznake, forenzičar ostaje „slijep“ na vremenski trag datoteka unutar arhive te jedino što ostaje je naziv datoteke nakon unošenja lozinke. To znači da napadač svjesno može ukloniti svaki vremenski trag informacija čime se dodatno otežava analiza i rekonstrukcija događaja u istrazi.




===== Zaključak =====

Forenzička analiza ZIP/RAR arhiva je značajan dio digitalne forenzike, posebno u istragama koje uključuju komprimirane podatke. Metode analize uključuju ekstrakciju sadržaja, pregled metapodataka i upotrebu specijaliziranih alata. Iako arhivski formati nude efikasan način za pohranu i prijenos podataka, oni također mogu služiti za skrivanje dokaza što onda dodatno povećava teret i težinu forenzičarima u istragama.
===== Literatura =====

[1] [[https://blog.joshlemon.com.au/forensically-analyzing-zip-compressed-files-7ebe4e9c1647|Josh Lemon, Forensically Analyzing ZIP & Compressed Files]]

[2] [[https://www.mailxaminer.com/blog/zip-file-forensics|Tej Pratap Shukla i Anuraag Singh, ZIP File Forensics – Analyze & Extract Evidence from Archive]]

[3] [[https://www.cis.hr/www.edicija/Osnoveraunalneforenzikeanalize.html|Osnove računalne forenzičke analize, CIS edicija]]

[4] [[https://arxiv.org/abs/2010.07754|De Gaspari i suradnici, EnCoD: Distinguishing Compressed and Encrypted File Fragments, arXiv]]