====== Forenzička analiza Google Drivea ======

==== Sažetak ====
Google Drive je jedna od najkorištenijih cloud platformi za pohranu i dijeljenje podataka, što ga čini čestim izvorom digitalnih dokaza u računalnoj forenzici. Ovaj rad obrađuje forenzičku analizu Google Drivea s naglaskom na arhitekturu sustava, vrste forenzičkih artefakata koji se mogu pronaći, metode prikupljanja i analize podataka te izazove s kojima se forenzički istražitelji susreću. Posebna pažnja posvećena je razlikama između klijentske i cloud forenzike te dostupnim alatima za analizu. Cilj rada je pružiti pregled mogućnosti i ograničenja forenzičke analize Google Drivea u kontekstu digitalnih istraga.

==== Uvod ====
Razvoj cloud tehnologija značajno je promijenio način na koji se podaci pohranjuju, obrađuju i dijele. Umjesto lokalne pohrane, sve veći broj korisnika koristi cloud servise poput Google Drivea za svakodnevni rad, poslovnu suradnju i osobne potrebe. Posljedično, digitalni dokazi sve se češće nalaze izvan lokalnog računala, što predstavlja nove izazove za računalnu forenziku.

Google Drive omogućuje pohranu datoteka, sinkronizaciju između uređaja, dijeljenje sadržaja te kolaborativni rad u stvarnom vremenu. U kontekstu kriminalističkih i sigurnosnih istraga, ovi servisi mogu sadržavati važne informacije poput povijesti izmjena, metapodataka, zapisa o dijeljenju te verzija datoteka. Ovaj rad analizira kako se takvi podaci mogu forenzički prikupiti i analizirati.

==== Arhitektura Google Drivea i pohrana podataka ====
Google Drive temelji se na cloud arhitekturi u kojoj se podaci pohranjuju na Googleovim distribuiranim poslužiteljima. Korisnici pristupaju svojim podacima putem web preglednika ili putem klijentskih aplikacija dostupnih za operacijske sustave Windows, macOS, Linux te mobilne platforme.

Klijentska aplikacija Google Drivea sinkronizira lokalnu mapu s cloud pohranom. Tijekom tog procesa na lokalnom računalu se pohranjuju različiti artefakti, uključujući:

  * konfiguracijske datoteke

  * baze podataka o sinkronizaciji

  * zapisnike aktivnosti

  * privremene i cache datoteke

Na strani cloud servisa, Google Drive čuva metapodatke o datotekama, uključujući vrijeme kreiranja, izmjena, vlasništvo, dozvole pristupa i povijest verzija. Ovi podaci su ključni za rekonstrukciju događaja tijekom forenzičke istrage.

{{  :racfor_wiki:seminari2025:google_drive_architecture.png?400  |}}

Slika 1. Izgled Google Drive sustava

==== Ključni forenzički artefakti ====
Forenzička analiza Google Drivea može se provoditi na dva glavna načina: analizom lokalnog uređaja i analizom podataka u cloudu.

=== Lokalni artefakti ===
Na lokalnom računalu, posebno kod korištenja desktop klijenta, mogu se pronaći sljedeći artefakti:

  * lokalna sinkronizirana mapa s kopijama datoteka

  * SQLite baze podataka koje sadrže informacije o sinkronizaciji

  * zapisnici aktivnosti (log files)

  * cache datoteke s privremenim verzijama dokumenata

  * korisnički Google ID i e-mail adresa

Putanje do ovih artefakata ovise o operacijskom sustavu, ali su često dostupne u korisničkom profilu.

=== Cloud artefakti ===
U cloud okruženju mogu se analizirati:

  * metapodaci datoteka

  * povijest verzija dokumenata

  * zapisi o dijeljenju i pristupu

  * vremenske oznake (timestamps)

  * IP adrese i podaci o uređajima (ovisno o pravnom okviru i dostupnosti)

Pristup ovim podacima često zahtijeva sudski nalog ili suradnju s Googleom.

==== Metode prikupljanja i analize ====
Prikupljanje forenzičkih podataka s Google Drivea može se provesti na nekoliko načina. Najčešći pristup uključuje akviziciju lokalnog uređaja korištenjem standardnih forenzičkih metoda, čime se osigurava integritet dokaza.

Drugi pristup uključuje korištenje Google Takeout servisa, koji omogućuje izvoz korisničkih podataka, uključujući datoteke i metapodatke. Ova metoda je korisna, ali zahtijeva pažljivu validaciju autentičnosti i cjelovitosti podataka.

Analiza se provodi korištenjem specijaliziranih forenzičkih alata koji mogu interpretirati baze podataka, zapisnike i metapodatke te rekonstruirati vremensku liniju aktivnosti korisnika.

==== Izazovi i ograničenja ====
Forenzička analiza cloud servisa poput Google Drivea suočava se s brojnim izazovima. Jedan od glavnih problema je nedostatak fizičke kontrole nad infrastrukturom, budući da se podaci nalaze na poslužiteljima treće strane.

Dodatni izazovi uključuju:

  * enkripciju podataka

  * dinamičku prirodu cloud okruženja

  * pravne prepreke

  * ovisnost o suradnji pružatelja usluge (Google)

Zbog toga je često nemoguće dobiti potpuni uvid u sve aktivnosti korisnika, što može ograničiti vrijednost prikupljenih dokaza.

==== Alati za forenzičku analizu ====
Za forenzičku analizu Google Drivea koriste se različiti alati, među kojima se ističu:

'''EnCase''' – komercijalni alat za digitalnu forenziku s podrškom za cloud artefakte

'''FTK (Forensic Toolkit)''' – alat za analizu diskova, memorije i aplikacijskih artefakata

'''Autopsy''' – open-source forenzički alat s modulima za analizu cloud aplikacija

'''Magnet AXIOM''' – napredni alat s podrškom za cloud i mobilnu forenziku

'''SQLite Browser''' – alat za ručnu analizu baza podataka

Odabir alata ovisi o vrsti istrage, dostupnim resursima i pravnim ograničenjima.

==== Zaključak ====
Google Drive predstavlja vrijedan izvor digitalnih dokaza u suvremenim forenzičkim istragama. Iako cloud okruženje donosi brojne izazove, kombinacija analize lokalnih artefakata i dostupnih cloud podataka može pružiti značajan uvid u aktivnosti korisnika. Razumijevanje arhitekture Google Drivea, poznavanje ključnih artefakata i korištenje odgovarajućih alata ključno je za uspješnu forenzičku analizu. S daljnjim razvojem cloud tehnologija, računalna forenzika mora se kontinuirano prilagođavati novim tehničkim i pravnim zahtjevima.

===== Literatura =====

[1] [[https://www.sciencedirect.com/science/article/pii/S1742287613000216|Martini
, B. and Choo, K. K. R. Cloud forensic techniques: A review. Digital Investigation, Vol. 9, No. 2, pp. 71–80, 2013.]]

[2] [[https://www.sciencedirect.com/science/article/pii/S1084804513001029|Quick
, D. and Choo, K. K. R. Google Drive: Forensic analysis of data remnants. Journal of Network and Computer Applications, Vol. 40, pp. 179–193, 2014.]]

[3] [[https://www.elsevier.com/books/cloud-forensics/behl/978-0-12-805475-9|Behl
, N. Cloud Forensics. Elsevier, 2017.]]

[4] [[https://books.google.hr/books?id=0zJrCgAAQBAJ|Casey
, E. Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet. Academic Press, 2011.]]

[5] [[https://support.google.com/drive/answer/2375091|Google
 LLC. Google Drive Help Documentation.]]

[6] [[https://www.sciencedirect.com/science/article/pii/S1742287611000812|Zawoad
, S. and Hasan, R. Cloud forensics: A meta-study of challenges, approaches, and open problems. Digital Investigation, Vol. 9, pp. 71–80, 2013.]]