Ovo je stara izmjena dokumenta!
Ovdje će ići sažetak.
Ključne riječi: ključna; riječ
Operacijski sustav Microsoft Windows za svaku datoteku korisniku nudi prikaz triju osnovnih vremenskih oznaka:
Vremenskim oznakama moguće je manipulirati, to jest ručno ih promijeniti i time sakriti prave informacije o datoteci. Za ovo postoje brojni načini i lako dostupni programi. Računalnom forenzičaru od koristi je moći prepoznati jesu li vremenske oznake određenih datoteka bile promijenjene. Ne postoji potpuno učinkovit i konzistentan način detektiranja manipulacije oznakama, ali postoje metode koje mogu dati dobre rezultate, ovisno o svojstvima i kvaliteti napada.
NTFS je zadani datotečni sustav operacijskog sustava Windows. Sadrži MFT (Master File Table), relacijsku bazu podataka koja se sastoji od redova datoteka zapisa i stupaca atributa datoteka. Ona sadrži barem jedan unos za svaku datoteku na NTFS jedinici, uključujući i samog MFT. Svaka datoteka na NTFS jedinici predstavljena je zapisom u MFT-u. [1]
Dva atributa unutar MFT-a čuvaju informacije o vremenskim oznakama, STANDARD_INFORMATION atribut (SIA) i FILE_NAME atribut (FNA). Svaki od tih atributa ima pohranjen set vremenskih oznaka, no za razliku od vremenskih oznaka prikazanih korisniku, ovdje se radi o četiri oznake koje zajedno zovemo MACE.
Vremenska oznaka | Informacija |
---|---|
Last Modified | Kada se datoteka mijenjala. |
Last Accessed | Kada je datoteci zadnji put pristupano. |
File Creation | Kada je datoteka stvorena, kopirana ili promijenila direktorij. |
MFT Entry Changed | Kada se unos datoteke u MFT-u mijenjao. |
Vremenske oznake u FNA atributu datoteke mijenjaju se samo kad se i neke druge informacije sadržane u njemu također promijene, poput imena datoteke ili njezine lokacije na disku. NTFS sve vremenske oznake pohranjuje kao 64-bitnu vrijednost koja predstavlja broj nanosekundi koje su protekle od 1.1.1601. UTC. [2]
Vrijednosti SIA vremenskih oznaka moguće je mijenjati brojnim lako dostupnim programima, pa čak i korištenjem Windows PowerShell-a. Napadač koji ne želi ostaviti trag mora promijeniti i vrijednosti FNA vremenskih oznaka. To može postići sljedećim postupkom:
Korištenjem ove metode, napadač može manipulirati SIA i FNA vremenskim oznakama datoteke s velikom preciznošću, što otežava detekciju. [1]
MFT ID-evi rastu linearno sa FNA-C vremenskom oznakom stvaranja datoteke. Drugim riječima, MFT ID-evi datoteke stvorene u prošlosti manji su od MFT ID-eva stvorenih sada. Anomaliju bi predstavljala situacija u kojoj datoteka ima vrijeme stvaranja u daljoj prošlosti, a MFT ID vrijednost je vrlo velika i bliža MFT ID vrijednostima datoteka stvorenih puno kasnije.
Očekivano je da vremenske oznake FNA-C stvaranja datoteke budu starije od vremenskih oznaka SIA-C stvaranja datoteke. Anomaliju bi predstavljala situacija u kojoj je vremenska oznaka SIA-C starija od vremenske oznake FNA-C.
Ako je napadač nepažljiv ili koristi neadekvatan alat za promjenu vremenskih oznaka, moguće je da rezolucija vremenske oznake ostane na razini sekundi, a da sve preciznije od toga, zaključno s nanosekundama, bude postavljeno na nulu.
USNjrnl je dnevnik u NTFS datotečnom sustavu koji bilježi bilo kakve promjene nad datotekama. Unosi u USNjrnl-u koji ukazuju na promjenu vremenske oznake imat će kod:
BASIC_INFO_CHANGE+CLOSE
Ova metoda, kao niti jedna druga, nije potpuno učinkovita, budući da napadač ovaj dnevnik može obrisati ili njime manipulirati, iako time onda može ostaviti nove tragove, primjerice u obliku Windows Event-ova.
Windows-ov zaštićeni dnevnik promjena LogFile treći je unos u MFT-u te bi u slučaju manipulacije vremenskim oznakama sadržavao informacije poput onih o promjenama oznaka, programima koji su za to korišteni ili izvornim stanjima datoteka. Slabost LogFile-a je što je cirkularan i malenog kapaciteta, što znači da ga napadač može preplaviti ili naprosto čekati da se sam prebriše, a s njim i svi dokazi o mijenjanju vremenskih oznaka.
Zaključak rada.