Forenzička analiza ZIP/RAR arhiva

ZIP i RAR arhive se često koriste za komprimiranje velikih količina podataka. To služi za uštedu prostora ili jednostavnu razmjenu datoteka. U računalnoj forenzici, ovi arhivski formati mogu biti važan izvor dokaza u istragama kibernetičkog kriminala. To je posebno važno kada se radi o prijenosu, skrivanju ili modificiranju datoteka. Forenzička analiza ZIP i RAR arhiva uključuje nekoliko koraka. Prvo, identificiramo sadržaj arhive. Zatim, izvlačimo i ispitujemo metapodatke. Ti metapodaci mogu biti vremenske oznake, struktura zapisa i povijest izmjena. U ovom radu će se objasniti osnove forenzičke analize arhiva. Također će se razgovarati o alatima i tehnikama koje se koriste u toj analizi. Na kraju će se spomenuti mogućnosti i ograničenja pri analizi ZIP i RAR formata. Korišteni su relevantni izvori o računalnoj forenzici i praktične analize komprimiranih datoteka kako bi se prikazao primjenjiv postupak istraživanja. Na kraju se daje pregled preporuka za daljnje učenje i istraživanje u području forenzike arhiva.

U računalnoj forenzici radi se o pronalaženju, čuvanju te ispitivanju informacija s elektroničkih uređaja kako bi se razjasnili trenuci nepozvanih upada ili ilegalnih radnji. Budući da takvi tragovi brzo mogu biti izmijenjeni, postupci zahtijevaju preciznost i poštovanje zakonski definiranih smjernica. Arhive poput ZIP-a i RAR-a ponekad služe kao skriveni spremnici za velik broj datoteka, a nalaze se u istragama vezanim uz krađu informacija ili širenje opasnih programa. Kroz njihovo dešifriranje često dolazi do podataka koje nije lako primijetiti na prvi pogled. Podatci mogu biti zaključani, preoblikovani ili namjerno sakriveni.

Kada govorimo o kompresiji datoteka, ZIP tehnologija stupa na scenu kao dominantni izbor među korisnicima. Upravo taj oblik oslanja se na algoritam poznat kao DEFLATE kako bi umanjio prostor kojeg sadržaji zauzimaju. Unutar takve arhive lako može biti zastupljeno više dokumenata, sve unutar jedne povezane cjeline. S druge strane, RAR ili Roshalov arhiv dolazi s jačom kompresijom, uz dodatne funkcionalnosti kao što su višedijelni arhivi i snažnije opcije za šifriranje. Forenzičari moraju znati kako je složena arhiva jer tragovi ostaju duboko u strukturi. Ime dokumenta, vrijeme promjene te postavke pakiranja, svi ti metapodatci mogu služiti pri istrazi. Otkrivanje tog skrivenog sloja često otvara vrata ka ključnim informacijama.

Analiza arhiva odnosi se na forenzičke istražitelje u policiji ili privatnim tvrtkama, sigurnosne stručnjake koji istražuju incidente i IT stručnjake koji moraju dokumentirati zlonamjerne aktivnosti. Ako se analiza ne provede pravilno ključni dokazi mogu biti ignorirani, izmijenjeni ili izgubljeni. Uzmimo za primjer analizu vremenskih oznaka unutar ZIP/RAR arhiva koja može otkriti točan trenutak kreiranja ili izmjene datoteka što je ustvari ključno za rekonstrukciju događaja u istrazi.

Postoje četiri glavna koraka kod računalne forenzike ZIP/RAR arhiva:

1. Prikupljanju se digitalni dokazi stvaranjem bitne kopiju arhiva i tako se osigurava očuvanje izvornih dokaza
2. ZIP/RAR arhive se pretražuju posebnim forenzičkim alatima koji čuvaju metapodatke koji se ekstrahiraju za daljnju analizu.
3. Istražuje se sadržaj arhive, ekstrahirane datoteke i pripadajući metapodaci (vremenske oznake, komentari, strukturalni zapisi).
4. Rezultati se dokumentiraju i pripremaju za sudske ili druge službene procese.

ZIP arhive su dosta često korištene. Koriste se za slanje više datoteka odjednom, za smanjenje veličine podataka, ali često i za skrivanje i pakiranje dokaza te distribuciju zlonamjernih datoteka.

Dosta važna stavka iz perspektive računalne forenzike koju ćemo ovdje razmatrati je vremenska oznaka (datum kreacije, pristupa, izmjene). Problem je što se vremenske oznake kod ZIP datoteka ne ponašaju isto kao u datotečnom sustavu operacijskog sustava.

Ako uzmemo za primjer neku pdf datoteku koju smo stvorili i komprimirali u ZIP datoteku pokazat će se vremenska oznaka ZIP datoteke koja označava kada je ZIP napravljen, no nas više zanima vremenska oznaka datoteke unutar ZIP-a.

Za analizu ZIP datoteke možemo koristiti alat FTK Imager. U FTK Imageru moguće je otvoriti ZIP i vidjeti osnovne informacije datoteke. Nažalost, te informacije nisu baš detaljne, iz perspektive digitalne forenzike to nije baš korisno. FTK Imager također pokazuje vremensku oznaku naziva “Modified” i možemo pretpostaviti da je to ista “Modified” oznaka iz izvorne datoteke. Međutim, teško je reći jer FTK Imager ne daje sekunde, točan je samo u minutu. Stoga, FTK Imager može pomoći kao brzi pregled, ali nije idealan za preciznu vremensku analizu.

Sljedeće što možemo koristiti je alat ExifTool. Exiftool pruža polje metapodataka pod nazivom “Datum izmjene Zip datoteke”, međutim, datum koji daje nije točno isti kao i bilo koja od originalnih vremenskih oznaka. Najbliži datum koji daje je originalna vremenska oznaka pristupa, ali pomaknuta za 1 - 2 sekundu od originalne datoteke. Razlog tomu je što ZIP format koristi MS-DOS format vremena koji ima rezoluciju od 2 sekunde. To znači da se vrijeme mora zaokružiti pa dolazi do malih odstupanja. Stoga, ExifTool može dati koristan trag, ali vremenska oznaka može biti približna, a ne skroz točna.

[1] Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.

[2] Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.

[3] Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006