Windows Recall forenzika

Ova wiki stranica analizira Windows Recall - relativno novu značajku unutar operacijskog sustava Windows 11. S obzirom na to da je Windows Recall iznimno bogati izvor digitalnih tragova, naglasak je na forenzičkoj vrijednosti značajke i rizicima vezanima za privatnost koji uz nju dolaze. Recall kontinuirano snima korisnički zaslon, lokalno pohranjuje snimke zaslona u JPEG formatu, iz njih ekstrahira OCR tekst, a sve zatim povezuje u pretraživu vremensku liniju, čime nastaje iznimno detaljan zapis aktivnosti korisnika i pristupa (potencijalno) osjetljivim podatcima. Analiza ove značajke uključuje i pregled arhitekture sustava, vrsta prikupljenih podataka, lokacija i strukturu glavnih artefakata, metode akvizicije podataka, anti-forenzičke mogućnosti, usklađenost s GDPR-om, privatnosne i pravne implikacije te kriteriji sudske prihvatljivosti Recall artefakata kao digitalnih dokaza; a poseban je naglasak stavljen na mogućnosti rekonstrukcije vremenske linije aktivnosti korisnika, analizu same baze podataka, načina pohrane vremenskih oznaka i povezivanje snimki s OCR tekstom. U obzir su uzeti i metodološki izazovi prikupljanja Recall podataka kroz live forenziku, post-mortem analizu, disk imaging i RAM forenziku, uz osvrt na enkripciju i sigurnosne mehanizme temeljene na sigurnosnoj infrastrukturi Windows OS-a. Glavni je cilj pružiti sustavan i objektivan pregled Windows Recall značajke kao novog i svježeg izvora forenzičkih artefakata, te skrenuti pozornost na njegov potencijal, ograničenja i implikacije forenzičke istrage u budućnosti.

Windows Recall spada među najzanimljivije, ali i najkontroverznije, novije značajke operacijskog sustava Windows 11, naročito na Copilot+ uređajima. Radi se o snimaču vremenske linije (timeline) koji periodički bilježi sadržaj zaslona, lokalno ga analizira, a potom uspostavlja pretraživu zbirku korisničkih aktivnosti organiziranih kronološki. Time se Recall izdvaja od tipičnih sistemskih logova (dnevnika) i artefakata te uvodi kontinuirani (vizualno potvrdiv) zapis onoga što je korisnik vidio i radio na računalu.

U kontekstu računalne forenzike, Recall otvara novu kategoriju digitalnih tragova. Umjesto da se istražitelj oslanja isključivo na indirektne dokaze (logove, povijest pretraživanja, metapodatke datoteka i sl.), Recall omogućuje rekonstrukciju kompletne radne površine - uključujući tekst dokumenata, prozore korištenih aplikacija, web-stranice i naredbe - u kratkim i pravilno raspoređenim vremenskim intervalima. Pretraživa indeksirana baza podataka povezuje snimke zaslona, OCR tekst i procesuirane informacije, čime se poprilično ubrzava potraga za relevantnim događajima i radnjama korisnika, uz istovremeni rast stupnja pouzdanosti forenzičkih dokaza i zaključaka.

Upravo ta granularnost, sveobuhvatnost i cjelovitost snimljenih podataka Recall čini jednom od središnjih točaka aktualnih debata o privatnosti, masovnom nadzoru i usklađenosti s pravnim okvirima zaštite podataka. Kontinuirano bilježenje snimki ekrana nužno obuhvaća i uvid u osjetljive osobne i poslovne informacije (autentifikacijske podatke, zdravstvene podatke, financije, interne dokumente), zbog čega su brojna regulatorna tijela zatražila dodatna pojašnjenja i procjene učinka na zaštitu podataka (DPIA), osobito u kontekstu GDPR-a.

Ova wiki stranica kombinira tehničku analizu arhitekture i artefakata Recall sustava stavljajući naglasak na forenzičke mogućnosti, anti-forenzičke aspekte i pravna ograničenja, s ciljem pružanja zaokružene i cjelovite slike o njegovoj ulozi u suvremenoj računalnoj forenzici.

Windows Recall značajka je uvedena u sustavu Windows 11 za Copilot+ računala koja periodički snima sadržaj zaslona te ga lokalno obrađuje kako bi korisniku omogućila semantičko pretraživanje i vraćanje vlastitih prethodnih aktivnosti na računalu u obliku vremenske linije. Recall periodično snima stanje korisničkog sučelja, koristi lokalnu AI analitiku (NPU/CPU) za analizu i izdvajanje teksta i konteksta iz tih snimki te lokalno pohranjuje dobivene podatke u strukturiranom obliku, stvarajući vremenski indeksiranu bazu vizualnih i tekstualnih zapisa korisničkog rada, što ga čini iznimno relevantnim iz perspektive računalne forenzike i privatnosti.

Arhitektura Windows Recall tehnologije temelji se na kombinaciji servisa za prikupljanje podataka, AI obrade i lokalne baze podataka. Recall u pozadini izvodi servis koji periodički, u pravilnim vremenskim razmacima, izrađuje snimke zaslona (snapshots) aktivnih prozora i pohranjuje ih u lokalni spremnik slika. Snimke su organizirane u vremensku liniju (timeline) podijeljenu u segmente koji predstavljaju blokove vremena tijekom kojih je korisnik aktivno koristio računalo. Te se snimke zatim obrađuju pomoću lokalnog modela za optičko prepoznavanje znakova (OCR) i semantičku analizu, čime se iz vizualnog sadržaja izdvajaju tekstualne informacije i kontekst. Sustav pritom indeksira dobivene podatke i paralelno gradi vektorsku bazu podataka koja omogućuje brzo semantičko pretraživanje prema ključnim riječima, korištenim aplikacijama, vremenskim oznakama (timestamp) i sadržaju prikazanom na zaslonu. Cjelokupna je obrada konstruirana tako da se odvija lokalno na uređaju (računalu), bez slanja podataka u oblak, uz oslanjanje na NPU (Neural Processing Unit) prisutan u Copilot+ računalima.

Obrada se osjetljivih podataka obavlja unutar izoliranog okruženja temeljenog na Virtualization based Security (VBS) enklavama, gdje se izvršava verificirani kod i drže ključevi za dekripciju. Ovakva arhitektura osigurava posebni sloj izolacije između Recall podataka i ostatka sustava, uključujući administratorske i kernel privilegije, te se oslanja na TPM i Windows Hello za autentikaciju korisnika i kriptografsko vezanje podataka uz identitet.

Windows Recall prikuplja i obrađuje nekoliko kategorija podataka:

• Snimke zaslona (screenshots): Periodične slike radne površine i aktivnih aplikacija u JPEG formatu, koje se bilježe u pravilnim razmacima (npr. svakih nekoliko sekundi, ovisno o konfiguraciji), a kojima se vizualno dokumentira korisnička aktivnost kroz vrijeme.
• OCR tekst: Tekstualni zapisi (npr. sadržaj dokumenta, naslovi prozora, URL-ovi) ekstrahirani iz snimki zaslona pomoću optičkog prepoznavanja znakova, koji se zatim pohranjuje u bazu podataka kao indeks za pretraživanje. Time se omogućuje pretraživanje sadržaja dokumenata, web-stranica, poruka i drugih prikaza koji nisu izvorno tekstualne datoteke.
• Metapodaci: Uza slike i OCR tekst, Recall pohranjuje prateće informacije (metapodatke) koje uključuju vremenske oznake, naslove prozora, identifikatore aplikacija, granice prozora, putanje procesa, rezoluciju zaslona, kontekstualne podatke potrebne za rekonstrukciju korisničke sesije i izradu vremenske linije aktivnosti i razne druge atribute koji su zapisani u Exif metapodacima JPEG datoteka i u tablicama baze podataka.

Kombinacija ovih podataka omogućuje stvaranje detaljnog i semantički pretraživog zapisa korisničkog rada.

Svi podaci prikupljeni sustavom Recall pohranjuju se lokalno na korisničkom računalu u obliku baze podataka i povezanih datoteka sa snimkama. Snimke zaslona pohranjuju se lokalno u korisničkom profilu, u direktoriju povezanom s CoreAI/Recall komponentama, npr. na putanji oblika %AppData%\Local\CoreAI\Platform.00UKP{GUID}\ImageStore, gdje se čuvaju JPEG datoteke organizirane prema vremenu. Rješenja usmjerena na forenziku opisuju ovaj spremnik slika kao ključni artefakt za rekonstrukciju aktivnosti, jer kombinira vizualni sadržaj i Exif metapodatke.

Uza spremnik slika, Recall koristi lokalnu bazu podataka (primarno SQLite) koja sadrži zapise o aplikacijama, vremenu korištenja i pojedinačnim snimkama zaslona, uključujući tablice poput App, AppDwellTime i WindowCapture, kao i tablice za indeks teksta izdvojenog iz snimki. Ova baza djeluje kao indeksni sloj iznad datoteka slika, povezujući svaku snimku zaslona s vremenskim kontekstom, korištenom aplikacijom i OCR-om, što omogućuje napredno pretraživanje po sadržaju i vremenu.

Svi Recall artefakti – snimke zaslona i pripadni zapisi u vektorskoj/baznoj strukturi – pohranjeni su kriptirani, pri čemu se primjenjuje kombinacija enkripcije na razini diska (Device Encryption/BitLocker) i zasebne enkripcije pojedinačnih snapshotova. Ključevi za enkripciju snapshotova kriptografski su vezani uz korisnički identitet, pohranjeni i zaštićeni putem Trusted Platform Module (TPM-a) te dostupni isključivo unutar VBS enklave nakon uspješne autentikacije Windows Hello mehanizmom. Ovaj encryption-first pristup znači da drugi korisnici ili offline napadač bez pristupa TPM-u i korisničkim vjerodajnicama ne mogu jednostavno dekriptirati Recall podatke, iako su fizičke datoteke prisutne na disku. Istovremeno, činjenica da se svi podaci nalaze lokalno (bez nužnog slanja u oblak) čini Recall iznimno bogatim izvorom potencijalnih forenzičkih artefakata, uz istodobno pojačane zahtjeve za pravilno upravljanje ključevima i pravnim aspektima pristupa.

Windows Recall predstavlja izuzetno bogat izvor kontekstualnih dokaza o radu korisnika, jer kontinuirano bilježi vizualni prikaz radne površine te ga indeksira u pretraživu vremensku liniju. Za digitalnu forenziku to znači pristup detaljnim informacijama o aplikacijama, dokumentima i web-stranicama koje su bile vidljive na zaslonu, čak i kada su drugi artefakti (logovi, povijest preglednika, datoteke) naknadno obrisani ili izmijenjeni.

Windows Recall snima periodične snimke zaslona tijekom korisničkih sesija na računalu, što znači da može posjedovati vizualne reprezentacije gotovo svih aktivnosti koje su se odvijale na ekranu — uključujući otvaranje aplikacija, pregled web-stranica, pregled i uređivanje dokumenata, komunikacijske poruke i drugi vizualni sadržaj. Svaka snimka je povezana s vremenskom oznakom koja omogućuje rekonstrukciju tijeka događaja kroz vrijeme.

Osim vizualnih snimki, Recall koristi OCR (Optical Character Recognition) kako bi iz slika izvukao tekstualne zapise, što omogućuje semantičko pretraživanje sadržaja čak i kada izvorni dokument nije tekstualan (npr. tekst unutar PDF-a, slika ili web-stranica). Ovako ekstrahirani tekstovi i njihovi metapodaci mogu biti spremni za pretragu i analizu, što ih čini ključnim artefaktima u forenzičkim istragama.

Recall baza podataka (primjerice tablice App, AppDwellTime, WindowCapture) može potvrditi izvođenje određene aplikacije, duljinu njezina korištenja te postojanje određenih datoteka ili mapa, čak i ako su one kasnije obrisane. Tako Recall može ponuditi dokaze izvršenja (evidence of execution), potvrđujući da je korisnik ili napadač u određenom vremenu pokrenuo specifičan program ili pristupio određenom resursu.

Kroz taj skup podataka forenzičar može rekonstruirati niz aktivnosti korisnika i identificirati relevantne događaje. Ti dokazi mogu uključivati:

• Vizualne prikaze akcija korisnika (primjerice, otvaranje e-maila, pregledavanje internetskih stranica, interakcija s aplikacijama) u određenom vremenskom razdoblju.
• Tekstualne podatke izvučene iz snimke zaslona, uključujući izraze pretraživanja, komunikaciju unutar aplikacija, nazive datoteka i adrese URL-a.
• Metapodatke povezane s pojedinim snimkama kao što su vremenski žigovi i identifikatori prozora ili aplikacija, omogućujući kronološko povezivanje događaja.

Zbog ovih karakteristika, Recall sustav može biti posebno koristan u slučajevima gdje se treba rekonstruirati kompletna vremenska linija korisničke aktivnosti ili potvrditi da je korisnik vidio određeni sadržaj — što bi inače zahtijevalo ručno prikupljanje i sinkronizaciju raznih logova i artefakata.

1. Aktivnost korisnika

Za analizu aktivnosti korisnika Recall omogućuje rekonstrukciju niza radnji na razini što je korisnik vidio i radio u kratkim vremenskim razmacima (npr. snimka svakih nekoliko sekundi). Recall forenzičarima omogućuje da vizualno i tekstualno prate radnje korisnika u kronološkom slijedu. U situacijama kada se, primjerice, treba dokazati da je određena osoba pregledala određeni dokument ili web-stranicu u određeno vrijeme, artefakti iz Recall baze podataka mogu poslužiti kao izravan dokaz. Vremenska oznaka snimki zaslona i OCR-tekst iz snimki omogućuju precizno utvrđivanje kada su određene informacije bile prikazane na zaslonu.

2. Pristup osjetljivim dokumentima

Recall može poslužiti kao neizravan, ali vrlo snažan, dokaz pristupa osjetljivim dokumentima, jer snima sadržaj datoteka dok su prikazane na ekranu. Snimke zaslona i OCR-tekst mogu sadržavati naslove dokumenata, putanje datoteka, oznake klasifikacije, kao i stvarne fragmente povjerljivog sadržaja (npr. osobne podatke, lozinke, poslovne tajne). Kombinacija vizualnih zapisa i OCR-tekstualnih fragmenata može biti ključna za razumijevanje opsega i prirode pristupa takvim podacima.

3. Vremenska linija rada

Recall inherentno gradi vremensku liniju rada, segmentiranu prema razdobljima u kojima su uzimane snimke zaslona i korištene određene aplikacije. Kombinacijom vremenskih oznaka iz WindowCaptureEvent, podataka o trajanju korištenja aplikacija iz AppDwellTime i vizualnih snimki, moguće je izraditi vrlo detaljnu kronologiju događaja na radnoj stanici. Takva vremenska linija omogućuje korelaciju Recall artefakata s drugim izvorima (sistemski logovi, mrežni logovi, e mail zapisi) radi preciznog određivanja trenutka kompromitacije, pokretanja zlonamjernog koda ili eksfiltracije podataka.

Recall generira skup vizualnih i tekstualnih artefakata koji se pohranjuju lokalno u korisničkom profilu i organizirani su kroz kombinaciju datotečnog spremnika slika, SQLite baze podataka i pomoćnih log/cache struktura.

Snimke zaslona koje Recall periodički stvara pohranjuju se kao JPEG datoteke u direktoriju unutar korisničkog profila, tipično na putanji oblika C:\Users\<User>\AppData\Local\CoreAI\Platform.00UKP{GUID}\ImageStore. Svaka datoteka predstavlja pojedinačni snapshot ekrana, a imenovanje i struktura direktorija povezana je s internim GUID-om sesije, što omogućuje vezu sa zapisima u bazi podataka (npr. preko identifikatora slike).

Metapodaci o prozorima i kontekstu dijelom su ugrađeni u Exif zaglavlja samih JPEG datoteka, uključujući granice prozora, naslov prozora, putanju procesa i URL-ove preglednika (gdje je primjenjivo). Iz forenzičke perspektive, same slikovne datoteke u ImageStore direktoriju, zajedno s njihovim Exif podacima, mogu se analizirati neovisno o bazi, što je važno u scenarijima kada je baza oštećena ili djelomično obrisana.

Središnji logički sloj Recall artefakata čini enkriptirana SQLite baza podataka pod nazivom ukg.db, smještena u istom CoreAI/Recall direktoriju, uza spremnik slika. Ova baza podataka sadrži ključne tablice kao što su App, AppDwellTime, WindowCapture i WindowCaptureTextIndex_content, koje opisuju instalirane/aplikativne entitete, trajanje korištenja, pojedine događaje hvatanja prozora te tekst izdvojen OCR-om.

Struktura WindowCapture tablice uključuje vrijeme događaja (timestamp) u visokoj rezoluciji, identifikator prozora, naziv snapshot resursa i referencu na GUID slike u ImageStore direktoriju, čime se uspostavlja veza između zapisa u bazi i konkretne JPEG datoteke. Tablica WindowCaptureTextIndex_content služi kao indeksni spremnik teksta izdvojenog iz snimke zaslona, što omogućuje pretraživanje po ključnim riječima i rekonstrukciju sadržaja prozora bez nužnog otvaranja svake slike.

Osim SQLite baze, dio Recall logike oslanja se na binarne formate i interne strukture unutar enkriptiranog spremnika koji je dodatno zaštićen VBS/TPM mehanizmima, iako konkretni format tih binarnih segmenata zasad nije u potpunosti javno dokumentiran. Za forenzičare to znači da je primarni fokus trenutačno na strukturama koje su već mapirane (JPEG + ukg.db), dok daljnje reverzno inženjerstvo može otkriti dodatne slojeve metapodataka.

Recall sam po sebi ne generira klasične Windows event log zapise za svaku snimku, ali njegovo uključivanje, konfiguracija i onemogućavanje evidentirani su kroz registre i sigurnosne politike, npr. putem ključeva pod HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsAI. Ovi ključevi i srodne postavke grupnih politika važni su za utvrđivanje je li Recall bio aktivan u relevantnom periodu i je li eventualno manipuliran (npr. neovlašteno uključen na klijentskim računalima).

Cache sloj u kontekstu Recalla prvenstveno se odnosi na indeksne strukture i pomoćne zapise unutar same ukg.db baze podataka, gdje se čuva preobrađeni tekst i veze između prozora, aplikacija i slika radi bržeg pretraživanja. Alati trećih strana koji demonstriraju rizike Recalla (npr. TotalRecall skripte) oslanjaju se upravo na konzistentnost ovog cachea, što indirektno potvrđuje njegovu stabilnu forenzičku vrijednost – ako alat može masovno izlistati snapshotove i tekst, istražitelj može učiniti isto uz odgovarajuće procedure.

Akvizicija podataka iz Recall sustava zahtijeva pažljivo planiranje kako bi se očuvala cjelovitost dokaza, uz istovremeno korištenje činjenice da su ključni artefakti (slike, SQLite baza) pohranjeni lokalno. U praksi se kombiniraju klasične metode disk imaginga i analize memorije s namjenskim alatima za izdvajanje Recall artefakata, poput TotalRecall skripti.

Live akvizicija podrazumijeva prikupljanje podataka dok je sustav još uvijek pokrenut, što omogućuje pristup aktivnim procesima, otvorenim datotekama i eventualnim ključevima ili dekriptiranim strukturama u memoriji. U kontekstu Recalla, live pristup omogućuje izravno čitanje ukg.db baze i JPEG snimki iz ImageStore direktorija, kao i korištenje specijaliziranih alata koji automatski pronalaze i kopiraju ove artefakte (npr. TotalRecall).

Post mortem (dead) akvizicija, nasuprot tome, oslanja se na forenzičku sliku diska nakon gašenja sustava, čime se smanjuje rizik izmjene podataka, ali se gubi pristup volatilnim informacijama poput ključeva u RAM-u i stanja VBS enklava. Za Recall to znači da istražitelj može analizirati datotečni sadržaj (ImageStore, ukg.db, registry politike), ali eventualna dekriptirana stanja ili kontekst u memoriji (npr. trenutno otvoreni snapshotovi) više nisu dostupni.

Standardna praksa za dugoročnu forenzičku analizu Recall artefakata jest izrada forenzičke slike cijelog system diska uz uporabu hardverskog ili softverskog write blockera. Time se osigurava očuvanje svih Recall povezanih datoteka, uključujući JPEG snapshotove, SQLite bazu, konfiguracijske ključeve u registru i moguće ostatke obrisanih artefakata u nealociranom prostoru.

Kod modernih uređaja (npr. Copilot+) potrebno je voditi računa o enkripciji diska (BitLocker/Device Encryption), što može zahtijevati prethodno prikupljanje ključeva pri live akviziciji kako bi se kasnije moglo montirati sliku za detaljnu analizu. Jednom kada je slika izrađena i verificirana (hash provjera), analiza Recall artefakata može se provoditi u kontroliranom laboratorijskom okruženju, uz mogućnost izrade dodatnih radnih kopija.

Analiza RAM-a igra ključnu ulogu kod Recalla zbog korištenja VBS enklava i potencijalno dekriptiranih struktura koje postoje samo u radnoj memoriji tijekom rada sustava. Live akvizicija memorije omogućuje identifikaciju aktivnih Recall procesa i servisa, referenci na ukg.db i ImageStore, kao i potencijalnih kriptografskih ključeva ili sesijskih tokena koji se ne nalaze na disku.

Ipak, VBS enklave (VTL1 memorija) dizajnirane su upravo tako da budu izvan dosega klasičnih memory dumpova, što otežava izravnu dekripciju sadržaja koji se nalazi unutar njih. U praksi to znači da će istražitelj u RAM-u prije svega tražiti tragove interakcije s Recallom (npr. API pozive, putanje, dekriptirane blokove podataka privremeno mapirane u običnu memoriju i sl.), dok se sama struktura enkriptiranog spremnika i većina artefakata i dalje pribavlja kroz disk imaging i analizu ukg.db baze.

Recall baza (ukg.db) središnji je izvor strukturiranih podataka o snimkama zaslona, prozorima i aplikacijama te predstavlja ključnu točku za forenzičku analizu sadržaja i konteksta korisničke aktivnosti. Analiza ove baze omogućuje povezivanje vremenskih oznaka, OCR teksta i procesnih informacija sa stvarnim JPEG snimkama pohranjenima u ImageStore direktoriju.

Glavne tablice od forenzičkog interesa su WindowCapture, WindowCaptureTextIndex_content, WindowCaptureAppRelation i App. Tablica WindowCapture bilježi pojedine događaje hvatanja prozora (npr. WindowCaptureEvent, WindowCreatedEvent, WindowChangedEvent) te sadrži polja poput Id, TimeStamp, Name, WindowTitle, WindowId i ImageToken.

Tablica App opisuje aplikacije/procese (npr. Id, Name, Path), dok WindowCaptureAppRelation povezuje pojedini zapis u WindowCapture s odgovarajućim procesom putem WindowCaptureId i AppId.

Tablica WindowCaptureTextIndex_content sadrži indeksirani OCR tekst i referencu na odgovarajući zapis u WindowCapture kroz stupac c0, koji odgovara WindowCapture.Id, dok stupac c2 pohranjuje prepoznati tekst.

Stupac TimeStamp u tablici WindowCapture pohranjuje vrijeme događaja u obliku Unix epoch vrijednosti (obično u milisekundama), što zahtijeva odgovarajuću konverziju pri analizi. Tipičan SQL upit za pretvorbu koristi funkciju datetime(WindowCapture.TimeStamp/1000, 'unixepoch'), čime se dobiva čitljiv datum i vrijeme u UTC-u.

Ove vremenske oznake omogućuju izgradnju detaljne vremenske linije, posebno kada se kombiniraju s podacima o aplikacijama (iz tablice App) i drugim Windows artefaktima (npr. event logovi, mrežni logovi). Korelacijom TimeStamp vrijednosti iz Recall baze s vanjskim izvorima moguće je precizno smjestiti Recall događaje unutar šireg konteksta incidenta.

Veza između zapisa u bazi i stvarnih JPEG snimki ostvaruje se putem polja ImageToken u tablici WindowCapture, koje se mapira na ime datoteke u ImageStore direktoriju. Forenzičar može, primjerice, koristiti upit koji vraća ImageToken zajedno s vremenom, naslovom prozora i OCR tekstom, te zatim konstruirati putanju do slike zamjenom ukg.db u stazi s ImageStore\<ImageToken>.jpg.

Tablica WindowCaptureTextIndex_content omogućuje pretraživanje po sadržaju jer stupac c2 sadrži tekst izdvojen OCR-om za odgovarajući WindowCapture.Id. Korištenjem JOIN-ova između WindowCaptureTextIndex_content, WindowCapture, WindowCaptureAppRelation i App moguće je jednim upitom dobiti vremensku oznaku, naslov prozora, putanju procesa, relevantni OCR tekst i identifikator slike – praktički kompletan kontekst svake pohranjene snimke zaslona.

Windows Recall, iako iznimno vrijedan izvor dokaza, istovremeno otvara prostor za tehnike usmjerene na brisanje, prikrivanje ili manipulaciju snimki zaslona i pridruženih zapisa. Razumijevanje načina na koji se Recall podaci mogu ukloniti ili izmijeniti, kao i metoda detekcije tih izmjena, ključno je za ispravnu interpretaciju rezultata forenzičke analize.

Korisnik iz korisničkog sučelja ili kroz postavke sustava može ručno obrisati sve ili dio Recall snimki, pri čemu se uklanjaju JPEG snapshotovi i pripadajući zapisi iz baze (ukg.db). Dodatno, putem opcija poput potpunog isključivanja Recall značajke ili uklanjanja Recall komponenti kao Windows značajke, sustav može automatski obrisati postojeće snapshotove i indeksirane podatke.

S antiforenzičkog stajališta, napadač može koristiti iste mehanizme za čišćenje traga nakon incidenta ili skripte koje ciljano brišu datoteke iz ImageStore direktorija i odgovarajuće retke iz ukg.db baze; ali tragovi prethodnog postojanja Recalla (npr. registry postavke, logovi promjena funkcionalnosti, preostali fragmenti JPEG-ova ili SQLite stranica u nealociranom prostoru) mogu i dalje ostati vidljivi u forenzičkoj slici diska.

Zbog činjenice da je Recall baza SQLite datoteka, u scenarijima gdje je napadač uspio dobiti pristup dekriptiranom sadržaju, moguće su ciljane manipulacije zapisima. Potencijalne antiforenzičke radnje uključuju selektivno brisanje WindowCapture zapisa za određeni vremenski raspon, mijenjanje vremenskih oznaka kako bi se vrijeme aktivnosti pomaknulo ili umetanje lažnih zapisa koji stvaraju lažnu sliku korisničkog ponašanja.

Iako je Microsoft dodatno učvrstio Recall enkripcijom baze i oslanjanjem na TPM za upravljanje ključevima, jednom kada je baza dekriptirana i dostupna iz korisničkog konteksta, klasični napadi na SQLite datoteke (npr. skrivena manipulacija stranica, promjena sadržaja bez korektnog ažuriranja internih struktura) i dalje su teoretski mogući. Forenzička analiza stoga u obzir mora uzeti mogućnost da ukg.db ne odražava vjerodostojno stvarnu povijest, osobito ako postoje indikacije kompromitacije sustava ili administratora.

Detekcija brisanja i manipulacije Recall artefakata oslanja se na kombinaciju integritetskih provjera, dosljednosti podataka i korelacije s drugim izvorima. Neusklađenosti između broja i raspona vremenskih oznaka u WindowCapture tablici i stvarnog broja JPEG datoteka u ImageStore direktoriju (npr. „rupe“ u vremenu bez snimki, nelogični skokovi i sl.) mogu ukazivati na selektivno brisanje ili neovlaštene izmjene.

Usporedba Recall vremenske linije s drugim artefaktima (Windows event logovi, mrežni logovi, artefakti aplikacija) može otkriti nesklade, primjerice situacije u kojima postoje dokazi o aktivnoj upotrebi sustava, a Recall u istom periodu uopće nema zapisa. Na razini same baze, tehnike forenzičke analize SQLite datoteka – poput pregleda slobodnih stranica (freelist), provjere zaglavlja, metainformacija i usporedbe hash vrijednosti baze prije i nakon incidenta – mogu pomoći u otkrivanju ručnog uređivanja ili masovnog brisanja zapisa iz baze podataka.

Recall svojim kontinuiranim snimanjem zaslona stvara iznimno detaljan zapis digitalnog ponašanja korisnika, uključujući i osjetljive osobne podatke, što otvara ozbiljna pitanja o privatnosti i usklađenosti s propisima o zaštiti podataka. Iako Microsoft naglašava da se podatci pohranjuju lokalno i da je Recall opcionalno iskustvo, regulatorna tijela i stručna javnost upozoravaju da sama količina i granularnost prikupljenih informacija predstavlja visok rizik zlouporabe i neovlaštenog pristupa.

Recall generira kontinuirani tok snimki zaslona koji obuhvaća gotovo sve aktivnosti korisnika – od privatne komunikacije i pretraživanja do poslovnih dokumenata i financijskih transakcija. Ako se takav sustav koristi u organizacijskom ili državnom okruženju bez jasnih ograničenja, on de facto može poslužiti kao alat za permanentni nadzor zaposlenika ili građana, iako formalno radi lokalno na uređaju.

UN i druga tijela za ljudska prava godinama naglašavaju da sama mogućnost masovnog, neselektivnog nadzora predstavlja zadiranje u pravo na privatnost, bez obzira na to je li do zlouporabe doista došlo. U kombinaciji s potencijalnim zahtjevima državnih tijela za pristup lokalno pohranjenim Recall podacima, postoji realna opasnost da se tehnološka funkcionalnost pretvori u podršku za masovni digitalni nadzor, ako ne postoji strogi pravni okvir i nadzor neovisnih tijela.

Za korisnike i organizacije u EU Recall izravno ulazi u područje Opće uredbe o zaštiti podataka (GDPR), budući da snimke zaslona i izdvojeni tekst gotovo uvijek sadrže osobne podatke, često i posebne kategorije (npr. zdravstveni podatci, politička uvjerenja i sl.). Regulatori poput britanskog ICO a već su zatražili dodatna pojašnjenja od Microsofta o pravnoj osnovi, transparentnosti, sigurnosnim mjerama i zadanim postavkama za ovu značajku.

GDPR traži jasan zakonski temelj obrade (npr. privola, legitimni interes), načelo minimizacije podataka, ograničenje svrhe i primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite (čl. 5. i 32.). Za organizacije koje dopuste Recall na službenim uređajima, to podrazumijeva potrebu za DPIA analizom (Data Protection Impact Assessment), jasnim pravilima o korištenju, mogućnošću isključenja Recalla i dokazivanjem da je obujam prikupljenih podataka nužan i razmjeran svrsi.

Windows Recall predstavlja jednu od najznačajnijih novosti u području prikupljanja i indeksiranja korisničke aktivnosti na suvremenim operacijskim sustavima. Iako je izvorno razvijen kao alat za povećanje produktivnosti kroz semantičko pretraživanje povijesti rada, njegova arhitektura, način pohrane podataka i razina detalja prikupljenih zapisa čine ga iznimno relevantnim iz perspektive računalne forenzike.

Analiza Recall sustava pokazuje da on generira novu klasu forenzičkih artefakata koji kombiniraju vizualne dokaze (snimke zaslona), tekstualne zapise dobivene OCR-om i bogate metapodatke s preciznim vremenskim oznakama. Takva kombinacija omogućuje rekonstrukciju korisničkih aktivnosti s razinom konteksta i granularnosti kakva do sada nije bila uobičajena u standardnim Windows forenzičkim izvorima. Recall time postaje snažan alat za izgradnju vremenskih linija, dokazivanje pristupa određenom sadržaju i razumijevanje slijeda događaja u digitalnim istragama.

S druge strane, istraživanje je pokazalo da Recall otvara i niz tehničkih, sigurnosnih i pravnih izazova. Enkripcija i vezanost podataka uz korisničku autentikaciju zahtijevaju pažljivo planiranje metoda akvizicije, uključujući primjenu live forenzike i analize radne memorije. Mogućnosti brisanja i manipulacije podacima nameću potrebu za razvijanjem postupaka detekcije anti-forenzičkih radnji i provjere integriteta. Istodobno, opseg i osjetljivost prikupljenih informacija podižu ozbiljna pitanja privatnosti, usklađenosti s GDPR-om te sudske prihvatljivosti tako dobivenih dokaza.

Zaključno, Windows Recall se može promatrati kao dvosjekli mač: s jedne strane iznimno vrijedan izvor digitalnih dokaza koji može znatno unaprijediti mogućnosti rekonstrukcije događaja, a s druge strane tehnologija koja zbog svoje invazivne prirode zahtijeva strogu kontrolu, jasne pravne okvire i visoku razinu forenzičke stručnosti. Uvođenje Windows Recall značajke označava pomak prema forenzici temeljenoj na kontinuiranom snimanju i semantičkoj analizi korisničkog okruženja te predstavlja važnu prekretnicu za smjer u kojem će se računalna forenzika u budućnosti razvijati.

[1] Manage Recall for Windows clients

[2] Recall overview

[3] Retrace your steps with Recall

[4] Update on Recall security and privacy architecture

[5] Kaspersky Details Windows 11 Forensic Artifacts and Changes With Windows 10 for Investigators

[6] Privacy and security risks surrounding Microsoft Recall

[7] Windows Recall Security

[8] New Windows Screenshot Feature Sparks Privacy Concerns

[9] The king is dead, long live the king! Windows 10 EOL and Windows 11 forensic artifacts

[10] Total recall? How Microsoft Recall could change cyber incidents and their investigations

[11] MICROSOFT RECALL

[12] How to access Windows Recall AI data locally stored on Windows 11

[13] Microsoft Recall snapshots can be easily grabbed with TotalRecall tool

[14] The Microsoft Windows Recall Feature: A Double-Edged Sword for Security and Privacy

[15] Live vs Dead Acquisition in Digital Forensics

[16] Manage your Recall snapshots and disk space

[17] Should you disable Microsoft Recall in 2025?

[18] Microsoft Privacy Statement

[19] Microsoft Recall Has a Privacy Problem

[20] Microsoft Recall: A game changer with high risks

[21] Privacy and control over your Recall experience