Windows Recall forenzika

Ova wiki stranica analizira Windows Recall - relativno novu značajku unutar operativnog sustava Windows 11. S obzirom na to da je Windows Recall iznimno bogati izvor digitalnih tragova, naglasak je na forenzičkoj vrijednosti značajke i rizicima vezanima za privatnost koji uz nju dolaze. Recall kontinuirano snima korisnički zaslon, lokalno pohranjuje snimke zaslona u JPEG formatu, iz njih ekstrahira OCR tekst, a sve zatim povezuje u pretraživu vremensku liniju, čime nastaje iznimno detaljan zapis aktivnosti korisnika i pristupa (potencijalno) osjetljivim podatcima. Analiza ove značajke uključuje i pregled arhitekture sustava, vrsta prikupljenih podataka, lokacija i strukturu glavnih artefakata, metode akvizicije podataka, anti-forenzičke mogućnosti, usklađenost s GDPR-om, privatnosne i pravne implikacije te kriteriji sudske prihvatljivosti Recall artefakata kao digitalnih dokaza; a poseban je naglasak stavljen na mogućnosti rekonstrukcije vremenske linije aktivnosti korisnika, analizu same baze podataka, načina pohrane vremenskih oznaka i povezivanje snimki s OCR tekstom. U obzir su uzeti i metodološki izazovi prikupljanja Recall podataka kroz live forenziku, post-mortem analizu, disk imaging i RAM forenziku, uz osvrt na enkripciju i sigurnosne mehanizme temeljene na sigurnosnoj infrastrukturi Windows OS-a. Glavni je cilj pružiti sustavan i objektivan pregled Windows Recall značajke kao novog i svježeg izvora forenzičkih artefakata, te skrenuti pozornost na njegov potencijal, ograničenja i implikacije forenzičke istrage u budućnosti.

Windows Recall spada među najzanimljivije, ali i najkontroverznije, novije značajke operacijskog sustava Windows 11, naročito na Copilot+ uređajima. Radi se o snimaču vremenske linije (timeline) koji periodički bilježi sadržaj zaslona, lokalno ga analizira, a potom uspostavlja pretraživu zbirku korisničkih aktivnosti organiziranih kronološki. Time se Recall izdvaja od tipičnih sistemskih logova (dnevnika) i artefakata te uvodi kontinuirani (vizualno potvrdiv) zapis onoga što je korisnik vidio i radio na računalu.

U kontekstu računalne forenzike, Recall otvara novu kategoriju digitalnih tragova. Umjesto da se istražitelj oslanja isključivo na indirektne dokaze (logove, povijest pretraživanja, metapodatke datoteka i sl.), Recall omogućuje rekonstrukciju kompletne radne površine - uključujući tekst dokumenata, prozore korištenih aplikacija, web-stranice i naredbe - u kratkim i pravilno raspoređenim vremenskim intervalima. Pretraživa indeksirana baza podataka povezuje snimke zaslona, OCR tekst i procesuirane informacije, čime se poprilično ubrzava potraga za relevantnim događajima i radnjama korisnika, uz istovremeni rast stupnja pouzdanosti forenzičkih dokaza i zaključaka.

Upravo ta granularnost, sveobuhvatnost i cjelovitost snimljenih podataka Recall čini jednom od središnjih točaka aktualnih debata o privatnosti, masovnom nadzoru i usklađenosti s pravnim okvirima zaštite podataka. Kontinuirano bilježenje snimki ekrana nužno obuhvaća i uvid u osjetljive osobne i poslovne informacije (autentifikacijske podatke, zdravstvene podatke, financije, interne dokumente), zbog čega su brojna regulatorna tijela zatražila dodatna pojašnjenja i procjene učinka na zaštitu podataka (DPIA), osobito u kontekstu GDPR-a.

Ova wiki stranica kombinira tehničku analizu arhitekture i artefakata Recall sustava stavljajući naglasak na forenzičke mogućnosti, anti-forenzičke aspekte i pravna ograničenja, s ciljem pružanja zaokružene i cjelovite slike o njegovoj ulozi u suvremenoj računalnoj forenzici.

Windows Recall značajka je uvedena u sustavu Windows 11 za Copilot+ računala koja periodički snima sadržaj zaslona te ga lokalno obrađuje kako bi korisniku omogućila semantičko pretraživanje i vraćanje vlastitih prethodnih aktivnosti na računalu u obliku vremenske linije. Recall periodično snima stanje korisničkog sučelja, koristi lokalnu AI analitiku (NPU/CPU) za analizu i izdvajanje teksta i konteksta iz tih snimki te lokalno pohranjuje dobivene podatke u strukturiranom obliku, stvarajući vremenski indeksiranu bazu vizualnih i tekstualnih zapisa korisničkog rada, što ga čini iznimno relevantnim iz perspektive računalne forenzike i privatnosti.

Arhitektura Windows Recall tehnologije temelji se na kombinaciji servisa za prikupljanje podataka, AI obrade i lokalne baze podataka. Recall u pozadini izvodi servis koji periodički, u pravilnim vremenskim razmacima, izrađuje snimke zaslona (snapshots) aktivnih prozora i pohranjuje ih u lokalni spremnik slika. Snimke su organizirane u vremensku liniju (timeline) podijeljenu u segmente koji predstavljaju blokove vremena tijekom kojih je korisnik aktivno koristio računalo. Te se snimke zatim obrađuju pomoću lokalnog modela za optičko prepoznavanje znakova (OCR) i semantičku analizu, čime se iz vizualnog sadržaja izdvajaju tekstualne informacije i kontekst. Sustav pritom indeksira dobivene podatke i paralelno gradi vektorsku bazu podataka koja omogućuje brzo semantičko pretraživanje prema ključnim riječima, korištenim aplikacijama, vremenskim oznakama (timestamp) i sadržaju prikazanom na zaslonu. Cjelokupna je obrada konstruirana tako da se odvija lokalno na uređaju (računalu), bez slanja podataka u oblak, uz oslanjanje na NPU (Neural Processing Unit) prisutan u Copilot+ računalima.

Obrada se osjetljivih podataka obavlja unutar izoliranog okruženja temeljenog na Virtualization based Security (VBS) enklavama, gdje se izvršava verificirani kod i drže ključevi za dekripciju. Ovakva arhitektura osigurava posebni sloj izolacije između Recall podataka i ostatka sustava, uključujući administratorske i kernel privilegije, te se oslanja na TPM i Windows Hello za autentikaciju korisnika i kriptografsko vezanje podataka uz identitet.

Windows Recall prikuplja i obrađuje nekoliko kategorija podataka:

• Snimke zaslona (screenshots): Periodične slike radne površine i aktivnih aplikacija u JPEG formatu, koje se bilježe u pravilnim razmacima (npr. svakih nekoliko sekundi, ovisno o konfiguraciji), a kojima se vizualno dokumentira korisnička aktivnost kroz vrijeme.
• OCR tekst: Tekstualni zapisi (npr. sadržaj dokumenta, naslovi prozora, URL-ovi) ekstrahirani iz snimki zaslona pomoću optičkog prepoznavanja znakova, koji se zatim pohranjuje u bazu podataka kao indeks za pretraživanje. Time se omogućuje pretraživanje sadržaja dokumenata, web-stranica, poruka i drugih prikaza koji nisu izvorno tekstualne datoteke.
• Metapodaci: Uza slike i OCR tekst, Recall pohranjuje prateće informacije (metapodatke) koje uključuju vremenske oznake, naslove prozora, identifikatore aplikacija, granice prozora, putanje procesa, rezoluciju zaslona, kontekstualne podatke potrebne za rekonstrukciju korisničke sesije i izradu vremenske linije aktivnosti i razne druge atribute koji su zapisani u Exif metapodacima JPEG datoteka i u tablicama baze podataka.

Kombinacija ovih podataka omogućuje stvaranje detaljnog i semantički pretraživog zapisa korisničkog rada.

Svi podaci prikupljeni sustavom Recall pohranjuju se lokalno na korisničkom računalu u obliku baze podataka i povezanih datoteka sa snimkama. Snimke zaslona pohranjuju se lokalno u korisničkom profilu, u direktoriju povezanom s CoreAI/Recall komponentama, npr. na putanji oblika %AppData%\Local\CoreAI\Platform.00UKP{GUID}\ImageStore, gdje se čuvaju JPEG datoteke organizirane prema vremenu. Rješenja usmjerena na forenziku opisuju ovaj spremnik slika kao ključni artefakt za rekonstrukciju aktivnosti, jer kombinira vizualni sadržaj i Exif metapodatke.

Uza spremnik slika, Recall koristi lokalnu bazu podataka (primarno SQLite) koja sadrži zapise o aplikacijama, vremenu korištenja i pojedinačnim snimkama zaslona, uključujući tablice poput App, AppDwellTime i WindowCapture, kao i tablice za indeks teksta izdvojenog iz snimki. Ova baza djeluje kao indeksni sloj iznad datoteka slika, povezujući svaku snimku zaslona s vremenskim kontekstom, korištenom aplikacijom i OCR-om, što omogućuje napredno pretraživanje po sadržaju i vremenu.

Svi Recall artefakti – snimke zaslona i pripadni zapisi u vektorskoj/baznoj strukturi – pohranjeni su kriptirani, pri čemu se primjenjuje kombinacija enkripcije na razini diska (Device Encryption/BitLocker) i zasebne enkripcije pojedinačnih snapshotova. Ključevi za enkripciju snapshotova kriptografski su vezani uz korisnički identitet, pohranjeni i zaštićeni putem Trusted Platform Module (TPM-a) te dostupni isključivo unutar VBS enklave nakon uspješne autentikacije Windows Hello mehanizmom. Ovaj encryption-first pristup znači da drugi korisnici ili offline napadač bez pristupa TPM-u i korisničkim vjerodajnicama ne mogu jednostavno dekriptirati Recall podatke, iako su fizičke datoteke prisutne na disku. Istovremeno, činjenica da se svi podaci nalaze lokalno (bez nužnog slanja u oblak) čini Recall iznimno bogatim izvorom potencijalnih forenzičkih artefakata, uz istodobno pojačane zahtjeve za pravilno upravljanje ključevima i pravnim aspektima pristupa.

Windows Recall predstavlja izuzetno bogat izvor kontekstualnih dokaza o radu korisnika, jer kontinuirano bilježi vizualni prikaz radne površine te ga indeksira u pretraživu vremensku liniju. Za digitalnu forenziku to znači pristup detaljnim informacijama o aplikacijama, dokumentima i web-stranicama koje su bile vidljive na zaslonu, čak i kada su drugi artefakti (logovi, povijest preglednika, datoteke) naknadno obrisani ili izmijenjeni.

Windows Recall snima periodične snimke zaslona tijekom korisničkih sesija na računalu, što znači da može posjedovati vizualne reprezentacije gotovo svih aktivnosti koje su se odvijale na ekranu — uključujući otvaranje aplikacija, pregled web-stranica, pregled i uređivanje dokumenata, komunikacijske poruke i drugi vizualni sadržaj. Svaka snimka je povezana s vremenskom oznakom koja omogućuje rekonstrukciju tijeka događaja kroz vrijeme.

Osim vizualnih snimki, Recall koristi OCR (Optical Character Recognition) kako bi iz slika izvukao tekstualne zapise, što omogućuje semantičko pretraživanje sadržaja čak i kada izvorni dokument nije tekstualan (npr. tekst unutar PDF-a, slika ili web-stranica). Ovako ekstrahirani tekstovi i njihovi metapodaci mogu biti spremni za pretragu i analizu, što ih čini ključnim artefaktima u forenzičkim istragama.

Recall baza podataka (primjerice tablice App, AppDwellTime, WindowCapture) može potvrditi izvođenje određene aplikacije, duljinu njezina korištenja te postojanje određenih datoteka ili mapa, čak i ako su one kasnije obrisane. Tako Recall može ponuditi dokaze izvršenja (evidence of execution), potvrđujući da je korisnik ili napadač u određenom vremenu pokrenuo specifičan program ili pristupio određenom resursu.

Kroz taj skup podataka forenzičar može rekonstruirati niz aktivnosti korisnika i identificirati relevantne događaje. Ti dokazi mogu uključivati:

• Vizualne prikaze akcija korisnika (primjerice, otvaranje e-maila, pregledavanje internetskih stranica, interakcija s aplikacijama) u određenom vremenskom razdoblju.
• Tekstualne podatke izvučene iz snimke zaslona, uključujući izraze pretraživanja, komunikaciju unutar aplikacija, nazive datoteka i adrese URL-a.
• Metapodatke povezane s pojedinim snimkama kao što su vremenski žigovi i identifikatori prozora ili aplikacija, omogućujući kronološko povezivanje događaja.

Zbog ovih karakteristika, Recall sustav može biti posebno koristan u slučajevima gdje se treba rekonstruirati kompletna vremenska linija korisničke aktivnosti ili potvrditi da je korisnik vidio određeni sadržaj — što bi inače zahtijevalo ručno prikupljanje i sinkronizaciju raznih logova i artefakata.

Slučajevi upotrebe u forenzici:

1. Aktivnost korisnika Za analizu aktivnosti korisnika Recall omogućuje rekonstrukciju niza radnji na razini što je korisnik vidio i radio u kratkim vremenskim razmacima (npr. snimka svakih nekoliko sekundi). Recall forenzičarima omogućuje da vizualno i tekstualno prate radnje korisnika u kronološkom slijedu. U situacijama kada se, primjerice, treba dokazati da je određena osoba pregledala određeni dokument ili web-stranicu u određeno vrijeme, artefakti iz Recall baze podataka mogu poslužiti kao izravan dokaz. Vremenska oznaka snimki zaslona i OCR-tekst iz snimki omogućuju precizno utvrđivanje kada su određene informacije bile prikazane na zaslonu.

2. Pristup osjetljivim dokumentima Recall može poslužiti kao neizravan, ali vrlo snažan, dokaz pristupa osjetljivim dokumentima, jer snima sadržaj datoteka dok su prikazane na ekranu. Snimke zaslona i OCR-tekst mogu sadržavati naslove dokumenata, putanje datoteka, oznake klasifikacije, kao i stvarne fragmente povjerljivog sadržaja (npr. osobne podatke, lozinke, poslovne tajne). Kombinacija vizualnih zapisa i OCR-tekstualnih fragmenata može biti ključna za razumijevanje opsega i prirode pristupa takvim podacima.

3. Vremenska linija rada Recall inherentno gradi vremensku liniju rada, segmentiranu prema razdobljima u kojima su uzimane snimke zaslona i korištene određene aplikacije. Kombinacijom vremenskih oznaka iz WindowCaptureEvent, podataka o trajanju korištenja aplikacija iz AppDwellTime i vizualnih snimki, moguće je izraditi vrlo detaljnu kronologiju događaja na radnoj stanici. Takva vremenska linija omogućuje korelaciju Recall artefakata s drugim izvorima (sistemski logovi, mrežni logovi, e mail zapisi) radi preciznog određivanja trenutka kompromitacije, pokretanja zlonamjernog koda ili eksfiltracije podataka.

[1] Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.

[2] Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.

[3] Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006