Analiza i korištenje alata LastActivityView

Prilikom svake uporabe računala koriste se razni programi, kreiraju se nove datoteke, dodaju se korisnici na računala, brišu se programi, mape, datoteke, i slično. Windows sustav bilježi ovakve informaicije o radnjama na nekoliko lokacija, ali do nekih nije tako jednostavno doći.LastActivityView je program koji služi za prikupljanje takvih podataka o radnjama te omogućava njihov pregled . U ovom radu ćemo opisati čemu služi alat LastActivityView, kako se koristi te navesti još neke programe za slične svrhe.

Ključne riječi : LastActivityView ; windows ; program ; radnja ; lista ; datoteka ; korisnik ;

LastActivityView je besplatni alat, od proizvođača NirSoft Freeware, za digitalnu forenziku za windows sustave. Dostupan je, osim engleske verzije, na još nekoliko jezika, neki od njih su francuski, španjolski, njemački, ruski, kineski te još nekoliko jezika. Jednostavan je i intuitivan za korištenje. Sama aplikacija velika je tek nehih 150KB te ju nije potrebno instalirati za korištenje. Nakon preuzimanja zip datoteke se samo treba raspakirati datoteka te pokrenuti LastActivityView.exe. Nakon pokretanja aplikacije, otvorit će se prozor sa listom radnji napravljenih na računalu.

Ovo je koristan alat koji prikuplja informacije iz raznih izvora na računalu i prikazuje na jednostavan, ali detaljan zapis o akcijama napravljenim na računalu.

LastactivityView prikuplja podatke iz nekoliko izvora na računalu :

1. iz Prefetch mape(C:\windows\Prefetch)
2. iz Minidump mape(C:\Windows\Minidump)
3. Registra
4. Event log-ova windowsa

1. Pokretanje izvršive datoteke (.exe) koje može biti pokrenuto od strane korinika ili nekof drugog aktivnog programa
2. Odabir mape prilikom spremanja datoteke. Primjer: Nakon preuzimanja neke aplikacije sa interneta, trebamo odabrati lokaciju za odabaranu datoteku, taj događaj se bilježi.
3. Otvaranje mape ili datoteke
4. Pregled neke datoteke u windows exploreru
5. Instalacija ili ažururanje nekog softvera
6. Pokretanje računala
7. Gašenje računala
8. Stavljanje računala na sleep mode
9. Pokretanje računala iz sleep mode-a
10. Spajanje računala na mrežu
11. Odspajanje sa mreže
12. Crash računala
13. Prestanak reagiranja određenog programa
14. Pojava plavog ekrana (blue screen)
15. Prijava korisnika
16. Odjava korisnika
17. Napravljen restore point
18. Pokretanje windows installera
19. Završetak rada windows installera
20. Povezivanje računala na bežičnu mrežu, dodatne informacije o povezivanju se nalane u Information stupcu
21. Odspajanje računala sa bežične mreže

LastActivityView nam prikazuje nekoliko bitnih informacija o svakom događaju na računalu, a to su :

1. Datum i vrijeme obavljene radnje
2. Opis radnje, (kratak opis sličan kao opisi 1-21 iz prošlog poglavlja)
3. Naziv datoteke, programa koji je izvršio radnju
4. Put do datoteke koja je izvršila radnju
5. Dodatne informacije o datoteci/programu
6. Ekstenziju datoteke
7. Izvor podataka odakle je prikupljena informacija o radnji

Ako nas neka od ovih infromacija ne zanima, možemo urediti stupce putem izbornika View→Choose Columns opcije, pa možemo preglednije pregledavati događaje koji nas zanimaju.

LastActivityView je jednostavan za korištenje, te u kratkom vremenu obavlja skupljanje podataka te ih prikazuje korisniku. Nakon prikazivanja liste radnji postoji niz korisnih mogućnosti za odabir, pregledavanje, pretraživanje, sortiranje te spremanje željenih informacija.

1. Pretraživanje Prozor za pretraživanje se može otvoriti na 3 načina:Izbornik Edit→Find, pomoću CTRL-F prečice ili pomoću ikone na početnom ekranu. Nakon otvaranja prozora upisujemo pojam koji želimo pronaći, te možemo odabrati dodatne postavke za pretraživanje

2. Pregled detaljnih informacija o događaju Više informacija o događaju možemo otvoriti dvostukim klikom na događaj ili kllikom na događaj te odabira propertis ikone.

3. Sortiranje događaja Možemo sortirati podatke po detaljima koji su zabilježeni (Action time, Description, Filename..) klikom na naziv detalja, jednom ili dvaput, lista se sortira uzlazno ili silazno.

4. Filtriranje liste događaja U slučaju da želimo pronaći sve događaje koje sadrže neku riječ ili izraz, to možemo postići sa CTRL-q ili odabirom izbornika View→ Use Quick Filter. Na ovaj način možemo veliku listu smanjiti samo na nekoliko događaja.

5. Spremanje liste

LastActivivityView nam pruža mogućnost spremanja (exportanja) podataka u nekoliko oblika : (ispod svakog načina je naveden način exportanja datoteke pomoću cmd-a). Prvo se potrebno prebaciti u direktorij u kojem je LastActivityView.exe te nakon toga pomoću jednostavnih naredbi možemo exportati podatke. Format naredbe spremanja : LastActivityView. exe /naredba <Naziv datoteke>

1. Običnu .txt datoteku

naredba:

        /stext za običnu txt datoteku
	/stab sa tabom odvojenu datoteku
	/stabular za tabuliranu datoteku

2. Csv datoteku

naredba:

        /scomma
        

3. Html datoteku(horizontalno ili vertikalno)naredba

        /shtml za horizonatlni način
	/sverhtml za vertikalni 

4. Xml datoteku.

naredba:

        /sxml

Uz ove načine pomoću naredbenog redka, moguće je i izravno iz programa spremiti listu u HTML obliku putem izbornika View→HTML Report All Items opcije.

Postoje još nekoliko alata istog proizvođača koji se mogu koristiti u slične svrhe i mogu se naći na poveznici ispod.

https://www.nirsoft.net/computer_forensic_software.html

Ovdje ću navesti još dva alata za slične primjene a to su TurnedOnTimesView i WinLogOnView. I ova dva programa su od istog proizvođača te su jednostavni, korisni i intuitivni za korištenje kao i LastActivityView .

Sa TurnedOnTimesView-om možemo vidjeti vrijeme u koje smo pokrenuli računalo te vrijeme u koje smo ugasili, ili se možda samo urušilo računalo zbog neke greške. Uz te osnovne informacije također daje još neke dodatne korisne informacije kao što su : trajanje rada na računalu između paljenja i gašenja, vrijeme zadnjeg događaja, razlog gašenja, tip gašenja(Sleep/Power off/Restart), proces i kod gašenja, te ime računala. Ovaj program se koristi na isti način kao i LastActivityView, te pruža iste mogućnosti pretraživanja, sortiranja, filtriranja i spremanja liste događaja.

Sa WinLogOnView-om vidimo u koje vrijeme se korisnik ulogirao, kad se odjavio, trajanje njegovog korištenja računala te još par korisnih podataka kao što su mrežna adresa, tip prijave, id prijave, ime korisnika, domenu, te računalo prijave. Isto kao i druga dva alata, zauzima malo prostora, netreba se instalirati, isto se koristi, te ima iste mogućnosti obrade liste događaja.

Ovaj alat nam pruža uvid u događaje koji se se dogodili na našem računalu koji su bili izazvani ili od korisnika ili od računala, te eventualno nekog neželjenog zlonamjernog programa. Sa LastActivityView-om možemo brzo pretražiti logiranje i logoutanje korisnika koji su koristili računalo, te možemo vidjeti vrijeme koje su proveli koristeći računalo. Sa tom informacijom odmah možemo vidjeti koje su radnje obavljene na računalu te u koje vrijeme. Također možemo vidjeti ako je netko stvorio i uređivao datoteke u određenoj mapi, čak i kad je mapa skrivena(hidden). U slučaju da želimo pronaći neku datoteku a nismo sigurni gdje je, a koristili smo je u prošlosti, alat za pretraživanje na windowsu može biti spor, a LastActivityView može brzo pronaći lokaciju datoteke po imenu, vremenu korištenja ili po aktivnosti koju smo radili s datotekom. Kod problema sa radom računala npr. kod urušenja sustava (system crash) možemo u pronaći u listi događaja koji su programi bili pokrenuti, te nam to može pomoći kod pronalaska razloga pada sustava.

[1] https://www.nirsoft.net/utils/computer_activity_view.html