Detekcija manipulacija vremenskim oznakama datoteka (timestamp) na Windows operacijskom sustavu

Računalnim forenzičarima je tijekom istraga važno da se mogu oslanjati na metapodatke, a neki od najznačajnijih su vremenske oznake datoteka (timestamp-ovi). Dostupno je više open-source programa koji služe upravo za manipulaciju tih timestampova. Kod detekcije manipulacija bitne su Windows system datoteke $LogFile i $USNjrnl, a osim njih važno je pratiti zapise u MFT tablici, posebno atribute $STANDARD_INFORMATION (SIA) i $FILE_NAME (FNA). Postoji više metoda kojima računalni forenzičar može detektirati manipulaciju na vremenskim oznakama datoteka, ali najčešće se koristi kombinacija više različitih metoda kako bi rezultati bili točniji. U slučaju da i jedna od tih metoda pokaže neku nedosljednost, računalni forenzičar može pretpostaviti da se radi o manipulaciji vremenskim oznakama datoteka.

Budući da se svake godine događa sve više računalnih zločina, računalnim forenzičarima bitno je da se tijekom svojih istrage mogu oslanjati na metapodatke kao što su i vremenske oznake datoteka odnosno timestamp-ovi. Zbog njihove važnosti, a i činjenice da postoje brojni dostupni open-source alati za njihovo mijenjanje, pouzdanost vremenskih oznaka na sudu više je puta dovedena u pitanje. Integritet vremenskih oznaka datoteka postalo je jako važno pitanje, a otkrivanje manipulacija istih uopće nije trivijalno.

Prije pojašnjenja metoda koje se mogu koristiti za detekciju manipulacija vremenskih oznaka, potrebno se upoznati sa nekoliko ključnih pojmova. Kao prvo, NTFS (New Technology File System) je datotečni sustav koji koristi Windows operacijski sustav. Taj sustav, koji je razvio Microsoft, stvoren je za brzo obavljanje operacija čitanja, pisanja i pretraživanja na velikim diskovima te nema nikakvih ograničenja za veličine datoteka. Svaki NTFS sastoji se od boot sektora particije, Master File Table-a (MFT) i područje za datoteke. MFT je baza podataka koja sadrži listu svih datoteka i direktorija u memoriji. MFT ima rezerviranih 16 unosa za Windowsove sistem datoteke, a dvije od tih datoteka su $LogFile i $USNjrnl. Te datoteke prate promjene napravljene na datotekama te su vrijedan izvor informacija za računalnog forenzičara koji želi otkriti manipulaciju na vremenskim oznakama datoteka. Svaki zapis u MFT tablici sadrži atribute koji se koriste za organiziranje sadržaja i metapodataka. Od tih atributa samo su dva vezana za vremenske oznake. Prvi je $STANDARD_INFORMATION (SIA) koji sadrži četiri jedinstvene vremenske oznake koje se kolektivno zovu MACE i prikazane su u sljedećoj tablici:

Drugi atribut vezan uz vremenske oznake je $FILE_NAME (FNA) i sadrži ime datoteke, ime roditeljskog direktorija te ima svoj set MACE vremenskih oznaka. Dakle, MFT sveukupno sadrži osam različitih vremenskih oznaka za svaku datoteku u memoriji.

Za mijenjanje vremenskih oznaka datoteka dostupni su open-source programi od kojih su poznati Timestomp, SetMACE i nTimestomp. Za mijenjanje SIA vremenskih oznaka, ovi programi koriste NtSetInformationFile API koji može pristupiti te pisati u sve 4 vremenske oznake iz SIA-inog MACE-a. Vremenske oznake iz FNA atributa postavljene su tako da odražavaju SIA vremenske oznake kreiranja te se ne mogu izravno mijenjati, ali FNA vrijednosti se mijenjaju kako bi odražavale SIA vrijednosti kad god se datoteka preimenuje ili promjeni mjesto u memoriji. Stoga kako bi se manipuliralo FNA vremenskim oznakama, dovoljno je promijeniti SIA vremenske oznake te promijeniti mjesto datoteke na disku kako bi se FNA ažurirao. Zatim se datoteci ponovno mijenjaju SIA vremenske oznake, ona se prebaci na originalnu lokaciju na disku te se na kraju SIA vremenske oznake još jednom mijenjaju kako bi se postavile baš onako kako korisnik želi. Ovako se može manipulirati vremenskim oznakama točno u sekundu što znatno otežava otkrivanje manipulacije vremenskim oznakama u NTFS datotečnom sustavu.

Postoje više metoda kojima se mogu otkriti nedosljednosti kao rezultat manipulacije vremenskih oznaka.

Prvi način je uspoređivanje identifikacijske oznake MFT-a i vremenskih oznaka FNA atributa. Logika iza toga je da ID MFT-a raste linearno, odnosno ID datoteke koja je napravljena nekad u prošlosti biti će manji od ID-a datoteke napravljene sada. Tu bi se mogla otkriti nedosljednost tako što bi datoteka imala vremensku oznaku kreiranja iz prošlosti (na primjer prije pet godina), ali MFT ID vrijednost bila bi visoka i bliža MFT ID vrijednostima datotekama koje su napravljene sada.

Drugi način je uspoređivanje SIA i FNA vremenskih oznaka. Očekivano je da vrijednosti FNA vremenskih oznaka kreiranja budu starije od vrijednosti SIA vremenskih oznaka kreiranja. Tu bi računalni forenzičari mogli uočiti nedosljednost ako bi SIA vremenske oznake kreiranja bile starije od FNA vremenskih oznaka kreiranja.

Slijedeća metoda za otkrivanje nedosljednosti je gledanje formata vremenskih oznaka, odnosno završavaju li one sa nulama. Naime, neki alati za izmjenu su dosta ograničeni, pa tako znaju dozvoliti izmjenu vremenskih oznaka samo do sekunde, dok milisekunde pa sve do nanosekundi postave na nulu. Šanse da se to dogodi bez manipulacije izuzetno su male.

Osim toga, manipulaciju vremenskih oznaka moguće je i otkriti gledanjem $USNjrnl i $LogFile Windows system datoteka. U slučaju promjene vremenskih oznaka moguće je pronaći u $USNjrnl datoteci unos vezan za ciljanu datoteku gdje će u slučaju manipulacije pisati BASIC_INFO_CHANGE+CLOSE. Drugi način je gledati $LogFile datoteku gdje računalni forenzičar također može vidjeti izmjene na vremenskim oznakama. Problem kod ovih manipulacija je što dobar haker zna obrisati ili manipulirati unosima o ciljanim datotekama iz navedenih Windows system datoteka.

U slučaju otkrivanja bilo kakve nedosljednosti pomoću bilo koje od ovih metoda, a najčešće se koriste više njih jer neke od njih često znaju ne pokazuju nikakvu nedosljednost, računalni forenzičar može zaključiti kako se radi o manipulaciji vremenskih oznaka datoteka.

Zbog velike dostupnosti programa koji olakšavaju manipulaciju vremenskih oznaka datoteka, mijenjanje istih jednostavno je i prosječni korisnik Windows operacijskog sustava bio bi sposoban manipulirati vremenskim oznakama. No, prosječan korisnik ne bi mogao uspjeti zavarati računalne forenzičare koji su upoznati sa nekolicinom metoda detekcije manipulacija vremenskih oznaka. Kako bi zavarao računalnog forenzičara, korisnik bi morao dobro poznavati NFTS datotečni sustav te poznavati Windows system datoteke, a morao bi imati i alate kojima bi mogao mijenjati iste. Računalni forenzičari većinom neće moći otkriti manipulaciju samo jednom metodom, ali zato kombinacijom više njih može naći nekonzistentnost te tako utvrditi kako se radi o manipulaciji vremenskih oznaka.

[1] David Palmbach, Frank Breitinger, Artifacts for Detecting Timestamp Manipulation in NTFS on Windows and Their Reliability, Forensic Science International: Digital Investigation, Volume 32, Supplement, 2020, 300920, ISSN 2666-2817

[2] Michael Galhuber and Robert Luh. 2021. Time for Truth: Forensic Analysis of NTFS Timestamps. In Proceedings of the 16th International Conference on Availability, Reliability and Security (ARES 21). Association for Computing Machinery, New York, NY, USA, Article 44, 1–10.

[3] Alexandru Stamate, How to detect timestomping (on a Windows system)

[4] Računalna forenzika - Forenzika datotečnih sustava, Fakultet elektrotehnike i računarstva, 2022.