UNIVERZITET SINERGIJA

SAVREMENE INFORMACIONE TEHNOLOGIJE

-Master studije-

Privremeni fajlovi
Tragivi sa Interneta
Prof. dr Gojko Grubor

06.04.15

Digitalna forenzika

Ciljevi
Identifikovati uobiajane tragove ostavljene na raunaru posle
rada na iInternetu
Obezbediti primere privremenih fajlova koje kreira raunar i kako
se mogu koristiti za dokaze
Opisati kako Windows OS-i koriste link & log fajlove za pomo
korisniku

06.04.15

Digitalna forenzika

Privremeni Internet fajlovi

Internet pretraivai

etiri glavne oblasti su:

Temporary Internet Cache

Internet History folder
Internet Cookies
Favourites
06.04.15

Digitalna forenzika

Internet Cache
Zato postoji Internet ke?
Lokacija:
Win9X & ME
Bez korisnikog profila
C:\Windows

Sa korisnikim profilima
C:\Windows\Profiles\{Profile Name}

Windows 2000 & XP

C:\Documents and Settings\{User Name}

Ovo su podrazumevana podeavanja mogu se

nalaziti bilo gde
06.04.15

Digitalna forenzika

Podeavanje Internet Cache-a

Kontrolie se u meniju
Tools u toku
podeavanja
u IE.
Korisnik moe izbrisati
fajlove koje eli brisati

06.04.15

Digitalna forenzika

Podeavanje Interent Cache-a

Podrazumevana
veliina kea je
normalno oko 3%
slobodnog prostora
diska
Minimum je 0%???
Moe biti velik
koliko korisnik eli
0% nije normalna
treba videti zato?
06.04.15

Digitalna forenzika

Struktura Internet Cache-a

INDEX.DAT
fajl je zapis
koji skuplja
sve informacije
Zapazite
kreiranu
strukturu
fajla sluajno
imenovani
folderi
06.04.15

Digitalna forenzika

Sadraj Internet Cache-a

Svi fajlovi
koji ine
pogled na
web
stranice su
zadrane
06.04.15

Digitalna forenzika

ta je Internet Explorer istorija?

Zapis raunara o web sajtovima koje je posetio
korisnik, ukljuujui:
Zatiene servere
FTP
E-mail
Newsgroups

Kreirani da omogue naknadnu navigaciju

korisnika kroz ove sajtove sa liste
06.04.15

Digitalna forenzika

Internet istorija
Lokacija
Win9X & ME
Bez korisnikih profila
C:\Windows

Sa korisnikim profilima
C:\Windows\Profiles\{Profile Name}

Windows 2000 & XP

C:\Documents and Settings\{User Name}

Ovo su predefinisana podeavanja moe biti

bilo gde
06.04.15

Digitalna forenzika

10

Internet istorija pogled na fajl

06.04.15

Digitalna forenzika

11

Internet istorija
Moe se videti
ime putanje i
sadraj
Moe videti sve
u Windows
formatu

06.04.15

Digitalna forenzika

12

Internet
istorija
Omoguava
navigaciju kroz
stranice gde su
korisnici ve bili
pomou IE
pretraivaa
Na dnevnoj i
nedeljnoj bazi

06.04.15

Digitalna forenzika

13

Podeavanja
Podeavanje
Internet Cache i
History moe se
izmeniti u
pretraivau
Mogu biti vani
za ispitivanje
Podrazumevana
istorija je 20
dana Ako nije,
zato?
06.04.15

Digitalna forenzika

14

ta su Cookies (kolaii)?

Variable Name
Variable Value
Domain & Path Data
Security Tag
Expiry Date & Time
Modification Date & Time
Record Separator

Tekstualni fajlovi deponovani na HD raunara od strane

pretraivaa posle posete web lokacija koje ih koriste.
06.04.15

Digitalna forenzika

15

Cookies
Lokacija
Win9X & ME
Bez korisnikih profila
C:\Windows

Sa korisnikim profilom
C:\Windows\Profiles\{Profile Name}

Windows 2000 & XP

C:\Documents and Settings\{User Name}

Ovo su podrazumevane lokacije - mogu biti bilo

gde
06.04.15

Digitalna forenzika

16

Cookies pogled na fajl

06.04.15

Digitalna forenzika

17

ta su Favourites
Nain na koji korisnik upravlja listom esto
poseivanih (omiljenih) web lokacija
Moe biti organizovana u odvojene
foldere/kategorije
Postoji kao URL fajl, koji sadri tekst
Imaju slinosti sa LNK fajlovima
06.04.15

Digitalna forenzika

18

Favourites
Lokacija
Win9X & ME
Bez korisnikog profila
C:\Windows

Sa korisnikim profilom
C:\Windows\Profiles\{Profile Name}

Windows 2000 & XP

C:\Documents and Settings\{User Name}

Ovo je podrazumevana lokacija moe biti bilo

gde
06.04.15

Digitalna forenzika

19

Internet Explorer i Registry

Odravanje danima
Veliina kea
Otkucani URLs
Startna stranica
Zatieno skladitenje/Auto-kompletiranje
06.04.15

Digitalna forenzika

20

Ostali Internet pretraivai

06.04.15

Digitalna forenzika

21

Ostali Internet pretraivai

Neki koriste IE tehnologiju i imaju istu
strukturu fajla
Neki imaju svoju strukturu neki ne
IE je najvie korien
Forenziar moda treba istraivati neki
pretraiva i otkriti gde se nalaze dokazi
06.04.15

Digitalna forenzika

22

Peer to Peer

06.04.15

Digitalna forenzika

23

P2P tipovi
FastTrack
Gnutella
Rade na razliite
naine i imaju
razliite
pridruene
skupove fajlova
06.04.15

Digitalna forenzika

24

KaZaA
Forenziki
Skladiti termine pretraivanja (ifrovano)
Skladiti blok liste (liste blokiranih sajtova)
Skladiti .DAT fajlove (downloads preuzimanja)

06.04.15

Digitalna forenzika

25

KaZaA
Forenziki (instaliran)

Skladiti termine pretraivanja (ifrovano)

Skladiti blok liste (liste blokiranih sajtova)
Skladiti .DAT fajlove (downloads preuzimanja)
DATA{No}.DBB files
256, 1024,4096

Kada se de-instalira
Oien je Registar
Zajedniki folder ostaje
DBB folderi i sadraji ostaju u korisnikom profilu (ako je
primenljivo)

06.04.15

Digitalna forenzika

26

Transfer fajlova (FTP)

FTP (File Transfer Protocol)
Log fajlovi su korisni i esto se nalaze
Sadre vremena i datume aktivnosti

06.04.15

Digitalna forenzika

27

E-Mail

06.04.15

Digitalna forenzika

28

E-Mail baziran u aplikacijama

Outlook

The Bat!

Outlook Express

Forte Agent

America Online (AOL) 9.0

PocoMail

Outlook Exchange (PST)

Calypso

FoxMail

Juno 3.x

EML message files

USENET Groups

Eudora

Netscape Messenger

Mozilla Mail

Pegasus Mail

Entourage

Pine
Uskladiteni su na ispitivanom raunaru!
06.04.15

Digitalna forenzika

29

E-Mail baziran na web lokaciji

Neki primeri
Hotmail
MSN
Yahoo!
Lycos
Mail.com
Fastmail
Neomail
i mnogo drugih.
Nisu uskladiteni na ispitivanom raunaru nego na
udaljenom web serveru.

06.04.15

Digitalna forenzika

30

Outlook & Outlook Express

Outlook
.PST i .OST tipovi fajlova

Outlook Express
.DBX tip fajlova

Generalno ih kopiraju i koriste forenziki alati

Pitanja sa kompresijom i ifrovanim fajlovima
06.04.15

Digitalna forenzika

31

E-Mail baziran na web lokaciji

Nain rada sa Temp Internet Cache
Mogu li se uvesti u aplikaciju
Koristi iste fajlove za skladitenje kao
drugi mail-ovi

Koriste iste fajlove za

skladitenje06.04.15

Digitalna forenzika

32

Ostaci e-mail-a
Obino se nalaze u nealociranom i Slack prostoru
Informacije hedera lako se nalaze i pretrauju

06.04.15

Digitalna forenzika

33

Servis za etovanje (Chat)

06.04.15

Digitalna forenzika

34

Servisi za etovanje
Yahoo Messenger
MSN Messenger
MIRC
ICQ
AIM (AOL Instant Messenger)
Trillian
06.04.15

Digitalna forenzika

35

Servisi za etovanje
Veina
klijenata
ostavlja
dobre
zapise
Veina ima
podrazumevano
logovanje
06.04.15

Digitalna forenzika

36

Servisi za etovanje

Log fajlovi mogu biti korisni sa datumom i

vremenom

Kao i Registar

06.04.15

Digitalna forenzika

37

Servisi za etovanje

Privremeni fajlovi kreirani u toku daunlodovanja mogu biti

korisni

06.04.15

Digitalna forenzika

38

Servisi za etovanje

Fajl transfer moe biti teak za rebutovanje ako su izmenjena

podrazumevana podeavanja korisnika

06.04.15

Digitalna forenzika

39

Servisi
za
etovanje
Logovanje je korisno bilo da je etovanje tekstualno ili ifrovano (slabijom .)

06.04.15

Digitalna forenzika

40

Newsgroups

06.04.15

Digitalna forenzika

41

Newsgroups
Vrlo su sline e-poti
Koriste format hedera
itai aplikacija kao to su Outlook Express
mogu se ispitivati na isti nain kao za e-potu
itai tipa Forte Agent mogu se kompletno
kopirati i aktivirati
Traenje adresa je kao u e-poti
06.04.15

Digitalna forenzika

42

Fajlovi
Each screen name gets a set of files

06.04.15

Digitalna forenzika

43

PFC
Personalni
Filing
Cabinet
Pogled na
kopiju u
forenzikom
alatu

06.04.15

Digitalna forenzika

44

Fajlovi dokaznih informacija

VERSION.INF Broj poslednje verzije
STATUS.INI Status informacija o klijentu
INSTALL.LOG Informacije o instalaciji (vreme i
datum)
UPDATE.INI Auriranje aplikacije
PH.PH Poslednji aktivni fajl
ERRORLOG.INI Greke u AOL (vreme i
datum)
06.04.15

Digitalna forenzika

45

Pitanja?

06.04.15

Digitalna forenzika

46