Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Vara din, 2009.

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Bologna 7. semestar

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sadr aj

1.

Uvod ................................ ................................ ................................ .............................. 1 2.1 Forenzi ke metode i procedure ................................ ................................ ..................... 4 2.2 Forenzi ka analiza ................................ ................................ ................................ ........ 8 2.3 Forenzi ki alati ................................ ................................ ................................ ............. 9

2. Forenzika (ra unalna forenzika) ................................ ................................ ......................... 3

3. Materijalni nositelji (op enito)................................ ................................ .......................... 12 4. Uvod u mre nu forenziku ................................ ................................ ................................ . 13 5. Unutra nja sigurnost ................................ ................................ ................................ ......... 15 5.1 Prikupljanje podataka ................................ ................................ ................................ . 15 5.2 Na in rada alata za mre nu forenziku ................................ ................................ ......... 17 5.3 Analiza mre nog prometa ................................ ................................ ........................... 18 6. Wireless forenzika ................................ ................................ ................................ ............ 19 6.2 Komunikacijski medij................................ ................................ ................................ . 20 6.3 Pokretljivost klijenata ................................ ................................ ................................ . 21 6.4 Karakteristike prometa................................ ................................ ................................ 22 6.5Performanse ure aja za prikupljanje prometa................................ ............................... 22 7. Forenzi ki alati i postupci................................ ................................ ................................ . 23 7.1 Zahtjevi i preporuke................................ ................................ ................................ .... 23 7.3 Komercijalni i alati otvorenog programskog koda ................................ ....................... 24 8. Analiza be i nog prometa ................................ ................................ ................................ 25 8.1 Spajanje prometa vi e kanala ................................ ................................ ...................... 25 8.3 Rukovanje prometom preklapaju ih kanala................................ ................................ . 26 8.4 Filtriranje i ubrzavanje analize................................ ................................ .................... 26 8.5 Tehnike maskiranja i prikrivanja tragova ................................ ................................ .... 26 9. Spa avanje podataka................................ ................................ ................................ ......... 27 10. Tvrdi diskovi ................................ ................................ ................................ .................. 29 10.1. Fizi ki kvarovi ................................ ................................ ................................ ......... 30 10.1.1. Neispravna glava................................ ................................ .............................. 30 10.1.2. Neispravan motor................................ ................................ .............................. 32 10.1.3. Neispravna elektronika................................ ................................ ...................... 34 10.1.4. O te enje plo a (lo i sektori) ................................ ................................ ............ 35 10.1.5. Neispravan ugra eni softver (eng. Firmware) ................................ ................... 36 10.2. Logi ki kvarovi ................................ ................................ ................................ ....... 37

........ ........ Gubljenje particija ................................................. ............... ....4................... ..... ... Reinstalacije operacijskog sustava.. 58 15... 53 13.......3........................2....... . ..1.............................................................................. .2...................................primjer ..................................... ...... Zaklju ak ..... JTAG ......... 44 12...................... .. ............................ .................3. 43 11............................. 39 10..... ................................2....................................... .............................. Fizi ke karakteristike ................................................. Magnetske kartice...2 Koderi magnetskih kartica ..1 ita i kartica ... 37 10.......................................... Brisanje podataka ... Flash memorija ... Preporuke za spa avanje podataka sa opti kih ure aja ............................... ..2.............. Fizi ka ekstrakcija ........... ...... 39 11.. 56 13....... .............3...2... ....... 44 11......2......................2................................. 38 10................................... .......10....... O te enja baze podataka i e-mail baza........ ................ 39 10.......... .... 43 11.............................. ............... ............. ........ Programski alati . ......... 47 12.... 47 12....... ................................................ Spa avanje filmova i muzike sa cd-a i dvd-a ... 64 17....................... 55 13........2.............. Spa avanje podataka ........... 38 10............................1............. 44 11............................................................ 45 12... 65 ... ............ ........1........................ ....................... .....2................ ................................. 57 14.....................2..................................... 49 12........................................ 63 16...................... ........................... .... Prikaz praznog opti kog medija ...................................... ................... .................... .................... ...................................................................................... Softver za spa avanje podataka na opti kom mediju . ................2.....................2.................4.....................1.................................. .............. .................. Literatura .......3.... ...... .............. O te enja uslijed djelovanja virusa................. .................. 45 12.5................................. Mitovi o spa avanju podataka sa tvrdog diska .................................... .................................... ....................................... ........................... Zadu enja tima ...... .. Primjena forenzi kih alata ................ Opti ki ure aji................................................. ............ . ........................................... ...................

iako ne previ e. Dakle obnavljanje podataka je zapravo spada u vje tine osoba koje se bave ra unalnom forenzikom. U slu ajevima napada na promatrani informacijski sustav bitno je detektirati napada e. Ovisno o sustavu za tite koji je implementiran u na sustav. znanstveno istra ivanje ra unala ili ra unalnih podataka u odnosu na istragu po odgovaraju em zakonu. te njihove postupke odnosno Äscenarije³ napada na doti ni sustav. 1 . Uvod Potpunu sigurnost informacijskog sustava ne mo e nam nitko jam iti. Bit ra unalne forenzike je dobro. sli na CSI istragama na televiziji. sukladno tome procesu nastaju. ra unala i drugih supreriornih tehnolo kih alata. Ra unalna forenzika je znanost koja se se rapidno razvija. tipka za brisanje jednostavno uklanja datoteke lokacija iz indeksa datoteka i stvarni podaci sigurnosnu jo uvijek u sustavu. To mo e biti potrebno. Lako je uo iti da sa razvojem znanosti. Kori tenjem naprednih tehnika i tehnologija. upravo zbog tih razloga poku avamo opasnost koja prijeti. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. Ra unalna forenzika se mo e koristiti za pra enje e-po te. pogotovo u svijetu ra unala i podataka gdje se brzina kretanja informacija odvija u milisekundama. bit e u mogu nosti rekonstruirati zlo in koriste i podatke iz bilo kojeg ra unalnog sustava. forenzi ki znanstvenik.1. ve ina ljudi jednostavno misle da Ädelete³ tipka zaista uklanja podatke. instant poruka i za bilo koji drugi oblik srodne ra unalne komunikacije. svesti na najmanju mogu u razinu. Ra unalna forenzika je zapravo. postoje razli ite mjere i na ini za tite informacijskog sustava. U dana njici mogu e je sve e e na televiziji vidjeti razli ite serije koje se bave tom tematikom. ovje anstvo dobiva prednosti i poticaje za daljnji razvitak. U stvarnosti. u na em slu aju ra unalne tehnologije. Iako je mogu e o istiti i izvaditi podatke s tvrdog diska. Ra unalna forenzika je dosta. to je tehnologija razvijenija te e nam je pratiti bilo kakve initi doga aje i aktivnosti unutra na eg informacijskog sustava. U tome cjelokupnome razvitku i rapidnom irenju tehnologije dolazimo i do problem koji njezinim nastankom nastaju. paze i na ulaganja koja.

povijesnu metodu. mogu e ih je za tititi brzo i bez posebnih znanja. odnosno korake i cjelokupan scenarij dola enja do odre enih zaklju aka. odnosno dola enja do injenica putem jednostavnim okulatornih pregleda i bilje enja promatranog. Kod klasi ne istrage dovoljno je osigurati mjesto zlo ina kako bi se za titili dokazi. odnosno djelovanja same znanosti je u gotovo svakom kutu ljudskog stvarala tva. spa avanju podataka i mnogim drugim.Prema CarNet-u i LS & S-u ra unalna forenzika definirana je na sljede i na in: ÄRa unalna forenzi ka analiza (RFA) je postupak utvr ivanja injenica nad digitalnim medijima primjenom razli itih metoda. Forenzika ima svoje metode. ispitivanje i skladi tenje podataka. Budu i da je spomenuto da je to metoda. ak i kada su dokazi na neki na in ugro eni. u materijalnim nositeljima. a sastoji se od niza analiti kih metoda za otkrivanje. Kod RFA. sinteze. ÄDead Body³ teoremu (ÄIt's not going anywhere!³). te metodu apstrakcije. a nepa ljivo ili nestru no provo enje istrage tako er mo e rezultirati gubitkom klju nih podataka. te esto podrazumijeva ispitivanje ra unalnih sustava kako bi se utvrdilo njihovo kori tenje u ilegalnim ili neautoriziranim aktivnostima poput kra e poslovnih tajni. Zbog takvih razloga je i ra unalna forenzika primjenjiva u gotovo svim oblicima ra unalne tehnike. da je to jedna od najslo enijih metoda znanstvenog rada. Forenzika koristi i metode analize. 2 . odnosno istra ivanja. za koje se ka e da se pokoravaju tzv. moramo primijetiti. situacija je daleko zamr enija. Samo za utvr ivanje prisutnosti dokaza potrebno je provesti sveobuhvatnu analizu sustava. primjerice prekrivanjem otisaka obu e na tlu u slu aju ki e. Naj e e se koristi u postupcima sudskog dokazivanja. Ona u svojem prvom koraku uzima u obzir metodu promatranja. uni tavanja intelektualnog vlasni tva ili prijevare. Kroz ovaj seminar obra ene upravo navedene primjene. prikupljanje. Digitalni dokazi su ujedno i mnogo ranjiviji od fizi kih pa je vje tom napada u puno lak e ukloniti tragove svoga djelovanja. Kao primjer: mo emo ju primijeniti u ra unalnim mre ama. jer na ra unalu nema rupa od metaka ili mrlja krvi koje bi ukazale na zlo in.³ Ra unalna znanost je jako irok pojam. Postupci RFA u mnogo emu se razlikuju od postupaka klasi ne forenzi ke analize.

organizacijskih problema. ve poznavanje ra unalne forenzike omogu ava i da uspje no prilagodimo informacijski sustav da bude spreman pohranjivati va ne podatke koji e nam dati do znanja tko se je kada ulogirao na sustav i sli ne podatke koji bi nam mogli biti od zna aja dok smo u pravnom sporu oko ne eljenog incidenta koji je pogodio dano poduze e. op enito. obuhva a znanstvene postupke kojima se istra uju doga aji. a mo e se koristiti kao dokaz na sudu. disketi. Problemi koji se mogu dogoditi unutar samog operacijskog sustava su: virusi. prirodnih uzroka. ve i na flash memoriji sticka. uvanje takve memorije nije unaprijed tehnolo ki odre eno i svaki bi administrator trebao u sustavu 3 . Podatke koji se skupljaju u ra unalnoj forenzici mo emo podijeliti u dvije skupine.. Forenzika je proces kojime se znanstvenim metodama skupljaju. To su memorije koje se nalaze u chache registrima ili RAM-u. od ljudskog imbenika.. Privremena memorija je memorija koja postoji samo kratki dio vremena i nestaje dok se ra unalo ugasi.2. Trajni podaci mogu biti ne samo na tvrdom disku. potresa. ra unalni kriminal mo e varirati od neovla tenog upada u sustav do dje je pornografije. naj e e tvrdom disku. Pravni razlozi za zakonsko gonjenje tj. zakonski se procesira. -u. To su trajni i privremeni podaci. sabota a ili sli no) ili nenamjerno (neznanje ili nepa nja osoblja). Organizacijski problemi su tehni ke nadogradnje software-a ili hardware-a. mre a. analiziraju i prezentiraju podaci sudovima. slu ajno obrisani podaci. dvd-ima. Uzroci potrebe za ra unalnom forenzikom mogu biti mnogostruki.. Znati ra unalnu forenziku nije samo bitno zbog skupljanja podataka nakon to se je dogodio odre eni incident koji se zastupa na sudu tj. Forenzika ra unala je nova disciplina koja je mje avina zakonskih odredaba i ra unalne znanosti kojom se skuplja i prou ava sve to se skupi u vidu podataka iz ra unalnih sustava. do problema sa operacijskim sustavom. U ljudske imbenike ubrajamo svako ono ljudsko pona anje koje je uzrokovalo tetu. vatre. djelovanje nezadovoljnog zaposlenog. se ne gube. cdima. ne eljene promjene na podacima (overwrite). tj. naj e e kriminalne prirode. Forenzika (ra unalna forenzika) Forenzika. be i ne komunikacije ili medija za pohranu podataka. i nakon prestanka napajanja ra unala. njegovim ga enjem.. Prirodni imbenici koji povisuju potrebu za forenzikom su tete koje nastaju zbog uni tavanja medija ili sustava prilikom poplava. prestanak rada diska. fizi kog o te enja. Trajni podaci su oni koji su zapisani na mediju. a mo e biti namjerno (u vidu ucjene ili iznu ivanja novaca.

o uvati i. Najbolja primjena forenzi kog znanja je u vidu prevencije pada sustava ili njegove dugotrajne nedostupnosti. U bilo kojem od postupaka potrebno je prepoznati. Vra anje podataka je drugi vid ra unalne forenzike. Forenzika ne slu i samo da bismo skupili dokaze protiv pojedinca ili organizacije koja je izvr ila neku nedozvoljenu akciju ve i kako bismo imali podatke o okolnostima pod kojima je sustav pao (ne nu no vanjskim djelovanjem s namjerom njegova ru enja) kako bismo mogli popraviti i pobolj ati sustav. izdvojiti. kriptirane ili o te ene podatke s medija. Ra unalni forenzi ari. koriste irok spektar metoda kako bi otkrili izbrisane. a u isklju enom stanju se obavlja post-mortem analiza. Poznavanje zakona sredine u kojoj se djeluje je preduvjet postavljanju sustava ra unalne forenzike kako bi se osigurao sustav u slu aju pada. tra enja uzroka i dono enje valjanih dokaza. mo da najbitnije.1 Forenzi ke metode i procedure Postoji vi e vrsta metoda i procedura forenzi ke analize. U uklju enom stanju sustava forenzi ku analizu zovemo live. dokumentirati ra unalne dokaze. prema stanju sustava koji se analizira. Pri pode avanju sustava kako bi se mnogi va ni podaci zapisali i mogli iskoristiti kasnije u slu aju potrebe treba imati u vidu i zakonske odredbe kako ne bi bilo kolizija. na sustav koji je uklju en i sustav koji je isklju en. Privatni podaci osoblja se ne bi smjeli uzimati ili pohranjivati. isto tako. 4 . Mogu se dogoditi propusti administratora u vidu da e se pamtiti podaci koje on. tada se obavljaju neke zada e (procesi) unutar sustava. Forenzika se sastoji od vra anja podataka. postavljanje programa za nadzor aktivnosti na ra unalu ne bi smio diskriminirati pojedince ili zadirati u njihovu intimu. Ra unalna forenzika je bitni dio svakog sigurnosnog plana poduze a. n e e aj administratori sustava. S obzirom na postupke forenzi ke analize dijelimo.organizirati uvanje takvih podataka u obliku koji je vjerodostojan na sudu. po zakonu. ne smije zapisivati jer spadaju u privatne podatke koji su za ti eni. a izdvajanje i identifikacija predstavljaju prikupljanje dokaza iz kompromitiranog sustava koji promatramo. ako se time kr i privatnost osoblja. 2. Tako privremena memorija postaje trajna.

nad kojim se vr i forenzi ka obrada. Ujedno. popis procesa koji su aktivni u sustavu. Ponekad je veoma te ko. To su na primjer: stanja procesa. tada se ti dokazi gube. to nije ne smiju biti vezani za kori tenje biblioteka napadnutog sustava jer e i one tada biti kompromitirane kao i ostatak napadnutog sustava. Live analiza sustava je vrlo delikatan posao jer se sve radnje obavljaju dok je sustav uklju en i mo e se dogoditi da nehotice poremetimo rad samog sustava. iz raznih razloga. Savjet je da alati budu postavljeni na prijenosne medije kako bi se koristili pri analizi sustava. Prikupljanje dokaza da se je dogodio napad na sustav. unaprijed pripremljene. Prvo to trebamo u initi kako bismo uop e po eli prikupljati podatke je to koje emo podatke skupljati i koje je njihovo mjesto pohrane jer se kod live analize sustava podaci ne smiju spremati lokalno na sustav koji se analizira zbog mogu nosti da izgubimo va ne dokaze te se takvi podaci moraju spremati na specifi ne. a s time i na in na koji e se prikupljeni podaci spremiti. spremnike podatka ili ih se treba dostavljati na neko drugo ra unalo koje je ujedno i u slu bi forenzi kog sustava kao pohrana i analiza prikupljenih podataka. ustanovljavanje raspona napada i odluka o tome da li je potrebno napraviti analizu isklju enog sustava le i na na osobi koja obavlja ra unalnu forenziku. popis svih otvorenih procesa sa datotekama koje koriste. popis otvorenih mre nih veza. vremenske oznake datoteka te kazala datote nog sustava. zapisi u RAM memoriji. a koje emo alate koristiti zavisi o tome o kojem se operacijskom sustavu radi tj. otvorene mre ne veze i sadr aj privremene memorije (RAM). ali ipak treba se provesti dovoljno operacija kako bi se analizom do lo do konkretnih i valjanih podataka. isklju iti sustav i analizirati napade jer se npr. Alati koji e se odabrati za potrebnu analizu uklju enog sustava moraju biti nezavisni programi koji se e izvoditi u ljusci samog operacijskog sustava zbog toga to su programi sadr ani u kompromitiranom sustavu nepouzdani te se ne mogu koristiti za analizu zbog estih slu ajeva da napada postavi u sustav kompromitirane programe s ciljem prikrivanja dokaza o njegovom napadu. Podaci koji se skupljaju su: datum i vrijeme sustava. sustav ne smije isklju iti zbog toga to on obavlja va nu funkciju i njegovo ga enje bi uzrokovalo tete (naj e e nov ane). 5 . Popis svih onih sustava koji su na bilo koji na in bili povezani sa sustavom na koji je izvr en napad. Ako se sustav ugasi. Zbog tog razloga je potrebno broj radnji kojima emo vr iti analizu sustava svesti na minimum.Live analiza sustava se odnosi na analizu uklju enog sustava i specifi na je po tome to neki dokazi se mogu prona i samo kada je sustav uklju en. programi moraju biti stati ki vezani. Po to je sustav u live stanju veoma osjetljiv potrebno je prilagoditi i alate koji e se koristiti za analizu.

priru na memorija. a bitni su zbog toga to su mo da upravo ti podaci klju ni dokaz. mo e se re i da je to odli no rje enje. radna memorija stanje mre nih veza stanje aktivnih procesa tvrdi disk prijenosni mediji (CD-ROM. rje enje koje zahtijeva samo da se pripremi vi e razli itih spremnika iji kapacitet zadovoljava sve zahtjeve sustava. Jedan od najsigurnijih na ina za mre ni prijenos podataka je da se kompromitirani sustav izravno pove e sa forenzi kim to osigurava siguran prijenos podataka. U tablici vidimo korelaciju tipa podataka sa ivotnim vijekom koji imaju. DVD) 10-3sekundi sekunde minute godine Kada promatramo prikupljanje podataka odre eno prema ivotnom vijeku svakog pojedinog podatka mo emo uo iti kojim se redom moraju podaci spa avati od uni tenja. na drugoj strani potrebno je dekriptirati. a zbog velike dostupnosti prijenosnih ra unala koja se mogu podesiti na im zahtjevima u vidu operacijskog sustava i forenzi kih alata to je svakako isplativo rje enje za uspostavljanje forenzi kog sustava. a mogu e 6 . to se ti e pohrane raznovrsnih podataka na materijalne nositelje.Jo jedan va ni imbenik pri live analizi sustava je ivotni vijek koji imaju odre eni podaci. ne smijemo zanemariti sigurnosti i povjerljivosti mre e kojom se podaci prenose. ± ÄForenzi ka analiza ra unalnog sustava³ . vanjska 10-9sekundi memorija. (tablica preuzeta iz: Horvat A. a ukoliko utvrdimo da je mre a nepovjerljiva potrebno je za tititi podatke koji se prenose dodatnim metodama kriptiranja. Oni koji imaju kra i ivotni vijek e prije nestati iz sustava te je bitno skupiti one podatke koji imaju najkra i ivotni vijek to prije. Podaci bi se lako mogli presresti i promijeniti ukoliko ne budemo oprezni. spa avaju i podatke mo emo promijeniti podatke na drugom dijelu sustava. Skupljaju i tj. Dobar izbor bi bio i prijenos podataka preko mre e na udaljeno ra unalo koje smo pripremili u svrhu spremanja podataka. Postupak spa avanja podatka ne bi smio ugroziti konzistentnost analize sustava. Kriptirane podatke koji se alju na forenzi ki sustav. Tip podataka ivotni vijek registri. Premda je prijenos podataka na fizi ki dislocirano ra unalo preko mre e (ili interneta) odli no rje enje. str 6).

napadnuti sustav isklju imo i onda se osigurava forenzi ka kopija spremnima podataka u pojedinom sustavu. Kako bismo bili sigurni u analizu potrebno je imati i povjerljivu ljusku operacijskog sustava u kojem se analiza obavlja kako se ne bi ispostavilo da je napada kompromitirao i ljusku te je tako u inio da su analize i alati koji bi dali rezultata u forenzi koj analizi sigurni. Kod skupljanja dokaza forenzi kim alatima moramo paziti da i odre ena na ela budu zadovoljena. Najsigurnijim ljuskama se smatraju Linux bash i Windows cmd. kako bi se osigurali od naknadnih izmjena. To je analiza ''nakon smrti'' tj. Kada odabiremo alate za provo enje forenzi kih analiza moramo paziti kako bi to bili alati u koje postoji visoko povjerenje. Prilikom pojedina nih live analiza sustava uzimamo na po etku i na kraju analize datum i vrijeme sustava koji je bio napadnut te se smje ta analiza u vremenski okvir. Kako bismo zadovoljili zahtjeve koje smo si postavili za live analizu sustava naj e e se pi u skripte s naredbama za izvo enje koje omogu uju da se automatizirano izvodi ve i broj naredbi. a smanjuje se utjecaj pogre aka te pove anje brzine mogu e je posti i testiranjem skripte prije kori tenja. ponovljive i moraju umanjiti utjecaj dono enja odluka na provedbu istih. a to su naj e e tvrdi diskovi na kojima su svi potrebni podaci zapisani. zna i da ti alati moraju davati isklju ivo ispravne rezultate jer u protivnom analiza nije valjana i nema smisla uop e je provoditi. nedvosmislene. Procedure koje se koriste u live analizi sustava moraju biti automatizirane. a standardni alati koji se koriste kod toga su alati za izradu sa etaka kao to su MD5 i SHA1. Rezultati dobiveni kori tenjem skripti mogu se preusmjeriti na ulaz raznih alata za provedbu live analize kako to ne bismo morali pojedina no raditi.ih je slati kori tenjem sigurnog ssh tunela ili kori tenjem razli itih alata koji omogu uju takvu komunikaciju te kriptiraju sav promet. Drugi oblik analize sustava je post mortem analiza. na elo potpunosti (ne smije biti djelomi nih podataka). Integritet mo emo osigurati i prije nego aljemo podatke da bi se kod primitka utvrdilo da li je do lo do bilo kakvih promjena tijekom slanja. To su na elo autenti nosti (podatak mora biti vjerodostojan). Uz pa nju treba uzeti i privatnost podataka i za titi ih od neovla tenog pristupa. Nakon to smo prikupili podatke va no je o uvati njihov pojedina ni integritet. Post mortem 7 . detaljno razra ene. Live analiza je veoma zahtjevan proces koji podrazumijeva i veliku preciznost u skupljanju podataka s ciljem smanjenja mogu ih pogre aka i utjecaja analize na sustav. To su pravna na ela kojih se moramo dr ati kako bi imali dokaze na sudovima koje e taj sud prihvatiti kao vjerodostojne. na elo pouzdanosti (dokazi se moraju dobiti uvijek na isti na in) i na elo razumljivosti (prezentacija podataka u razumljivom i prihva enom obliku).

Tako su i oni podaci koji ina e u sustavu ne bi bili vidljivi (kao to su obrisane datoteke) sa uvani i u kopiji. brzine okretaja u sekundi te moraju biti prazni u potpunosti kako prije zapisano na disku ne bi omelo analizu podataka ija se kopija izra uje. nakon stvaranja kopije se priklju uju na forenzi ki sustav koji podr ava odre eni tip datote nog sustava.2 Forenzi ka analiza Prikupljeni podaci s kompromitiranog sustava se moraju analizirati kako bismo saznali informacije od va nosti za otkrivanje stanja napadnutog sustava. Ti kriteriji su omogu avanje oporavka od pogre aka koje su nastale prilikom itanja podataka. ako druge metode nisu omogu ene. Ako je analiza particija uspje na. Pod rekonstrukcijom originalnog okru enja rada sustava mislimo na to da se prona u odgovaraju i spremnici podataka (mediji za pohranu) koji po kapacitetu trebaju biti jednakim originalnim ili ak ne to ve i. Kada upotrebljavamo vi e spremnika trebamo biti pa ljivi da su svi istih karakteristika.analiza se mo e provesti samo nakon to je sustav isklju en. kapaciteta. Analiza se vr i za svaku particiju posebno i problem bi mogao nastati ako su particijske tablice uni tene. prvo je potrebno odabrati pravi alat. a na kojemu e se analiza provesti. Nakon toga emo provesti analizu svake pojedine particije forenzi ke kopije. Treba naglasiti da se analiza ne provodi nikad nad originalom ve se provodi nad originalnim podacima na fizi ki identi noj kopiji koju nazivamo radna kopija. a do njegova ga enja mo e do i i fizi kim odvajanjem od izvora napajanja.Tako se dokazi tite od uni tenja na originalnom sustavu. ponovno stvaranje sadr aja 8 . Kada izra ujemo forenzi ke kopije. slijede i korak je analiza datote nog sustava koja se mo e podijeliti u korake kao to su oporavak obrisanih datoteka. dakle istog proizvo a a. Svi podaci se kopiraju na razini jednog pojedinog bita. Forenzi ka kopija koju u inimo od tvrdog diska je fizi ka kopija spremnika podataka. koji mora imati omogu avati kopiranja svakog pojedinog bita s originalnog spremnika podataka. Poznavati operacijski sustav koji je napadnut te znanje kako on funkcionira u svojim posebnostima bitno je za uspje no tuma enje informacija prikupljenih analizom podataka i njihovo razumijevanje. 2. ne smiju se mijenjati originalne datoteke i mora biti u mogu nosti zadovoljiti mogu a ispitivanja dobivenih rezultata od tre e strane. te mora zadovoljiti odre ene kriterije. kako je do napada do lo i kako bi se moglo napad ubudu e sprije iti.

oporavak nealociranog. kada je datoteka bila mijenjana a kada je bila stvorena. to je veoma va no jer se informacije koje se dobiju koriste za rekonstrukciju doga aja na sustavu koji je bio napadnut te se stoga za svaku datoteku mora generirati to je ve i broj informacija.. slobodnog i mrtvog prostora.3 Forenzi ki alati Osnovna za uspje nu forenziku je sama priprema. Podatak ne postoji vi e u operacijskom sustavu. Nabavka istih savjetuje se uglavnom u situacijama kada je potrebno do zadnjeg detalja odrediti detalje provale(ra unalni sustavi banaka. no veliku. a neke od informacija koje bi se trebale dobiti od datoteke napadnutog sustava su apsolutna putanja datoteke. postoji mogu nost pronalaska datoteka koje nisu vidljive na razini datote nog sustava. pregled zapisa u operacijskom sustavu i sli no.datote nog sustava. kao to je tip datoteke. krovnih dr avnih institucija i sl. minimalni i napredni alati koji su obi no skupi i dosta specijalizirani. 2. Datoteke se. Sa etak datoteke omogu uje da se izdvoje datoteke koje emo dodatno analizirati te se tako mogu odrediti va nije datoteke nakon ega emo se usredoto iti na njih to e skratiti vrijeme analize sustava. ime se olak ava pretra ivanje.. Nakon to smo oporavili izbirsane datoteke i vratili ih. sortiranje datoteka i petra ivanje njihovog sadr aja. Kada bi radili neku podjelu tih alata tada bismo ih mogli podijeliti na programske 9 .). mogu i grupirati po odre enim karakteristikama. pregled privremenih datoteka (cache memorija). tako er. Ono to je bitno je da se datoteke koje se obrisu ne bri u odmah s diska ve se samo makne pokaziva na taj podatak. Postoje tzv. ijenica je da programi u svom radu skoro uvijek stvaraju privremene datoteke koje ostaju u sustavu i nakon prestanka rada programa pa te iste datoteke mogu pru iti va ne dokaze koje emo koristiti. a uspredba sa etaka datoteka napadnutog sustava mo e se provesti uz pomo javno dostupne baze sa etaka u kojoj su uvijek sadr ani sa etci poznatih datoteka kompromitiranih sustava. odnosno najve u pomo pru aju nam razli iti alati.. informacije o veli ini datoteke. U vezi sa stvaranjem sadr aja datote nog sustava. vrijeme zadnjeg pristupa. ali je on jo uvijek realno zapisan na disku u obliku nula i jedinica dok god se ne prepi u novi bitovi preko njega. Vra anje izbrisanih datoteka jer esto odli an na in za pronala enje dokaza o napadu na sustav jer napada uvijek poku ava prikriti tragove svojeg napada brisanjem datoteka.

ali su iskupi i naj e e usko specijalizirani te se zbog toga preporu a kori tenje samo komercijalnim ustanovama.(software) i sklopovske (hardware). iako mo emo na i i druge vrste dokaza.forensix. Pravi razlog kori tenja forenzi kih alata je primjena tzv. obrisanim mailovima i na svim sli nim mjestima koja su nevidljiva takvim alatima. da je najva niji alat zapravo na e znanje. dok se velika ve ina digitalnih dokaza nalazi skrivena u razli itim privremenim datotekama. tj. Materijali s kojima forenzika raspola e mogu biti razli ite gra e. Zaklju ak bi ipak bio. swap datotekama. file slackovima. Alati bazirani na sklopovima postoje u brojnim izvedbama. Svaka digitalna struktura podataka je zapravo niz bitova i bajtova koje mo emo prikazati u sljede oj tablici: Slika 2 Digitalni dokazi 10 . principa "ledenog brijega": Äsamo mali dio digitalnih dokaza je mogu e otkriti pomo u alata operacijskog sustava.org/tools/.³ Slika 1 "ledeni brijeg" Osim ra unalne forenzike postoje i mnoge druge vrste forenzika. Budu i. stru nost osobe koja vr i forenzi ku analizu. da mi ovdje govorimo o ra unalnoj forenzici dokazi s kojim ona raspola e su zapravo digitalni dokazi. obrisanim particijama diska. Sklopovski alati su brojni i mo emo ih na i na stranici : http://www.

E. Kao primjere alata ko nastoje biti univerzalni na ovome ji podru ju mo emo navesti F. Kroz svaki dio ovog seminara bit e obra eni alati za odre ena podru ja o kojima e se biti opisan njihov rad. . specijalizirani alati koji dizajnirani da budu prenosivi putem usb-stick memorija i na taj na in pru aju mogu nost forenzi ke obrade na mjestu nastanka kriminala.I.R. Va no je spomenuti da svi ti alati su ve inom gra eni na linux jezgri i dolaze kao live-cd. a na kraju e biti obra en jedan primjer u praksi. 11 . BackTrack itd.Kao to je ranije re eno. no u protivnome postoje i mali tzv. postoje razli iti univerzalni alati koji pokrivaju gotovo cijelo podru je forenzike ra unalnih sustava.

Koriste se najvi e CD-i. 12 . Materijalni nositelji se mogu prou avati kao sadr aj koji je na njima. diskete. Materijalni nositelji (op enito) Materijalni nositelji su svi oni fizi ki. analogni ili digitalni. DVD-i i drugi prenosivi materijalni mediji. mo e se odrediti vrijednost svakog zapisanog bita). Ako je CD ili disk o te en morat emo fizi ki vr iti analizu zapisa na mediju. ali i sami mogu biti predmet analize. jednom mjestu. Naj e e analize te vrste uklju uju sofisticiranu opremu koja mo e mjeriti magnetske zapise tj. i sudskih dokaza za napad na sustav. na inu magnetskog zapisa koji e nam re i koji bit je zapisan i koliko puta na odre enom. Na materijalne nositelje se upisuju podaci iz sustava koji je bio kompromitiran kako bi se bez utjecanja na rad sustava mogle obaviti analize napada na sustav. DVD-i i prijenosni diskovi kao spremi te podataka. Pod materijalne nositelje ubrajamo papir (dokumenti koji su pisani na papiru). Cd-i. a u kona nici. spremnici podataka nekog pojedinog ili od vi e sustava zajedno. Ra unalnoj forenzici su bitni samo digitalni materijalni nositelji jer su oni direktno vezani za rad i analizu rada ra unalnog sustava.3. To se obavlja tehni kim putem tako to se na razne na ine prou ava gdje je bila zapisana jedinica i nula ( tj.

Uvod u mre nu forenziku Forenzika mre nog prometa uklju uje snimanje i analizu mre nih doga aja kako bi zaklju ili prirodu i izvor informacijske zloupotrebe. Postavlje se pitanje da li mre na forenzika mo e unaprijed predvidjeti neobi na pona anja bazirana na karakteristikama nepravilne aktivnosti. tko je hakirao? Preko Sustava za otkrivanje provala (Intrusion detection systems ± IDS) se mo e vidjeti da li je. Dakle. tete u injeno. ili s druge strane ako jedna osoba ima cijeli bandwidth dok nikoga drugoga nema. Ovdje su nabrojani neki primjeri: y Nepo tovanje odredaba (npr. ili ako je mre a pru ala slabe performanse u odre enom trenutku Hakiranje ± to je hakirano. doga aja i sl. Npr. Time mo emo shva ati forenziku kao detaljizirano prepoznavanje mogu nosti. To su stvari koje su nepredvidljive i odstupaju od osnovnih odrednica. Ili ako je iskori tenje WAN-a 100% tijekom nekog vremena potrebno ispitivati ako svi imaju dovoljno dobar pristup. ali kratki bljeskovi 13 . i koliko. nakon to su se dogodili. Tako se tako er mo e vidjeti i da li Sustavi za sprije avanje provala (Intrusion prevention systems ± IPS) rade dobro. 100%-tno iskori tenje mre e ne mora nu no biti lo a stvar i ne treba uvijek slati SNMP poruku sustavu i uklju ivati alarme po cijelom prostoru. napada na sigurnost i ostalih sli nih incidenata na na oj mre i. Glavni princip rada mre ne forenzike je taj da se podaci skupe (obi no preko paketa) i onda se radi post analiza da bi se rekonstruirao sadr aj ili shvatilo za to su se odre ene stvari dogodile. netko po alje povjerljive financijske podatke u nekriptiranom email-u Otkrivanje gre aka ± u slu aju da se mre a sru i. To se naj e e posti e snimanjem ili hvatanjem paketa dug oro no sa klju nih to aka na e infrastrukture (kao to je jezgra ili vatrozid) i onda rudarenjem podataka za analizu i rekreiranje sadr aja. ako neki korisnik napravi 2 GB prijenosa podataka petkom poslijepodne.4. nasuprot Äuvre avanja i ozna avanja³ prave scene zlo ina. Ina e bi toliko koli ina prometa trebala biti sumnjiva. nije po eljno ni da jedan korisnik ili aplikacija koristi cijeli bandwidth na du e vrijeme. kako. Naravno. ali mo da je to samo rutinski back-up ili neka zakrpa za operacijski sustav. y y Dakle mre nom analizom elimo dokumentirati takve incidente za analizu i rekreiranje doga aja. Mre na forenzika se mo e primijeniti na vi e na ina.

po tuju i lanac nadzora i procedura za da su nekompromitirani. Forenzi ki alati trebaju pru iti fleksibilnost u spajanju analize u stvarnom vremenu sa naknadnom forenzikom. Od klju ne je va nosti petlja vezana za vizualizaciju.11. te nam alati moraju pomo i u odlukama kod nastalih situacija. To je to se ti e op enito nekih stvari vezano za rad na mre ama i mre ni promet. To zna i da moramo biti u stanju dokazati da podaci nisu bili mijenjani otkad smo ih prikupili. ali ih za tititi kako bi mogli dokazati < http://digital. ako nijedna aplikacija ne mo e iskoristiti 100% voda. i si i sa mre e to je br e mogu e.pdf>. Da li nam je potrebno 100%-tno kopiranje diska velikog kapaciteta? Koje dijelove mre e trebamo snimati? Koliko dugo moramo uvati podatke? Da li vi e elimo da forenzi ko rudarenje podataka i naknadne analize budu na udaljenim ma inama ili na lokalnim ma inama? Takva i druga sli na pitanja se postavljaju prilikom uspostave dijela sigurnosne politike vezanog za mre ni promet. Cilj je ne raditi ni ta na originalnim podacima.usu.edu/~erbacher/publications/NetworkForensicProcesses. u itano 15.2009. Tako er je vrlo va an i dio uskla ivanja podataka sa zakonskim odredbama. odnosno prikaz podataka. Taj skup podataka mora biti za ti en kako bi se osigurala ispravnost i verifikacija. Po injemo sa jednim velikim skupom ''sirovih'' podataka vezanih za odre eni napad ili nepo eljan doga aj. Zapravo. onda bi mo da trebali optimizirati stvari. 1 uvanje dokaza.100%-tnog iskori tenja ak mogu biti dobra stvar.Dijagram procesa mre ne forenzike 1 Na slici mo emo vidjeti dijagram cjelokupnog op enitog procesa mre ne forenzike.cs. 14 . Slika 1 . Glavno je oti i na. To mo emo napraviti enkripcijom ili pravljenjem kopije cijelog diska i spremanjem njega na odre eno mjesto.

htm>. ili za on-line rad IBID y y y y 5. Njihovo istra ivanje je dovelo do sljede ih klju nih to aka: y y Saboteri su imali osobnih problema izvan radnog mjesta Stresni elementi kao to je organizacijsko restrukturiranje je pove alo mogu nost malicioznog djelovanja Lo a radna etika je esto uzimana u obzir prije i za vrijeme sabota e pijuni imaju tendenciju uspostavljanja stvari da budu kako treba.1 Prikupljanje podataka Mre ni dokazi predstavljaju rezultat pra enja mre ne komunikacije. Preporu a se dr ati ih do 512 Kbytes ili manje jer ako su 2 < http://os2. bilo za fizi ke lokacije. sekundarni accounti Organizacije nisu uspjele ili su ignorirale pravila sigurnosne politike kao to su zabranjeni download Nedostatak kontrole pristupa.zemris. moramo zapamtiti da to vi e idemu u dubinu to vi e optere ujemo i procesore. u itano 15.fer.5. 15 . Zbog toga se mora odrediti vremenski raspon koji ostaje zabilje en. Studija je istra ivala ''psiholo ke.11. Unutra nja sigurnost Istra ivanje svjetski poznatog Carnegie Mellon Computer Emergency Response Team (CERT) je izdalo asopis pod naslovom ''Uspore ivanje unutra nje IT sabota e i pijuna e: Analiza bazirana na modelu''.hr/ostalo/2007_horvat/Forenzika.2009. Veli ina datoteka je tako er bitna. To pra enje mo emo podijeliti na tri dijela: y y y pra enje predefiniranih doga aja (event monitoring) pra enje zaglavlja mre ne komunikacije (trap and trace) pra enje cijelog prometa mre ne komunikacije (full-content monitoring)2 Kod pra enja mre nog prometa va no je odrediti koje to no podatke elimo bilje iti i to ne smiju biti samo paketi i broj prenesenih bajtova. organizacijske i konktekstualne faktore'' koji su pridonosili pijuna i i sabotiranju IT-a. Zatim moramo paziti i na stvari kao to je ispunjeni hard disk. tehni ke. Isto tako. npr.

Slika 2 ± Primjer prikupljenih podataka i njegovog sadr aja3 Postoji mnogo alata koji zadovoljavaju ranije spomenute zahtjeve. Solera Networks. Neki od trenutno poznatih proizvo a a su sljede i: Network Instruments. VOIP razgovor i tako dalje) iz niza paketa. Niksun. Network General (NetScout).pdf>. WildPackets i tako dalje. Sa ve im brojem manjih datoteka to ide puno lak e. HTTP). Takvi alati se nazivaju alati za analizu mre ne forenzike (Network forensics analysis tool ± NFAT). bilo bi lijepo rekreirati originalni pogled na sadr aj (bilo da je to e-mail i njegovi prilozi.11. Packet Forensics. web stranica. upit i rezultat na bazu podataka. Kod rudarenja podataka se mo e koristiti filter (fizi ka ili IP adresa) ili protokol (npr. video. Nakon to su podaci sakupljeni.2009. IBID 3 < http://www.prevelike itanje iz njih traje predugo. u itano 15.bitcricket.com/downl oads/Network%20Forensics. 16 .

zakon regulira na koji se na in mora provoditi nadziranje toka podataka. NFAT tako sura uje sa IDS-ovima i firewallovima na 2 na ina: dugoro no uva zabilje ene podatke o mre nom prometu i omogu uje brzu analizu doga aja koje su prethodna 2 alata identificirala. Vrlo esto je te ko uravnote iti stvari koje zakon nala e s onima koje su tehni ki izvedive. Na primjer. Prije nego to ga postavimo na mre u moramo razumjeti mre nu arhitekturu. adresa ili broja porta. Prije svega. NFAT e sku iti da se ne to doga a na portu 23 i mo i emo to sprije iti na vrijeme. NFAT alati rade u sinergiji sa firewallom i sustavima za detekciju provale (Intrusion ± detection systems ± IDSs). Na primjer ako nam mail server izgubi poruke u rasponu nekoliko sati. a uobi ajene metode backupa ne uspiju. Nakon to smo odabrali promet od interesa za na u organizaciju mo emo postaviti NFAT da prikuplja relevantne pakete. analiza mre nog prometa nam mo e pomo i i s drugih aspekata. ili one koje uklju uju taj klju . Na primjer. konkurenata itd. me utim forenzi ko snimanje mre nog prometa je dobar prvi korak. U nekim gospodarskim granama. Dobar alat koji e analizirati cjelokupan zapis mre nog prometa pru a kontekst za druge sli ne propuste. IDS-ovi otkrivaju aktivnosti koje su definirane kao zlonamjerne ili nepo eljne. ako na a analiza otkrije da je lozinka na nekom accountu kompromitirana. a sigurnosne propuste i konfiguracijske probleme jednostavno otkloniti. Osim zakonske obveze. Yahoo Messenger e se prebaciti na port 23 ako je njegov defaultni port (5050) blokiran.2 Na in rada alata za mre nu forenziku Glavna motivacija mre ne forenzike je sve ve a briga za sigurnost od strane IT industrije. ili dana.5. Va nost prometa. 17 . Relativno velik opseg temeljne mre e ote ava hvatanje i arhiviranje prometa dovoljno dugo da bi se analiziralo doga aje. Interakcije izme u zaposlenika i klijenata. po eljno je da ispregledamo sve povezane aktivnosti tog korisnika. partnera. Ve ina organizacija je vi e zabrinuta za promet koji ulazi i izlazi iz organizacije nego s onim koji se upotrebljava unutar LAN-a. integritet podataka i frekvencija hvatanja podataka su glavne stvari na koje treba obra ati pozornost kod stavljanja NFAT-a na mre u. Firewall dopu ta ili zabranjuje promet prema ili sa odre enih mre a. Ali relativno lako je mogu e zaobi i firewall. pitamo se koji promet je nama od interesa. je najbolje pratiti iznutra. ali te ko je odrediti sve mogu e vrste provala koje bi se mogle dogoditi. poruke mo emo vratiti preko snimanog prometa. Mre u koja je pripremljena za forenzi ku analizu je lako nadzirati.

U nekom drugom slu aju. Stoga moramo pa ljivo odrediti koliko dugo emo uvati podatke. forenzi ki alat bi nam trebao dati pristup razli itim razinama perspektiva na podatke. oni e vjerojatno biti ponovo poslani. mora omogu iti jednostavan pristup bilo kojem dijelu informacija. U nekim okolnostima NFAT mo e neke podatke filtrirati. Tada detalje i op eniti pregled dostupnih podataka mora biti mogu e lako pregledati na vi e na ina. Izvo enje svih ovih zadataka tro i resurse. Mo e analizirati jednostavne stvari (Kad je ra unalo A tra ilo od ra unala B a uriranje protokola to nog vremena?). U svakom slu aju. 18 . ali onda opet postoji opasnost da ne emo mo i dovoljno dobro napraviti analizu zbog nedostatka tih podataka. pregled samo onog to mi elimo implicira da vi e ne vidimo irelevantne i nepo eljne stvari. Da bi to bilo mogu e. stoga dobar NFAT mora biti izrazito sposoban prislu kiva . ako jedna strana ne dobije sve pakete. NFAT alati nemaju tu mogu nost. Snimanje paketa na disk zahtijeva sabirnicu i sustav skladi tenja koji mo e pratiti brzinu mre e.3 Analiza mre nog prometa Mre na forenzika je u stanju generirati ogromnu koli inu podataka. U tipi noj TCP sesiji. to se ti e integriteta podataka va no je znati da NFAT nikad ne bi smio sudjelovati u prometu kojega nadzire. a to su stvari koje nemaju specifi nu vrijednost. neke slo enije (Kad je vrhunac zahtjeva i koji protokoli su u pitanju?) do onih nepoznatih (Koje implementacije RFC 868 ugro avaju objavljeni standard?). korisnik tra i nekakve anomalije. ne bi trebali istovremeno gledati email-ove od nekih drugih korisnika. Dakle. A najkriti niji je kapacitet skladi ta podataka. Vrlo esto korisnik otvori NFAT sustav sa specifi nim skupom kriterija na umu i eli efektivno odrediti koji promet odgovara njegovom upitu. Da bi pohvatali sve pakete ak i kad je mre a zasi ena trebamo dobro pode en alat i mre u. 5. Ta fleksibilnost je izuzetno mo na i da bi NFAT bio koristan. prikaz mogu ih kriterija mora biti mogu e pretra iti po specifi nim vrijednostima.Forenzi ki alati potencijalno mogu biti zainteresirani za sav promet koji prolazi mre om. Dobar alat mora biti sposoban uhvatiti i spremiti sav promet sa potpuno zasi ene mre e za daljnu analizu. ako elimo prou iti email-ove od odre enog korisnika. Dva glavna faktora u tome su sposobnost pretra ivanja i vidljivost. Jednom kad je korisnik odredio skup poveznica za pregledavanje.

detektor sniffera mo e slati podatke na prividnu IP adresu i onda bilje iti odgovore i pona anja.2009.Postoje programi koji tra e mre ne monitore (sniffers). Na primjer. Usput se mre ni monitori za tite i od ranjivosti svog protokola. Nakon to napada osjeti mre ni monitor. Be i na forenzika.11. mogu e je da e poduzeti dodatne mjere opreza. Princip je isti kao i kod obi ne mre ne forenzike. Zbog sve ve e popularnosti be i nih tehnologija.pdf>. koja predstavlja postupak utvr ivanja injenica primjenom odgovaraju ih metoda nad digitalnim medijima. Sav smisao mre ne analize je svesti hrpu podataka na korisne informacije kako bi se to lak e rije ili problemi vezani za mre ni promet. kao to je enkripcija ili potajni napadi.com/dokumenti/uploads/forenzika/Wireless_forenzika. Ili mo e ak se okomiti na sam mre ni monitor. prikuplja sve podatke vezane za promet na mre i samo to je taj promet ostvaren preko wirelessa. kao i obi na mre na forenzika otprilike. Iako je skupljanje mre nih podataka po definiciji pasivna operacija. snimke razgovora.5 Be i na forenzike prikuplja podatke koji obuhva aju podatkovni promet te. Uz to. napadi na njih postaju sve e i. < http://datapodium. a u svrhu kori tenja u sudskom postupku.pdf >. Wireless forenzika Forenzika u be i nim mre ama (eng. Na taj na in softver koji tra i prislu kiva e ne e na i ni ta.2009. 19 . izvore napada. To se mo e rije iti tako da se skupljanje prometa izolira tj.11.³ To se najlak e napravi kroz namjensko su elje za bilje enje prometa. wireless forenzics) grana je ra unalne forenzike.11 standardu. podaci se izdvajaju od ostalih prikupljenih podataka. u ini Ätihim na ici. zbog sve e eg kori tenja VoIP (eng.sandstorm. o uvaju se i analiziraju. u itano 15. neobi nosti u nekim NT i Unix TCP hrpama ine ih da se pona aju druk ije dok su snifferi pokrenuti. temeljenih na 802. u itano 15. te analizira iste podatke kako bi otkrila doga aje koji nisu u skladu s pravilima.net/support/netintercept/downloads/ni-ieee.4 6. slo enost be i nih tehnologija ote avaju osiguravanje tih mre a 4 5 < http://www. Voice-over-IP) tehnologija unutar be i nih mre a. te utvrdila posljedice napada na mre u i pojedina ra unala.

Zbog toga se preporu a nadzirati sve raspolo ive kanale. ne podr avaju zamjenjive antene. Ostaje nam samo namjestiti mre nu karticu ra unala s kojeg provodimo forenzi ku analizu na taj kanal.11a opremi koja radi na naj e e kori tenom UNII-1 (eng. to je lo a karakteristika. Propisima je u svakoj zemlji ograni en broj dozvoljenih 802. Zbog toga se preporu a kori tenje 802. UNII ili ITU (eng. channel hopping). 6. kompleksnost samog fizi kog medija i 802. jer ona radi samo na jednom kanalu. Glavni nedostatak takvih kartica je to to. Unlicensed National Information Infrastructure) frekvencijskom pojasu. International Telecommunication Union) standarda pa je i to prilikom planiranja nadzora i analize potrebno uzeti u obzir.11 kanala (vidi tablicu) ali napada i esto zanemaruju ta ograni enja. chipset) tvrtke Atheros. Tako er. Ali s druge strane. Federal Communications Commission). Naj e e be i na oprema mo e komunicirati samo na jednom kanalu jer sadr i samo jednu radijsku komponentu u odre enom trenutku. zbog zakonskih ograni enja u Sjedinjenim Dr avama. 20 .2 Komunikacijski medij Forenzi ki alat mora podr avati isti komunikacijski standard kao i mre a koju on nadzire. Spomenuti zakon naime zabranjuje kori tenje zamjenjive antene na 802.11 a/b/g/n vi epojasnih mre nih kartica koje podr avaju tri najpopularnija standarda. Ako nadziremo jednu pristupnu to ku onda je problem rije en to se toga ti e. Glavni tehnolo ki izazovi odnose se na karakteristike radiofrekvencijske komunikacije. kartica sa sklopovljem (eng. Pokazat emo Linux naredbu za pode avanje Atheros mre ne kartice za nadzor nekog kanala. npr. Forenzi ki alati zbog toga koriste tehniku pretra ivanja cijelog frekvencijskog spektra od interesa te uzorkuju sve raspolo ive kanale (eng. To zna i da moramo imati jednak ili ve i broj radio ure aja od kori tenih kanala. u ovom slu aju kanal 13: # iwconfig ath0 mode monitor channel 13 Ali kod ve ih be i nih mre a to ve postaje problem budu i da je potrebno sakupiti promet sa svih be i nih mre a na jednom podru ju to zna i da treba istovremeno nadzirati sve kanale.te provo enje istrage u slu aju kriminalne aktivnosti. mnoge zemlje imaju specifi ne propise prema kojima se koriste frekvencijski pojasi izvan FCC (eng.11 specifikacija. podaci se na ovaj na in primaju samo nekoliko milisekundi.

11b 802.11g 8 11 11 13 13 Tabela 1 .pdf >.2009. Kori tenjem tri ili vi e takvih ure aja mo e se odred iti pribli ni polo aj pojedinih klijenata postupkom triangulacije.11a 802.Broj dozvoljenih 802.11 kanala 6 Propisima je odre ena i maksimalna snaga oda iljanja.11 SAD EU razli ito za lanice Japan 4 14 14 maksimalni kanala 12 14 14 broj 802. 21 .11. Tad se esto mijenja i kanal na kojem se komunikacija provodi.802. Roaming je postupak koji omogu uje prijelaz s jedne pristupne to ke na sljede u najbli u tijekom slanja ili primanja podataka u ve im be i nim mre ama. 6 < http://datapodium. kao to su MIMO (eng. Multiple-Input Multiple-Output) 802. Prilikom planiranja analize treba u obzir uzeti takva kr enja zakona te mogu nost pojave novih tehnologija.11n i WiMAX (eng.com/dokumenti/uploads/forenzika/Wireless_forenzika. Konfiguracija be i ne mre e i polo aj klijenata unutar nje tako er utje u na mogu nost prikupljanja dokaza s odre ene lokacije jer je mogu e da klijent promjenom polo aja ode izvan dosega unutar kojeg forenzi ar mo e prikupljati podatke. 6. To su stvari koje ote avaju provo enje forenzi ke analize mre nog prometa jer forenzi ki alat mora nadgledati sve raspolo ive kanale. U mre ama koje imaju vi e pristupnih to aka to se rje ava na na in da se postavi vi e ure aja za snimanje prometa na razli itim polo ajima. posebno one izme u kojih se doga a prijelaz.16.3 Pokretljivost klijenata Glavna prednost be i nih mre a je mogu nost kretanja unutar mre e bez prekida veze na mre u. u itano 15. u mW ili W. Worldwide Interoperability for Microwave Access) 802. Kad mre na kartica zaklju i da je signal trenutne pristupne to ke preslab za nastavak komunikacije klijent se automatski spaja na sljede u pristupnu to ku. Ina e ne e svi podaci biti prikupljeni ime se ugro ava integritet prikupljenih dokaza. ali napada i kr e i ta ograni enja.

Na primjer. upravlja ke i podatkovne pakete. MTU (eng.6.11 specifikacija definira tri tipa mre nih paketa: kontrolne.11 specifikacijama na jednom kanalu mogu a brzina prijenosa je 54 Mbps pa je stoga maksimalna koli ina prometa u jedinici vremena na 14 kanala jednaka 756 Mbps.11 specifikacijama je 2304 okteta. 6. pristupne to ke oda ilju upravlja ke pakete namijenjene sinkronizaciji (eng. Wireless Encryption Protocol) protokol paketu dodaje zaglavlje veli ine 8 okteta ‡ WPA (eng. Maximum Transmission Unit) veli ina podatkovnog polja paketa prema 802. Prema 802. beacon) i to naj e e svakih est sekundi. Na primjer. uz kori tenje WEP enkripcije maksimalna ukupna veli ina paketa je: duljina podatkovnog polja + 802.4 Karakteristike prometa Sljede e to se mora uzeti u obzir kod prikupljanja paketa iz be i ne mre e jesu karakteristike prometa. na primjer veli ina podatkovnih paketa i zahtjevi na propusnost veze. a kona na duljina paketa ovisi o kori tenom enkripcijskom protokolu.11 zaglavlje + zavr ni slog (eng. Wi-Fi Protected Access) protokol paketu dodaje zaglavlje veli ine 20 okteta ‡ zaglavlje WPA2 protokola dugo je 16 okteta. 802. Opisanu i sli ne posebnosti be i nih mre a potrebno je uzeti u obzir prilikom planiranja forenzi kog postupka kako bi se osigurale zadovoljavaju e performanse i mogu nosti pohrane podataka. npr. trailer) = 2312 + 30 + 4 = 2346 okteta. To zna i da e forenzi ar u be i noj mre i koja se sastoji od samo jedne pristupne to ke tijekom sat vremena prikupiti 600 ovakvih paketa.5Performanse ure aja za prikupljanje prometa S obzirom na karakteristike prometa moramo imati i adekvatno sklopovlje koje mo e prihvatiti maksimalnu teoretsku mogu u koli inu prometa.: ‡ WEP (eng. Treba uzeti u obzir i propusnost sabirnica koje povezuju be i ne mre ne kartice te propusnost su elja hard diskova kako ne bi do lo do zagu enja i samim time gubitka potencijalnih 22 . To je veli ina podataka prije enkripcije.

Primjeri tih ure aja su Janus Project i WLAN-14. Global Positioning System) navigacijskog sustava omogu uje stvaranje preciznih vremenskih oznaka (eng. Pored ovih podataka u forenzi koj analizi mogu se koristiti dnevni ki zapisi (eng. Trenutno postoji nekoliko komercijalnih ure aja oblikovanih posebno za zahtjeve forenzi ke analize be i nih mre a. ‡ Kori tenje GPS (eng. timestamp) te utvr ivanje polo aja na otvorenom. ARP (eng. ‡ Forenzi ki alat bi trebao biti potpuno pasivan. Forenzi ki alati i postupci Nakon prikupljanja podataka iz be i ne mre e potrebno ih je analizirati kako bi se potencijalni dokazi odvojili od uobi ajenog prometa.dokaznih materijala.11b/g kanala i pretra ivati radio spektar u potrazi za novim mre ama preporu a se kori tenje ure aja s 15 radio komponenti. da ne oda iljati pakete. To se posti e na sklopovskoj razini kori tenjem prigu nika ili jednosmjernih poja ala te na programskoj razini postavljanjem mre ne kartice u nadzorni na in rada (eng. Intrusion Detection System) sustav za otkrivanje neovla tenih pristupa. Kao i kod obi ne mre ne forenzike treba osigurati dostatne kapacitete za pohranu velikih koli ina podataka. u itano 15. log) pristupnih to aka i drugih mre nih ure aja.com/dokumenti/uploads/forenzika/Wireless_forenzika. Be i nu forenziku je mogu e provesti kori tenjem standardnog PC sklopovlja i freeware programskih paketa ali za izgradnju sustava koji e zadovoljiti sve gore navedene zahtjeve potreban je pa ljiv dizajn i skupa implementacija. bez filtriranja. Content Addressable Memory) tablice te podaci koje skuplja be i ni IDS (eng.2009. 7 < http://datapodium. ukoliko je na forenzi ki postupak postavljen zahtjev potvr ivanja mjesta i vremena prikupljanja dokaza. 23 .7 7. a onda kasnije mo emo koristiti filtre radi ubrzavanja postupka. tj. Address Resolution Protocol) i CAM (eng.11.pdf >. Pri tome je potrebno u dnevni ke zapise bilje iti intervale sinkronizacije ure aja s GPS satelitima kako bi bilo mogu e dokazati da su njegova o itanja to na.1 Zahtjevi i preporuke Ovdje su navedeni neke osnovne procedure koje se preporu a koristiti zajedno sa odgovaraju im alatima: ‡ Da bi se moglo istovremeno nadzirati svih 14 802. ‡ Radi pobolj anja osjetljivosti prijemnika koristiti ure aje na koje je mogu e priklju iti vanjsku antenu. ‡ Za to kvalitetniju kasniju analizu forenzi ki alat treba prikupljati sav promet. monitor mode).IBID 7.

Network Global Regular Expression Parser) omogu uje tra enje znakovnih nizova u kontekstu podatkovnih paketa. Secure Hashing Algorithm 1). Neki od takvih alata su: y Wireshark se koristi za analizu mre e i ispravljanje mre nih problema (ranije poznat kao Ethereal). ngrep (eng. ‡ Kako bi se omogu ila rekonstrukcija postupaka forenzi kog alata.‡ Ponekad ure aj za prikupljanje prometa mo e biti na mjestu do kojeg je te ko ili nemogu e pristupiti. a namijenjeni su automatizaciji pojedinih analiti kih zadataka kao to je filtriranje prikupljenog prometa prema postavljenim kriterijima.3 Komercijalni i alati otvorenog programskog koda Forenzi ar be i nih mre a mora dobro poznavati komunikacijske protokole. savjetuje se kori tenje naprednih mogu nosti stvaranja dnevni kih zapisa. ‡ Savjetuje se zapisivanje prikupljenog prometa u standardnom Pcap formatu kojeg podr ava ve ina alata kako komercijalnih tako i onih otvorenog programskog koda. ali postoje alati namijenjeni analizi mre nog prometa koji mogu pomo i u pretra ivanju prikupljenih podataka.11 specifikacijama. Kako bi ih bilo mogu e primijeniti kod be i nih mre a potrebne su napredne analiti ke funkcije specifi nih 802. To se mo e ostvariti pomo u zasebnog 802. hash) algoritama kao to su MD5 (eng. ogib. Ne postoje adekvatne zamjene gore navedenih komercijalnih paketa. 24 y y . ÄNiksun NetVCR³ i ÄeTrust Network Forensics³ alati. rasipanje signala). Tada moramo imati mogu nost udaljenog pristupa ure aju. Message Digest 5) i SHA1 (eng. ‡ Preporu a se i bilje enje podataka o snazi signala kako bi se omogu ila procjena udaljenosti osumnji enog od forenzi kog ure aja iako te informacije treba shva ati uvjetno jer postoje faktori koji utje u na njihovu to nost (refleksija. 7. ‡ Preporu eno je kori tenje sklopovlja (mre nih kartica i radio komponenti) s velikom osjetljivo u prijemnika kako prikupljanje paketa ne bi bilo prekinuto u slu aju pogor anja uvjeta rada.11b/g su elja. Valjanost takvih zapisa potrebno je za tititi pomo u jednosmjernih (eng.11 zaglavlja i sekvenci poruka karakteristi nih za be i ne protokole. Najpoznatiji komercijalni alati namijenjeni forenzi koj analizi i anih mre a su ÄSandstorm NetIntercept³. Su elje je potrebno za tititi odgovaraju im autentikacijskim i enkripcijskim mehanizmima. tcdump i tshark su alati za stvaranje skripti s tekstualnim grafi kim su eljem. to mo e biti potrebno tijekom sudskog procesa. Kod be i nih mre a to su TCP/IP temeljeni protokoli prilago eni 802. lom.

8. ‡ analiza protokola (eng. Analiza be i nog prometa Analiza mre nog prometa sastoji se od sljede ih postupaka: ‡ normalizacija podataka. Wireshark omogu uje i izdvajanje audio zapisa razgovora. koje omogu uje jednostavno rukovanje i pretra ivanje prikupljenog prometa. ‡ rukovanje prometom preklapaju ih kanala. sloj 802. Zna ajnu razliku u odnosu na analizu prometa unutar i anih mre a predstavljaju enkripcijske mogu nosti ugra ene u 2.11 specifikacije.pcap Mogu e je tako er i obnavljanje sjednica. 25 .pcap « channel_n. protocol dissection. data mining). u slu aju da elimo rekonstruirati VoIP razgovor klijenta koji je promijenio kanal na kojem je vr io be i nu komunikaciju. Packet capture). kako bi se otkrile anomalije i sumnjivi uzorci. Ponekad je podatke (u slu aju pokretnih klijenata) potrebno ujediniti sa razli itih kanala kako bi se rekonstruirale sjednice. ‡ podatkovno rudarenje (eng. Specifi nosti be i ne forenzike u odnosu na i anu odnose se na: ‡ spajanje prometa vi e kanala. To nam omogu uje alat mergecap.1 Spajanje prometa vi e kanala Jedna mre na kartica nadzire jedan kanal i prikupljenje podatke naj e e zapisuje u zasebnu Pcap datoteku (eng. za razumijevanje razli itih zaglavlja pojedinih protokola ‡ rekonstrukcija aplikacijskih sjednica. ‡ prepoznavanje uzoraka. Osim toga. 8.pcap channel_1. sljede om naredbom: # mergecap -w all_channels. ‡ filtriranje i ubrzavanje analize. koji je dio Wireshark programsko paketa.

Neke jednostavnije tehnike su komunikacija na nedopu tenim kanalima (npr. odnosno prometa iz susjednih be i nih mre a. kao to su: ‡ Tx (eng. IDS sustavi i sustavi za prikupljanje mre nog prometa ne mogu identificirati takve pakete. Raw ÄCovert alat³ mo e umetati podatke u 802. Acknowledge) paketa i tako skriva komunikaciju budu i da ve ina alata ne analizira ACK pakete. Ti podaci se nalaze u zaglavlju paketa.11. Iako se pri tome koriste uobi ajene 802. ‡ Rx (end. Media Access Control) adresama mo emo dobiti prikaz prometa jednog klijenta.pdf >.2009.8. Transmission) snaga oda iljanja. Basic Service Set Identifier) oznakama promet jedne pristupne to ke.11 protokol s izmijenjenim MAC slojem.11 kontrolne pakete. kao i kod analize i anog prometa. Na kraju se podaci izdvajaju i analiziraju. u itano 15. 26 . a filtriranje prometa prema BSSID (eng. Mogu nost istovremenog prikupljanja paketa s vi e kanala ovisi o karakteristikama pristupnih to aka i ure aja za be i nu forenziku.4 Filtriranje i ubrzavanje analize Filtriranjem prema MAC (eng. mre nom sloju.11 specifikacija. On ume e podatke u polje adrese primatelja ACK (eng. bilje i snaga signala te prostorne i vremenske oznake. To se rad na na in da se prate svi i dostupni radio kanali. Te podatke je mogu e razlikovati na temeljeu tzv.8 8 < http://datapodium.11 frekvencije. ÄWiFi Advanced Stealth Patches³ dodatak Ämadwifi-ng³ Linux pogonskoj aplikaciji namijenjenoj Atheros ipsetima implementira 802. Dalje ga mo emo filtrirati prema vrsti paketa.com/dokumenti/uploads/forenzika/Wireless_forenzika. 8. Receive) osjetljivost forenzi kog ure aja te ‡ karakteristike antene. Dvostruke podatke je potrebno odbaciti. Na kraju je va no naglasiti da forenzi ka analiza be i ne mre e mora prikupiti sav ostvareni promet ina e valjanost dokaza mo e postati irelevantna. Rije je prilago enom mre nom stogu koji mo e komunicirati samo s drugim stogom koji je izmijenjen na jednak na in. beacon paketa pristupnih to aka. kanala 14 u SAD i EU) ili kori tenje sna ne enkripcije na 2.5 Tehnike maskiranja i prikrivanja tragova Razvojem novih metoda forenzike razvijaju se i nove tehnike njihova izbjegavanja. Prikrivanje mre nog prometa se vr i kori tenjem skrivenih kanala te izmjenama 802. to nije DS Parameter set: Current Channel polju.3 Rukovanje prometom preklapaju ih kanala Tijekom prikupljanja mre nog prometa na jednom kanala mogu e je istovremeno bilje enje paketa s drugih kanala. 8. probija enkripcija kori tena za za titu prometa te uo avaju napredni alati za prikrivanje be i nog prometa.

o te enih ili uni tenih medija. uzrok tome je velika cijena servisa koji se bave spa avanjem podataka. Prikaz cijena (Izvor: http://www.9.helpdisc. Ovdje su navedene neke cijene poduze a HelpDisc: Slika 1. To je vrlo zanimljivo podru je o kojem ve ina ljudi znade vrlo malo ili je krivo informirana.htm) 27 . Spa avanje podataka Spa avanje podataka proces ekstrakcije podataka sa neispravnih. Ve ina ljudi kojima je potrebno spasiti podatke naj e e odaberu krivu metodu te time u potpunosti izgube ansu da im se podaci spase. a uzrok tomu je nedostupnost informacija ili dobivanje krivih informacija. Dakako.hr/cjenik.

Medije na kojima se naj e e radi spa avanje podataka mogu e je pod ijeliti u slijede e razine: 1. Floppy i Jazz diskete i diskovi 6. Flash diskovi 4. Tvrdi diskovi 2.hr/cjenik.htm) Mogu e je potpisati i ugovor u uvanju tajne.Slika 2.helpdisc. Prikaz cijena (Izvor: http://www. Opti ki ure aji 3. RAID sistemi 28 . Memorijske kartice 5.

Kvarovi do kojih dolazi i ija je posljedica gubljenje podataka na tvrdom disku mo emo podijeliti u dvije kategorije. 29 . Svaki tvrdi disk sastoji se od slijede ih fizi kih komponenti: y y y Magnetnih plo a ± na njima se nalaze podatci Magnetskih glava ± pomo u njih se podatci itaju Motora i elektronike Da bi tvrdi disk uop e funkcionirao potrebna mu je jo jedna programska komponenta koja se naziva ugra eni softver. glava i elektronika. Tvrdi diskovi Tvrdi diskovi se nalaze u svakom ra unalu i samim time je najrasprostranjeniji medij za uvanje podataka. Bez njega se ne bi mogle sinkronizirati magnetne plo e. To su fizi ki i logo ki kvarovi.10. Bitno je za napomenuti da kvar na bilo kojoj fizi koj komponenti tvrdog diska ili njegovom ugra enom softveru mo e dovesti do gubitka podataka.

hr/img/neispravne_glave. lo i sektori (eng. ali ni to nije vrlo jednostavno i laici se u to ne bi trebali upu tati.1.jpg) 30 .10.1. Bad sectors) Neispravan ugra eni softver (eng. To je sklop koji se sastoji od osovine. Prikaz neispravnih glava (Izvor: http://www. Firmware) 10. Fizi ki kvarovi Do ovakvih vrsta kvarova dolazi kada se na ili unutar diska o teti neka fizi ka komponenta. magnetske glave slu e kako bi se podatci Äpro itali³ sa tvrdog diska.helpdisc. feritne jezgre sa zavojnicom (glava). tj. Fizi ke kvarove mogu e je podjeliti na slijede e kategorije: y y y y y Neispravna glava Neispravan motor Neispravna elektronika O te enje plo a. Magnetske glave su najosjetljiviji dio tvrdog diska zbog njihove vrlo male udaljenost od plo a te zbog njihovog krhkog dizajna. motora te ipa koji digitalizira onaj signal koji je pro itan sa glava. Neispravna glava Kao to je prije obja njeno.1. Slika 3. Jedina iznimka je u slu aju pregorjele elektronike gdje je pojedinac u mogu nosti sam napraviti zamjenu. Ovakve vrste kvarova uvijek je najbolje prepustiti rje avanju stru njaka zbog toga jer oni posjeduju profesionalnu opremu kojom je mogu e popraviti tvrdi disk.

Slika 4. 9 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0. Tu zamjenu nije mogu e napraviti u bilo kakvoj prostoriji i ne mo e ju napraviti bilo tko. tj. zamjenu je potrebno napraviti u istom prostoru.5 mikrona u bilo kojem podru ju od 0. Prikaz komore isto e 100 (Izvor: http://www.helpdisc. Kako bi se osiguralo od popunog uni tenja tvrdog diska. u komori koja ima isto u 1009.hr/img/komora.03 kubi na metra zraka 31 .jpg) Zamjenu glava potrebno je izvr iti uz pomo odre enog alata koji mora biti napravljen od ne magnetskih materijala. Potpunu zamjenu je potrebno napraviti iz tog razloga to cijeli ovaj sklop tvori jednu cjelinu te nije mogu e popraviti neki njegov neispravan dio.U slu aju da je bilo koji dio ovog sklopa neispravan potrebno ga je cijelog zamijeniti.

tj.Slika 5. odnosno plo a. Njihovim o te enjem vi e nije mogu e spasiti podatke koji su se na njima nalazili.1. Bitno je napomenuti da je brzina motora va an faktor koji utje e na brzinu pristupa podatcima i njihovo kopiranje. Postoje dvije vrste motora: motori s kugli nim le ajevima i motori s fluidnim le ajevima. Prvi se vi e ne koriste u modernim tvrdim diskovima zbog toga jer su motori s fluidnim le ajevima jeftiniji i ti i. Neispravan motor Motor je komponenta koja se najmanje mijenjao kroz povijest proizvodnje tvrdog diska.hr/img/alat. Alat za zamjenu glava (Izvor: http://www. Ukoliko se dogodi takva situacija potrebno je odmah isklju it ra unalo kako bi se sprije ilo daljnje o te enje tvrdog diska. taj zvuk je najlak e poistovjetit sa lupkanjem.helpdisc. 10.jpg) Kako prepoznati da se je dogodilo o te enje glava ako se zna da se tvrdi disk smije otvoriti jedino u za to specijaliziranim komorama? To je najlak e ustanoviti po glasnom zvuku koji dopire iz ku i ta tvrdog diska. ali su zbog toga ne pouzdaniji.2. 32 .

33 . Da bi se to napravilo potrebno je koristiti specijalne alate koji u svakom trenutku zadr avaju sinkronizaciju izme u plo a. Bitno je za napomenuti da se neispravnost motora lako mo e zamijeniti sa neispravnom elektronikom.co.Slika 6.jpg) Neispravan motor spada u kategoriju najslo enijih kvarova jer je radi popravka potrebno napraviti zamjenu plo a.uk/images/motor. zamjenu glava te na kraju zamjenu samog motora. a razlika je u tome to se kod neispravnog motora iz tvrdog diska uje slab zvuk zujanja.mjmdatarecovery. Prikaz motora (Izvor: http://www.

Small Computer System Interface). Prikaz pregorjelog elektri nog sklopa koji pokre e motor (Izvor: http://www. Neispravna elektronika Da bi tvrdi disk uop e radio potrebna je elektronika (eng. Elektronika je sklop elektri nih komponenata koji napaja motor tvrdog diska. glave.1. Kvar elektronike se najlak e dijagnosticira ako se iz tvrdog diska ne uje zvuk motora. Slika 7. 34 . obra uje ih te ih proslje uje ra unalu kako bi ih ono moglo koristiti.helpdisc. a za to se koriste ure aji sa toplim zrakom. Ako je stupanj o te enja prevelik tada se o te ena elektronika zamjenjuje sa ispravnom koja je kompatibilna. Neka od najpoznatijih su SATA.hr/img/spaljena_ploca.10. PCB ± Printed Circuit Board). ako se motor ne vrti. dok u ne to manje frekventne kvarove spadaju strujni udari i pregrijavanje.jpg) Da bi se spasili podaci koji su ugro eni ovakvom vrstom kvara potrebno je zamijeniti neispravne komponente sa ispravnima. ATA i SCSI (eng. preuzima podatke sa magnetnog ita a. tj. Kod dana njih tvrdih diskova postoji elektronika sa jedinstvenim ROM ipom i elektronika bez jedinstvenog ROM ipa. Razlika je u tome to elektroniku sa jedinstvenim ROM ipom nije mogu e zamijeniti. Postoji velik broj su elja putem kojih ra unalo komunicira s tvrdim diskom. tj. Kvarovi koji se odnose na elektroniku naj e e se ve u za elektri ni sklop koji pokre e motor.3.

4. du inu njihovog itanja. broj softverskim alatima kontrolirati sektore koji se ponavljanja te preskoke lo ih sektora. Primjer takvog softverskog alata je ÄData Extractor³. Magnetske plo e sastoje se od podloge koja je napravljena od slitina aluminija ili stakla. Prikaz izgrebene povr ina diska (Izvor: http://www. a kako je taj sektor nemogu e pro itati usporava se rad itavog ra unala. Po to je proces same izrade tvrd diska og izuzetno kompliciran.1.hr/img/ostecena_ploca2. magnetnog materijala te za titnog sloja.10. Najve i problem do kojeg mo e do i je kontakt izme u glava i plo a i u tom slu aju podaci mogu biti trajno izgubljeni.helpdisc. Slika 8. nemogu nosti pristupa nekim podatcima te po automatskom uklju ivanju softverskog alata Check Disk. dok su lo i sektori oni koji imaju ote ano ili nemogu e itanje. Operativni sustav poku ava pro itati lo sektor 32 puta. Dobri sektori su oni iz kojih je mogu e itati i na koje je mogu e zapisati podatke. O te enje plo a (lo i sektori) Na magnetskim plo ama nalaze se sami podaci pomo u kojih ra unalo obavlja odre ene zadatke. Da bi se to izbjeglo mogu e je odre enim itaju. nemogu e je napraviti magnetnu plo u na kojoj bi se nalazili samo dobri sektori.jpg) 35 . Probleme sa lo im sektorima najlak e je dijagnosticirati po usporenom radu ra unala. Te pozicije dobrih sektora uvaju se u ugra enom softveru.

itd. Vrlo je te ko dijagnosticirati neispravan ugra eni softver. Firmware) Ugra eni softver je unutra nji softver tvrdog diska koji sinkronizira te povezuje mehani ke dijelove diska sa ra unalom te je on u ve ini slu ajeva jedinstven i samim time razlikuje se od jednog do drugog tvrdog diska. model. (eng. Analysis and Reporting Technology)10 parametri. Self-Monitoring. 10 Sustav za pra enje tvrdog diska kako bi se detektirali i zabilje ili razli iti indikatori pouzdanosti kako bi bilo mogu e predvidjeti kvarove 36 .A. Host Protected Area). On sadr i razli ite kao to su: veli ina tvrdog diska. a prepoznaje ga se tako da se tvrdi disk prijavljuje ili ne prijavljuje.10.R. a ona se nalazi na plo ama i nemogu e joj je pristupiti ako se za to ne koriste specijalizirani alati. za ti enoj zoni (eng. broj sektora.T. Neispravan ugra eni softver (eng.5.M. serijski broj.1. tako to nema nikakvih karakteristi nih zvukova te tako to podatcima nije mogu e pristupiti. S. podatci o tipu i broju glava. Ugra eni softver u ve ini se slu ajeva nalazi u tzv.

2. potrebno je prvo napraviti potpunu sliku podataka i pohraniti ju na neki drugi medij te tada nad njom spa avati podatke. tj. Kod ove vrste spa avanja podataka i dalje je preporu ljivo prepustiti rad stru njacima iako osobe s informati kim znanjem ovdje mogu puno vi e u initi same. Logi ke kvarove mogu e je podijeliti na slijede e kategorije: y y y y y Gubljenje particija O te enja uslijed djelovanja virusa Reinstalacija operacijskog sustava Brisanje podataka O te enja baza podataka i e-mail baza 10. naravno. Postoje dva va na pravila kojih se je potrebno pridr avati prilikom ove vrste spa avanje podataka. Drugo pravilo je da se nikad ne radi spa avanje podataka na originalnom tvrdom disku.1. Logi ki kvarovi Pod logi kim kvarom podrazumijeva se gubitak podataka sa diska kojem je mogu e fizi ki pristupiti. 37 .2. ako se radi o particiji na kojoj se nalazi operacijski sustav ili nemogu nosti pristupa podatcima ako se radi o particiji na kojoj se ne nalazi operacijski sustav. Kako bi se izbjeglo daljnje o te enje ne smiju se koristiti alati za spa avanje podataka. softveri koji upisuje sadr aj direktno na disk jer bi se time podatci mogli trajno izgubiti. a to su da se nikako ne smije naknadno instalirati ili kopirati neki program ili podaci na tvrdi disk na kojem se ti podaci spa avaju jer bi se time mogli trajno izgubiti oni podaci koje elimo spasiti. To se odnosi na pristup sektorima bez problema. tj. od prvog do zadnjeg.10. Ako se dogodio ovaj kvar tada e particija u ÄComputer Managementu³-u biti prikazana kao prazno polje. Gubljenje particija Posljedica ovog kvara naj e e je nemogu nost podizanja operacijskog sustava.

3. itd.jpg) 10.2.hr/img/logic. ote ano je podizanje sustava. je usporeni rad ra unala. Najbolje rje enje je da se odmah prekine instalacije i to bez obzira u kojem se djelu ona nalazila. tj. Prikaz logi kog kvara u windowsu (Izvor: http://www. koji je posljedica virusa. 10. O te enja uslijed djelovanja virusa Najve i problem. Time je uklonjena svaka mogu nost spa avanja podataka. Taj problem se naj e e znade poistovjetiti sa lo im sektorima po to i oni usporavaju rad ra unala. Problem je u tome to su oni uvjereni da su svi podatci backup-irani te su zapo eli proces reinstalacije. nemogu e je pristupiti pojedinim podatcima. Reinstalacije operacijskog sustava Reinstalacija operacijskog sistema je jedna od naj e ih gre aka koju rade korisnici ra unala.helpdisc.Slika 9.2. Posebno je bitno naglasiti da se zara enim diskovima treba posvetiti posebna pa nja po to je djelovanje virusa vrlo esto nepredvidljivo.2. Najgore to se tada mo e u initi je vratiti backup. 38 . Tek nakon nekog vremena shvate da neki va an direktorij ili datoteku nisu sa uvali.

Kad tvrdi disk prestane biti detektiran od strane operacijskog sustava.2. Zbog toga ova tehnika ini stvari samo te im. O te enja baze podataka i e-mail baza Ovakva vrsta o te enja nastaje bez nekog posebnog razloga. Mitovi o spa avanju podataka sa tvrdog diska MIT O UDARANJU Ovo je mo da i jedan od najstarijih mitova.5.4. O bilo kojoj bazi da je rije .10.2. daljnje udaranje moglo bi samo jo vi e na tetiti. tj. Brisanje podataka Ovo je isto tako jedna od naj e ih gre aka koju korisnici rade. Razlog tome je to su glava za itanje i povr ina tvrdog diska na vrlo maloj udaljenosti te se lupanjem po istom mo e dogoditi da se odlomi neki dio glave ili mehanizma koju tu glavu pokre e te taj ili ti dijelovi mogu izgrebati povr inu diska te ga time nepovratno uni titi. najbolje je odmah isklju iti server te ne poku avati koristiti nikakve programe za spa avanje podataka koji pi u po disku. 10. tada je najbolje prestati jer ako problem nije u ruci. Ako se nije ni ta postiglo nakon dva udarca. neki ljudi lupaju po njemu sa rafcigerom ili ne im sli nim i to tokom podizanja operacijskog sustava. Ono to se zapravo doga a je to da lagani udarci po tvrdom disku mogu pomo i da se oslobodi ruka za itanje koja je po ela zapinjati zbog nekakvog mehani kog kvara. pogre no imenovanje te slu ajno prebacivanje podataka u pogre an direktorij naj e i su problemi u spa avanju podataka. mo e se zaklju iti da to je baza slo eniji i ve eg kapaciteta to je ve a vjerojatnost da e se ne to pokvariti. Najbolje rje enje bi bilo odmah ugasiti ra unalo i prepustiti ga profesionalcima. a ti udarci bi trebali biti nje ni i jedan po jedan. Nenamjerno ili namjerno brisanje.3. Najgore to se mo e napraviti je instaliranje nekog programa za spa avanje podataka na onaj tvrdi disk gdje su se ti podaci nalazili. 39 . Problem je u tome to to Älupkanje³ po tvrdom disku naj e e uzrokuje potpuni prestanak rada zbog navedenog Älupkanja³. 10.

U nekim slu ajevima ova informacija ima nekog smisla po to bi retrakcija materijala. Ova re enica obja njuje za to esto jednostavna zamjena pokvarene logi ke plo e s potpuno istom takvom logi kom plo om i istim ugra enim softverom u praksi naj e e ne funkcionira. njegova unutra njost se Äposlo i³ te se sve vrati na svoje mjesto i ponovno funkcionira. Na raznim forumima je pisalo da kad se tvrdi disk smrzne. servo. Netko je tada pretpostavio da to ovisi o temperaturi te je odlu io zamrznuti tvrdi disk u fri ideru. mo e se dogoditi potpunog uni tenje. dok neki jedan dio snime u ROM a drugi dio u EPROM ili neku drugu flash memoriju koja se nalazi unutar diska. 40 . Ono poma e glavi da se to no pozicionira na po etak bloka. kako bi ona to no Äznala³ gdje blok po inje. Uvijek se mo e dogoditi da se nekomu posre i. To je potrebno napraviti kako bi se glavi omogu ilo itanje i pisanje po to no odre enim blokovima. MIT O SMRZAVANJU. ZAGRIJAVANJU I UGRA ENOM Tijekom izrade tvrdog diska neophodno je podesiti mehanizam za itanje i pisanje kako bi se glava pribli no to no pozicionirala iznad povr ine diska.MIT O BACANJU HDD-A NA POD Koliko god ovaj mit bio nevjerojatan. Zatim ga je izvadio te se po urio da ga spoji sa ra unalom i to je tada proradilo. Isto tako postoji snimanje na povr ini tvrdog diska tokom njegove izrade koje se naziva eng. Ra unalo je tada prepoznalo tvrdi disk koji je ponovno radio nekoliko minuta. zbog niskih temperatura. Rje enje problema zbog kojeg tvrdi disk prestane zauvijek raditi le i u tome da je magnetska povr ina tada jako o te ena te se isti postupak vi e ne mo e primijeniti. mogla pomo i glavama za itanje da ponovno prona u trake. a gdje zavr ava. esto se znade dogoditi da se to magnetsko snimanje jednostavno promijeni zbog nekakvih razloga koji su povezani s povr inom materijala i tada se glava po inje pomicati naprijed i natrag. tj. a zatim je prestao raditi zauvijek. Neki proizvo a i snimaju sve te podatke u ROM memoriju koja se nalazi na logi koj plo i. dovoljno da se spase neke informacije. tj. postoje ljudi koji na forumima tvrde da su uspjeli rije iti svoj problem sa tvrdim diskom tako da su ga pustili da padne s visine otprilike jednog metra na pod s tepihom te da ga i dan danas koriste. ali ova metoda nikako nije preporu ljiva i to zbog toga to udarac na bilo koji neispravan tvrdi disk iji problem nije poznat mo e dovesti u pitanje spa avanje podataka.

tresti ili ak mijenjati plo e.Preporuka je da se ova metoda ne koristi jer se mo e spasiti samo mali broj informacija te je nemogu e poslije spa avati te podatke ne bilo koji na in sa strane profesionalaca. 11 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0. u kupaonici mo e napraviti ista prostorija i to tako da se pusti vru a voda te da njezina para ispuni prostoriju. tada je najbolje poslati tvrdi disk profesionalnoj ustanovi koja se bavi spa avanjem podataka.5 mikrona u bilo kojem podru ju od 0. Para bi u ovom slu aju trebala na sebe vezati estice pra ine te ih spustiti prema zemlji. pogotovo ako su podatci va ni. ali mo e imati nepredvi ene posljedice na podatke zbog toga jer su najve i Äneprijatelji³ tvrdog diska vlaga i pra ina te se on smije otvoriti samo u prostorijama klase 10011. MIT O ISTOJ KUPAONICI Neki ljudi tvrde da se u ku i. ali uvijek se mo e posre iti.03 kubi na metra zraka 41 . U istim sobama koristi se sofisticirana oprema kako bi se manipuliralo dijelovima tvrdog diska. Zbog toga je ovu metodu vrijedno isprobati te je mogu e spasiti podatke. Me utim. Netko se je sjetio da bi mogao otvoriti slavinu sa vru om vodom. Iako je ovo dobra ideja. pritisak i vlaga. krajnji rezultat je ipak katastrofalan. Ovu tehniku nije preporu ljivo koristiti. Zamjena logi ke plo e mo e biti prava metoda kako bi se popravio neispravan tvrdi disk i to samo ako je u pitanju vanjsko o te enje i ako se ugra eni softver nalazi kontroleru. a da se on ne o teti. kontrolirana je temperatura. ako je tvrdi disk prepoznat. a sve je to zbog toga kako bi se sa uvali podaci na tvrdom disku. Tada bi navodno bilo sigurno otvoriti tvrdi disk i dirati po njegovim dijelovima. tj. Ovaj mit je vrlo dobro obra en. pritiskati ih. MIT O ZAMJENI LOGI KE PLO E I SOFTVERU Mit o zamjeni logi ke plo e Postoje ljudi koji zamijene logi ku plo u pokvarenog tvrdog diska sa identi nom logi kom plo om ispravnog tvrdog diska u nadi da e ovaj neispravan proraditi te je to jedan od najlogi nijih mitova. pri ekati nekoliko minuta te ju zatvoriti i ponovno pri ekati nekoliko minuta da para nestane. Na temelju toga trebalo bi biti mogu e otvoriti tvrdi disk. ali itanje nije uspjelo.

Me utim. To bi ak i moglo raditi ako se u obzir uzmu razli iti faktori poput ugra enog softvera. serije tvrdog diska. itd. neadekvatne tehnike i alata. naj e i rezultat je uni tenje podataka zbog neodgovaraju e okoline. MIT O POPRAVKU I ZAMJENI PLO A Mit o popravku Neki profesionalci ili kompanije tvrde da mogu Äpopraviti³ tvrde diskove iako je to nemogu e. 42 . a da se sam tvrdi disk ne otvara.Mit o softveru Neki softver za spa avanje podataka sigurno dobro funkcionira u svojoj namijeni ako je u pitanju logi ki. MIT O ZAMJENI PLO A Neki ljudi tvrde da su uli kako je mogu e spasiti podatke s pokvarenog tvrdog diska i to tako da se prona e potpuno isti takav i da se onda zamijene plo e. a ne fizi ki problem. Ono to oni rade je to da zamijene logi ku plo u i/ili koriste program koji sakrije pokvarene sektore i tada takav tvrdi disk daju korisniku pod izlikom da je popravljen. itd. softver za spa avanje podataka automatski e pokvariti tvrdi disk jer e neki sklopovi prestati raditi i time e nestati i zadnja nada u spa avanje podataka. U slu aju fizi kog problema. Zbog toga je potrebno znati kada koristiti programe koji su vezani za spa avanje podataka.

softver za snimanje podataka na opti ke medije omogu ava da se na medij pi e vi e puta. 43 . zatvoriti sesiju.1. dok jeftini i ne brandirani mediji mogu predstavljati problem prilikom njihovog itanja kod ve ine CD i DVD ure aja. Opti ki ure aji Opti ki mediji poput CD-a i DVD-a tako er su podlo ni razli itim vrstama o te enjima te se zbog toga javlja potreba za spa avanjem podataka. brandirani medij Potrebno je napraviti barem dvije kopije svih va nih podataka Potrebno je izbjegavati vi estruku pisanje. softverski problemi mogu uzrokovati o te enje podataka. Prikaz praznog opti kog medija Kada se stavi opti ki medij u ure aj za njegovo itanje te se prika e da na njemu nema podataka tada bi problem mogao biti u tome to sesija (eng. tj. na CD ili DVD: y y y y Uvijek je potrebno koristiti kvalitetan. Zbog toga je potrebno pridr avati se nekoliko pravila prilikom kopiranja podataka. snimanje podataka Treba testirati mogu nost itanja medija na razli itim ra unalima Postoje razli iti problemi koji se mogu javiti prilikom pogre ke na opti kom mediju te e ovdje biti obja njeno kako u kojem slu aju postupiti.11. odnosno. dozvoljava vi estruke sesije. Primjena ove preporuke bi trebala rije iti problem. To bi moglo dovest do problema da opti ki ure aj ne prepozna da na mediju postoje podatci te je zbog toga preporu ljivo kad se ne to snima na takav medij. Naime. ako se radi o backup-u. 11. nakon to je snimljeno. Session) nije finalizirana. tj. Oni su popularni za pohranu podataka zbog njihovog velikog kapaciteta i male cijene. ali nisu pretjerano pouzdani.

Spa avanje filmova i muzike sa cd -a i dvd-a Spa avanje ovakvih vrsta podataka koji se nalaze na opti kim medijima razlikuje se od spa avanja uobi ajenih podataka na tim medijima. Za neprofesionalnu upotrebu mogu e je koristiti program ÄCD and DVD Recovery³ dok oni korisnici koji imaju ve a znanja o spa avanju podataka mogu koristiti ÄIsoBuster³.2. Ako ove metode nisu pomogle. a podaci su od iznimne va nosti tada je potrebno zatra iti pomo od profesionalaca koji se time bave. Preporuke za spa avanje podataka sa opti kih ure aja Potrebno je zapamtiti da mogu nosti opti kog ure aja kao i mogu nosti programa za spa avanja podataka na opti kim medijima imaju veliki zna aj za uspje nost spa avanja podataka. Kako bi postojala to ve a ansa za spa avanje potrebno je ripati na to manjim brzinama. Radi se o tome da se nastoji kopi ati ili r Äripati³ zvu ni ili video zapis na tvrdi disk kako bi se mogla nasnimiti nova kopija koja e sada uredno raditi. Uspjeh najvi e ovisi o CD i DVD ita u koji se nalazu u ra unalu. Oni posjeduju specijalne ure aje za takve vrste spa avanja koji se ne nalaze u obi nim ra unalima 44 .3. 11. o njegovoj toleranciji na pogre ke koje se nalaze na opti kom mediju. memorijskim karticama ili bilo kojem drugom prepisivom (eng. tj. Rewritable) mediju potrebno je koristiti odre eni softver za njihovo spa avanje. Softver za spa avanje podataka na opti kom mediju Po to su podatci na opti kom mediju zapisani u razli itom formatu nego li oni koji se nalaze na tvrdom disku.4. Ako ono nije bilo uspje no potrebno je poku ati s drugim opti kim ure ajem. Zbog toga to programi za spa avanje podataka koriste algoritme kako bi prepoznali na koji na in su podatci pohranjeni nije mogu e koristiti undelete programe ili programe za spa avanje podataka koji se nalaze na tvrdom disku za one podatke koji se nalaze na opti kom mediju.11. 11. Program koji se mo e preporu iti za ovakvo spa avanje podataka je ÄAVS DVD Copy³.

Za razliku od blokova i stranica. Dodatno. 45 . Za razliku od NAND memorije NOR memorija mo e se u konstantnom vremenu itati bajt po bajt te se zbog toga u njoj naj e e nalazi firmware. U flash memoriju mo e se zapisivati bajt po bajt. stranica ima jo tzv. 12. Flash memorija Flash memorija je u dana nje vrijeme najrasprostranjenija vrsta memorije u podru ju memorije s nepokretnim dijelovima. a svaka stranica je veli ine 512 bajta. Ve ina dana njih forenzi kih alata bazira se na logi kom spa avanju podataka. ne postoji fizi ka reprezentacija. tj. Ostatak memorije koji nije zauzeo firmware mo e biti iskori ten za spremanje podataka sa strane korisnika. Pages). Taj naboj mo e biti pohranjen na vrlo duga ko vrijeme bez da se koristi vanjsko napajanje. Na in na koji se spremaju podaci u flash memoriju temelji se na pohrani elektri nog naboja u tranzistoru. a zatim da se radi obrada tih kopiranih podataka. izbrisani podaci.1. NAND memorija naj e e se nalazi u mobilnim medijima kao to su mobilni telefoni s kamerama. potrebno ih je itati bit po bit. ali mora se brisati blok po blok kako bi se ponovno ne to moglo upisati. kako vrijeme prolazi tako se gubi i taj elektri ni naboj. ali i oni podaci koji nisu direktno va ni za korisnika. a kao rezultat dobiju se jedinice u tim blokovima koji su brisani. npr. Na taj na in se mogu potencijalno propustiti vrlo va ne informacije. kod flash memorija. digitalne kamere i USB flash diskovi.12. tako je po eljna ista procedura i kod ugra enih memorija s nepokretnim dijelovima. a njih se mo e definirati kao skupina blokova reda veli ine od 256 do 1024. Zone). itd. 32 ili 64 stranice po bloku. tj. Spare area) koje se koristi se za spremanje meta podataka. U NAND memoriji blokovi su podijeljeni u stranice (eng. USB stikovima. Pomo u logi kog spa avanja podataka esto nije mogu e spasiti sve podatke kao to su npr. Fizi ke karakteristike Postoje dvije vrste flash memorija. Mogu e ju je prona i u mobilnim telefonima. PDA ovima. Me utim. pomo no mjesto (eng. Zbog tih nedostataka potrebno je raditi spa avanje podataka na ni im razinama. tj. Kao to je slu aj kod tvrdih diskova da se prvo kopiraju svi podaci na neki drugi medij. zona je samo logi ki koncept. Neki flash diskovi koriste koncept zona (eng. a to su NOR i NAND.

a svaki blok mo e biti izbrisan izme u 104 i 106 puta prije nego bitovi postanu neizbrisivi. odnosno im ju se proizvede ve sadr i lo e blokove. Za njih ti algoritmi predstavljaju vrijedno intelektualno vlasni tvo te ih ne ele nikome otkriti. Klaver. Forensic data recovery from flash memory. R. van der Knijff i Mark Roeloffd. Kako bi se smanjilo to kvarenje blokova uzrokovano brisanjem istih proizvo a i memorija razvili su algoritme koji razmje taju podatke ravnomjerno po svim blokovima te na taj na in produ uju ivotni vijek memorije. Bad block). Breeuwsma. NAND memorija i prije nego stigne do korisnika. de Jongh. Takav blok se tada naziva lo blok (eng. Kako se blokovi bri u tako se i kvare. imaju stanje 0.Slika 10. Fizi ka i logi ka podjela flash memorije (Izvor: M. 46 . C. lipanj 2007) Pomo no mjesto mo e sadr avati informacije poput statusa stranice ili bloka. tj. Postoje pravila koja govore da broj tih lo ih blokova prilikom proizvodnje smije biti maksimalno 2%. informacija o tome kad je blok pokvaren bit e sadr ana upravo u pomo nom mjestu. M. tj. Isto tako mo e sadr avati ECC podatke koji se brinu da otkrivaju pogre ke u stranici i da ih ispravljaju i to samo u slu aju ako je jedan bit pogre an te e nakon toga taj blok biti ozna en kao lo blok. Pomo no mjesto mo e jo sadr avati informacije bitne za fizi ko i logi ko adresiranje.

2.Da bi se spasili podaci sa flash memorija nije potrebno poznavati rad tih algoritama. nije potrebno poznavati kako oni stvaraju fizi ku sliku podataka. Dakle.1. Spa avanje podataka Najva nije pravilo prilikom forenzi kog spa avanja podataka glasi da se podaci ne smiju mijenjati. a razvijaju ih uglavnom proizvo a i ure aja i centri za servis. Pomo u tih metoda napravi se potpuna kopija podataka koji se nalaze na flash mediju. JTAG (eng.2. 47 . Me utim. 12. tj. Joint Test Action Group) metoda te metoda gdje se ip fizi ki odvaja te se ita pomo u vanjskog ita a podataka. Postoje tri metode spa avanja podataka sa flash memorija. Problem le i u tome to ne postoji generalna metoda jer svaki ugra eni sustav ima svoje su elje pomo u kojih se prenose podaci te isto tako ne postoji standardizirani Äoperacijski sustav za ugra ene sisteme³ s dokumentacijom o pristupnim funkcijama za itanje podataka na razini bita. To zapravo i nije tako jednostavno kako se ini na prvi pogled jer kod flash memorije algoritmi za razmje tanje podataka mogu napraviti nepredvidljive promjene na podacima. ipak postoje alati za kopiranje podataka koji su namijenjeni za odre ene ure aje. 12. Zapravo je potrebno znati kako rekreirati ispravan poredak fizi kih blokova za dobivanje logi ke kopije. Dosada nja ispitivanja pokazala su da se prilikom paljenja ili ga enja mobilnih ure aja podaci mijenjaju i to najvjerojatnije zbog tih algoritama te je ta paljenja ili ga enja potrebno svesti na minimum. algoritam se pona a kao dinami ki proces koji kontinuirano razmje ta stranice i/ili blokove kako bi produ ili ivotni vijek memorije te kad se poku ava interpretirati stati ka snimka stanja tada nije potrebno znanje o radu algoritama. Programski alati Najjednostavniji i najjeftiniji na in za spa avanje podataka sa flash memorije pru aju upravo hardversko su elje i programski alati koji potpuno kopiraju flash memoriju na neki drugi medij radi daljnje analize. a to su metoda pomo u programskih alata.

Pomo u njega mogu e je raditi potpune kopije podataka na razli itim modelima mobilnih telefona Nokije. na forumima ili internetskim du anima. dok je na nekim mobilnim ure ajima mogu e raditi samo djelomi ne kopije. Prije nego se po ne raditi sa memorijom iz koje se ele spasiti podaci potrebno je najprije testirati program za spa avanje podataka na sli noj memoriji.Trebalo bi biti vrlo pa ljiv prilikom upotrebe tih alata tijekom forenzi ke analize. Te opcije su katastrofalne u kontekstu forenzi kog spa avanja podataka. To je potrebno napraviti kako bi se provjerila njegova funkcionalnost. Osim to imaju mogu nost kopiranja podataka ti alati isto tako katkad imaju i neke druge opcije kao to su brisanje memorije. tj. Prednosti i nedostaci: y y y y Povezivanje hardvera je naj e e jednostavno s konektorom Flash memorija mo e biti rekonstruirana bez da se odlemljuju ipovi flash memorije Neki programi ne rade potpune forenzi ke kopije flash memorije Ne postoji garancija da podaci ne e biti upisani u memoriju 48 . mijenjanje serijskih brojeva ili dodavanja funkcionalnosti. Takve programske alate za mobilne ure aje najjednostavnije je na i na internetu. Primjer programskog alata za spa avanje podataka na mobilnim ure ajima je Twister flasher box.

Primjer ugra enog sistema (Izvor: M. ali kako je prikazano na slici 11 ti su ipovi uobi ajeno povezani s ostalim ipovima poput procesora te se taj procesor mo e koristiti kako bi se pristupilo flash memoriji i to ako on podr ava JTAG. Slika 11. Klaver. 12. JTAG Kad se ne mo e napraviti forenzi ka kopija podataka tada se koristi JTAG12 metoda.12. Pristup flash memoriji kori tenjem jtag metode Flash memorijski ipovi ina e nemaju omogu en JTAG mod. Debug mod) i vanjski testni mod (eng. Forensic dana recovery from flash memory. R. Ve inu tih procesora koji podr avaju JTAG mod omogu uju dva moda.2. lipanj 2007= 12 Pristupni testni port koji se normalno koristi za testiranja ili ispravljanje pogre aka. ali se isto tako mo e koristiti kako bi se pristupilo memoriji 49 .2. C. External test mod). Pins) do kojih korisnik ina e ne mo e direktno pristupiti. Neki procesori podr avaju oba dva moda dok neki podr avaju samo jedan.2. a to su mod za ispravljanje pogre aka (eng.1. van der Knijff i Mark Roeloffd. Breeuwsma. M. de Jongh.2. Mati ne plo e koje podr avaju JTAG imaju dodatne testne pristupne to ke (eng.

Primjer takvog itanja NOR flash memorije s pomo u dva testna vektora prikazan je na slici 12.2. Vanjski testni mod U ovom modu jezgra procesora je isklju ena dok su sve pristupne to ke na procesoru kontrolirane pomo u JTAG kontrolera. Klaver. 2. van der Knijff i Mark Roeloffd. Kori tenje vanjskog testnog moda kako bi se pristupilo memoriji (Izvor: M. Taj je testni vektor aktiviran nakon u itavanja.1. de Jongh. Breeuwsma. 3.2. Forensic dana recovery from flash memory. Testni vektori se u itaju ili itaju naj e e koriste i posmi ni spremnik. 50 . M. Slika 12. Drugi se testni vektor ita ra unalo te se podaci sa podatkovne sabirnice pohranjuju u datoteku. r/w) s naredbom itanja. R. a vanjska flash memorija mo e se itati tako da se u itaju ili itaju nizovi serijskih testnih vektora. C.1. To je pohranjeno u drugom testnom vektoru. lipanj 2007) 1. Prvi testni vektor sadr i adresu NOR flash memorijske lokacije i kontrolne signale (ce. Nakon pristupnog vremena ip flash memorije odgovara sa zatra enim podacima preko podatkovne sabirnice.12.

Postoje razli iti na ini kako prona i te pristupne portove od kojih neki mogu i uni titi ugra ene sustave. ak i vi e od 100. a ujedno i najsigurniji. Dakle.1.2. Na slici 13 prikazani su JTAG testni pristupni portovi na mobilnom ure aju SAMSUNG SGH-D500. ali ipak u ve ini slu ajeva sli ne su ostalim pristupnim to kama i ak se mogu nalaziti na obje strane plo ice te ih je zbog toga te ko prona i. Zbog toga e ovdje biti opisan samo jedan pristup koji je najjednostavniji. Ta se zadnja opcija mo e koristiti kako bi se napravila slika NOR memorije. registre za itanje stanja ili registre za pisanje i itanje podataka sa vanjskih memorijskih ipova. Prednost je u tome to se to mo e napraviti relativno brzo. To se radi tako dugo dok se ne dobije validan signal. Kod ovog pristupa potrebno je mjeriti sve pristupne to ke na sklopovskoj plo ici i to zbog toga jer JTAG ulazi i izlazi imaju specijalna svojstva za razliku od ostalih pristupnih to aka. Na nekim sklopovskim plo icama te pristupne to ke nalaze se u jednom retku i jasno su ozna ene. JTAG sklopovlje u procesoru ima dodatne registre za zaustavljanje i pokretanje naredbi.2. potrebno je prona i JTAG testni pristupni port. prije po etka izrade slike flash memorije. tj. PRONALA ENJE JTAG TESTNOG PRISTUPNOG PORTA Prije nego to se mo e po eti sa procesom spa avanje podataka. Potpuna slika NAND flash memorije mo e biti napravljena na isti na in. Mod za ispravljanje pogre aka Sklopovi za ispravljanje pogre aka koji su ugra eni u procesor mogu se koristiti kako bi se ispravile pogre ke softvera kojeg taj procesor koristi. 51 . Komercijalni alati dakle mogu koristiti kako bi se napravila potpuna kopija NOR memorije. iako sam proces du e e trajati zbog toga to je potreban ve i broj testnih vektora kako bi se pro itao bajt ili rije podatka. 12. dok je opet nedostatak to tih to aka mo e biti jako puno. dok to nije mogu e ili je izuzetno te ko za NAND flash memoriju. prvo je potrebno izmjeriti sve pristupne to ke te se na taj na in eliminira ve ina tih to aka.2. Testni pristupni portovi mogu se prona i nakon drugog mjerenja tako da se mjere sve mogu e ulazno/izlazne kombinacije pomo u algoritme.Potpuna slika NOR flash memorije mo e se napraviti na isti na in z svaku memorijsku a lokaciju. Oni se ovdje nalaze u jednom retku.

van der Knijff i Mark Roeloffd. Klaver. Mo e se napraviti slika memorije bez da se odlemljuju ipovi Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci.. Breeuwsma. mo e se garantirati da podaci ne e biti zapisani ni u vanjskom testnom modu niti u modu za ispravljanje pogre aka. C. Me utim.) Nedostatak le i u tome to je komunikacija u vanjskom testnom modu spora iako u modu za ispravljanje pogre aka mo e biti ne to br a Mo e biti te ko prona i JTAG pristupne to ke Nisu svi ugra eni sustavi opremljeni s podr kom za JTAG y y y y y 52 . uvijek postoji barem malo vrijeme izme u uklju ivanja i vremena kad se unesu neka od dva moda te u tom vremenu sustav mo e komunicirati sam sa sobom. pomo no mjesto memorije. Forensic dana recovery from flash memory. JTAG testni pristupni port na Samsungu SGH-D500 (Izvor: M. de Jongh. M. lipanj 2007 Prednosti i nedostaci: y Rizik promijene podataka je minimaliziran.. lo i blokovi. itd. tj. R.Slika 13.

2. ip se izvadi van pomo u specijalnog ure aja.12. van der Knijff i Mark Roeloffd. 12. 12. R. M.3. Nakon to se lem otopi. Odlemljivanje flash memorijskih ipova Ve ina dana njih ipova nalazi se u TSOP (eng. tj. Ball Grid Array) ku i tima. lipanj 2007) Vru i zrak pu e na rubove ipa te samim time temperatura ipa ostaje ni a od temperature pinova koji su zalemljeni.1. sliku flash memorije le i u tome da se fizi ki odstrani flash ip sa sklopovske plo ice te da ga se zatim Äpro ita³ s nekim alatom za itanje podataka. Klaver. C.3. Fizi ka ekstrakcija Jo jedan na in na koji je mogu e napraviti kopiju. iako to nije preporu ljivo zbog toga to se treba upotrijebiti mnogo lema na pinovima ipa te je onda kasnije potrebno vi e vremena kako bi se o istio ip.1.1. de Jongh. Slika 14.2. Ta se metoda koristi kada se ne mogu koristiti softverski alati ili kad JTAG nije dostupan. Va enje TSOP ipa pomo u toplog zraka (Izvor: M. Thin Small Outline Package) i Micro BGA (eng. Bolji na in za va enje TSOP ipova je pomo u vru eg zraka i on je prikazan na slici 14. 53 . Forensic dana recovery from flash memory.3.2. Breeuwsma. Va enje TSOP ipova TSOP ipovi mogu se izvaditi iz sklopovske plo ice pomo u lemila.

12.2.3.1.2. Va enje mikro BGA ipova

Mikro BGA ipovi mogu se izvaditi pomo u vru eg zraka, tj. ure aja namijenjenog upravo za lemljenje ili odlemljivanje ipova. On koristi temperaturni profil kako bi izvadio ip te ta temperatura treba biti dovoljno visoka kako bi se otopio lem. Tako er je potrebno provjeriti da temperatura ne bude previsoka jer bi se time mogao o tetiti ip. To je osobito va no kod bezolovnih ipova, tj. bezolovnih lemova zato jer oni imaju ve u temperaturu taljenja. Preporu ljivo je da se prvo vje ba na referentnom modelu prije nego se po inje raditi s originalom i to zato jer je temperaturni profil druga iji za svaki ip ili sklopovsku plo icu.

12.2.3.2. Priprema ipa za daljnju obradu

Pinovi TSOP ipa potrebno je o isti, a to je mogu e napraviti pomo u ice za va enje lema (eng. Solder wick) ili pomo u teku eg sredstva (eng. Solder flux). Slijede e to je potrebno jest provjeriti da li su pinovi dobro poravnati te da li je na njima ostalo lema. Kod mikro BGA ipova situacija je ne to kompliciranija. Ako se on izvadi iz sklopovske plo ice tada su kuglice na ipu o te ene zbog toga jer je ne to lema ostalo na plo ici, a ne to na ipu. Na posljetku su te kuglice razli ite veli ine, a ta razlika radi probleme kod ve ine podno ja. Ta podno ja su napravljena tako da je u njih mogu e staviti samo ipove s istim kuglicama, a ako je stavljen ip kojemu te kuglice nisu iste veli ine za rezultat se dobije lo a konekcija. Da bi se ispravio taj problem koristi se opcija ponovne izrade kuglica (eng. Reballing) i to je najbolje raditi pomo u stroja. Nakon to je ip o i en, mogu e ga je Äpro itati³ pomo u ita a ili programera. Taj programer memorijskih ipova ili ita uobi ajeno imaju nekoliko tipova podno ja u kojima nije potrebno primijeniti silu (eng. Zero Insertion Force) kako bi se povezali sa ipovima. TSOP flash ipovi naj e e imaju 48 pinova te ih je zato mogu e itati samo pomo u jednog podno ja, dok nasuprot njima BGA ipovi dolaze u razli itim veli inama i imaju razli ite veli ine i koli ine kuglica. Njihova podno ja su skupa i potrebno je du e vrijeme da se dostave. Zbog toga je po eljno koristiti podno je na kojem se mo e koristiti vi e razli itih vrsta ipova.

54

12.2.3.3. Programer ili ita flash memorijskih ipova

Flash memorijske ipove mogu e je Äpro itati³ pomo u komercijalno dostupnih softverskih programera. Nedostatak je u tome to je potreban upravlja ki program za svaki memorijski ip, a ako taj program ne postoji tada ga proizvo a ili programer moraju napraviti. To naravno iziskuje odre eno vrijeme i nije ga uvijek mogu e napraviti zbog manjka dokumentacije ipa. Kako bi se to izbjeglo mogu e je koristiti univerzalni ita Prednosti i nedostaci
y

Garantirano nikakvi podaci ne e biti zapisani u flash memoriju zbog toga to je ugra eni sistem uga en Podaci se mogu spasiti sa o te enih ugra enih sistema Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci, pomo no mjesto memorije, lo i blokovi, itd...) Nedostatak je to to je mogu e o tetiti ipove prilikom odlemljivanja Potrebno je otvoriti ugra ene sisteme kako bi se moglo odlemiti ipove

y y

y y

13. Magnetske kartice
Tehnologija magnetskih kartica se koristi u mnoge svrhe, uklju uju i kreditne, debitne, telefonske i identifikacijske kartice. Ove vrste magnetskih kartica i sadr aj pohranjen na njima oslanjaju se na identifikaciju i osobnu autentifikaciju . Kori tenje kreditne ili debitne kartice, u kupovanju razli itih dobara i usluga, promijenilo je put socijalnih i financijskih procesa te je odgovorno u rukovanju monetarnih i financijskih transakcija. Magnetna kartica ili kartica s magnetnim zapisom spada u red pasivnih magnetnih kartica. To je plasti na kartica koje na svojoj pole ini imaju magnetnu traku na kojoj su zapisani ifrirani podaci koji se itaju opti kim ita em. Magnetna traka na zadnjoj strani mo e pohraniti oko 200 bajta ili 0,2 kb podataka. Zbog toga to je te ko pro itati ili zapisati podatke na karticu bez autorizacije te zbog toga to kartica mo e stati u svaki d ep, magnetna kartica je isklju ivo primjerena za sigurnu pohranu podataka. Povijest magnetnih kartica Povijest kartica se e u pedesete godine pro log stolje a, kada je Diners predstavio svoju prvu charge karticu. Nakon toga slijedi prava ekspanzija karti nih organizacija i njihovih proizvoda. Ovdje su navedeni neki od zna ajnih doga aja vezanih uz karti no poslovanje: 1950 - Diners predstavio prvu charge karticu 1958 Bank of America predstavila prvu bankovnu karticu (Bank Americard) 1965 ± Eurocard ustanovljen u Belgiji 1967 - osnovana Me ubankarska karti na organizacija (Interbank Card 55

Association) od strane ameri kih banaka 1968 - Interbank Card Association (ICA) i Eurocard oformili savez 1974 - osnovan Eurocheque International 1977 - Bank Americard postala Visa International 1979 - ICA postaje Mastercard International 1988 - MasterCard postaje dioni ar u Eurocard Interantional & EPSS 1992 - Eurocard, Eurocheque & EPSS su se spojili Europay International 2003 - Europay International nestaje u spajanju s MasterCard International i postaje MasterCard International. Magnetske kartica je vrsta kartica koje su sposobne pohraniti digitalne podatke, snimaju i magnetske uzorke izme u Äpruga³ na nali ju kartice. Postoje tri podatkovne trake izme u magnetskih pruga. Kreditna kartica koristi samo Traku 1 i 2. Tipi no, Traka 1 slu i za pohranu broja ra una, korisni kih imena, i vremena istjecanja kartice. Ova traka tako er mo e poslu iti za pohranu Ädiskrecijskih Ä podataka vezanih na izdavatelja kartice. Traka 2 je izgra ena za bankovnu industriju, tj. koristimo ju za spremanje kopije trake 2, ali bez korisni kog imena i koda usluge, koji je povezan sa sigurnosnim funkcijama kao to je koli ina dozvoljene transakcije. Telefonska kartica je vrsta Ätop-up³ magnetske kartice, koja na sebi sadr i trake 1 i 2. U pravilu Ätop-up³ je naziv za Äglupe³ magnetske kartice, zato to im je sigurnost na jako niskoj razini. U pravilu je dovoljno samo prepisati traku 2 sa novim brojem ra una.

13.1 ita i kartica
Postoji mnogo ita a magnetskih kartica odnosno takozvanih Äskimmera³. Ovi ure aji se izri ito proizvode za kori tenje u legalne svrhe, no ipak se koriste u ilegalnim aktivnostima. Primjer prenosivog ita a magnetskih kartica i njegova obilje ja imamo na sljede oj slici.

56

.PIN-om za ti en ± etiri brojke. .nakon spremanja .2 Koderi magnetskih kartica ita i magnetskih kartica su samo dijelovi opreme kori tene za kloniranje kartica.RS232/USB su elje. .ita magnetskih kartica Obilje ja: .512 K bytes memorije ± vi e 2048 zapisivanja. . irina 30mm. dok neke novije verzije mogu itati sve tri trake istodobno. vremenskih releja. Magnetski ita je zapravo ure aj baziran na mikro -kontroleru . Sve modernije glave ita a sadr e i integrirani F/2F bit koji slu i za spa avanje podataka. Ve ina Äglava³ ita prvu i drugu traku istodobno.aplikacijsko brisanje zapisa ita i magnetskih kartica za itanje podataka sa kartica koriste posebnu komponentu koja se naziva glava ita a. Za kloniranje magnetskih kartica naj e e se koristi MSR206 koder prikazan na sljede oj slici: Koder MSR206 57 . visina38 mm.Veli ina ± duljina 50mm. Glava ita a sadr i poja ala signala i linijske upravlja ke programe. . napajan baterijom ± CR2032 naponska elija. budu i da oni imaju samo mogu nost itanja podataka sa kartice.ita sve tri trake.samostalan. ita tako er sadr i i Äoscilatornu sekciju( dio )³ koja se koristi za uklju ivanje i isklju ivanje 13. .

Ovaj alat ima nekoliko obilje ja. korisno ju je imati na bilo kojem prenosivom disku. dokumente. Budu i da ima svoju Äportable³ verziju. U prvom koraku wizard nam pru a grupu opcija. 2. znanja i vje tine mogu e ih je pretvoriti u ure aje s kojima mo emo napraviti te ke kriminalne radnje. ali i brisanja datoteka koje elimo izbrisati zauvijek. cameri ili iPod-u. glazbu. video sadr aj. Recuva ima i koristan Äwizard³. Serijski/USB/PS/2 portevi. iskoristimo bilo koje od navedenih funkcija koje nam doti ni program pru a. tj. ima i mogu nost skeniranja tj. te sve ostale podatke.Obilje - ja: mogu nost itanja i pisanja na magnetske trake mogu nost itanja pisanja na trake u kombinacijama Traka: 1.primjer Kao primjer u ovom seminaru obradit emo jedan besplatan i vrlo koristan alat ± ÄRecuva³. Ovakve ure aje mogu e je lako kupiti. neovisno. dali su na usb memorijskoj kartici. Prvo obilje je odnosi se na spa avanje podataka koji su gre kom izbrisani. Primjena forenzi kih alata . Kao ponu ene opcije imamo: slike. tra enja datoteka. 2&3. mo e Äspasiti³ obrisanu elektroni ku po tu. jer na taj na in mo emo bilo gdje koristiti njezine mogu nosti. ra unalu. 58 . Ponekad gre kom mo emo formatirati neki od ure aja na kojem imamo podatke. 1&2. odnosno smart ure aju. 14. elektroni ku po tu. Recuva tako er mo e prona i podatke na ure aju koji je formatiran. odnosno pomo nik koji nam poma e da bez nekih prevelikih napora povratimo izgubljene podatke. ili obrisanu glazbu sa iPod Ovaj koristan program -a. me u kojima odaberemo tip(vrstu) podataka koje elimo Äspasiti³. te uz malo truda.

odabrana lokacija e biti upravno on. Brisanje datoteke u ovom slu aju i lo je na uobi ajen na in. da nakon to je bilo koja datoteka obrisana na windowsima ona se privremeno Äspremi³ u ko za sme e.Odabiranje tipa podatka Kao to je na slici iznad prikazano. tip podatka koji elimo opet vratiti u funkciju je dokument.doc koja se nalazi na putanji: C:\Recuva. 59 . U na em slu aju to e biti datoteka tipa . prvo smo obrisali naredbom delete. Poznato je svima. Dakle. da se brisanje dogodilo gre kom. sljede e to moramo je izabrati lokaciju na kojoj se nalazila tra ena datoteka. koja Ädirektno bri e³ sa operacijskog sustava. Ako ju elimo u potupnosti obrisati. tada ju obri emo i iz ko a za sme e. Budu i da smo ju zadnje maknuli iz ko a za sme e. tako da je jo uvijek mo emo vratiti u slu aju da shvatimo. ili kod brisanja upotrijebimo kraticu shift+delete. Nakon to smo izabrali tip datoteke. a onda ju jo maknuli iz ko a za sme e.

ko a za sme e. Te pronalazi sve obrisane datoteke iz tzv.Odabir lokacije na kojoj se nalazi tra ena datoteka Odabiranjem lokacije i pritiskom na next Recuva po inje skenirati tra enu lokaciju. 60 .

dok naran asta boja zna i ba suprotno. ali upitan je sadr aj.doc datoteku. odnosno da ne e do i do gubitka sadr aja. odnosno datoteku je mogu i spasiti. Mo emo primijetiti da su datoteke ozna ene razli itim bojama. Ako elimo koristiti napredne dijelove Recuva programa u gornjem desnom dijelu ekrana pritisnemo na ÄSwitch to advanced mode³.Rezultati skeniranja Kao to mo emo vidjeti iz rezultata skeniranja.ÄPreview³ na koristi. U tome slu aju mo emo vidjeti pregled te slike. Zelena boja ozna ava da je datoteku mogu e povratiti. 61 . Prvi tab . ako je tra ena datoteka bila slika. Po meni najva niji je tab ÄInfo³ u kojem vidimo sve najva nije podatke o izbrisanoj datoteci. Tada nam se sa desne strane otvori ekran u kojem stoje tri taba. kao to mo emo vidjeti na slici ispod. Recuva je prona ao na u obrisanu *.

Kori tenje naprednih opcija Sljede i korak je da datoteku jednostavno ozna imo kva icom i stisnemo na Recover u donjem desnom dijelu ekrana. 62 . Recuva nam izbaci prozor u kojem odaberemo mjesto na koje elimo spremiti datoteku i time postupak spa avanja podatataka zavr ava.

Stru nost. Analiziranjem i sintetiziranjem dobivenih informacija donose se zaklju ci koje se oblikuje rje enje nekog slu aja. izdvajamo i sa uvamo od destrukcije.15. te ostale metode su naro ito zahtjevni vremenski procesi. pohranjenih u razli itim spremi tima podataka. Zaklju ak to je tehnologija razvijenija te e nam je pratiti bilo kakve doga aje i aktivnosti unutra na eg informacijskog sustava. nu ni su uvjet da bi se ovjek usko bavio nekom granom forenzike. Forenzika nam omogu ava da te podatke analiziramo. Dana nji sustavi sadr e ogromne koli ine podataka. sinteza. Upravo ove injenice potvr uju da ra unalna forenzika predstavlja jedno vrlo zahtjevno podru je u kojem vrijeme i ovjek imaju klju nu ulogu. dok ovjek ima klju nu ulogu u interpretaciji podataka i dono enju zaklju aka. apstrakcija. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. Dobro poznavanje sklopovske i programske opreme predstavlja preduvjet za prakticiranje forenzi ke znanosti. znanje te ostali njima sli ni parametri. Analiza. 63 . Alati otvorenog koda pokazali su se kao izvrstan temelj za u enje i razumijevanje metoda i procedura koje se primjenjuju. vje tine. Nakon to su podaci pribavljeni potrebno je te podatke analizirati i napraviti apstrakciju nad njima. praksa. odnosno uni tenja na odgovaraju i na in. Bit ra unalne forenzike je initi dobro. odnosno potrebno je izdvojiti odgovaraju e informacije.

dostupno 15. http://www. http://datapodium.2009. http://www.usu.tech-faq.wikipedia.11.htm.11.16.11.2009. dostupno 15. dostupno 15. Forensic dana recovery from flash memory. M.11.bitcricket.tportal.11. dostupno 15.2009.2009.11.com/dokumenti/uploads/forenzika/Wireless_forenzika.11. http://os2.2009.html. dostupno 15.pdf.net/how-to-cd-data-recovery.html.com/showthread.2009.edu/~erbacher/publications/NetworkForensicProcesses.net/support/netintercept/downloads/ni-ieee.hr/ostalo/2007_horvat/Forenzika.2009. dostupno 15. de Jongh.com/article/245.11. dostupno 15.pdf. dostupno 15.cs.11. y y y y y y y y y y y y 64 .2009.sandstorm.zemris.hr/tehno/racunala/42598/Microsoftov-forenzicki-alat-procurio-nainternet.11.11.pdf.pdf. Breeuwsma.hr/fileadmin/user_root/seminari/Srce-Sys-SeminariOsnove_racunalne_forenzike.2009 http://www. R. http://forum. dostupno 15.com/downloads/Network%20Forensics. C.2009 http://www.srce.11.2009. Literatura y http://digital. Klaver. dostupno 15.2009.php?t=88478. dostupno 15.com/magnetic-card-reader.fer. van der Knijff i Mark Roeloffd. dostupno 15.org/wiki/Magnetic_stripe_card .tech-pro.11. http://sistemac. http://en.hardwaresecrets. M.pdf.shtml.pcekspert.2009 http://www. lipanj 2007. dostupno 15. http://www.

17. Zadu enja tima Zoran Erdec y y y y Spa avanje podataka Tvrdi diskovi Opti ki ure aji Flash memorija Denis Miksi y y y y y Uvod u mre nu forenziku Unutra nja sigurnost Forenzi ki postupci i alati Wireless forenzika Analiza be i nog prometa Nikola Modru an y y y y y Uvod Forenzi ki alati u forenzici Magnetske kartice Primjena forenzi kih alata ± primjer Zaklju ak Bojan Vuk i y y Forenzika(op enito) Materijalni nositelji 65 .