Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Vara din, 2009.

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Bologna 7. semestar

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sadr aj

1.

Uvod ................................ ................................ ................................ .............................. 1 2.1 Forenzi ke metode i procedure ................................ ................................ ..................... 4 2.2 Forenzi ka analiza ................................ ................................ ................................ ........ 8 2.3 Forenzi ki alati ................................ ................................ ................................ ............. 9

2. Forenzika (ra unalna forenzika) ................................ ................................ ......................... 3

3. Materijalni nositelji (op enito)................................ ................................ .......................... 12 4. Uvod u mre nu forenziku ................................ ................................ ................................ . 13 5. Unutra nja sigurnost ................................ ................................ ................................ ......... 15 5.1 Prikupljanje podataka ................................ ................................ ................................ . 15 5.2 Na in rada alata za mre nu forenziku ................................ ................................ ......... 17 5.3 Analiza mre nog prometa ................................ ................................ ........................... 18 6. Wireless forenzika ................................ ................................ ................................ ............ 19 6.2 Komunikacijski medij................................ ................................ ................................ . 20 6.3 Pokretljivost klijenata ................................ ................................ ................................ . 21 6.4 Karakteristike prometa................................ ................................ ................................ 22 6.5Performanse ure aja za prikupljanje prometa................................ ............................... 22 7. Forenzi ki alati i postupci................................ ................................ ................................ . 23 7.1 Zahtjevi i preporuke................................ ................................ ................................ .... 23 7.3 Komercijalni i alati otvorenog programskog koda ................................ ....................... 24 8. Analiza be i nog prometa ................................ ................................ ................................ 25 8.1 Spajanje prometa vi e kanala ................................ ................................ ...................... 25 8.3 Rukovanje prometom preklapaju ih kanala................................ ................................ . 26 8.4 Filtriranje i ubrzavanje analize................................ ................................ .................... 26 8.5 Tehnike maskiranja i prikrivanja tragova ................................ ................................ .... 26 9. Spa avanje podataka................................ ................................ ................................ ......... 27 10. Tvrdi diskovi ................................ ................................ ................................ .................. 29 10.1. Fizi ki kvarovi ................................ ................................ ................................ ......... 30 10.1.1. Neispravna glava................................ ................................ .............................. 30 10.1.2. Neispravan motor................................ ................................ .............................. 32 10.1.3. Neispravna elektronika................................ ................................ ...................... 34 10.1.4. O te enje plo a (lo i sektori) ................................ ................................ ............ 35 10.1.5. Neispravan ugra eni softver (eng. Firmware) ................................ ................... 36 10.2. Logi ki kvarovi ................................ ................................ ................................ ....... 37

Magnetske kartice......................................... ..... . .3........... ............................ ......................... ... ...... .......................... .. Fizi ka ekstrakcija ..................3.....1..... 45 12................................ Programski alati ........................ ...... ........ ............................ 64 17............ 47 12.......... ........ 55 13.......................................... ...................................... Zadu enja tima .. .......... ............................... Primjena forenzi kih alata ....2............................................. 49 12........... 43 11.. .........................................10.................... Softver za spa avanje podataka na opti kom mediju ..................................... 47 12.................... .......... 45 12.................. ...... .....................2................................................. ................... 58 15....................... Brisanje podataka .............. . Gubljenje particija ..........................2................................................................... ................. .... Flash memorija ...... Zaklju ak ................... 65 ...................3............2.... ............................. 38 10..5......... 57 14..... Spa avanje filmova i muzike sa cd-a i dvd-a ................ 63 16.......................... 38 10.............................2. . 37 10... ............. .............. .... ..................... Literatura ...4.......................4............................1........2............... 44 12..................................... .............. Spa avanje podataka . ... ..... .......... ...................... ..... Opti ki ure aji.................. 43 11.......................................... ...............................primjer ..................2.................................................... ........1..... 39 10........ JTAG ...... .......... 39 10.....3..........2............................................ ............2.. .............................. ..................................... Mitovi o spa avanju podataka sa tvrdog diska .................................................. O te enja uslijed djelovanja virusa...................................................... Preporuke za spa avanje podataka sa opti kih ure aja . Prikaz praznog opti kog medija ..................... ....... ..........2.....2................. ...... Reinstalacije operacijskog sustava................ ..... Fizi ke karakteristike ..................................2.......................... O te enja baze podataka i e-mail baza.... ................. 44 11........................................................ .............................................. ....... .......................... . 53 13..................................... 39 11............................. 56 13..... 44 11....2 Koderi magnetskih kartica ....1.......................1 ita i kartica ..............................

Uvod Potpunu sigurnost informacijskog sustava ne mo e nam nitko jam iti. postoje razli ite mjere i na ini za tite informacijskog sustava. forenzi ki znanstvenik. Ra unalna forenzika se mo e koristiti za pra enje e-po te. U dana njici mogu e je sve e e na televiziji vidjeti razli ite serije koje se bave tom tematikom. Ovisno o sustavu za tite koji je implementiran u na sustav. U tome cjelokupnome razvitku i rapidnom irenju tehnologije dolazimo i do problem koji njezinim nastankom nastaju. 1 . Iako je mogu e o istiti i izvaditi podatke s tvrdog diska. ve ina ljudi jednostavno misle da Ädelete³ tipka zaista uklanja podatke. Ra unalna forenzika je zapravo. svesti na najmanju mogu u razinu. znanstveno istra ivanje ra unala ili ra unalnih podataka u odnosu na istragu po odgovaraju em zakonu. U stvarnosti. pogotovo u svijetu ra unala i podataka gdje se brzina kretanja informacija odvija u milisekundama. Kori tenjem naprednih tehnika i tehnologija. to je tehnologija razvijenija te e nam je pratiti bilo kakve initi doga aje i aktivnosti unutra na eg informacijskog sustava. sli na CSI istragama na televiziji. Dakle obnavljanje podataka je zapravo spada u vje tine osoba koje se bave ra unalnom forenzikom. tipka za brisanje jednostavno uklanja datoteke lokacija iz indeksa datoteka i stvarni podaci sigurnosnu jo uvijek u sustavu. Bit ra unalne forenzike je dobro. upravo zbog tih razloga poku avamo opasnost koja prijeti. iako ne previ e. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. Ra unalna forenzika je znanost koja se se rapidno razvija. paze i na ulaganja koja. te njihove postupke odnosno Äscenarije³ napada na doti ni sustav. instant poruka i za bilo koji drugi oblik srodne ra unalne komunikacije. Ra unalna forenzika je dosta. To mo e biti potrebno. U slu ajevima napada na promatrani informacijski sustav bitno je detektirati napada e. sukladno tome procesu nastaju. u na em slu aju ra unalne tehnologije. bit e u mogu nosti rekonstruirati zlo in koriste i podatke iz bilo kojeg ra unalnog sustava. ovje anstvo dobiva prednosti i poticaje za daljnji razvitak.1. Lako je uo iti da sa razvojem znanosti. ra unala i drugih supreriornih tehnolo kih alata.

da je to jedna od najslo enijih metoda znanstvenog rada. odnosno istra ivanja. Kao primjer: mo emo ju primijeniti u ra unalnim mre ama. ispitivanje i skladi tenje podataka. Budu i da je spomenuto da je to metoda. u materijalnim nositeljima. Kroz ovaj seminar obra ene upravo navedene primjene.³ Ra unalna znanost je jako irok pojam. te esto podrazumijeva ispitivanje ra unalnih sustava kako bi se utvrdilo njihovo kori tenje u ilegalnim ili neautoriziranim aktivnostima poput kra e poslovnih tajni. situacija je daleko zamr enija. odnosno djelovanja same znanosti je u gotovo svakom kutu ljudskog stvarala tva. a nepa ljivo ili nestru no provo enje istrage tako er mo e rezultirati gubitkom klju nih podataka. Zbog takvih razloga je i ra unalna forenzika primjenjiva u gotovo svim oblicima ra unalne tehnike. ÄDead Body³ teoremu (ÄIt's not going anywhere!³). Samo za utvr ivanje prisutnosti dokaza potrebno je provesti sveobuhvatnu analizu sustava. spa avanju podataka i mnogim drugim. Digitalni dokazi su ujedno i mnogo ranjiviji od fizi kih pa je vje tom napada u puno lak e ukloniti tragove svoga djelovanja. sinteze. za koje se ka e da se pokoravaju tzv. uni tavanja intelektualnog vlasni tva ili prijevare. Postupci RFA u mnogo emu se razlikuju od postupaka klasi ne forenzi ke analize. 2 . Kod klasi ne istrage dovoljno je osigurati mjesto zlo ina kako bi se za titili dokazi. prikupljanje. primjerice prekrivanjem otisaka obu e na tlu u slu aju ki e. ak i kada su dokazi na neki na in ugro eni. povijesnu metodu. te metodu apstrakcije. jer na ra unalu nema rupa od metaka ili mrlja krvi koje bi ukazale na zlo in. Ona u svojem prvom koraku uzima u obzir metodu promatranja. odnosno dola enja do injenica putem jednostavnim okulatornih pregleda i bilje enja promatranog. odnosno korake i cjelokupan scenarij dola enja do odre enih zaklju aka. mogu e ih je za tititi brzo i bez posebnih znanja. Forenzika ima svoje metode.Prema CarNet-u i LS & S-u ra unalna forenzika definirana je na sljede i na in: ÄRa unalna forenzi ka analiza (RFA) je postupak utvr ivanja injenica nad digitalnim medijima primjenom razli itih metoda. Naj e e se koristi u postupcima sudskog dokazivanja. Kod RFA. a sastoji se od niza analiti kih metoda za otkrivanje. moramo primijetiti. Forenzika koristi i metode analize.

be i ne komunikacije ili medija za pohranu podataka. naj e e kriminalne prirode. obuhva a znanstvene postupke kojima se istra uju doga aji. disketi. sabota a ili sli no) ili nenamjerno (neznanje ili nepa nja osoblja).. i nakon prestanka napajanja ra unala. Privremena memorija je memorija koja postoji samo kratki dio vremena i nestaje dok se ra unalo ugasi.. -u. Trajni podaci mogu biti ne samo na tvrdom disku.2. Forenzika (ra unalna forenzika) Forenzika. analiziraju i prezentiraju podaci sudovima. vatre. To su trajni i privremeni podaci. potresa. Trajni podaci su oni koji su zapisani na mediju. slu ajno obrisani podaci. Problemi koji se mogu dogoditi unutar samog operacijskog sustava su: virusi. Podatke koji se skupljaju u ra unalnoj forenzici mo emo podijeliti u dvije skupine. tj. Forenzika je proces kojime se znanstvenim metodama skupljaju. U ljudske imbenike ubrajamo svako ono ljudsko pona anje koje je uzrokovalo tetu. uvanje takve memorije nije unaprijed tehnolo ki odre eno i svaki bi administrator trebao u sustavu 3 . mre a. prirodnih uzroka.. Uzroci potrebe za ra unalnom forenzikom mogu biti mnogostruki. Forenzika ra unala je nova disciplina koja je mje avina zakonskih odredaba i ra unalne znanosti kojom se skuplja i prou ava sve to se skupi u vidu podataka iz ra unalnih sustava. op enito. zakonski se procesira. Organizacijski problemi su tehni ke nadogradnje software-a ili hardware-a. prestanak rada diska. ve poznavanje ra unalne forenzike omogu ava i da uspje no prilagodimo informacijski sustav da bude spreman pohranjivati va ne podatke koji e nam dati do znanja tko se je kada ulogirao na sustav i sli ne podatke koji bi nam mogli biti od zna aja dok smo u pravnom sporu oko ne eljenog incidenta koji je pogodio dano poduze e. djelovanje nezadovoljnog zaposlenog. To su memorije koje se nalaze u chache registrima ili RAM-u. dvd-ima. ne eljene promjene na podacima (overwrite). organizacijskih problema. ve i na flash memoriji sticka. se ne gube. od ljudskog imbenika. a mo e se koristiti kao dokaz na sudu. naj e e tvrdom disku. ra unalni kriminal mo e varirati od neovla tenog upada u sustav do dje je pornografije.. Prirodni imbenici koji povisuju potrebu za forenzikom su tete koje nastaju zbog uni tavanja medija ili sustava prilikom poplava. Pravni razlozi za zakonsko gonjenje tj. njegovim ga enjem. fizi kog o te enja. do problema sa operacijskim sustavom. cdima. Znati ra unalnu forenziku nije samo bitno zbog skupljanja podataka nakon to se je dogodio odre eni incident koji se zastupa na sudu tj. a mo e biti namjerno (u vidu ucjene ili iznu ivanja novaca.

ako se time kr i privatnost osoblja. Privatni podaci osoblja se ne bi smjeli uzimati ili pohranjivati. Pri pode avanju sustava kako bi se mnogi va ni podaci zapisali i mogli iskoristiti kasnije u slu aju potrebe treba imati u vidu i zakonske odredbe kako ne bi bilo kolizija. dokumentirati ra unalne dokaze. tada se obavljaju neke zada e (procesi) unutar sustava. U bilo kojem od postupaka potrebno je prepoznati. o uvati i. prema stanju sustava koji se analizira. koriste irok spektar metoda kako bi otkrili izbrisane. Najbolja primjena forenzi kog znanja je u vidu prevencije pada sustava ili njegove dugotrajne nedostupnosti. Forenzika se sastoji od vra anja podataka. ne smije zapisivati jer spadaju u privatne podatke koji su za ti eni. Vra anje podataka je drugi vid ra unalne forenzike. 4 . postavljanje programa za nadzor aktivnosti na ra unalu ne bi smio diskriminirati pojedince ili zadirati u njihovu intimu. Forenzika ne slu i samo da bismo skupili dokaze protiv pojedinca ili organizacije koja je izvr ila neku nedozvoljenu akciju ve i kako bismo imali podatke o okolnostima pod kojima je sustav pao (ne nu no vanjskim djelovanjem s namjerom njegova ru enja) kako bismo mogli popraviti i pobolj ati sustav. a izdvajanje i identifikacija predstavljaju prikupljanje dokaza iz kompromitiranog sustava koji promatramo. 2. S obzirom na postupke forenzi ke analize dijelimo.organizirati uvanje takvih podataka u obliku koji je vjerodostojan na sudu. Ra unalna forenzika je bitni dio svakog sigurnosnog plana poduze a. n e e aj administratori sustava. tra enja uzroka i dono enje valjanih dokaza. Ra unalni forenzi ari. kriptirane ili o te ene podatke s medija. Mogu se dogoditi propusti administratora u vidu da e se pamtiti podaci koje on. isto tako. mo da najbitnije. Tako privremena memorija postaje trajna. po zakonu. U uklju enom stanju sustava forenzi ku analizu zovemo live. Poznavanje zakona sredine u kojoj se djeluje je preduvjet postavljanju sustava ra unalne forenzike kako bi se osigurao sustav u slu aju pada. izdvojiti. na sustav koji je uklju en i sustav koji je isklju en. a u isklju enom stanju se obavlja post-mortem analiza.1 Forenzi ke metode i procedure Postoji vi e vrsta metoda i procedura forenzi ke analize.

Prvo to trebamo u initi kako bismo uop e po eli prikupljati podatke je to koje emo podatke skupljati i koje je njihovo mjesto pohrane jer se kod live analize sustava podaci ne smiju spremati lokalno na sustav koji se analizira zbog mogu nosti da izgubimo va ne dokaze te se takvi podaci moraju spremati na specifi ne. programi moraju biti stati ki vezani. spremnike podatka ili ih se treba dostavljati na neko drugo ra unalo koje je ujedno i u slu bi forenzi kog sustava kao pohrana i analiza prikupljenih podataka. Alati koji e se odabrati za potrebnu analizu uklju enog sustava moraju biti nezavisni programi koji se e izvoditi u ljusci samog operacijskog sustava zbog toga to su programi sadr ani u kompromitiranom sustavu nepouzdani te se ne mogu koristiti za analizu zbog estih slu ajeva da napada postavi u sustav kompromitirane programe s ciljem prikrivanja dokaza o njegovom napadu. nad kojim se vr i forenzi ka obrada. popis otvorenih mre nih veza. popis procesa koji su aktivni u sustavu. otvorene mre ne veze i sadr aj privremene memorije (RAM). vremenske oznake datoteka te kazala datote nog sustava. To su na primjer: stanja procesa.Live analiza sustava se odnosi na analizu uklju enog sustava i specifi na je po tome to neki dokazi se mogu prona i samo kada je sustav uklju en. Live analiza sustava je vrlo delikatan posao jer se sve radnje obavljaju dok je sustav uklju en i mo e se dogoditi da nehotice poremetimo rad samog sustava. 5 . popis svih otvorenih procesa sa datotekama koje koriste. a koje emo alate koristiti zavisi o tome o kojem se operacijskom sustavu radi tj. isklju iti sustav i analizirati napade jer se npr. Ponekad je veoma te ko. tada se ti dokazi gube. Popis svih onih sustava koji su na bilo koji na in bili povezani sa sustavom na koji je izvr en napad. Zbog tog razloga je potrebno broj radnji kojima emo vr iti analizu sustava svesti na minimum. zapisi u RAM memoriji. ali ipak treba se provesti dovoljno operacija kako bi se analizom do lo do konkretnih i valjanih podataka. Prikupljanje dokaza da se je dogodio napad na sustav. unaprijed pripremljene. iz raznih razloga. Savjet je da alati budu postavljeni na prijenosne medije kako bi se koristili pri analizi sustava. ustanovljavanje raspona napada i odluka o tome da li je potrebno napraviti analizu isklju enog sustava le i na na osobi koja obavlja ra unalnu forenziku. a s time i na in na koji e se prikupljeni podaci spremiti. Ujedno. Podaci koji se skupljaju su: datum i vrijeme sustava. Po to je sustav u live stanju veoma osjetljiv potrebno je prilagoditi i alate koji e se koristiti za analizu. sustav ne smije isklju iti zbog toga to on obavlja va nu funkciju i njegovo ga enje bi uzrokovalo tete (naj e e nov ane). Ako se sustav ugasi. to nije ne smiju biti vezani za kori tenje biblioteka napadnutog sustava jer e i one tada biti kompromitirane kao i ostatak napadnutog sustava.

Jedan od najsigurnijih na ina za mre ni prijenos podataka je da se kompromitirani sustav izravno pove e sa forenzi kim to osigurava siguran prijenos podataka. Postupak spa avanja podatka ne bi smio ugroziti konzistentnost analize sustava. Oni koji imaju kra i ivotni vijek e prije nestati iz sustava te je bitno skupiti one podatke koji imaju najkra i ivotni vijek to prije. mo e se re i da je to odli no rje enje. rje enje koje zahtijeva samo da se pripremi vi e razli itih spremnika iji kapacitet zadovoljava sve zahtjeve sustava. a ukoliko utvrdimo da je mre a nepovjerljiva potrebno je za tititi podatke koji se prenose dodatnim metodama kriptiranja. spa avaju i podatke mo emo promijeniti podatke na drugom dijelu sustava. Dobar izbor bi bio i prijenos podataka preko mre e na udaljeno ra unalo koje smo pripremili u svrhu spremanja podataka. DVD) 10-3sekundi sekunde minute godine Kada promatramo prikupljanje podataka odre eno prema ivotnom vijeku svakog pojedinog podatka mo emo uo iti kojim se redom moraju podaci spa avati od uni tenja. a mogu e 6 . a bitni su zbog toga to su mo da upravo ti podaci klju ni dokaz. Tip podataka ivotni vijek registri. a zbog velike dostupnosti prijenosnih ra unala koja se mogu podesiti na im zahtjevima u vidu operacijskog sustava i forenzi kih alata to je svakako isplativo rje enje za uspostavljanje forenzi kog sustava. na drugoj strani potrebno je dekriptirati. (tablica preuzeta iz: Horvat A. str 6). Podaci bi se lako mogli presresti i promijeniti ukoliko ne budemo oprezni.Jo jedan va ni imbenik pri live analizi sustava je ivotni vijek koji imaju odre eni podaci. ne smijemo zanemariti sigurnosti i povjerljivosti mre e kojom se podaci prenose. Skupljaju i tj. U tablici vidimo korelaciju tipa podataka sa ivotnim vijekom koji imaju. radna memorija stanje mre nih veza stanje aktivnih procesa tvrdi disk prijenosni mediji (CD-ROM. ± ÄForenzi ka analiza ra unalnog sustava³ . Premda je prijenos podataka na fizi ki dislocirano ra unalo preko mre e (ili interneta) odli no rje enje. vanjska 10-9sekundi memorija. priru na memorija. to se ti e pohrane raznovrsnih podataka na materijalne nositelje. Kriptirane podatke koji se alju na forenzi ki sustav.

Integritet mo emo osigurati i prije nego aljemo podatke da bi se kod primitka utvrdilo da li je do lo do bilo kakvih promjena tijekom slanja. a to su naj e e tvrdi diskovi na kojima su svi potrebni podaci zapisani. napadnuti sustav isklju imo i onda se osigurava forenzi ka kopija spremnima podataka u pojedinom sustavu. To su na elo autenti nosti (podatak mora biti vjerodostojan). zna i da ti alati moraju davati isklju ivo ispravne rezultate jer u protivnom analiza nije valjana i nema smisla uop e je provoditi. Uz pa nju treba uzeti i privatnost podataka i za titi ih od neovla tenog pristupa. To su pravna na ela kojih se moramo dr ati kako bi imali dokaze na sudovima koje e taj sud prihvatiti kao vjerodostojne. Rezultati dobiveni kori tenjem skripti mogu se preusmjeriti na ulaz raznih alata za provedbu live analize kako to ne bismo morali pojedina no raditi.ih je slati kori tenjem sigurnog ssh tunela ili kori tenjem razli itih alata koji omogu uju takvu komunikaciju te kriptiraju sav promet. ponovljive i moraju umanjiti utjecaj dono enja odluka na provedbu istih. Live analiza je veoma zahtjevan proces koji podrazumijeva i veliku preciznost u skupljanju podataka s ciljem smanjenja mogu ih pogre aka i utjecaja analize na sustav. na elo potpunosti (ne smije biti djelomi nih podataka). kako bi se osigurali od naknadnih izmjena. a smanjuje se utjecaj pogre aka te pove anje brzine mogu e je posti i testiranjem skripte prije kori tenja. a standardni alati koji se koriste kod toga su alati za izradu sa etaka kao to su MD5 i SHA1. Kako bismo zadovoljili zahtjeve koje smo si postavili za live analizu sustava naj e e se pi u skripte s naredbama za izvo enje koje omogu uju da se automatizirano izvodi ve i broj naredbi. detaljno razra ene. Kod skupljanja dokaza forenzi kim alatima moramo paziti da i odre ena na ela budu zadovoljena. Prilikom pojedina nih live analiza sustava uzimamo na po etku i na kraju analize datum i vrijeme sustava koji je bio napadnut te se smje ta analiza u vremenski okvir. Kako bismo bili sigurni u analizu potrebno je imati i povjerljivu ljusku operacijskog sustava u kojem se analiza obavlja kako se ne bi ispostavilo da je napada kompromitirao i ljusku te je tako u inio da su analize i alati koji bi dali rezultata u forenzi koj analizi sigurni. nedvosmislene. Drugi oblik analize sustava je post mortem analiza. Najsigurnijim ljuskama se smatraju Linux bash i Windows cmd. na elo pouzdanosti (dokazi se moraju dobiti uvijek na isti na in) i na elo razumljivosti (prezentacija podataka u razumljivom i prihva enom obliku). Procedure koje se koriste u live analizi sustava moraju biti automatizirane. To je analiza ''nakon smrti'' tj. Kada odabiremo alate za provo enje forenzi kih analiza moramo paziti kako bi to bili alati u koje postoji visoko povjerenje. Nakon to smo prikupili podatke va no je o uvati njihov pojedina ni integritet. Post mortem 7 .

nakon stvaranja kopije se priklju uju na forenzi ki sustav koji podr ava odre eni tip datote nog sustava. Svi podaci se kopiraju na razini jednog pojedinog bita. Tako su i oni podaci koji ina e u sustavu ne bi bili vidljivi (kao to su obrisane datoteke) sa uvani i u kopiji. a do njegova ga enja mo e do i i fizi kim odvajanjem od izvora napajanja. kapaciteta. Ti kriteriji su omogu avanje oporavka od pogre aka koje su nastale prilikom itanja podataka. kako je do napada do lo i kako bi se moglo napad ubudu e sprije iti. Ako je analiza particija uspje na. Pod rekonstrukcijom originalnog okru enja rada sustava mislimo na to da se prona u odgovaraju i spremnici podataka (mediji za pohranu) koji po kapacitetu trebaju biti jednakim originalnim ili ak ne to ve i. dakle istog proizvo a a. brzine okretaja u sekundi te moraju biti prazni u potpunosti kako prije zapisano na disku ne bi omelo analizu podataka ija se kopija izra uje. Treba naglasiti da se analiza ne provodi nikad nad originalom ve se provodi nad originalnim podacima na fizi ki identi noj kopiji koju nazivamo radna kopija. Nakon toga emo provesti analizu svake pojedine particije forenzi ke kopije.Tako se dokazi tite od uni tenja na originalnom sustavu. slijede i korak je analiza datote nog sustava koja se mo e podijeliti u korake kao to su oporavak obrisanih datoteka. Forenzi ka kopija koju u inimo od tvrdog diska je fizi ka kopija spremnika podataka. 2.2 Forenzi ka analiza Prikupljeni podaci s kompromitiranog sustava se moraju analizirati kako bismo saznali informacije od va nosti za otkrivanje stanja napadnutog sustava.analiza se mo e provesti samo nakon to je sustav isklju en. ne smiju se mijenjati originalne datoteke i mora biti u mogu nosti zadovoljiti mogu a ispitivanja dobivenih rezultata od tre e strane. ponovno stvaranje sadr aja 8 . te mora zadovoljiti odre ene kriterije. Analiza se vr i za svaku particiju posebno i problem bi mogao nastati ako su particijske tablice uni tene. prvo je potrebno odabrati pravi alat. Kada izra ujemo forenzi ke kopije. Kada upotrebljavamo vi e spremnika trebamo biti pa ljivi da su svi istih karakteristika. koji mora imati omogu avati kopiranja svakog pojedinog bita s originalnog spremnika podataka. ako druge metode nisu omogu ene. a na kojemu e se analiza provesti. Poznavati operacijski sustav koji je napadnut te znanje kako on funkcionira u svojim posebnostima bitno je za uspje no tuma enje informacija prikupljenih analizom podataka i njihovo razumijevanje.

Nabavka istih savjetuje se uglavnom u situacijama kada je potrebno do zadnjeg detalja odrediti detalje provale(ra unalni sustavi banaka. mogu i grupirati po odre enim karakteristikama. minimalni i napredni alati koji su obi no skupi i dosta specijalizirani. a neke od informacija koje bi se trebale dobiti od datoteke napadnutog sustava su apsolutna putanja datoteke. Datoteke se.). tako er. U vezi sa stvaranjem sadr aja datote nog sustava. krovnih dr avnih institucija i sl. postoji mogu nost pronalaska datoteka koje nisu vidljive na razini datote nog sustava. Vra anje izbrisanih datoteka jer esto odli an na in za pronala enje dokaza o napadu na sustav jer napada uvijek poku ava prikriti tragove svojeg napada brisanjem datoteka. to je veoma va no jer se informacije koje se dobiju koriste za rekonstrukciju doga aja na sustavu koji je bio napadnut te se stoga za svaku datoteku mora generirati to je ve i broj informacija. Ono to je bitno je da se datoteke koje se obrisu ne bri u odmah s diska ve se samo makne pokaziva na taj podatak. ime se olak ava pretra ivanje. 2. Postoje tzv. oporavak nealociranog. no veliku. Sa etak datoteke omogu uje da se izdvoje datoteke koje emo dodatno analizirati te se tako mogu odrediti va nije datoteke nakon ega emo se usredoto iti na njih to e skratiti vrijeme analize sustava. kada je datoteka bila mijenjana a kada je bila stvorena. Kada bi radili neku podjelu tih alata tada bismo ih mogli podijeliti na programske 9 .3 Forenzi ki alati Osnovna za uspje nu forenziku je sama priprema.. sortiranje datoteka i petra ivanje njihovog sadr aja. pregled privremenih datoteka (cache memorija). informacije o veli ini datoteke.. a uspredba sa etaka datoteka napadnutog sustava mo e se provesti uz pomo javno dostupne baze sa etaka u kojoj su uvijek sadr ani sa etci poznatih datoteka kompromitiranih sustava. Podatak ne postoji vi e u operacijskom sustavu. pregled zapisa u operacijskom sustavu i sli no.datote nog sustava.. odnosno najve u pomo pru aju nam razli iti alati. slobodnog i mrtvog prostora. ijenica je da programi u svom radu skoro uvijek stvaraju privremene datoteke koje ostaju u sustavu i nakon prestanka rada programa pa te iste datoteke mogu pru iti va ne dokaze koje emo koristiti. Nakon to smo oporavili izbirsane datoteke i vratili ih. kao to je tip datoteke. vrijeme zadnjeg pristupa. ali je on jo uvijek realno zapisan na disku u obliku nula i jedinica dok god se ne prepi u novi bitovi preko njega.

Sklopovski alati su brojni i mo emo ih na i na stranici : http://www. da je najva niji alat zapravo na e znanje.³ Slika 1 "ledeni brijeg" Osim ra unalne forenzike postoje i mnoge druge vrste forenzika. stru nost osobe koja vr i forenzi ku analizu.(software) i sklopovske (hardware). Materijali s kojima forenzika raspola e mogu biti razli ite gra e. file slackovima. obrisanim particijama diska. da mi ovdje govorimo o ra unalnoj forenzici dokazi s kojim ona raspola e su zapravo digitalni dokazi.forensix. obrisanim mailovima i na svim sli nim mjestima koja su nevidljiva takvim alatima. Alati bazirani na sklopovima postoje u brojnim izvedbama. iako mo emo na i i druge vrste dokaza. dok se velika ve ina digitalnih dokaza nalazi skrivena u razli itim privremenim datotekama. swap datotekama. Svaka digitalna struktura podataka je zapravo niz bitova i bajtova koje mo emo prikazati u sljede oj tablici: Slika 2 Digitalni dokazi 10 . Budu i. Zaklju ak bi ipak bio. tj. ali su iskupi i naj e e usko specijalizirani te se zbog toga preporu a kori tenje samo komercijalnim ustanovama. Pravi razlog kori tenja forenzi kih alata je primjena tzv. principa "ledenog brijega": Äsamo mali dio digitalnih dokaza je mogu e otkriti pomo u alata operacijskog sustava.org/tools/.

specijalizirani alati koji dizajnirani da budu prenosivi putem usb-stick memorija i na taj na in pru aju mogu nost forenzi ke obrade na mjestu nastanka kriminala. Kroz svaki dio ovog seminara bit e obra eni alati za odre ena podru ja o kojima e se biti opisan njihov rad.Kao to je ranije re eno. BackTrack itd.E.R. . 11 .I. Kao primjere alata ko nastoje biti univerzalni na ovome ji podru ju mo emo navesti F. no u protivnome postoje i mali tzv. Va no je spomenuti da svi ti alati su ve inom gra eni na linux jezgri i dolaze kao live-cd. postoje razli iti univerzalni alati koji pokrivaju gotovo cijelo podru je forenzike ra unalnih sustava. a na kraju e biti obra en jedan primjer u praksi.

ali i sami mogu biti predmet analize. mo e se odrediti vrijednost svakog zapisanog bita). Koriste se najvi e CD-i. a u kona nici. Na materijalne nositelje se upisuju podaci iz sustava koji je bio kompromitiran kako bi se bez utjecanja na rad sustava mogle obaviti analize napada na sustav. Pod materijalne nositelje ubrajamo papir (dokumenti koji su pisani na papiru). Cd-i. Materijalni nositelji (op enito) Materijalni nositelji su svi oni fizi ki. Ako je CD ili disk o te en morat emo fizi ki vr iti analizu zapisa na mediju. To se obavlja tehni kim putem tako to se na razne na ine prou ava gdje je bila zapisana jedinica i nula ( tj. na inu magnetskog zapisa koji e nam re i koji bit je zapisan i koliko puta na odre enom. analogni ili digitalni. diskete. Materijalni nositelji se mogu prou avati kao sadr aj koji je na njima. spremnici podataka nekog pojedinog ili od vi e sustava zajedno.3. 12 . DVD-i i drugi prenosivi materijalni mediji. i sudskih dokaza za napad na sustav. jednom mjestu. DVD-i i prijenosni diskovi kao spremi te podataka. Naj e e analize te vrste uklju uju sofisticiranu opremu koja mo e mjeriti magnetske zapise tj. Ra unalnoj forenzici su bitni samo digitalni materijalni nositelji jer su oni direktno vezani za rad i analizu rada ra unalnog sustava.

4. tete u injeno. nakon to su se dogodili. Glavni princip rada mre ne forenzike je taj da se podaci skupe (obi no preko paketa) i onda se radi post analiza da bi se rekonstruirao sadr aj ili shvatilo za to su se odre ene stvari dogodile. Naravno. Tako se tako er mo e vidjeti i da li Sustavi za sprije avanje provala (Intrusion prevention systems ± IPS) rade dobro. Postavlje se pitanje da li mre na forenzika mo e unaprijed predvidjeti neobi na pona anja bazirana na karakteristikama nepravilne aktivnosti. Ina e bi toliko koli ina prometa trebala biti sumnjiva. Dakle. 100%-tno iskori tenje mre e ne mora nu no biti lo a stvar i ne treba uvijek slati SNMP poruku sustavu i uklju ivati alarme po cijelom prostoru. To su stvari koje su nepredvidljive i odstupaju od osnovnih odrednica. napada na sigurnost i ostalih sli nih incidenata na na oj mre i. y y Dakle mre nom analizom elimo dokumentirati takve incidente za analizu i rekreiranje doga aja. ili s druge strane ako jedna osoba ima cijeli bandwidth dok nikoga drugoga nema. Time mo emo shva ati forenziku kao detaljizirano prepoznavanje mogu nosti. Mre na forenzika se mo e primijeniti na vi e na ina. To se naj e e posti e snimanjem ili hvatanjem paketa dug oro no sa klju nih to aka na e infrastrukture (kao to je jezgra ili vatrozid) i onda rudarenjem podataka za analizu i rekreiranje sadr aja. tko je hakirao? Preko Sustava za otkrivanje provala (Intrusion detection systems ± IDS) se mo e vidjeti da li je. nasuprot Äuvre avanja i ozna avanja³ prave scene zlo ina. Npr. ali mo da je to samo rutinski back-up ili neka zakrpa za operacijski sustav. Uvod u mre nu forenziku Forenzika mre nog prometa uklju uje snimanje i analizu mre nih doga aja kako bi zaklju ili prirodu i izvor informacijske zloupotrebe. ili ako je mre a pru ala slabe performanse u odre enom trenutku Hakiranje ± to je hakirano. ali kratki bljeskovi 13 . nije po eljno ni da jedan korisnik ili aplikacija koristi cijeli bandwidth na du e vrijeme. i koliko. netko po alje povjerljive financijske podatke u nekriptiranom email-u Otkrivanje gre aka ± u slu aju da se mre a sru i. Ovdje su nabrojani neki primjeri: y Nepo tovanje odredaba (npr. kako. doga aja i sl. ako neki korisnik napravi 2 GB prijenosa podataka petkom poslijepodne. Ili ako je iskori tenje WAN-a 100% tijekom nekog vremena potrebno ispitivati ako svi imaju dovoljno dobar pristup.

Dijagram procesa mre ne forenzike 1 Na slici mo emo vidjeti dijagram cjelokupnog op enitog procesa mre ne forenzike. 1 uvanje dokaza.cs.2009.11.100%-tnog iskori tenja ak mogu biti dobra stvar.pdf>. ali ih za tititi kako bi mogli dokazati < http://digital. Glavno je oti i na.edu/~erbacher/publications/NetworkForensicProcesses. Zapravo. po tuju i lanac nadzora i procedura za da su nekompromitirani. te nam alati moraju pomo i u odlukama kod nastalih situacija. Slika 1 . To je to se ti e op enito nekih stvari vezano za rad na mre ama i mre ni promet. Cilj je ne raditi ni ta na originalnim podacima. i si i sa mre e to je br e mogu e. odnosno prikaz podataka. Od klju ne je va nosti petlja vezana za vizualizaciju. ako nijedna aplikacija ne mo e iskoristiti 100% voda. To mo emo napraviti enkripcijom ili pravljenjem kopije cijelog diska i spremanjem njega na odre eno mjesto. 14 . Po injemo sa jednim velikim skupom ''sirovih'' podataka vezanih za odre eni napad ili nepo eljan doga aj. onda bi mo da trebali optimizirati stvari. u itano 15.usu. Da li nam je potrebno 100%-tno kopiranje diska velikog kapaciteta? Koje dijelove mre e trebamo snimati? Koliko dugo moramo uvati podatke? Da li vi e elimo da forenzi ko rudarenje podataka i naknadne analize budu na udaljenim ma inama ili na lokalnim ma inama? Takva i druga sli na pitanja se postavljaju prilikom uspostave dijela sigurnosne politike vezanog za mre ni promet. Taj skup podataka mora biti za ti en kako bi se osigurala ispravnost i verifikacija. To zna i da moramo biti u stanju dokazati da podaci nisu bili mijenjani otkad smo ih prikupili. Tako er je vrlo va an i dio uskla ivanja podataka sa zakonskim odredbama. Forenzi ki alati trebaju pru iti fleksibilnost u spajanju analize u stvarnom vremenu sa naknadnom forenzikom.

15 .hr/ostalo/2007_horvat/Forenzika. Studija je istra ivala ''psiholo ke. Unutra nja sigurnost Istra ivanje svjetski poznatog Carnegie Mellon Computer Emergency Response Team (CERT) je izdalo asopis pod naslovom ''Uspore ivanje unutra nje IT sabota e i pijuna e: Analiza bazirana na modelu''. Veli ina datoteka je tako er bitna. organizacijske i konktekstualne faktore'' koji su pridonosili pijuna i i sabotiranju IT-a. tehni ke. Zbog toga se mora odrediti vremenski raspon koji ostaje zabilje en. ili za on-line rad IBID y y y y 5. Njihovo istra ivanje je dovelo do sljede ih klju nih to aka: y y Saboteri su imali osobnih problema izvan radnog mjesta Stresni elementi kao to je organizacijsko restrukturiranje je pove alo mogu nost malicioznog djelovanja Lo a radna etika je esto uzimana u obzir prije i za vrijeme sabota e pijuni imaju tendenciju uspostavljanja stvari da budu kako treba. moramo zapamtiti da to vi e idemu u dubinu to vi e optere ujemo i procesore.zemris.11.2009. npr.fer. To pra enje mo emo podijeliti na tri dijela: y y y pra enje predefiniranih doga aja (event monitoring) pra enje zaglavlja mre ne komunikacije (trap and trace) pra enje cijelog prometa mre ne komunikacije (full-content monitoring)2 Kod pra enja mre nog prometa va no je odrediti koje to no podatke elimo bilje iti i to ne smiju biti samo paketi i broj prenesenih bajtova.htm>. Preporu a se dr ati ih do 512 Kbytes ili manje jer ako su 2 < http://os2. u itano 15.5. Isto tako. bilo za fizi ke lokacije. Zatim moramo paziti i na stvari kao to je ispunjeni hard disk. sekundarni accounti Organizacije nisu uspjele ili su ignorirale pravila sigurnosne politike kao to su zabranjeni download Nedostatak kontrole pristupa.1 Prikupljanje podataka Mre ni dokazi predstavljaju rezultat pra enja mre ne komunikacije.

Packet Forensics. Niksun. IBID 3 < http://www.2009. 16 . Slika 2 ± Primjer prikupljenih podataka i njegovog sadr aja3 Postoji mnogo alata koji zadovoljavaju ranije spomenute zahtjeve. Takvi alati se nazivaju alati za analizu mre ne forenzike (Network forensics analysis tool ± NFAT). Kod rudarenja podataka se mo e koristiti filter (fizi ka ili IP adresa) ili protokol (npr.bitcricket. VOIP razgovor i tako dalje) iz niza paketa. Nakon to su podaci sakupljeni.11.pdf>. Solera Networks. bilo bi lijepo rekreirati originalni pogled na sadr aj (bilo da je to e-mail i njegovi prilozi. Network General (NetScout). WildPackets i tako dalje.prevelike itanje iz njih traje predugo. Sa ve im brojem manjih datoteka to ide puno lak e. upit i rezultat na bazu podataka. HTTP). web stranica. Neki od trenutno poznatih proizvo a a su sljede i: Network Instruments.com/downl oads/Network%20Forensics. u itano 15. video.

konkurenata itd. Ali relativno lako je mogu e zaobi i firewall. adresa ili broja porta. zakon regulira na koji se na in mora provoditi nadziranje toka podataka. integritet podataka i frekvencija hvatanja podataka su glavne stvari na koje treba obra ati pozornost kod stavljanja NFAT-a na mre u. Relativno velik opseg temeljne mre e ote ava hvatanje i arhiviranje prometa dovoljno dugo da bi se analiziralo doga aje. Nakon to smo odabrali promet od interesa za na u organizaciju mo emo postaviti NFAT da prikuplja relevantne pakete. je najbolje pratiti iznutra. Firewall dopu ta ili zabranjuje promet prema ili sa odre enih mre a. Interakcije izme u zaposlenika i klijenata. Ve ina organizacija je vi e zabrinuta za promet koji ulazi i izlazi iz organizacije nego s onim koji se upotrebljava unutar LAN-a. NFAT tako sura uje sa IDS-ovima i firewallovima na 2 na ina: dugoro no uva zabilje ene podatke o mre nom prometu i omogu uje brzu analizu doga aja koje su prethodna 2 alata identificirala. NFAT alati rade u sinergiji sa firewallom i sustavima za detekciju provale (Intrusion ± detection systems ± IDSs). ali te ko je odrediti sve mogu e vrste provala koje bi se mogle dogoditi. analiza mre nog prometa nam mo e pomo i i s drugih aspekata.2 Na in rada alata za mre nu forenziku Glavna motivacija mre ne forenzike je sve ve a briga za sigurnost od strane IT industrije. ili one koje uklju uju taj klju . Dobar alat koji e analizirati cjelokupan zapis mre nog prometa pru a kontekst za druge sli ne propuste. ili dana. Prije nego to ga postavimo na mre u moramo razumjeti mre nu arhitekturu. a uobi ajene metode backupa ne uspiju.5. po eljno je da ispregledamo sve povezane aktivnosti tog korisnika. Na primjer. Na primjer. ako na a analiza otkrije da je lozinka na nekom accountu kompromitirana. me utim forenzi ko snimanje mre nog prometa je dobar prvi korak. Prije svega. Osim zakonske obveze. U nekim gospodarskim granama. partnera. poruke mo emo vratiti preko snimanog prometa. Vrlo esto je te ko uravnote iti stvari koje zakon nala e s onima koje su tehni ki izvedive. Na primjer ako nam mail server izgubi poruke u rasponu nekoliko sati. NFAT e sku iti da se ne to doga a na portu 23 i mo i emo to sprije iti na vrijeme. Va nost prometa. a sigurnosne propuste i konfiguracijske probleme jednostavno otkloniti. IDS-ovi otkrivaju aktivnosti koje su definirane kao zlonamjerne ili nepo eljne. Mre u koja je pripremljena za forenzi ku analizu je lako nadzirati. Yahoo Messenger e se prebaciti na port 23 ako je njegov defaultni port (5050) blokiran. pitamo se koji promet je nama od interesa. 17 .

Dakle. pregled samo onog to mi elimo implicira da vi e ne vidimo irelevantne i nepo eljne stvari. A najkriti niji je kapacitet skladi ta podataka. mora omogu iti jednostavan pristup bilo kojem dijelu informacija.3 Analiza mre nog prometa Mre na forenzika je u stanju generirati ogromnu koli inu podataka. stoga dobar NFAT mora biti izrazito sposoban prislu kiva . 5. U tipi noj TCP sesiji. Snimanje paketa na disk zahtijeva sabirnicu i sustav skladi tenja koji mo e pratiti brzinu mre e. U svakom slu aju. prikaz mogu ih kriterija mora biti mogu e pretra iti po specifi nim vrijednostima. forenzi ki alat bi nam trebao dati pristup razli itim razinama perspektiva na podatke. Tada detalje i op eniti pregled dostupnih podataka mora biti mogu e lako pregledati na vi e na ina. Mo e analizirati jednostavne stvari (Kad je ra unalo A tra ilo od ra unala B a uriranje protokola to nog vremena?). oni e vjerojatno biti ponovo poslani. Ta fleksibilnost je izuzetno mo na i da bi NFAT bio koristan. 18 . ne bi trebali istovremeno gledati email-ove od nekih drugih korisnika. korisnik tra i nekakve anomalije. to se ti e integriteta podataka va no je znati da NFAT nikad ne bi smio sudjelovati u prometu kojega nadzire. neke slo enije (Kad je vrhunac zahtjeva i koji protokoli su u pitanju?) do onih nepoznatih (Koje implementacije RFC 868 ugro avaju objavljeni standard?). Izvo enje svih ovih zadataka tro i resurse. Dva glavna faktora u tome su sposobnost pretra ivanja i vidljivost. Jednom kad je korisnik odredio skup poveznica za pregledavanje. Dobar alat mora biti sposoban uhvatiti i spremiti sav promet sa potpuno zasi ene mre e za daljnu analizu. ali onda opet postoji opasnost da ne emo mo i dovoljno dobro napraviti analizu zbog nedostatka tih podataka. U nekim okolnostima NFAT mo e neke podatke filtrirati. ako jedna strana ne dobije sve pakete. Da bi pohvatali sve pakete ak i kad je mre a zasi ena trebamo dobro pode en alat i mre u. Vrlo esto korisnik otvori NFAT sustav sa specifi nim skupom kriterija na umu i eli efektivno odrediti koji promet odgovara njegovom upitu. Da bi to bilo mogu e. U nekom drugom slu aju. a to su stvari koje nemaju specifi nu vrijednost.Forenzi ki alati potencijalno mogu biti zainteresirani za sav promet koji prolazi mre om. NFAT alati nemaju tu mogu nost. ako elimo prou iti email-ove od odre enog korisnika. Stoga moramo pa ljivo odrediti koliko dugo emo uvati podatke.

detektor sniffera mo e slati podatke na prividnu IP adresu i onda bilje iti odgovore i pona anja. Ili mo e ak se okomiti na sam mre ni monitor.11. Sav smisao mre ne analize je svesti hrpu podataka na korisne informacije kako bi se to lak e rije ili problemi vezani za mre ni promet.5 Be i na forenzike prikuplja podatke koji obuhva aju podatkovni promet te. u itano 15. Nakon to napada osjeti mre ni monitor. Be i na forenzika. < http://datapodium. To se mo e rije iti tako da se skupljanje prometa izolira tj. Wireless forenzika Forenzika u be i nim mre ama (eng.sandstorm. wireless forenzics) grana je ra unalne forenzike. podaci se izdvajaju od ostalih prikupljenih podataka.11. prikuplja sve podatke vezane za promet na mre i samo to je taj promet ostvaren preko wirelessa. kao i obi na mre na forenzika otprilike. Iako je skupljanje mre nih podataka po definiciji pasivna operacija. snimke razgovora. Uz to.pdf>.net/support/netintercept/downloads/ni-ieee. a u svrhu kori tenja u sudskom postupku. koja predstavlja postupak utvr ivanja injenica primjenom odgovaraju ih metoda nad digitalnim medijima. Usput se mre ni monitori za tite i od ranjivosti svog protokola. o uvaju se i analiziraju.com/dokumenti/uploads/forenzika/Wireless_forenzika. kao to je enkripcija ili potajni napadi. Na primjer. slo enost be i nih tehnologija ote avaju osiguravanje tih mre a 4 5 < http://www.Postoje programi koji tra e mre ne monitore (sniffers). napadi na njih postaju sve e i.4 6. temeljenih na 802.³ To se najlak e napravi kroz namjensko su elje za bilje enje prometa. zbog sve e eg kori tenja VoIP (eng. u ini Ätihim na ici. te analizira iste podatke kako bi otkrila doga aje koji nisu u skladu s pravilima. te utvrdila posljedice napada na mre u i pojedina ra unala. Princip je isti kao i kod obi ne mre ne forenzike.2009. izvore napada.11 standardu. mogu e je da e poduzeti dodatne mjere opreza.2009. neobi nosti u nekim NT i Unix TCP hrpama ine ih da se pona aju druk ije dok su snifferi pokrenuti. u itano 15.pdf >. 19 . Na taj na in softver koji tra i prislu kiva e ne e na i ni ta. Zbog sve ve e popularnosti be i nih tehnologija. Voice-over-IP) tehnologija unutar be i nih mre a.

Pokazat emo Linux naredbu za pode avanje Atheros mre ne kartice za nadzor nekog kanala. Zbog toga se preporu a nadzirati sve raspolo ive kanale.11 a/b/g/n vi epojasnih mre nih kartica koje podr avaju tri najpopularnija standarda. mnoge zemlje imaju specifi ne propise prema kojima se koriste frekvencijski pojasi izvan FCC (eng. ne podr avaju zamjenjive antene. kompleksnost samog fizi kog medija i 802. Ali s druge strane.11a opremi koja radi na naj e e kori tenom UNII-1 (eng. Glavni tehnolo ki izazovi odnose se na karakteristike radiofrekvencijske komunikacije. Federal Communications Commission). jer ona radi samo na jednom kanalu. Unlicensed National Information Infrastructure) frekvencijskom pojasu. to je lo a karakteristika. To zna i da moramo imati jednak ili ve i broj radio ure aja od kori tenih kanala. npr. Ostaje nam samo namjestiti mre nu karticu ra unala s kojeg provodimo forenzi ku analizu na taj kanal. kartica sa sklopovljem (eng. Forenzi ki alati zbog toga koriste tehniku pretra ivanja cijelog frekvencijskog spektra od interesa te uzorkuju sve raspolo ive kanale (eng. Ako nadziremo jednu pristupnu to ku onda je problem rije en to se toga ti e. Naj e e be i na oprema mo e komunicirati samo na jednom kanalu jer sadr i samo jednu radijsku komponentu u odre enom trenutku. channel hopping). Propisima je u svakoj zemlji ograni en broj dozvoljenih 802.11 specifikacija. UNII ili ITU (eng.te provo enje istrage u slu aju kriminalne aktivnosti. podaci se na ovaj na in primaju samo nekoliko milisekundi.11 kanala (vidi tablicu) ali napada i esto zanemaruju ta ograni enja. Zbog toga se preporu a kori tenje 802. zbog zakonskih ograni enja u Sjedinjenim Dr avama. International Telecommunication Union) standarda pa je i to prilikom planiranja nadzora i analize potrebno uzeti u obzir. 20 . u ovom slu aju kanal 13: # iwconfig ath0 mode monitor channel 13 Ali kod ve ih be i nih mre a to ve postaje problem budu i da je potrebno sakupiti promet sa svih be i nih mre a na jednom podru ju to zna i da treba istovremeno nadzirati sve kanale.2 Komunikacijski medij Forenzi ki alat mora podr avati isti komunikacijski standard kao i mre a koju on nadzire. 6. Tako er. Glavni nedostatak takvih kartica je to to. chipset) tvrtke Atheros. Spomenuti zakon naime zabranjuje kori tenje zamjenjive antene na 802.

u itano 15. Multiple-Input Multiple-Output) 802. Tad se esto mijenja i kanal na kojem se komunikacija provodi.11 SAD EU razli ito za lanice Japan 4 14 14 maksimalni kanala 12 14 14 broj 802. Kad mre na kartica zaklju i da je signal trenutne pristupne to ke preslab za nastavak komunikacije klijent se automatski spaja na sljede u pristupnu to ku. Ina e ne e svi podaci biti prikupljeni ime se ugro ava integritet prikupljenih dokaza. 21 .11b 802. posebno one izme u kojih se doga a prijelaz.2009. Prilikom planiranja analize treba u obzir uzeti takva kr enja zakona te mogu nost pojave novih tehnologija.pdf >. 6. Konfiguracija be i ne mre e i polo aj klijenata unutar nje tako er utje u na mogu nost prikupljanja dokaza s odre ene lokacije jer je mogu e da klijent promjenom polo aja ode izvan dosega unutar kojeg forenzi ar mo e prikupljati podatke.11 kanala 6 Propisima je odre ena i maksimalna snaga oda iljanja.16. U mre ama koje imaju vi e pristupnih to aka to se rje ava na na in da se postavi vi e ure aja za snimanje prometa na razli itim polo ajima.802.11g 8 11 11 13 13 Tabela 1 . ali napada i kr e i ta ograni enja.11a 802. Kori tenjem tri ili vi e takvih ure aja mo e se odred iti pribli ni polo aj pojedinih klijenata postupkom triangulacije. To su stvari koje ote avaju provo enje forenzi ke analize mre nog prometa jer forenzi ki alat mora nadgledati sve raspolo ive kanale.11.11n i WiMAX (eng. Roaming je postupak koji omogu uje prijelaz s jedne pristupne to ke na sljede u najbli u tijekom slanja ili primanja podataka u ve im be i nim mre ama. u mW ili W. 6 < http://datapodium. kao to su MIMO (eng.3 Pokretljivost klijenata Glavna prednost be i nih mre a je mogu nost kretanja unutar mre e bez prekida veze na mre u. Worldwide Interoperability for Microwave Access) 802.Broj dozvoljenih 802.com/dokumenti/uploads/forenzika/Wireless_forenzika.

beacon) i to naj e e svakih est sekundi. To je veli ina podataka prije enkripcije. To zna i da e forenzi ar u be i noj mre i koja se sastoji od samo jedne pristupne to ke tijekom sat vremena prikupiti 600 ovakvih paketa. pristupne to ke oda ilju upravlja ke pakete namijenjene sinkronizaciji (eng.: ‡ WEP (eng.5Performanse ure aja za prikupljanje prometa S obzirom na karakteristike prometa moramo imati i adekvatno sklopovlje koje mo e prihvatiti maksimalnu teoretsku mogu u koli inu prometa. trailer) = 2312 + 30 + 4 = 2346 okteta.11 zaglavlje + zavr ni slog (eng. Treba uzeti u obzir i propusnost sabirnica koje povezuju be i ne mre ne kartice te propusnost su elja hard diskova kako ne bi do lo do zagu enja i samim time gubitka potencijalnih 22 . a kona na duljina paketa ovisi o kori tenom enkripcijskom protokolu. Opisanu i sli ne posebnosti be i nih mre a potrebno je uzeti u obzir prilikom planiranja forenzi kog postupka kako bi se osigurale zadovoljavaju e performanse i mogu nosti pohrane podataka. Wi-Fi Protected Access) protokol paketu dodaje zaglavlje veli ine 20 okteta ‡ zaglavlje WPA2 protokola dugo je 16 okteta. 802. uz kori tenje WEP enkripcije maksimalna ukupna veli ina paketa je: duljina podatkovnog polja + 802. Na primjer. Maximum Transmission Unit) veli ina podatkovnog polja paketa prema 802.11 specifikacijama je 2304 okteta. Wireless Encryption Protocol) protokol paketu dodaje zaglavlje veli ine 8 okteta ‡ WPA (eng.11 specifikacijama na jednom kanalu mogu a brzina prijenosa je 54 Mbps pa je stoga maksimalna koli ina prometa u jedinici vremena na 14 kanala jednaka 756 Mbps. MTU (eng.11 specifikacija definira tri tipa mre nih paketa: kontrolne. 6.6. upravlja ke i podatkovne pakete.4 Karakteristike prometa Sljede e to se mora uzeti u obzir kod prikupljanja paketa iz be i ne mre e jesu karakteristike prometa. Na primjer. Prema 802. na primjer veli ina podatkovnih paketa i zahtjevi na propusnost veze. npr.

dokaznih materijala. Kao i kod obi ne mre ne forenzike treba osigurati dostatne kapacitete za pohranu velikih koli ina podataka. Content Addressable Memory) tablice te podaci koje skuplja be i ni IDS (eng. Trenutno postoji nekoliko komercijalnih ure aja oblikovanih posebno za zahtjeve forenzi ke analize be i nih mre a. ‡ Kori tenje GPS (eng. Address Resolution Protocol) i CAM (eng.2009.1 Zahtjevi i preporuke Ovdje su navedeni neke osnovne procedure koje se preporu a koristiti zajedno sa odgovaraju im alatima: ‡ Da bi se moglo istovremeno nadzirati svih 14 802. Forenzi ki alati i postupci Nakon prikupljanja podataka iz be i ne mre e potrebno ih je analizirati kako bi se potencijalni dokazi odvojili od uobi ajenog prometa. ukoliko je na forenzi ki postupak postavljen zahtjev potvr ivanja mjesta i vremena prikupljanja dokaza. Pri tome je potrebno u dnevni ke zapise bilje iti intervale sinkronizacije ure aja s GPS satelitima kako bi bilo mogu e dokazati da su njegova o itanja to na. log) pristupnih to aka i drugih mre nih ure aja. Pored ovih podataka u forenzi koj analizi mogu se koristiti dnevni ki zapisi (eng. da ne oda iljati pakete. monitor mode). ARP (eng. Intrusion Detection System) sustav za otkrivanje neovla tenih pristupa. u itano 15. Primjeri tih ure aja su Janus Project i WLAN-14. ‡ Forenzi ki alat bi trebao biti potpuno pasivan.11.com/dokumenti/uploads/forenzika/Wireless_forenzika.7 7. tj. 7 < http://datapodium.pdf >. To se posti e na sklopovskoj razini kori tenjem prigu nika ili jednosmjernih poja ala te na programskoj razini postavljanjem mre ne kartice u nadzorni na in rada (eng. timestamp) te utvr ivanje polo aja na otvorenom. Global Positioning System) navigacijskog sustava omogu uje stvaranje preciznih vremenskih oznaka (eng. bez filtriranja. ‡ Radi pobolj anja osjetljivosti prijemnika koristiti ure aje na koje je mogu e priklju iti vanjsku antenu. Be i nu forenziku je mogu e provesti kori tenjem standardnog PC sklopovlja i freeware programskih paketa ali za izgradnju sustava koji e zadovoljiti sve gore navedene zahtjeve potreban je pa ljiv dizajn i skupa implementacija.IBID 7. a onda kasnije mo emo koristiti filtre radi ubrzavanja postupka.11b/g kanala i pretra ivati radio spektar u potrazi za novim mre ama preporu a se kori tenje ure aja s 15 radio komponenti. 23 . ‡ Za to kvalitetniju kasniju analizu forenzi ki alat treba prikupljati sav promet.

7. rasipanje signala). savjetuje se kori tenje naprednih mogu nosti stvaranja dnevni kih zapisa. Su elje je potrebno za tititi odgovaraju im autentikacijskim i enkripcijskim mehanizmima. Najpoznatiji komercijalni alati namijenjeni forenzi koj analizi i anih mre a su ÄSandstorm NetIntercept³. tcdump i tshark su alati za stvaranje skripti s tekstualnim grafi kim su eljem. a namijenjeni su automatizaciji pojedinih analiti kih zadataka kao to je filtriranje prikupljenog prometa prema postavljenim kriterijima. ÄNiksun NetVCR³ i ÄeTrust Network Forensics³ alati. ‡ Kako bi se omogu ila rekonstrukcija postupaka forenzi kog alata.3 Komercijalni i alati otvorenog programskog koda Forenzi ar be i nih mre a mora dobro poznavati komunikacijske protokole.‡ Ponekad ure aj za prikupljanje prometa mo e biti na mjestu do kojeg je te ko ili nemogu e pristupiti. Message Digest 5) i SHA1 (eng. ‡ Preporu a se i bilje enje podataka o snazi signala kako bi se omogu ila procjena udaljenosti osumnji enog od forenzi kog ure aja iako te informacije treba shva ati uvjetno jer postoje faktori koji utje u na njihovu to nost (refleksija.11 zaglavlja i sekvenci poruka karakteristi nih za be i ne protokole. to mo e biti potrebno tijekom sudskog procesa. Kod be i nih mre a to su TCP/IP temeljeni protokoli prilago eni 802. 24 y y . lom. Secure Hashing Algorithm 1). To se mo e ostvariti pomo u zasebnog 802. hash) algoritama kao to su MD5 (eng. ali postoje alati namijenjeni analizi mre nog prometa koji mogu pomo i u pretra ivanju prikupljenih podataka.11b/g su elja. Tada moramo imati mogu nost udaljenog pristupa ure aju. Network Global Regular Expression Parser) omogu uje tra enje znakovnih nizova u kontekstu podatkovnih paketa. Neki od takvih alata su: y Wireshark se koristi za analizu mre e i ispravljanje mre nih problema (ranije poznat kao Ethereal). ‡ Preporu eno je kori tenje sklopovlja (mre nih kartica i radio komponenti) s velikom osjetljivo u prijemnika kako prikupljanje paketa ne bi bilo prekinuto u slu aju pogor anja uvjeta rada. Valjanost takvih zapisa potrebno je za tititi pomo u jednosmjernih (eng. ngrep (eng. Kako bi ih bilo mogu e primijeniti kod be i nih mre a potrebne su napredne analiti ke funkcije specifi nih 802. Ne postoje adekvatne zamjene gore navedenih komercijalnih paketa. ‡ Savjetuje se zapisivanje prikupljenog prometa u standardnom Pcap formatu kojeg podr ava ve ina alata kako komercijalnih tako i onih otvorenog programskog koda. ogib.11 specifikacijama.

data mining). 8. Zna ajnu razliku u odnosu na analizu prometa unutar i anih mre a predstavljaju enkripcijske mogu nosti ugra ene u 2. kako bi se otkrile anomalije i sumnjivi uzorci. Specifi nosti be i ne forenzike u odnosu na i anu odnose se na: ‡ spajanje prometa vi e kanala. 25 . Wireshark omogu uje i izdvajanje audio zapisa razgovora. Analiza be i nog prometa Analiza mre nog prometa sastoji se od sljede ih postupaka: ‡ normalizacija podataka. za razumijevanje razli itih zaglavlja pojedinih protokola ‡ rekonstrukcija aplikacijskih sjednica. u slu aju da elimo rekonstruirati VoIP razgovor klijenta koji je promijenio kanal na kojem je vr io be i nu komunikaciju.pcap channel_1. To nam omogu uje alat mergecap.pcap Mogu e je tako er i obnavljanje sjednica. Ponekad je podatke (u slu aju pokretnih klijenata) potrebno ujediniti sa razli itih kanala kako bi se rekonstruirale sjednice.1 Spajanje prometa vi e kanala Jedna mre na kartica nadzire jedan kanal i prikupljenje podatke naj e e zapisuje u zasebnu Pcap datoteku (eng. sloj 802. Packet capture). ‡ prepoznavanje uzoraka. ‡ podatkovno rudarenje (eng. protocol dissection. ‡ filtriranje i ubrzavanje analize.pcap « channel_n. sljede om naredbom: # mergecap -w all_channels. ‡ rukovanje prometom preklapaju ih kanala.11 specifikacije. ‡ analiza protokola (eng.8. koje omogu uje jednostavno rukovanje i pretra ivanje prikupljenog prometa. Osim toga. koji je dio Wireshark programsko paketa.

To se rad na na in da se prate svi i dostupni radio kanali. u itano 15. IDS sustavi i sustavi za prikupljanje mre nog prometa ne mogu identificirati takve pakete. to nije DS Parameter set: Current Channel polju. Na kraju je va no naglasiti da forenzi ka analiza be i ne mre e mora prikupiti sav ostvareni promet ina e valjanost dokaza mo e postati irelevantna.11.5 Tehnike maskiranja i prikrivanja tragova Razvojem novih metoda forenzike razvijaju se i nove tehnike njihova izbjegavanja. probija enkripcija kori tena za za titu prometa te uo avaju napredni alati za prikrivanje be i nog prometa.4 Filtriranje i ubrzavanje analize Filtriranjem prema MAC (eng. Dvostruke podatke je potrebno odbaciti.2009.11 kontrolne pakete. beacon paketa pristupnih to aka. Raw ÄCovert alat³ mo e umetati podatke u 802.8. Rije je prilago enom mre nom stogu koji mo e komunicirati samo s drugim stogom koji je izmijenjen na jednak na in. Media Access Control) adresama mo emo dobiti prikaz prometa jednog klijenta.11 frekvencije. Ti podaci se nalaze u zaglavlju paketa. 26 .pdf >. Te podatke je mogu e razlikovati na temeljeu tzv. On ume e podatke u polje adrese primatelja ACK (eng.8 8 < http://datapodium. odnosno prometa iz susjednih be i nih mre a. a filtriranje prometa prema BSSID (eng. 8. bilje i snaga signala te prostorne i vremenske oznake. Na kraju se podaci izdvajaju i analiziraju. 8. Basic Service Set Identifier) oznakama promet jedne pristupne to ke. mre nom sloju. ÄWiFi Advanced Stealth Patches³ dodatak Ämadwifi-ng³ Linux pogonskoj aplikaciji namijenjenoj Atheros ipsetima implementira 802. kao i kod analize i anog prometa. ‡ Rx (end. Mogu nost istovremenog prikupljanja paketa s vi e kanala ovisi o karakteristikama pristupnih to aka i ure aja za be i nu forenziku. Dalje ga mo emo filtrirati prema vrsti paketa.com/dokumenti/uploads/forenzika/Wireless_forenzika. Prikrivanje mre nog prometa se vr i kori tenjem skrivenih kanala te izmjenama 802.3 Rukovanje prometom preklapaju ih kanala Tijekom prikupljanja mre nog prometa na jednom kanala mogu e je istovremeno bilje enje paketa s drugih kanala. kanala 14 u SAD i EU) ili kori tenje sna ne enkripcije na 2. Iako se pri tome koriste uobi ajene 802. Transmission) snaga oda iljanja. Receive) osjetljivost forenzi kog ure aja te ‡ karakteristike antene. Acknowledge) paketa i tako skriva komunikaciju budu i da ve ina alata ne analizira ACK pakete.11 specifikacija. kao to su: ‡ Tx (eng. Neke jednostavnije tehnike su komunikacija na nedopu tenim kanalima (npr.11 protokol s izmijenjenim MAC slojem.

htm) 27 . Prikaz cijena (Izvor: http://www. uzrok tome je velika cijena servisa koji se bave spa avanjem podataka.hr/cjenik.9. Ve ina ljudi kojima je potrebno spasiti podatke naj e e odaberu krivu metodu te time u potpunosti izgube ansu da im se podaci spase. a uzrok tomu je nedostupnost informacija ili dobivanje krivih informacija. Ovdje su navedene neke cijene poduze a HelpDisc: Slika 1. Dakako. o te enih ili uni tenih medija.helpdisc. To je vrlo zanimljivo podru je o kojem ve ina ljudi znade vrlo malo ili je krivo informirana. Spa avanje podataka Spa avanje podataka proces ekstrakcije podataka sa neispravnih.

hr/cjenik.Slika 2. Flash diskovi 4. Memorijske kartice 5. Prikaz cijena (Izvor: http://www. Medije na kojima se naj e e radi spa avanje podataka mogu e je pod ijeliti u slijede e razine: 1. Opti ki ure aji 3.helpdisc. Floppy i Jazz diskete i diskovi 6. RAID sistemi 28 . Tvrdi diskovi 2.htm) Mogu e je potpisati i ugovor u uvanju tajne.

10. Bitno je za napomenuti da kvar na bilo kojoj fizi koj komponenti tvrdog diska ili njegovom ugra enom softveru mo e dovesti do gubitka podataka. Svaki tvrdi disk sastoji se od slijede ih fizi kih komponenti: y y y Magnetnih plo a ± na njima se nalaze podatci Magnetskih glava ± pomo u njih se podatci itaju Motora i elektronike Da bi tvrdi disk uop e funkcionirao potrebna mu je jo jedna programska komponenta koja se naziva ugra eni softver. 29 . To su fizi ki i logo ki kvarovi. Bez njega se ne bi mogle sinkronizirati magnetne plo e. Kvarovi do kojih dolazi i ija je posljedica gubljenje podataka na tvrdom disku mo emo podijeliti u dvije kategorije. Tvrdi diskovi Tvrdi diskovi se nalaze u svakom ra unalu i samim time je najrasprostranjeniji medij za uvanje podataka. glava i elektronika.

ali ni to nije vrlo jednostavno i laici se u to ne bi trebali upu tati. motora te ipa koji digitalizira onaj signal koji je pro itan sa glava. Neispravna glava Kao to je prije obja njeno.1. lo i sektori (eng. magnetske glave slu e kako bi se podatci Äpro itali³ sa tvrdog diska. Fizi ke kvarove mogu e je podjeliti na slijede e kategorije: y y y y y Neispravna glava Neispravan motor Neispravna elektronika O te enje plo a. Jedina iznimka je u slu aju pregorjele elektronike gdje je pojedinac u mogu nosti sam napraviti zamjenu.1.10. feritne jezgre sa zavojnicom (glava). Firmware) 10.helpdisc. Slika 3. Fizi ki kvarovi Do ovakvih vrsta kvarova dolazi kada se na ili unutar diska o teti neka fizi ka komponenta.jpg) 30 . Magnetske glave su najosjetljiviji dio tvrdog diska zbog njihove vrlo male udaljenost od plo a te zbog njihovog krhkog dizajna. tj.hr/img/neispravne_glave. Prikaz neispravnih glava (Izvor: http://www. To je sklop koji se sastoji od osovine. Ovakve vrste kvarova uvijek je najbolje prepustiti rje avanju stru njaka zbog toga jer oni posjeduju profesionalnu opremu kojom je mogu e popraviti tvrdi disk. Bad sectors) Neispravan ugra eni softver (eng.1.

zamjenu je potrebno napraviti u istom prostoru.jpg) Zamjenu glava potrebno je izvr iti uz pomo odre enog alata koji mora biti napravljen od ne magnetskih materijala. Prikaz komore isto e 100 (Izvor: http://www.5 mikrona u bilo kojem podru ju od 0. 9 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0. tj. Slika 4.03 kubi na metra zraka 31 .helpdisc. u komori koja ima isto u 1009. Potpunu zamjenu je potrebno napraviti iz tog razloga to cijeli ovaj sklop tvori jednu cjelinu te nije mogu e popraviti neki njegov neispravan dio.U slu aju da je bilo koji dio ovog sklopa neispravan potrebno ga je cijelog zamijeniti.hr/img/komora. Kako bi se osiguralo od popunog uni tenja tvrdog diska. Tu zamjenu nije mogu e napraviti u bilo kakvoj prostoriji i ne mo e ju napraviti bilo tko.

Njihovim o te enjem vi e nije mogu e spasiti podatke koji su se na njima nalazili. odnosno plo a.jpg) Kako prepoznati da se je dogodilo o te enje glava ako se zna da se tvrdi disk smije otvoriti jedino u za to specijaliziranim komorama? To je najlak e ustanoviti po glasnom zvuku koji dopire iz ku i ta tvrdog diska. Neispravan motor Motor je komponenta koja se najmanje mijenjao kroz povijest proizvodnje tvrdog diska.2. Postoje dvije vrste motora: motori s kugli nim le ajevima i motori s fluidnim le ajevima.1.helpdisc. Bitno je napomenuti da je brzina motora va an faktor koji utje e na brzinu pristupa podatcima i njihovo kopiranje. ali su zbog toga ne pouzdaniji. Ukoliko se dogodi takva situacija potrebno je odmah isklju it ra unalo kako bi se sprije ilo daljnje o te enje tvrdog diska.Slika 5. tj. 32 . Prvi se vi e ne koriste u modernim tvrdim diskovima zbog toga jer su motori s fluidnim le ajevima jeftiniji i ti i. taj zvuk je najlak e poistovjetit sa lupkanjem. Alat za zamjenu glava (Izvor: http://www.hr/img/alat. 10.

a razlika je u tome to se kod neispravnog motora iz tvrdog diska uje slab zvuk zujanja.uk/images/motor.co. Da bi se to napravilo potrebno je koristiti specijalne alate koji u svakom trenutku zadr avaju sinkronizaciju izme u plo a. Prikaz motora (Izvor: http://www.jpg) Neispravan motor spada u kategoriju najslo enijih kvarova jer je radi popravka potrebno napraviti zamjenu plo a. 33 . Bitno je za napomenuti da se neispravnost motora lako mo e zamijeniti sa neispravnom elektronikom.mjmdatarecovery.Slika 6. zamjenu glava te na kraju zamjenu samog motora.

Neka od najpoznatijih su SATA. 34 . Postoji velik broj su elja putem kojih ra unalo komunicira s tvrdim diskom. Prikaz pregorjelog elektri nog sklopa koji pokre e motor (Izvor: http://www. Elektronika je sklop elektri nih komponenata koji napaja motor tvrdog diska.10. a za to se koriste ure aji sa toplim zrakom.hr/img/spaljena_ploca.1. Kvarovi koji se odnose na elektroniku naj e e se ve u za elektri ni sklop koji pokre e motor. ako se motor ne vrti. glave. Kod dana njih tvrdih diskova postoji elektronika sa jedinstvenim ROM ipom i elektronika bez jedinstvenog ROM ipa.jpg) Da bi se spasili podaci koji su ugro eni ovakvom vrstom kvara potrebno je zamijeniti neispravne komponente sa ispravnima. Ako je stupanj o te enja prevelik tada se o te ena elektronika zamjenjuje sa ispravnom koja je kompatibilna. tj. Small Computer System Interface).helpdisc. Slika 7. Neispravna elektronika Da bi tvrdi disk uop e radio potrebna je elektronika (eng. Kvar elektronike se najlak e dijagnosticira ako se iz tvrdog diska ne uje zvuk motora. preuzima podatke sa magnetnog ita a. obra uje ih te ih proslje uje ra unalu kako bi ih ono moglo koristiti. ATA i SCSI (eng. PCB ± Printed Circuit Board).3. Razlika je u tome to elektroniku sa jedinstvenim ROM ipom nije mogu e zamijeniti. tj. dok u ne to manje frekventne kvarove spadaju strujni udari i pregrijavanje.

nemogu nosti pristupa nekim podatcima te po automatskom uklju ivanju softverskog alata Check Disk.1. Dobri sektori su oni iz kojih je mogu e itati i na koje je mogu e zapisati podatke. Po to je proces same izrade tvrd diska og izuzetno kompliciran.10.hr/img/ostecena_ploca2.jpg) 35 . magnetnog materijala te za titnog sloja. Slika 8. Prikaz izgrebene povr ina diska (Izvor: http://www. a kako je taj sektor nemogu e pro itati usporava se rad itavog ra unala. du inu njihovog itanja. Te pozicije dobrih sektora uvaju se u ugra enom softveru. dok su lo i sektori oni koji imaju ote ano ili nemogu e itanje. Operativni sustav poku ava pro itati lo sektor 32 puta. Najve i problem do kojeg mo e do i je kontakt izme u glava i plo a i u tom slu aju podaci mogu biti trajno izgubljeni. broj softverskim alatima kontrolirati sektore koji se ponavljanja te preskoke lo ih sektora. Da bi se to izbjeglo mogu e je odre enim itaju.4. nemogu e je napraviti magnetnu plo u na kojoj bi se nalazili samo dobri sektori. Magnetske plo e sastoje se od podloge koja je napravljena od slitina aluminija ili stakla. Probleme sa lo im sektorima najlak e je dijagnosticirati po usporenom radu ra unala. O te enje plo a (lo i sektori) Na magnetskim plo ama nalaze se sami podaci pomo u kojih ra unalo obavlja odre ene zadatke. Primjer takvog softverskog alata je ÄData Extractor³.helpdisc.

tako to nema nikakvih karakteristi nih zvukova te tako to podatcima nije mogu e pristupiti. model. a ona se nalazi na plo ama i nemogu e joj je pristupiti ako se za to ne koriste specijalizirani alati.1.M. itd. Self-Monitoring. Ugra eni softver u ve ini se slu ajeva nalazi u tzv. Host Protected Area).A. a prepoznaje ga se tako da se tvrdi disk prijavljuje ili ne prijavljuje. On sadr i razli ite kao to su: veli ina tvrdog diska. serijski broj. podatci o tipu i broju glava. broj sektora.T.R. Neispravan ugra eni softver (eng. 10 Sustav za pra enje tvrdog diska kako bi se detektirali i zabilje ili razli iti indikatori pouzdanosti kako bi bilo mogu e predvidjeti kvarove 36 . Analysis and Reporting Technology)10 parametri. S.10. (eng. za ti enoj zoni (eng. Firmware) Ugra eni softver je unutra nji softver tvrdog diska koji sinkronizira te povezuje mehani ke dijelove diska sa ra unalom te je on u ve ini slu ajeva jedinstven i samim time razlikuje se od jednog do drugog tvrdog diska.5. Vrlo je te ko dijagnosticirati neispravan ugra eni softver.

softveri koji upisuje sadr aj direktno na disk jer bi se time podatci mogli trajno izgubiti.2. ako se radi o particiji na kojoj se nalazi operacijski sustav ili nemogu nosti pristupa podatcima ako se radi o particiji na kojoj se ne nalazi operacijski sustav. naravno. Logi ki kvarovi Pod logi kim kvarom podrazumijeva se gubitak podataka sa diska kojem je mogu e fizi ki pristupiti. Drugo pravilo je da se nikad ne radi spa avanje podataka na originalnom tvrdom disku.2. Kod ove vrste spa avanja podataka i dalje je preporu ljivo prepustiti rad stru njacima iako osobe s informati kim znanjem ovdje mogu puno vi e u initi same. tj.1. Ako se dogodio ovaj kvar tada e particija u ÄComputer Managementu³-u biti prikazana kao prazno polje. od prvog do zadnjeg. potrebno je prvo napraviti potpunu sliku podataka i pohraniti ju na neki drugi medij te tada nad njom spa avati podatke.10. Gubljenje particija Posljedica ovog kvara naj e e je nemogu nost podizanja operacijskog sustava. Postoje dva va na pravila kojih se je potrebno pridr avati prilikom ove vrste spa avanje podataka. tj. Kako bi se izbjeglo daljnje o te enje ne smiju se koristiti alati za spa avanje podataka. Logi ke kvarove mogu e je podijeliti na slijede e kategorije: y y y y y Gubljenje particija O te enja uslijed djelovanja virusa Reinstalacija operacijskog sustava Brisanje podataka O te enja baza podataka i e-mail baza 10. a to su da se nikako ne smije naknadno instalirati ili kopirati neki program ili podaci na tvrdi disk na kojem se ti podaci spa avaju jer bi se time mogli trajno izgubiti oni podaci koje elimo spasiti. To se odnosi na pristup sektorima bez problema. 37 .

hr/img/logic. itd. Problem je u tome to su oni uvjereni da su svi podatci backup-irani te su zapo eli proces reinstalacije.3. O te enja uslijed djelovanja virusa Najve i problem. Prikaz logi kog kvara u windowsu (Izvor: http://www. Najgore to se tada mo e u initi je vratiti backup. je usporeni rad ra unala.2.2. nemogu e je pristupiti pojedinim podatcima. 38 . ote ano je podizanje sustava. 10. Najbolje rje enje je da se odmah prekine instalacije i to bez obzira u kojem se djelu ona nalazila. Taj problem se naj e e znade poistovjetiti sa lo im sektorima po to i oni usporavaju rad ra unala. Time je uklonjena svaka mogu nost spa avanja podataka. Tek nakon nekog vremena shvate da neki va an direktorij ili datoteku nisu sa uvali.Slika 9.helpdisc. Posebno je bitno naglasiti da se zara enim diskovima treba posvetiti posebna pa nja po to je djelovanje virusa vrlo esto nepredvidljivo. tj. koji je posljedica virusa.jpg) 10. Reinstalacije operacijskog sustava Reinstalacija operacijskog sistema je jedna od naj e ih gre aka koju rade korisnici ra unala.2.

neki ljudi lupaju po njemu sa rafcigerom ili ne im sli nim i to tokom podizanja operacijskog sustava. Zbog toga ova tehnika ini stvari samo te im. daljnje udaranje moglo bi samo jo vi e na tetiti. O te enja baze podataka i e-mail baza Ovakva vrsta o te enja nastaje bez nekog posebnog razloga. 10. Problem je u tome to to Älupkanje³ po tvrdom disku naj e e uzrokuje potpuni prestanak rada zbog navedenog Älupkanja³. najbolje je odmah isklju iti server te ne poku avati koristiti nikakve programe za spa avanje podataka koji pi u po disku. 39 . Nenamjerno ili namjerno brisanje. Najgore to se mo e napraviti je instaliranje nekog programa za spa avanje podataka na onaj tvrdi disk gdje su se ti podaci nalazili. Najbolje rje enje bi bilo odmah ugasiti ra unalo i prepustiti ga profesionalcima.2. pogre no imenovanje te slu ajno prebacivanje podataka u pogre an direktorij naj e i su problemi u spa avanju podataka.10. a ti udarci bi trebali biti nje ni i jedan po jedan. Ako se nije ni ta postiglo nakon dva udarca. tada je najbolje prestati jer ako problem nije u ruci. 10. Brisanje podataka Ovo je isto tako jedna od naj e ih gre aka koju korisnici rade.5. Mitovi o spa avanju podataka sa tvrdog diska MIT O UDARANJU Ovo je mo da i jedan od najstarijih mitova. Ono to se zapravo doga a je to da lagani udarci po tvrdom disku mogu pomo i da se oslobodi ruka za itanje koja je po ela zapinjati zbog nekakvog mehani kog kvara. Razlog tome je to su glava za itanje i povr ina tvrdog diska na vrlo maloj udaljenosti te se lupanjem po istom mo e dogoditi da se odlomi neki dio glave ili mehanizma koju tu glavu pokre e te taj ili ti dijelovi mogu izgrebati povr inu diska te ga time nepovratno uni titi. O bilo kojoj bazi da je rije .2.4. tj.3. Kad tvrdi disk prestane biti detektiran od strane operacijskog sustava. mo e se zaklju iti da to je baza slo eniji i ve eg kapaciteta to je ve a vjerojatnost da e se ne to pokvariti.

Na raznim forumima je pisalo da kad se tvrdi disk smrzne. MIT O SMRZAVANJU. To je potrebno napraviti kako bi se glavi omogu ilo itanje i pisanje po to no odre enim blokovima. tj. Netko je tada pretpostavio da to ovisi o temperaturi te je odlu io zamrznuti tvrdi disk u fri ideru. njegova unutra njost se Äposlo i³ te se sve vrati na svoje mjesto i ponovno funkcionira. mo e se dogoditi potpunog uni tenje. Ra unalo je tada prepoznalo tvrdi disk koji je ponovno radio nekoliko minuta. zbog niskih temperatura. ZAGRIJAVANJU I UGRA ENOM Tijekom izrade tvrdog diska neophodno je podesiti mehanizam za itanje i pisanje kako bi se glava pribli no to no pozicionirala iznad povr ine diska. Rje enje problema zbog kojeg tvrdi disk prestane zauvijek raditi le i u tome da je magnetska povr ina tada jako o te ena te se isti postupak vi e ne mo e primijeniti. dok neki jedan dio snime u ROM a drugi dio u EPROM ili neku drugu flash memoriju koja se nalazi unutar diska. kako bi ona to no Äznala³ gdje blok po inje. a zatim je prestao raditi zauvijek. postoje ljudi koji na forumima tvrde da su uspjeli rije iti svoj problem sa tvrdim diskom tako da su ga pustili da padne s visine otprilike jednog metra na pod s tepihom te da ga i dan danas koriste. U nekim slu ajevima ova informacija ima nekog smisla po to bi retrakcija materijala. esto se znade dogoditi da se to magnetsko snimanje jednostavno promijeni zbog nekakvih razloga koji su povezani s povr inom materijala i tada se glava po inje pomicati naprijed i natrag. Uvijek se mo e dogoditi da se nekomu posre i. 40 .MIT O BACANJU HDD-A NA POD Koliko god ovaj mit bio nevjerojatan. mogla pomo i glavama za itanje da ponovno prona u trake. servo. a gdje zavr ava. ali ova metoda nikako nije preporu ljiva i to zbog toga to udarac na bilo koji neispravan tvrdi disk iji problem nije poznat mo e dovesti u pitanje spa avanje podataka. Isto tako postoji snimanje na povr ini tvrdog diska tokom njegove izrade koje se naziva eng. tj. Ova re enica obja njuje za to esto jednostavna zamjena pokvarene logi ke plo e s potpuno istom takvom logi kom plo om i istim ugra enim softverom u praksi naj e e ne funkcionira. Ono poma e glavi da se to no pozicionira na po etak bloka. Zatim ga je izvadio te se po urio da ga spoji sa ra unalom i to je tada proradilo. dovoljno da se spase neke informacije. Neki proizvo a i snimaju sve te podatke u ROM memoriju koja se nalazi na logi koj plo i.

a sve je to zbog toga kako bi se sa uvali podaci na tvrdom disku. tj. 11 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0.5 mikrona u bilo kojem podru ju od 0. Me utim. pogotovo ako su podatci va ni.Preporuka je da se ova metoda ne koristi jer se mo e spasiti samo mali broj informacija te je nemogu e poslije spa avati te podatke ne bilo koji na in sa strane profesionalaca. pritisak i vlaga. Ovaj mit je vrlo dobro obra en. pri ekati nekoliko minuta te ju zatvoriti i ponovno pri ekati nekoliko minuta da para nestane. U istim sobama koristi se sofisticirana oprema kako bi se manipuliralo dijelovima tvrdog diska. Zamjena logi ke plo e mo e biti prava metoda kako bi se popravio neispravan tvrdi disk i to samo ako je u pitanju vanjsko o te enje i ako se ugra eni softver nalazi kontroleru. Ovu tehniku nije preporu ljivo koristiti. ali itanje nije uspjelo. tresti ili ak mijenjati plo e. a da se on ne o teti. ako je tvrdi disk prepoznat. MIT O ISTOJ KUPAONICI Neki ljudi tvrde da se u ku i. MIT O ZAMJENI LOGI KE PLO E I SOFTVERU Mit o zamjeni logi ke plo e Postoje ljudi koji zamijene logi ku plo u pokvarenog tvrdog diska sa identi nom logi kom plo om ispravnog tvrdog diska u nadi da e ovaj neispravan proraditi te je to jedan od najlogi nijih mitova. ali mo e imati nepredvi ene posljedice na podatke zbog toga jer su najve i Äneprijatelji³ tvrdog diska vlaga i pra ina te se on smije otvoriti samo u prostorijama klase 10011. u kupaonici mo e napraviti ista prostorija i to tako da se pusti vru a voda te da njezina para ispuni prostoriju. Tada bi navodno bilo sigurno otvoriti tvrdi disk i dirati po njegovim dijelovima.03 kubi na metra zraka 41 . Zbog toga je ovu metodu vrijedno isprobati te je mogu e spasiti podatke. Iako je ovo dobra ideja. Netko se je sjetio da bi mogao otvoriti slavinu sa vru om vodom. ali uvijek se mo e posre iti. Na temelju toga trebalo bi biti mogu e otvoriti tvrdi disk. Para bi u ovom slu aju trebala na sebe vezati estice pra ine te ih spustiti prema zemlji. krajnji rezultat je ipak katastrofalan. tada je najbolje poslati tvrdi disk profesionalnoj ustanovi koja se bavi spa avanjem podataka. pritiskati ih. kontrolirana je temperatura.

U slu aju fizi kog problema. 42 . neadekvatne tehnike i alata. MIT O POPRAVKU I ZAMJENI PLO A Mit o popravku Neki profesionalci ili kompanije tvrde da mogu Äpopraviti³ tvrde diskove iako je to nemogu e.Mit o softveru Neki softver za spa avanje podataka sigurno dobro funkcionira u svojoj namijeni ako je u pitanju logi ki. a ne fizi ki problem. Zbog toga je potrebno znati kada koristiti programe koji su vezani za spa avanje podataka. itd. softver za spa avanje podataka automatski e pokvariti tvrdi disk jer e neki sklopovi prestati raditi i time e nestati i zadnja nada u spa avanje podataka. Ono to oni rade je to da zamijene logi ku plo u i/ili koriste program koji sakrije pokvarene sektore i tada takav tvrdi disk daju korisniku pod izlikom da je popravljen. naj e i rezultat je uni tenje podataka zbog neodgovaraju e okoline. a da se sam tvrdi disk ne otvara. itd. Me utim. serije tvrdog diska. MIT O ZAMJENI PLO A Neki ljudi tvrde da su uli kako je mogu e spasiti podatke s pokvarenog tvrdog diska i to tako da se prona e potpuno isti takav i da se onda zamijene plo e. To bi ak i moglo raditi ako se u obzir uzmu razli iti faktori poput ugra enog softvera.

na CD ili DVD: y y y y Uvijek je potrebno koristiti kvalitetan. dok jeftini i ne brandirani mediji mogu predstavljati problem prilikom njihovog itanja kod ve ine CD i DVD ure aja. Opti ki ure aji Opti ki mediji poput CD-a i DVD-a tako er su podlo ni razli itim vrstama o te enjima te se zbog toga javlja potreba za spa avanjem podataka. tj. odnosno. ako se radi o backup-u. zatvoriti sesiju. To bi moglo dovest do problema da opti ki ure aj ne prepozna da na mediju postoje podatci te je zbog toga preporu ljivo kad se ne to snima na takav medij. 11. Primjena ove preporuke bi trebala rije iti problem. ali nisu pretjerano pouzdani. nakon to je snimljeno. 43 . softver za snimanje podataka na opti ke medije omogu ava da se na medij pi e vi e puta.1. Zbog toga je potrebno pridr avati se nekoliko pravila prilikom kopiranja podataka. snimanje podataka Treba testirati mogu nost itanja medija na razli itim ra unalima Postoje razli iti problemi koji se mogu javiti prilikom pogre ke na opti kom mediju te e ovdje biti obja njeno kako u kojem slu aju postupiti. softverski problemi mogu uzrokovati o te enje podataka. dozvoljava vi estruke sesije. Oni su popularni za pohranu podataka zbog njihovog velikog kapaciteta i male cijene. brandirani medij Potrebno je napraviti barem dvije kopije svih va nih podataka Potrebno je izbjegavati vi estruku pisanje. Naime. Session) nije finalizirana.11. tj. Prikaz praznog opti kog medija Kada se stavi opti ki medij u ure aj za njegovo itanje te se prika e da na njemu nema podataka tada bi problem mogao biti u tome to sesija (eng.

o njegovoj toleranciji na pogre ke koje se nalaze na opti kom mediju. Preporuke za spa avanje podataka sa opti kih ure aja Potrebno je zapamtiti da mogu nosti opti kog ure aja kao i mogu nosti programa za spa avanja podataka na opti kim medijima imaju veliki zna aj za uspje nost spa avanja podataka. Ako ono nije bilo uspje no potrebno je poku ati s drugim opti kim ure ajem. Za neprofesionalnu upotrebu mogu e je koristiti program ÄCD and DVD Recovery³ dok oni korisnici koji imaju ve a znanja o spa avanju podataka mogu koristiti ÄIsoBuster³. Rewritable) mediju potrebno je koristiti odre eni softver za njihovo spa avanje. Oni posjeduju specijalne ure aje za takve vrste spa avanja koji se ne nalaze u obi nim ra unalima 44 . tj. memorijskim karticama ili bilo kojem drugom prepisivom (eng.3. Program koji se mo e preporu iti za ovakvo spa avanje podataka je ÄAVS DVD Copy³. Radi se o tome da se nastoji kopi ati ili r Äripati³ zvu ni ili video zapis na tvrdi disk kako bi se mogla nasnimiti nova kopija koja e sada uredno raditi. a podaci su od iznimne va nosti tada je potrebno zatra iti pomo od profesionalaca koji se time bave.2.4. Kako bi postojala to ve a ansa za spa avanje potrebno je ripati na to manjim brzinama. Uspjeh najvi e ovisi o CD i DVD ita u koji se nalazu u ra unalu.11. Ako ove metode nisu pomogle. 11. Softver za spa avanje podataka na opti kom mediju Po to su podatci na opti kom mediju zapisani u razli itom formatu nego li oni koji se nalaze na tvrdom disku. Zbog toga to programi za spa avanje podataka koriste algoritme kako bi prepoznali na koji na in su podatci pohranjeni nije mogu e koristiti undelete programe ili programe za spa avanje podataka koji se nalaze na tvrdom disku za one podatke koji se nalaze na opti kom mediju. 11. Spa avanje filmova i muzike sa cd -a i dvd-a Spa avanje ovakvih vrsta podataka koji se nalaze na opti kim medijima razlikuje se od spa avanja uobi ajenih podataka na tim medijima.

kod flash memorija. Na in na koji se spremaju podaci u flash memoriju temelji se na pohrani elektri nog naboja u tranzistoru. 12. zona je samo logi ki koncept. 45 . Taj naboj mo e biti pohranjen na vrlo duga ko vrijeme bez da se koristi vanjsko napajanje. Mogu e ju je prona i u mobilnim telefonima. Spare area) koje se koristi se za spremanje meta podataka. Dodatno. Ve ina dana njih forenzi kih alata bazira se na logi kom spa avanju podataka. izbrisani podaci. tj. Na taj na in se mogu potencijalno propustiti vrlo va ne informacije. ali i oni podaci koji nisu direktno va ni za korisnika. npr. Za razliku od blokova i stranica. itd. Me utim. Pomo u logi kog spa avanja podataka esto nije mogu e spasiti sve podatke kao to su npr. U flash memoriju mo e se zapisivati bajt po bajt. ne postoji fizi ka reprezentacija. Za razliku od NAND memorije NOR memorija mo e se u konstantnom vremenu itati bajt po bajt te se zbog toga u njoj naj e e nalazi firmware.12. a zatim da se radi obrada tih kopiranih podataka. Ostatak memorije koji nije zauzeo firmware mo e biti iskori ten za spremanje podataka sa strane korisnika.1. potrebno ih je itati bit po bit. a to su NOR i NAND. a svaka stranica je veli ine 512 bajta. pomo no mjesto (eng. tj. PDA ovima. stranica ima jo tzv. Flash memorija Flash memorija je u dana nje vrijeme najrasprostranjenija vrsta memorije u podru ju memorije s nepokretnim dijelovima. Neki flash diskovi koriste koncept zona (eng. digitalne kamere i USB flash diskovi. a kao rezultat dobiju se jedinice u tim blokovima koji su brisani. kako vrijeme prolazi tako se gubi i taj elektri ni naboj. Zone). tako je po eljna ista procedura i kod ugra enih memorija s nepokretnim dijelovima. Kao to je slu aj kod tvrdih diskova da se prvo kopiraju svi podaci na neki drugi medij. Pages). U NAND memoriji blokovi su podijeljeni u stranice (eng. ali mora se brisati blok po blok kako bi se ponovno ne to moglo upisati. Fizi ke karakteristike Postoje dvije vrste flash memorija. 32 ili 64 stranice po bloku. tj. Zbog tih nedostataka potrebno je raditi spa avanje podataka na ni im razinama. a njih se mo e definirati kao skupina blokova reda veli ine od 256 do 1024. USB stikovima. NAND memorija naj e e se nalazi u mobilnim medijima kao to su mobilni telefoni s kamerama.

C. Postoje pravila koja govore da broj tih lo ih blokova prilikom proizvodnje smije biti maksimalno 2%. NAND memorija i prije nego stigne do korisnika. Takav blok se tada naziva lo blok (eng. lipanj 2007) Pomo no mjesto mo e sadr avati informacije poput statusa stranice ili bloka. tj. a svaki blok mo e biti izbrisan izme u 104 i 106 puta prije nego bitovi postanu neizbrisivi. tj. Bad block). 46 . Isto tako mo e sadr avati ECC podatke koji se brinu da otkrivaju pogre ke u stranici i da ih ispravljaju i to samo u slu aju ako je jedan bit pogre an te e nakon toga taj blok biti ozna en kao lo blok. odnosno im ju se proizvede ve sadr i lo e blokove. Kako se blokovi bri u tako se i kvare.Slika 10. Za njih ti algoritmi predstavljaju vrijedno intelektualno vlasni tvo te ih ne ele nikome otkriti. imaju stanje 0. Breeuwsma. Fizi ka i logi ka podjela flash memorije (Izvor: M. de Jongh. Kako bi se smanjilo to kvarenje blokova uzrokovano brisanjem istih proizvo a i memorija razvili su algoritme koji razmje taju podatke ravnomjerno po svim blokovima te na taj na in produ uju ivotni vijek memorije. Pomo no mjesto mo e jo sadr avati informacije bitne za fizi ko i logi ko adresiranje. informacija o tome kad je blok pokvaren bit e sadr ana upravo u pomo nom mjestu. M. Forensic data recovery from flash memory. van der Knijff i Mark Roeloffd. R. Klaver.

47 .1. Spa avanje podataka Najva nije pravilo prilikom forenzi kog spa avanja podataka glasi da se podaci ne smiju mijenjati. Pomo u tih metoda napravi se potpuna kopija podataka koji se nalaze na flash mediju.2. a razvijaju ih uglavnom proizvo a i ure aja i centri za servis. nije potrebno poznavati kako oni stvaraju fizi ku sliku podataka. Dakle. tj. Problem le i u tome to ne postoji generalna metoda jer svaki ugra eni sustav ima svoje su elje pomo u kojih se prenose podaci te isto tako ne postoji standardizirani Äoperacijski sustav za ugra ene sisteme³ s dokumentacijom o pristupnim funkcijama za itanje podataka na razini bita. Me utim.Da bi se spasili podaci sa flash memorija nije potrebno poznavati rad tih algoritama.2. 12. a to su metoda pomo u programskih alata. algoritam se pona a kao dinami ki proces koji kontinuirano razmje ta stranice i/ili blokove kako bi produ ili ivotni vijek memorije te kad se poku ava interpretirati stati ka snimka stanja tada nije potrebno znanje o radu algoritama. JTAG (eng. Dosada nja ispitivanja pokazala su da se prilikom paljenja ili ga enja mobilnih ure aja podaci mijenjaju i to najvjerojatnije zbog tih algoritama te je ta paljenja ili ga enja potrebno svesti na minimum. Postoje tri metode spa avanja podataka sa flash memorija. 12. To zapravo i nije tako jednostavno kako se ini na prvi pogled jer kod flash memorije algoritmi za razmje tanje podataka mogu napraviti nepredvidljive promjene na podacima. ipak postoje alati za kopiranje podataka koji su namijenjeni za odre ene ure aje. Programski alati Najjednostavniji i najjeftiniji na in za spa avanje podataka sa flash memorije pru aju upravo hardversko su elje i programski alati koji potpuno kopiraju flash memoriju na neki drugi medij radi daljnje analize. Zapravo je potrebno znati kako rekreirati ispravan poredak fizi kih blokova za dobivanje logi ke kopije. Joint Test Action Group) metoda te metoda gdje se ip fizi ki odvaja te se ita pomo u vanjskog ita a podataka.

Trebalo bi biti vrlo pa ljiv prilikom upotrebe tih alata tijekom forenzi ke analize. Prednosti i nedostaci: y y y y Povezivanje hardvera je naj e e jednostavno s konektorom Flash memorija mo e biti rekonstruirana bez da se odlemljuju ipovi flash memorije Neki programi ne rade potpune forenzi ke kopije flash memorije Ne postoji garancija da podaci ne e biti upisani u memoriju 48 . To je potrebno napraviti kako bi se provjerila njegova funkcionalnost. Osim to imaju mogu nost kopiranja podataka ti alati isto tako katkad imaju i neke druge opcije kao to su brisanje memorije. Te opcije su katastrofalne u kontekstu forenzi kog spa avanja podataka. Pomo u njega mogu e je raditi potpune kopije podataka na razli itim modelima mobilnih telefona Nokije. Primjer programskog alata za spa avanje podataka na mobilnim ure ajima je Twister flasher box. mijenjanje serijskih brojeva ili dodavanja funkcionalnosti. dok je na nekim mobilnim ure ajima mogu e raditi samo djelomi ne kopije. Prije nego se po ne raditi sa memorijom iz koje se ele spasiti podaci potrebno je najprije testirati program za spa avanje podataka na sli noj memoriji. na forumima ili internetskim du anima. tj. Takve programske alate za mobilne ure aje najjednostavnije je na i na internetu.

Klaver. Breeuwsma. JTAG Kad se ne mo e napraviti forenzi ka kopija podataka tada se koristi JTAG12 metoda. ali kako je prikazano na slici 11 ti su ipovi uobi ajeno povezani s ostalim ipovima poput procesora te se taj procesor mo e koristiti kako bi se pristupilo flash memoriji i to ako on podr ava JTAG. Debug mod) i vanjski testni mod (eng. a to su mod za ispravljanje pogre aka (eng. Pristup flash memoriji kori tenjem jtag metode Flash memorijski ipovi ina e nemaju omogu en JTAG mod.2.2. R. de Jongh. External test mod). Pins) do kojih korisnik ina e ne mo e direktno pristupiti. Mati ne plo e koje podr avaju JTAG imaju dodatne testne pristupne to ke (eng. M. 12. van der Knijff i Mark Roeloffd. Primjer ugra enog sistema (Izvor: M.1. Ve inu tih procesora koji podr avaju JTAG mod omogu uju dva moda. Forensic dana recovery from flash memory. ali se isto tako mo e koristiti kako bi se pristupilo memoriji 49 .2.2. C. Slika 11.12. Neki procesori podr avaju oba dva moda dok neki podr avaju samo jedan. lipanj 2007= 12 Pristupni testni port koji se normalno koristi za testiranja ili ispravljanje pogre aka.

a vanjska flash memorija mo e se itati tako da se u itaju ili itaju nizovi serijskih testnih vektora.2. Klaver. Testni vektori se u itaju ili itaju naj e e koriste i posmi ni spremnik. Nakon pristupnog vremena ip flash memorije odgovara sa zatra enim podacima preko podatkovne sabirnice. Slika 12.1. Taj je testni vektor aktiviran nakon u itavanja. C. 50 . lipanj 2007) 1. Vanjski testni mod U ovom modu jezgra procesora je isklju ena dok su sve pristupne to ke na procesoru kontrolirane pomo u JTAG kontrolera. r/w) s naredbom itanja. Kori tenje vanjskog testnog moda kako bi se pristupilo memoriji (Izvor: M. Drugi se testni vektor ita ra unalo te se podaci sa podatkovne sabirnice pohranjuju u datoteku. To je pohranjeno u drugom testnom vektoru. Forensic dana recovery from flash memory.1. 2. Breeuwsma.2.12. van der Knijff i Mark Roeloffd. Prvi testni vektor sadr i adresu NOR flash memorijske lokacije i kontrolne signale (ce. de Jongh. R. M. Primjer takvog itanja NOR flash memorije s pomo u dva testna vektora prikazan je na slici 12. 3.

To se radi tako dugo dok se ne dobije validan signal. ali ipak u ve ini slu ajeva sli ne su ostalim pristupnim to kama i ak se mogu nalaziti na obje strane plo ice te ih je zbog toga te ko prona i. Kod ovog pristupa potrebno je mjeriti sve pristupne to ke na sklopovskoj plo ici i to zbog toga jer JTAG ulazi i izlazi imaju specijalna svojstva za razliku od ostalih pristupnih to aka. tj.2.2. Potpuna slika NAND flash memorije mo e biti napravljena na isti na in. prije po etka izrade slike flash memorije. Ta se zadnja opcija mo e koristiti kako bi se napravila slika NOR memorije. PRONALA ENJE JTAG TESTNOG PRISTUPNOG PORTA Prije nego to se mo e po eti sa procesom spa avanje podataka. JTAG sklopovlje u procesoru ima dodatne registre za zaustavljanje i pokretanje naredbi. Dakle. 12. Postoje razli iti na ini kako prona i te pristupne portove od kojih neki mogu i uni titi ugra ene sustave. registre za itanje stanja ili registre za pisanje i itanje podataka sa vanjskih memorijskih ipova. Mod za ispravljanje pogre aka Sklopovi za ispravljanje pogre aka koji su ugra eni u procesor mogu se koristiti kako bi se ispravile pogre ke softvera kojeg taj procesor koristi.2. dok je opet nedostatak to tih to aka mo e biti jako puno. prvo je potrebno izmjeriti sve pristupne to ke te se na taj na in eliminira ve ina tih to aka. a ujedno i najsigurniji. Na slici 13 prikazani su JTAG testni pristupni portovi na mobilnom ure aju SAMSUNG SGH-D500. dok to nije mogu e ili je izuzetno te ko za NAND flash memoriju. Oni se ovdje nalaze u jednom retku. 51 . Na nekim sklopovskim plo icama te pristupne to ke nalaze se u jednom retku i jasno su ozna ene. Testni pristupni portovi mogu se prona i nakon drugog mjerenja tako da se mjere sve mogu e ulazno/izlazne kombinacije pomo u algoritme. Komercijalni alati dakle mogu koristiti kako bi se napravila potpuna kopija NOR memorije.1. ak i vi e od 100. Prednost je u tome to se to mo e napraviti relativno brzo. potrebno je prona i JTAG testni pristupni port. iako sam proces du e e trajati zbog toga to je potreban ve i broj testnih vektora kako bi se pro itao bajt ili rije podatka.Potpuna slika NOR flash memorije mo e se napraviti na isti na in z svaku memorijsku a lokaciju. Zbog toga e ovdje biti opisan samo jedan pristup koji je najjednostavniji.

. mo e se garantirati da podaci ne e biti zapisani ni u vanjskom testnom modu niti u modu za ispravljanje pogre aka. tj. Me utim. Mo e se napraviti slika memorije bez da se odlemljuju ipovi Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci. Breeuwsma. lo i blokovi. JTAG testni pristupni port na Samsungu SGH-D500 (Izvor: M.Slika 13. lipanj 2007 Prednosti i nedostaci: y Rizik promijene podataka je minimaliziran. de Jongh. R. uvijek postoji barem malo vrijeme izme u uklju ivanja i vremena kad se unesu neka od dva moda te u tom vremenu sustav mo e komunicirati sam sa sobom. pomo no mjesto memorije.. Forensic dana recovery from flash memory. C. M. Klaver. van der Knijff i Mark Roeloffd.) Nedostatak le i u tome to je komunikacija u vanjskom testnom modu spora iako u modu za ispravljanje pogre aka mo e biti ne to br a Mo e biti te ko prona i JTAG pristupne to ke Nisu svi ugra eni sustavi opremljeni s podr kom za JTAG y y y y y 52 . itd.

C. Ta se metoda koristi kada se ne mogu koristiti softverski alati ili kad JTAG nije dostupan.1. 53 .1.2.1. sliku flash memorije le i u tome da se fizi ki odstrani flash ip sa sklopovske plo ice te da ga se zatim Äpro ita³ s nekim alatom za itanje podataka. ip se izvadi van pomo u specijalnog ure aja. M. Odlemljivanje flash memorijskih ipova Ve ina dana njih ipova nalazi se u TSOP (eng. Nakon to se lem otopi. Ball Grid Array) ku i tima. Va enje TSOP ipa pomo u toplog zraka (Izvor: M. 12.2. van der Knijff i Mark Roeloffd.12. tj. Forensic dana recovery from flash memory. 12. Klaver. R.3. Slika 14. lipanj 2007) Vru i zrak pu e na rubove ipa te samim time temperatura ipa ostaje ni a od temperature pinova koji su zalemljeni. Va enje TSOP ipova TSOP ipovi mogu se izvaditi iz sklopovske plo ice pomo u lemila. de Jongh. iako to nije preporu ljivo zbog toga to se treba upotrijebiti mnogo lema na pinovima ipa te je onda kasnije potrebno vi e vremena kako bi se o istio ip.3. Thin Small Outline Package) i Micro BGA (eng.3. Fizi ka ekstrakcija Jo jedan na in na koji je mogu e napraviti kopiju. Breeuwsma. Bolji na in za va enje TSOP ipova je pomo u vru eg zraka i on je prikazan na slici 14.2.

12.2.3.1.2. Va enje mikro BGA ipova

Mikro BGA ipovi mogu se izvaditi pomo u vru eg zraka, tj. ure aja namijenjenog upravo za lemljenje ili odlemljivanje ipova. On koristi temperaturni profil kako bi izvadio ip te ta temperatura treba biti dovoljno visoka kako bi se otopio lem. Tako er je potrebno provjeriti da temperatura ne bude previsoka jer bi se time mogao o tetiti ip. To je osobito va no kod bezolovnih ipova, tj. bezolovnih lemova zato jer oni imaju ve u temperaturu taljenja. Preporu ljivo je da se prvo vje ba na referentnom modelu prije nego se po inje raditi s originalom i to zato jer je temperaturni profil druga iji za svaki ip ili sklopovsku plo icu.

12.2.3.2. Priprema ipa za daljnju obradu

Pinovi TSOP ipa potrebno je o isti, a to je mogu e napraviti pomo u ice za va enje lema (eng. Solder wick) ili pomo u teku eg sredstva (eng. Solder flux). Slijede e to je potrebno jest provjeriti da li su pinovi dobro poravnati te da li je na njima ostalo lema. Kod mikro BGA ipova situacija je ne to kompliciranija. Ako se on izvadi iz sklopovske plo ice tada su kuglice na ipu o te ene zbog toga jer je ne to lema ostalo na plo ici, a ne to na ipu. Na posljetku su te kuglice razli ite veli ine, a ta razlika radi probleme kod ve ine podno ja. Ta podno ja su napravljena tako da je u njih mogu e staviti samo ipove s istim kuglicama, a ako je stavljen ip kojemu te kuglice nisu iste veli ine za rezultat se dobije lo a konekcija. Da bi se ispravio taj problem koristi se opcija ponovne izrade kuglica (eng. Reballing) i to je najbolje raditi pomo u stroja. Nakon to je ip o i en, mogu e ga je Äpro itati³ pomo u ita a ili programera. Taj programer memorijskih ipova ili ita uobi ajeno imaju nekoliko tipova podno ja u kojima nije potrebno primijeniti silu (eng. Zero Insertion Force) kako bi se povezali sa ipovima. TSOP flash ipovi naj e e imaju 48 pinova te ih je zato mogu e itati samo pomo u jednog podno ja, dok nasuprot njima BGA ipovi dolaze u razli itim veli inama i imaju razli ite veli ine i koli ine kuglica. Njihova podno ja su skupa i potrebno je du e vrijeme da se dostave. Zbog toga je po eljno koristiti podno je na kojem se mo e koristiti vi e razli itih vrsta ipova.

54

12.2.3.3. Programer ili ita flash memorijskih ipova

Flash memorijske ipove mogu e je Äpro itati³ pomo u komercijalno dostupnih softverskih programera. Nedostatak je u tome to je potreban upravlja ki program za svaki memorijski ip, a ako taj program ne postoji tada ga proizvo a ili programer moraju napraviti. To naravno iziskuje odre eno vrijeme i nije ga uvijek mogu e napraviti zbog manjka dokumentacije ipa. Kako bi se to izbjeglo mogu e je koristiti univerzalni ita Prednosti i nedostaci
y

Garantirano nikakvi podaci ne e biti zapisani u flash memoriju zbog toga to je ugra eni sistem uga en Podaci se mogu spasiti sa o te enih ugra enih sistema Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci, pomo no mjesto memorije, lo i blokovi, itd...) Nedostatak je to to je mogu e o tetiti ipove prilikom odlemljivanja Potrebno je otvoriti ugra ene sisteme kako bi se moglo odlemiti ipove

y y

y y

13. Magnetske kartice
Tehnologija magnetskih kartica se koristi u mnoge svrhe, uklju uju i kreditne, debitne, telefonske i identifikacijske kartice. Ove vrste magnetskih kartica i sadr aj pohranjen na njima oslanjaju se na identifikaciju i osobnu autentifikaciju . Kori tenje kreditne ili debitne kartice, u kupovanju razli itih dobara i usluga, promijenilo je put socijalnih i financijskih procesa te je odgovorno u rukovanju monetarnih i financijskih transakcija. Magnetna kartica ili kartica s magnetnim zapisom spada u red pasivnih magnetnih kartica. To je plasti na kartica koje na svojoj pole ini imaju magnetnu traku na kojoj su zapisani ifrirani podaci koji se itaju opti kim ita em. Magnetna traka na zadnjoj strani mo e pohraniti oko 200 bajta ili 0,2 kb podataka. Zbog toga to je te ko pro itati ili zapisati podatke na karticu bez autorizacije te zbog toga to kartica mo e stati u svaki d ep, magnetna kartica je isklju ivo primjerena za sigurnu pohranu podataka. Povijest magnetnih kartica Povijest kartica se e u pedesete godine pro log stolje a, kada je Diners predstavio svoju prvu charge karticu. Nakon toga slijedi prava ekspanzija karti nih organizacija i njihovih proizvoda. Ovdje su navedeni neki od zna ajnih doga aja vezanih uz karti no poslovanje: 1950 - Diners predstavio prvu charge karticu 1958 Bank of America predstavila prvu bankovnu karticu (Bank Americard) 1965 ± Eurocard ustanovljen u Belgiji 1967 - osnovana Me ubankarska karti na organizacija (Interbank Card 55

Association) od strane ameri kih banaka 1968 - Interbank Card Association (ICA) i Eurocard oformili savez 1974 - osnovan Eurocheque International 1977 - Bank Americard postala Visa International 1979 - ICA postaje Mastercard International 1988 - MasterCard postaje dioni ar u Eurocard Interantional & EPSS 1992 - Eurocard, Eurocheque & EPSS su se spojili Europay International 2003 - Europay International nestaje u spajanju s MasterCard International i postaje MasterCard International. Magnetske kartica je vrsta kartica koje su sposobne pohraniti digitalne podatke, snimaju i magnetske uzorke izme u Äpruga³ na nali ju kartice. Postoje tri podatkovne trake izme u magnetskih pruga. Kreditna kartica koristi samo Traku 1 i 2. Tipi no, Traka 1 slu i za pohranu broja ra una, korisni kih imena, i vremena istjecanja kartice. Ova traka tako er mo e poslu iti za pohranu Ädiskrecijskih Ä podataka vezanih na izdavatelja kartice. Traka 2 je izgra ena za bankovnu industriju, tj. koristimo ju za spremanje kopije trake 2, ali bez korisni kog imena i koda usluge, koji je povezan sa sigurnosnim funkcijama kao to je koli ina dozvoljene transakcije. Telefonska kartica je vrsta Ätop-up³ magnetske kartice, koja na sebi sadr i trake 1 i 2. U pravilu Ätop-up³ je naziv za Äglupe³ magnetske kartice, zato to im je sigurnost na jako niskoj razini. U pravilu je dovoljno samo prepisati traku 2 sa novim brojem ra una.

13.1 ita i kartica
Postoji mnogo ita a magnetskih kartica odnosno takozvanih Äskimmera³. Ovi ure aji se izri ito proizvode za kori tenje u legalne svrhe, no ipak se koriste u ilegalnim aktivnostima. Primjer prenosivog ita a magnetskih kartica i njegova obilje ja imamo na sljede oj slici.

56

aplikacijsko brisanje zapisa ita i magnetskih kartica za itanje podataka sa kartica koriste posebnu komponentu koja se naziva glava ita a.ita sve tri trake.ita magnetskih kartica Obilje ja: . . Sve modernije glave ita a sadr e i integrirani F/2F bit koji slu i za spa avanje podataka.nakon spremanja . . visina38 mm.2 Koderi magnetskih kartica ita i magnetskih kartica su samo dijelovi opreme kori tene za kloniranje kartica. ita tako er sadr i i Äoscilatornu sekciju( dio )³ koja se koristi za uklju ivanje i isklju ivanje 13. vremenskih releja. dok neke novije verzije mogu itati sve tri trake istodobno. Za kloniranje magnetskih kartica naj e e se koristi MSR206 koder prikazan na sljede oj slici: Koder MSR206 57 .PIN-om za ti en ± etiri brojke.samostalan. Glava ita a sadr i poja ala signala i linijske upravlja ke programe. . Ve ina Äglava³ ita prvu i drugu traku istodobno. . . Magnetski ita je zapravo ure aj baziran na mikro -kontroleru .RS232/USB su elje.512 K bytes memorije ± vi e 2048 zapisivanja. . budu i da oni imaju samo mogu nost itanja podataka sa kartice. irina 30mm.Veli ina ± duljina 50mm. napajan baterijom ± CR2032 naponska elija.

mo e Äspasiti³ obrisanu elektroni ku po tu. Prvo obilje je odnosi se na spa avanje podataka koji su gre kom izbrisani. ali i brisanja datoteka koje elimo izbrisati zauvijek.Obilje - ja: mogu nost itanja i pisanja na magnetske trake mogu nost itanja pisanja na trake u kombinacijama Traka: 1. neovisno. te sve ostale podatke. elektroni ku po tu. Recuva tako er mo e prona i podatke na ure aju koji je formatiran. 2&3. U prvom koraku wizard nam pru a grupu opcija. Ovaj alat ima nekoliko obilje ja. 1&2. 58 . 2. odnosno smart ure aju. video sadr aj. jer na taj na in mo emo bilo gdje koristiti njezine mogu nosti. korisno ju je imati na bilo kojem prenosivom disku. cameri ili iPod-u. iskoristimo bilo koje od navedenih funkcija koje nam doti ni program pru a. Ovakve ure aje mogu e je lako kupiti. tra enja datoteka. ili obrisanu glazbu sa iPod Ovaj koristan program -a. Serijski/USB/PS/2 portevi. tj. Primjena forenzi kih alata . Budu i da ima svoju Äportable³ verziju. znanja i vje tine mogu e ih je pretvoriti u ure aje s kojima mo emo napraviti te ke kriminalne radnje. ra unalu. ima i mogu nost skeniranja tj. odnosno pomo nik koji nam poma e da bez nekih prevelikih napora povratimo izgubljene podatke. te uz malo truda. dokumente. 14. Kao ponu ene opcije imamo: slike. glazbu. dali su na usb memorijskoj kartici. Ponekad gre kom mo emo formatirati neki od ure aja na kojem imamo podatke. Recuva ima i koristan Äwizard³.primjer Kao primjer u ovom seminaru obradit emo jedan besplatan i vrlo koristan alat ± ÄRecuva³. me u kojima odaberemo tip(vrstu) podataka koje elimo Äspasiti³.

doc koja se nalazi na putanji: C:\Recuva. prvo smo obrisali naredbom delete. koja Ädirektno bri e³ sa operacijskog sustava. Budu i da smo ju zadnje maknuli iz ko a za sme e. tada ju obri emo i iz ko a za sme e. Poznato je svima. da nakon to je bilo koja datoteka obrisana na windowsima ona se privremeno Äspremi³ u ko za sme e. Ako ju elimo u potupnosti obrisati. tip podatka koji elimo opet vratiti u funkciju je dokument. tako da je jo uvijek mo emo vratiti u slu aju da shvatimo. Nakon to smo izabrali tip datoteke. U na em slu aju to e biti datoteka tipa . odabrana lokacija e biti upravno on. a onda ju jo maknuli iz ko a za sme e. Dakle. 59 . ili kod brisanja upotrijebimo kraticu shift+delete.Odabiranje tipa podatka Kao to je na slici iznad prikazano. sljede e to moramo je izabrati lokaciju na kojoj se nalazila tra ena datoteka. da se brisanje dogodilo gre kom. Brisanje datoteke u ovom slu aju i lo je na uobi ajen na in.

Odabir lokacije na kojoj se nalazi tra ena datoteka Odabiranjem lokacije i pritiskom na next Recuva po inje skenirati tra enu lokaciju. Te pronalazi sve obrisane datoteke iz tzv. ko a za sme e. 60 .

Prvi tab . Ako elimo koristiti napredne dijelove Recuva programa u gornjem desnom dijelu ekrana pritisnemo na ÄSwitch to advanced mode³. Tada nam se sa desne strane otvori ekran u kojem stoje tri taba. ali upitan je sadr aj. odnosno datoteku je mogu i spasiti. kao to mo emo vidjeti na slici ispod. ako je tra ena datoteka bila slika.Rezultati skeniranja Kao to mo emo vidjeti iz rezultata skeniranja. Recuva je prona ao na u obrisanu *.ÄPreview³ na koristi. Zelena boja ozna ava da je datoteku mogu e povratiti. dok naran asta boja zna i ba suprotno.doc datoteku. odnosno da ne e do i do gubitka sadr aja. Mo emo primijetiti da su datoteke ozna ene razli itim bojama. Po meni najva niji je tab ÄInfo³ u kojem vidimo sve najva nije podatke o izbrisanoj datoteci. 61 . U tome slu aju mo emo vidjeti pregled te slike.

Recuva nam izbaci prozor u kojem odaberemo mjesto na koje elimo spremiti datoteku i time postupak spa avanja podatataka zavr ava. 62 .Kori tenje naprednih opcija Sljede i korak je da datoteku jednostavno ozna imo kva icom i stisnemo na Recover u donjem desnom dijelu ekrana.

praksa. znanje te ostali njima sli ni parametri. dok ovjek ima klju nu ulogu u interpretaciji podataka i dono enju zaklju aka. Dana nji sustavi sadr e ogromne koli ine podataka. Forenzika nam omogu ava da te podatke analiziramo. Bit ra unalne forenzike je initi dobro. Stru nost. Nakon to su podaci pribavljeni potrebno je te podatke analizirati i napraviti apstrakciju nad njima. pohranjenih u razli itim spremi tima podataka. Upravo ove injenice potvr uju da ra unalna forenzika predstavlja jedno vrlo zahtjevno podru je u kojem vrijeme i ovjek imaju klju nu ulogu.15. odnosno uni tenja na odgovaraju i na in. 63 . sinteza. Zaklju ak to je tehnologija razvijenija te e nam je pratiti bilo kakve doga aje i aktivnosti unutra na eg informacijskog sustava. vje tine. Alati otvorenog koda pokazali su se kao izvrstan temelj za u enje i razumijevanje metoda i procedura koje se primjenjuju. Analiziranjem i sintetiziranjem dobivenih informacija donose se zaklju ci koje se oblikuje rje enje nekog slu aja. odnosno potrebno je izdvojiti odgovaraju e informacije. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. nu ni su uvjet da bi se ovjek usko bavio nekom granom forenzike. te ostale metode su naro ito zahtjevni vremenski procesi. Analiza. Dobro poznavanje sklopovske i programske opreme predstavlja preduvjet za prakticiranje forenzi ke znanosti. izdvajamo i sa uvamo od destrukcije. apstrakcija.

tportal.net/support/netintercept/downloads/ni-ieee.16.cs.2009. de Jongh.11.pdf.pcekspert.net/how-to-cd-data-recovery.11. Literatura y http://digital.zemris.2009.tech-faq. http://sistemac. dostupno 15.pdf. Forensic dana recovery from flash memory. dostupno 15. dostupno 15. Breeuwsma.2009 http://www.html. Klaver.hr/tehno/racunala/42598/Microsoftov-forenzicki-alat-procurio-nainternet.11. dostupno 15. dostupno 15.srce. http://www.11.2009.2009.2009.wikipedia. http://os2. dostupno 15.2009 http://www. http://en. M. dostupno 15. dostupno 15.usu.sandstorm.pdf.hardwaresecrets.edu/~erbacher/publications/NetworkForensicProcesses.2009.pdf.11. dostupno 15.htm.org/wiki/Magnetic_stripe_card . http://www.2009. http://www. dostupno 15. lipanj 2007. C.11.11.tech-pro.com/article/245.hr/fileadmin/user_root/seminari/Srce-Sys-SeminariOsnove_racunalne_forenzike.shtml.fer.com/downloads/Network%20Forensics.2009.2009.html.bitcricket.11. dostupno 15.2009 http://www.11.11. y y y y y y y y y y y y 64 . M.11.hr/ostalo/2007_horvat/Forenzika.11.com/showthread.2009.com/dokumenti/uploads/forenzika/Wireless_forenzika. http://datapodium.11.com/magnetic-card-reader. http://forum.php?t=88478. dostupno 15.pdf. van der Knijff i Mark Roeloffd. R. dostupno 15.

17. Zadu enja tima Zoran Erdec y y y y Spa avanje podataka Tvrdi diskovi Opti ki ure aji Flash memorija Denis Miksi y y y y y Uvod u mre nu forenziku Unutra nja sigurnost Forenzi ki postupci i alati Wireless forenzika Analiza be i nog prometa Nikola Modru an y y y y y Uvod Forenzi ki alati u forenzici Magnetske kartice Primjena forenzi kih alata ± primjer Zaklju ak Bojan Vuk i y y Forenzika(op enito) Materijalni nositelji 65 .

Sign up to vote on this title
UsefulNot useful