Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Vara din, 2009.

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sveu ili te u Zagrebu Fakultet organizacije i informatike Vara din

Bologna 7. semestar

Forenzika materijalnih nositelja, mre nog prometa i spa avanje podataka
Seminarski rad

Zoran Erdec Denis Mik i Nikola Modru an Bojan Vuk i

Sadr aj

1.

Uvod ................................ ................................ ................................ .............................. 1 2.1 Forenzi ke metode i procedure ................................ ................................ ..................... 4 2.2 Forenzi ka analiza ................................ ................................ ................................ ........ 8 2.3 Forenzi ki alati ................................ ................................ ................................ ............. 9

2. Forenzika (ra unalna forenzika) ................................ ................................ ......................... 3

3. Materijalni nositelji (op enito)................................ ................................ .......................... 12 4. Uvod u mre nu forenziku ................................ ................................ ................................ . 13 5. Unutra nja sigurnost ................................ ................................ ................................ ......... 15 5.1 Prikupljanje podataka ................................ ................................ ................................ . 15 5.2 Na in rada alata za mre nu forenziku ................................ ................................ ......... 17 5.3 Analiza mre nog prometa ................................ ................................ ........................... 18 6. Wireless forenzika ................................ ................................ ................................ ............ 19 6.2 Komunikacijski medij................................ ................................ ................................ . 20 6.3 Pokretljivost klijenata ................................ ................................ ................................ . 21 6.4 Karakteristike prometa................................ ................................ ................................ 22 6.5Performanse ure aja za prikupljanje prometa................................ ............................... 22 7. Forenzi ki alati i postupci................................ ................................ ................................ . 23 7.1 Zahtjevi i preporuke................................ ................................ ................................ .... 23 7.3 Komercijalni i alati otvorenog programskog koda ................................ ....................... 24 8. Analiza be i nog prometa ................................ ................................ ................................ 25 8.1 Spajanje prometa vi e kanala ................................ ................................ ...................... 25 8.3 Rukovanje prometom preklapaju ih kanala................................ ................................ . 26 8.4 Filtriranje i ubrzavanje analize................................ ................................ .................... 26 8.5 Tehnike maskiranja i prikrivanja tragova ................................ ................................ .... 26 9. Spa avanje podataka................................ ................................ ................................ ......... 27 10. Tvrdi diskovi ................................ ................................ ................................ .................. 29 10.1. Fizi ki kvarovi ................................ ................................ ................................ ......... 30 10.1.1. Neispravna glava................................ ................................ .............................. 30 10.1.2. Neispravan motor................................ ................................ .............................. 32 10.1.3. Neispravna elektronika................................ ................................ ...................... 34 10.1.4. O te enje plo a (lo i sektori) ................................ ................................ ............ 35 10.1.5. Neispravan ugra eni softver (eng. Firmware) ................................ ................... 36 10.2. Logi ki kvarovi ................................ ................................ ................................ ....... 37

........ O te enja uslijed djelovanja virusa..................... JTAG ............. O te enja baze podataka i e-mail baza..2................ ..... Fizi ke karakteristike ...................2..............................................................................................................10.... .... Gubljenje particija .......... Programski alati .............................1... Fizi ka ekstrakcija .3..... Flash memorija ......... 49 12............ ....................................... .. ..................2. ..................... ................. ...............................................................................1... Softver za spa avanje podataka na opti kom mediju ........5... ..2.. ........................ Literatura ................................................... ................................................................ ................ Zadu enja tima .................. ........ ................. 39 10................... .... ..................... Spa avanje podataka . 58 15............................ Preporuke za spa avanje podataka sa opti kih ure aja ............... .................. ................ ..3....1 ita i kartica ..... . .2 Koderi magnetskih kartica .. 47 12........................................... Magnetske kartice..... 56 13...........2....2.................... 39 10............... .. ... 38 10................... 37 10....................... 55 13.................................... ................... ..... .................. .....3............................................. .......................................................................... 38 10. ........2. ........... .............. Spa avanje filmova i muzike sa cd-a i dvd-a ..................4..................... .......... .2................... 64 17.................................. 44 11.......... 47 12...................................... Mitovi o spa avanju podataka sa tvrdog diska ...................................... Brisanje podataka ........................................... .... ...... 44 12..................................................................................... ... 63 16......................................4.. 65 .... ......................... 45 12..... Primjena forenzi kih alata .................... .............. Prikaz praznog opti kog medija ............... 57 14............2...... .......... Zaklju ak .................................primjer ....3................................ ...1............................................. ................................ .............. 53 13.. .......................... ....... ...............2.......2.............2....1........................................................... 45 12.................. ............. ............ .................... Opti ki ure aji............................................... Reinstalacije operacijskog sustava................ 39 11........... . 44 11.. ..................... 43 11.. 43 11...... ........................................

instant poruka i za bilo koji drugi oblik srodne ra unalne komunikacije. forenzi ki znanstvenik. U dana njici mogu e je sve e e na televiziji vidjeti razli ite serije koje se bave tom tematikom. znanstveno istra ivanje ra unala ili ra unalnih podataka u odnosu na istragu po odgovaraju em zakonu. Ra unalna forenzika se mo e koristiti za pra enje e-po te. iako ne previ e. Ra unalna forenzika je zapravo. sli na CSI istragama na televiziji. te njihove postupke odnosno Äscenarije³ napada na doti ni sustav. To mo e biti potrebno. tipka za brisanje jednostavno uklanja datoteke lokacija iz indeksa datoteka i stvarni podaci sigurnosnu jo uvijek u sustavu. Ovisno o sustavu za tite koji je implementiran u na sustav. Iako je mogu e o istiti i izvaditi podatke s tvrdog diska. bit e u mogu nosti rekonstruirati zlo in koriste i podatke iz bilo kojeg ra unalnog sustava. Dakle obnavljanje podataka je zapravo spada u vje tine osoba koje se bave ra unalnom forenzikom. 1 . to je tehnologija razvijenija te e nam je pratiti bilo kakve initi doga aje i aktivnosti unutra na eg informacijskog sustava. Lako je uo iti da sa razvojem znanosti. Ra unalna forenzika je znanost koja se se rapidno razvija. U slu ajevima napada na promatrani informacijski sustav bitno je detektirati napada e. sukladno tome procesu nastaju. Ra unalna forenzika je dosta. paze i na ulaganja koja. ovje anstvo dobiva prednosti i poticaje za daljnji razvitak. pogotovo u svijetu ra unala i podataka gdje se brzina kretanja informacija odvija u milisekundama. u na em slu aju ra unalne tehnologije. Bit ra unalne forenzike je dobro. ve ina ljudi jednostavno misle da Ädelete³ tipka zaista uklanja podatke. Kori tenjem naprednih tehnika i tehnologija.1. postoje razli ite mjere i na ini za tite informacijskog sustava. Uvod Potpunu sigurnost informacijskog sustava ne mo e nam nitko jam iti. ra unala i drugih supreriornih tehnolo kih alata. svesti na najmanju mogu u razinu. upravo zbog tih razloga poku avamo opasnost koja prijeti. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. U tome cjelokupnome razvitku i rapidnom irenju tehnologije dolazimo i do problem koji njezinim nastankom nastaju. U stvarnosti.

Forenzika koristi i metode analize. moramo primijetiti. povijesnu metodu. primjerice prekrivanjem otisaka obu e na tlu u slu aju ki e. ak i kada su dokazi na neki na in ugro eni. a nepa ljivo ili nestru no provo enje istrage tako er mo e rezultirati gubitkom klju nih podataka. sinteze. te metodu apstrakcije. ÄDead Body³ teoremu (ÄIt's not going anywhere!³). odnosno djelovanja same znanosti je u gotovo svakom kutu ljudskog stvarala tva. Kao primjer: mo emo ju primijeniti u ra unalnim mre ama. da je to jedna od najslo enijih metoda znanstvenog rada. Digitalni dokazi su ujedno i mnogo ranjiviji od fizi kih pa je vje tom napada u puno lak e ukloniti tragove svoga djelovanja.³ Ra unalna znanost je jako irok pojam. a sastoji se od niza analiti kih metoda za otkrivanje. uni tavanja intelektualnog vlasni tva ili prijevare. 2 . Postupci RFA u mnogo emu se razlikuju od postupaka klasi ne forenzi ke analize. Kod klasi ne istrage dovoljno je osigurati mjesto zlo ina kako bi se za titili dokazi. odnosno istra ivanja. za koje se ka e da se pokoravaju tzv. prikupljanje. te esto podrazumijeva ispitivanje ra unalnih sustava kako bi se utvrdilo njihovo kori tenje u ilegalnim ili neautoriziranim aktivnostima poput kra e poslovnih tajni. Kroz ovaj seminar obra ene upravo navedene primjene. spa avanju podataka i mnogim drugim. Zbog takvih razloga je i ra unalna forenzika primjenjiva u gotovo svim oblicima ra unalne tehnike. odnosno dola enja do injenica putem jednostavnim okulatornih pregleda i bilje enja promatranog. situacija je daleko zamr enija. Budu i da je spomenuto da je to metoda. Kod RFA. ispitivanje i skladi tenje podataka. odnosno korake i cjelokupan scenarij dola enja do odre enih zaklju aka. jer na ra unalu nema rupa od metaka ili mrlja krvi koje bi ukazale na zlo in. Samo za utvr ivanje prisutnosti dokaza potrebno je provesti sveobuhvatnu analizu sustava.Prema CarNet-u i LS & S-u ra unalna forenzika definirana je na sljede i na in: ÄRa unalna forenzi ka analiza (RFA) je postupak utvr ivanja injenica nad digitalnim medijima primjenom razli itih metoda. u materijalnim nositeljima. mogu e ih je za tititi brzo i bez posebnih znanja. Forenzika ima svoje metode. Ona u svojem prvom koraku uzima u obzir metodu promatranja. Naj e e se koristi u postupcima sudskog dokazivanja.

. be i ne komunikacije ili medija za pohranu podataka. To su memorije koje se nalaze u chache registrima ili RAM-u.. Podatke koji se skupljaju u ra unalnoj forenzici mo emo podijeliti u dvije skupine. uvanje takve memorije nije unaprijed tehnolo ki odre eno i svaki bi administrator trebao u sustavu 3 .2. cdima.. i nakon prestanka napajanja ra unala. disketi. obuhva a znanstvene postupke kojima se istra uju doga aji. U ljudske imbenike ubrajamo svako ono ljudsko pona anje koje je uzrokovalo tetu. ve poznavanje ra unalne forenzike omogu ava i da uspje no prilagodimo informacijski sustav da bude spreman pohranjivati va ne podatke koji e nam dati do znanja tko se je kada ulogirao na sustav i sli ne podatke koji bi nam mogli biti od zna aja dok smo u pravnom sporu oko ne eljenog incidenta koji je pogodio dano poduze e. a mo e se koristiti kao dokaz na sudu. Prirodni imbenici koji povisuju potrebu za forenzikom su tete koje nastaju zbog uni tavanja medija ili sustava prilikom poplava. Forenzika ra unala je nova disciplina koja je mje avina zakonskih odredaba i ra unalne znanosti kojom se skuplja i prou ava sve to se skupi u vidu podataka iz ra unalnih sustava. tj. do problema sa operacijskim sustavom. vatre. analiziraju i prezentiraju podaci sudovima. mre a. prirodnih uzroka. potresa. Forenzika (ra unalna forenzika) Forenzika. ra unalni kriminal mo e varirati od neovla tenog upada u sustav do dje je pornografije. ne eljene promjene na podacima (overwrite). organizacijskih problema.. zakonski se procesira. Problemi koji se mogu dogoditi unutar samog operacijskog sustava su: virusi. prestanak rada diska. naj e e kriminalne prirode. od ljudskog imbenika. -u. naj e e tvrdom disku. op enito. njegovim ga enjem. To su trajni i privremeni podaci. Znati ra unalnu forenziku nije samo bitno zbog skupljanja podataka nakon to se je dogodio odre eni incident koji se zastupa na sudu tj. dvd-ima. sabota a ili sli no) ili nenamjerno (neznanje ili nepa nja osoblja). fizi kog o te enja. Pravni razlozi za zakonsko gonjenje tj. Organizacijski problemi su tehni ke nadogradnje software-a ili hardware-a. Privremena memorija je memorija koja postoji samo kratki dio vremena i nestaje dok se ra unalo ugasi. Uzroci potrebe za ra unalnom forenzikom mogu biti mnogostruki. djelovanje nezadovoljnog zaposlenog. Forenzika je proces kojime se znanstvenim metodama skupljaju. se ne gube. ve i na flash memoriji sticka. a mo e biti namjerno (u vidu ucjene ili iznu ivanja novaca. Trajni podaci mogu biti ne samo na tvrdom disku. Trajni podaci su oni koji su zapisani na mediju. slu ajno obrisani podaci.

Ra unalni forenzi ari. ako se time kr i privatnost osoblja. tada se obavljaju neke zada e (procesi) unutar sustava. Forenzika se sastoji od vra anja podataka.organizirati uvanje takvih podataka u obliku koji je vjerodostojan na sudu. prema stanju sustava koji se analizira. Pri pode avanju sustava kako bi se mnogi va ni podaci zapisali i mogli iskoristiti kasnije u slu aju potrebe treba imati u vidu i zakonske odredbe kako ne bi bilo kolizija. mo da najbitnije. kriptirane ili o te ene podatke s medija. Privatni podaci osoblja se ne bi smjeli uzimati ili pohranjivati. a u isklju enom stanju se obavlja post-mortem analiza. Forenzika ne slu i samo da bismo skupili dokaze protiv pojedinca ili organizacije koja je izvr ila neku nedozvoljenu akciju ve i kako bismo imali podatke o okolnostima pod kojima je sustav pao (ne nu no vanjskim djelovanjem s namjerom njegova ru enja) kako bismo mogli popraviti i pobolj ati sustav. Mogu se dogoditi propusti administratora u vidu da e se pamtiti podaci koje on. po zakonu. Ra unalna forenzika je bitni dio svakog sigurnosnog plana poduze a. Vra anje podataka je drugi vid ra unalne forenzike. S obzirom na postupke forenzi ke analize dijelimo. 2. Tako privremena memorija postaje trajna. a izdvajanje i identifikacija predstavljaju prikupljanje dokaza iz kompromitiranog sustava koji promatramo. isto tako. Najbolja primjena forenzi kog znanja je u vidu prevencije pada sustava ili njegove dugotrajne nedostupnosti. izdvojiti. tra enja uzroka i dono enje valjanih dokaza. ne smije zapisivati jer spadaju u privatne podatke koji su za ti eni. koriste irok spektar metoda kako bi otkrili izbrisane. 4 . dokumentirati ra unalne dokaze. na sustav koji je uklju en i sustav koji je isklju en. n e e aj administratori sustava. U bilo kojem od postupaka potrebno je prepoznati. U uklju enom stanju sustava forenzi ku analizu zovemo live. o uvati i. postavljanje programa za nadzor aktivnosti na ra unalu ne bi smio diskriminirati pojedince ili zadirati u njihovu intimu.1 Forenzi ke metode i procedure Postoji vi e vrsta metoda i procedura forenzi ke analize. Poznavanje zakona sredine u kojoj se djeluje je preduvjet postavljanju sustava ra unalne forenzike kako bi se osigurao sustav u slu aju pada.

Ponekad je veoma te ko. zapisi u RAM memoriji. To su na primjer: stanja procesa. spremnike podatka ili ih se treba dostavljati na neko drugo ra unalo koje je ujedno i u slu bi forenzi kog sustava kao pohrana i analiza prikupljenih podataka. Prikupljanje dokaza da se je dogodio napad na sustav.Live analiza sustava se odnosi na analizu uklju enog sustava i specifi na je po tome to neki dokazi se mogu prona i samo kada je sustav uklju en. a s time i na in na koji e se prikupljeni podaci spremiti. Po to je sustav u live stanju veoma osjetljiv potrebno je prilagoditi i alate koji e se koristiti za analizu. programi moraju biti stati ki vezani. 5 . popis procesa koji su aktivni u sustavu. popis svih otvorenih procesa sa datotekama koje koriste. popis otvorenih mre nih veza. Podaci koji se skupljaju su: datum i vrijeme sustava. to nije ne smiju biti vezani za kori tenje biblioteka napadnutog sustava jer e i one tada biti kompromitirane kao i ostatak napadnutog sustava. sustav ne smije isklju iti zbog toga to on obavlja va nu funkciju i njegovo ga enje bi uzrokovalo tete (naj e e nov ane). Ako se sustav ugasi. Savjet je da alati budu postavljeni na prijenosne medije kako bi se koristili pri analizi sustava. Prvo to trebamo u initi kako bismo uop e po eli prikupljati podatke je to koje emo podatke skupljati i koje je njihovo mjesto pohrane jer se kod live analize sustava podaci ne smiju spremati lokalno na sustav koji se analizira zbog mogu nosti da izgubimo va ne dokaze te se takvi podaci moraju spremati na specifi ne. isklju iti sustav i analizirati napade jer se npr. iz raznih razloga. nad kojim se vr i forenzi ka obrada. unaprijed pripremljene. Popis svih onih sustava koji su na bilo koji na in bili povezani sa sustavom na koji je izvr en napad. ali ipak treba se provesti dovoljno operacija kako bi se analizom do lo do konkretnih i valjanih podataka. ustanovljavanje raspona napada i odluka o tome da li je potrebno napraviti analizu isklju enog sustava le i na na osobi koja obavlja ra unalnu forenziku. Live analiza sustava je vrlo delikatan posao jer se sve radnje obavljaju dok je sustav uklju en i mo e se dogoditi da nehotice poremetimo rad samog sustava. otvorene mre ne veze i sadr aj privremene memorije (RAM). a koje emo alate koristiti zavisi o tome o kojem se operacijskom sustavu radi tj. Zbog tog razloga je potrebno broj radnji kojima emo vr iti analizu sustava svesti na minimum. Alati koji e se odabrati za potrebnu analizu uklju enog sustava moraju biti nezavisni programi koji se e izvoditi u ljusci samog operacijskog sustava zbog toga to su programi sadr ani u kompromitiranom sustavu nepouzdani te se ne mogu koristiti za analizu zbog estih slu ajeva da napada postavi u sustav kompromitirane programe s ciljem prikrivanja dokaza o njegovom napadu. Ujedno. vremenske oznake datoteka te kazala datote nog sustava. tada se ti dokazi gube.

a mogu e 6 . na drugoj strani potrebno je dekriptirati. a ukoliko utvrdimo da je mre a nepovjerljiva potrebno je za tititi podatke koji se prenose dodatnim metodama kriptiranja. Podaci bi se lako mogli presresti i promijeniti ukoliko ne budemo oprezni. priru na memorija. str 6). to se ti e pohrane raznovrsnih podataka na materijalne nositelje. Postupak spa avanja podatka ne bi smio ugroziti konzistentnost analize sustava. Premda je prijenos podataka na fizi ki dislocirano ra unalo preko mre e (ili interneta) odli no rje enje. Dobar izbor bi bio i prijenos podataka preko mre e na udaljeno ra unalo koje smo pripremili u svrhu spremanja podataka. mo e se re i da je to odli no rje enje.Jo jedan va ni imbenik pri live analizi sustava je ivotni vijek koji imaju odre eni podaci. Oni koji imaju kra i ivotni vijek e prije nestati iz sustava te je bitno skupiti one podatke koji imaju najkra i ivotni vijek to prije. a zbog velike dostupnosti prijenosnih ra unala koja se mogu podesiti na im zahtjevima u vidu operacijskog sustava i forenzi kih alata to je svakako isplativo rje enje za uspostavljanje forenzi kog sustava. vanjska 10-9sekundi memorija. ± ÄForenzi ka analiza ra unalnog sustava³ . Skupljaju i tj. ne smijemo zanemariti sigurnosti i povjerljivosti mre e kojom se podaci prenose. U tablici vidimo korelaciju tipa podataka sa ivotnim vijekom koji imaju. a bitni su zbog toga to su mo da upravo ti podaci klju ni dokaz. radna memorija stanje mre nih veza stanje aktivnih procesa tvrdi disk prijenosni mediji (CD-ROM. Tip podataka ivotni vijek registri. Kriptirane podatke koji se alju na forenzi ki sustav. Jedan od najsigurnijih na ina za mre ni prijenos podataka je da se kompromitirani sustav izravno pove e sa forenzi kim to osigurava siguran prijenos podataka. (tablica preuzeta iz: Horvat A. DVD) 10-3sekundi sekunde minute godine Kada promatramo prikupljanje podataka odre eno prema ivotnom vijeku svakog pojedinog podatka mo emo uo iti kojim se redom moraju podaci spa avati od uni tenja. rje enje koje zahtijeva samo da se pripremi vi e razli itih spremnika iji kapacitet zadovoljava sve zahtjeve sustava. spa avaju i podatke mo emo promijeniti podatke na drugom dijelu sustava.

kako bi se osigurali od naknadnih izmjena. nedvosmislene. Nakon to smo prikupili podatke va no je o uvati njihov pojedina ni integritet.ih je slati kori tenjem sigurnog ssh tunela ili kori tenjem razli itih alata koji omogu uju takvu komunikaciju te kriptiraju sav promet. Prilikom pojedina nih live analiza sustava uzimamo na po etku i na kraju analize datum i vrijeme sustava koji je bio napadnut te se smje ta analiza u vremenski okvir. na elo potpunosti (ne smije biti djelomi nih podataka). Live analiza je veoma zahtjevan proces koji podrazumijeva i veliku preciznost u skupljanju podataka s ciljem smanjenja mogu ih pogre aka i utjecaja analize na sustav. Kako bismo bili sigurni u analizu potrebno je imati i povjerljivu ljusku operacijskog sustava u kojem se analiza obavlja kako se ne bi ispostavilo da je napada kompromitirao i ljusku te je tako u inio da su analize i alati koji bi dali rezultata u forenzi koj analizi sigurni. Procedure koje se koriste u live analizi sustava moraju biti automatizirane. a smanjuje se utjecaj pogre aka te pove anje brzine mogu e je posti i testiranjem skripte prije kori tenja. Drugi oblik analize sustava je post mortem analiza. Uz pa nju treba uzeti i privatnost podataka i za titi ih od neovla tenog pristupa. napadnuti sustav isklju imo i onda se osigurava forenzi ka kopija spremnima podataka u pojedinom sustavu. a standardni alati koji se koriste kod toga su alati za izradu sa etaka kao to su MD5 i SHA1. Kada odabiremo alate za provo enje forenzi kih analiza moramo paziti kako bi to bili alati u koje postoji visoko povjerenje. Najsigurnijim ljuskama se smatraju Linux bash i Windows cmd. Kod skupljanja dokaza forenzi kim alatima moramo paziti da i odre ena na ela budu zadovoljena. a to su naj e e tvrdi diskovi na kojima su svi potrebni podaci zapisani. To je analiza ''nakon smrti'' tj. Rezultati dobiveni kori tenjem skripti mogu se preusmjeriti na ulaz raznih alata za provedbu live analize kako to ne bismo morali pojedina no raditi. na elo pouzdanosti (dokazi se moraju dobiti uvijek na isti na in) i na elo razumljivosti (prezentacija podataka u razumljivom i prihva enom obliku). To su na elo autenti nosti (podatak mora biti vjerodostojan). Kako bismo zadovoljili zahtjeve koje smo si postavili za live analizu sustava naj e e se pi u skripte s naredbama za izvo enje koje omogu uju da se automatizirano izvodi ve i broj naredbi. Integritet mo emo osigurati i prije nego aljemo podatke da bi se kod primitka utvrdilo da li je do lo do bilo kakvih promjena tijekom slanja. detaljno razra ene. ponovljive i moraju umanjiti utjecaj dono enja odluka na provedbu istih. zna i da ti alati moraju davati isklju ivo ispravne rezultate jer u protivnom analiza nije valjana i nema smisla uop e je provoditi. Post mortem 7 . To su pravna na ela kojih se moramo dr ati kako bi imali dokaze na sudovima koje e taj sud prihvatiti kao vjerodostojne.

Poznavati operacijski sustav koji je napadnut te znanje kako on funkcionira u svojim posebnostima bitno je za uspje no tuma enje informacija prikupljenih analizom podataka i njihovo razumijevanje. te mora zadovoljiti odre ene kriterije. Ako je analiza particija uspje na. Nakon toga emo provesti analizu svake pojedine particije forenzi ke kopije. Svi podaci se kopiraju na razini jednog pojedinog bita.2 Forenzi ka analiza Prikupljeni podaci s kompromitiranog sustava se moraju analizirati kako bismo saznali informacije od va nosti za otkrivanje stanja napadnutog sustava. Analiza se vr i za svaku particiju posebno i problem bi mogao nastati ako su particijske tablice uni tene. 2. Tako su i oni podaci koji ina e u sustavu ne bi bili vidljivi (kao to su obrisane datoteke) sa uvani i u kopiji. ako druge metode nisu omogu ene. ne smiju se mijenjati originalne datoteke i mora biti u mogu nosti zadovoljiti mogu a ispitivanja dobivenih rezultata od tre e strane. a na kojemu e se analiza provesti. dakle istog proizvo a a. nakon stvaranja kopije se priklju uju na forenzi ki sustav koji podr ava odre eni tip datote nog sustava. kapaciteta.Tako se dokazi tite od uni tenja na originalnom sustavu. koji mora imati omogu avati kopiranja svakog pojedinog bita s originalnog spremnika podataka. prvo je potrebno odabrati pravi alat. Treba naglasiti da se analiza ne provodi nikad nad originalom ve se provodi nad originalnim podacima na fizi ki identi noj kopiji koju nazivamo radna kopija. kako je do napada do lo i kako bi se moglo napad ubudu e sprije iti. brzine okretaja u sekundi te moraju biti prazni u potpunosti kako prije zapisano na disku ne bi omelo analizu podataka ija se kopija izra uje.analiza se mo e provesti samo nakon to je sustav isklju en. ponovno stvaranje sadr aja 8 . Forenzi ka kopija koju u inimo od tvrdog diska je fizi ka kopija spremnika podataka. Kada upotrebljavamo vi e spremnika trebamo biti pa ljivi da su svi istih karakteristika. Ti kriteriji su omogu avanje oporavka od pogre aka koje su nastale prilikom itanja podataka. a do njegova ga enja mo e do i i fizi kim odvajanjem od izvora napajanja. Pod rekonstrukcijom originalnog okru enja rada sustava mislimo na to da se prona u odgovaraju i spremnici podataka (mediji za pohranu) koji po kapacitetu trebaju biti jednakim originalnim ili ak ne to ve i. Kada izra ujemo forenzi ke kopije. slijede i korak je analiza datote nog sustava koja se mo e podijeliti u korake kao to su oporavak obrisanih datoteka.

a uspredba sa etaka datoteka napadnutog sustava mo e se provesti uz pomo javno dostupne baze sa etaka u kojoj su uvijek sadr ani sa etci poznatih datoteka kompromitiranih sustava.. slobodnog i mrtvog prostora. 2. Ono to je bitno je da se datoteke koje se obrisu ne bri u odmah s diska ve se samo makne pokaziva na taj podatak. tako er. kao to je tip datoteke.3 Forenzi ki alati Osnovna za uspje nu forenziku je sama priprema. minimalni i napredni alati koji su obi no skupi i dosta specijalizirani. kada je datoteka bila mijenjana a kada je bila stvorena.datote nog sustava. Nakon to smo oporavili izbirsane datoteke i vratili ih. U vezi sa stvaranjem sadr aja datote nog sustava. ime se olak ava pretra ivanje.. postoji mogu nost pronalaska datoteka koje nisu vidljive na razini datote nog sustava. vrijeme zadnjeg pristupa. Datoteke se. Podatak ne postoji vi e u operacijskom sustavu. pregled privremenih datoteka (cache memorija). sortiranje datoteka i petra ivanje njihovog sadr aja. oporavak nealociranog. informacije o veli ini datoteke. Nabavka istih savjetuje se uglavnom u situacijama kada je potrebno do zadnjeg detalja odrediti detalje provale(ra unalni sustavi banaka.. ijenica je da programi u svom radu skoro uvijek stvaraju privremene datoteke koje ostaju u sustavu i nakon prestanka rada programa pa te iste datoteke mogu pru iti va ne dokaze koje emo koristiti. Vra anje izbrisanih datoteka jer esto odli an na in za pronala enje dokaza o napadu na sustav jer napada uvijek poku ava prikriti tragove svojeg napada brisanjem datoteka. Postoje tzv. to je veoma va no jer se informacije koje se dobiju koriste za rekonstrukciju doga aja na sustavu koji je bio napadnut te se stoga za svaku datoteku mora generirati to je ve i broj informacija. pregled zapisa u operacijskom sustavu i sli no. mogu i grupirati po odre enim karakteristikama. no veliku. a neke od informacija koje bi se trebale dobiti od datoteke napadnutog sustava su apsolutna putanja datoteke. odnosno najve u pomo pru aju nam razli iti alati. ali je on jo uvijek realno zapisan na disku u obliku nula i jedinica dok god se ne prepi u novi bitovi preko njega. Kada bi radili neku podjelu tih alata tada bismo ih mogli podijeliti na programske 9 .). Sa etak datoteke omogu uje da se izdvoje datoteke koje emo dodatno analizirati te se tako mogu odrediti va nije datoteke nakon ega emo se usredoto iti na njih to e skratiti vrijeme analize sustava. krovnih dr avnih institucija i sl.

³ Slika 1 "ledeni brijeg" Osim ra unalne forenzike postoje i mnoge druge vrste forenzika. tj. swap datotekama.org/tools/. Zaklju ak bi ipak bio.(software) i sklopovske (hardware). da mi ovdje govorimo o ra unalnoj forenzici dokazi s kojim ona raspola e su zapravo digitalni dokazi. Budu i. stru nost osobe koja vr i forenzi ku analizu. Materijali s kojima forenzika raspola e mogu biti razli ite gra e. Svaka digitalna struktura podataka je zapravo niz bitova i bajtova koje mo emo prikazati u sljede oj tablici: Slika 2 Digitalni dokazi 10 . Sklopovski alati su brojni i mo emo ih na i na stranici : http://www. principa "ledenog brijega": Äsamo mali dio digitalnih dokaza je mogu e otkriti pomo u alata operacijskog sustava. dok se velika ve ina digitalnih dokaza nalazi skrivena u razli itim privremenim datotekama. obrisanim mailovima i na svim sli nim mjestima koja su nevidljiva takvim alatima. Alati bazirani na sklopovima postoje u brojnim izvedbama. Pravi razlog kori tenja forenzi kih alata je primjena tzv. file slackovima. ali su iskupi i naj e e usko specijalizirani te se zbog toga preporu a kori tenje samo komercijalnim ustanovama.forensix. da je najva niji alat zapravo na e znanje. obrisanim particijama diska. iako mo emo na i i druge vrste dokaza.

11 . BackTrack itd. Va no je spomenuti da svi ti alati su ve inom gra eni na linux jezgri i dolaze kao live-cd. . specijalizirani alati koji dizajnirani da budu prenosivi putem usb-stick memorija i na taj na in pru aju mogu nost forenzi ke obrade na mjestu nastanka kriminala.E.I. no u protivnome postoje i mali tzv.Kao to je ranije re eno. a na kraju e biti obra en jedan primjer u praksi. Kao primjere alata ko nastoje biti univerzalni na ovome ji podru ju mo emo navesti F. Kroz svaki dio ovog seminara bit e obra eni alati za odre ena podru ja o kojima e se biti opisan njihov rad. postoje razli iti univerzalni alati koji pokrivaju gotovo cijelo podru je forenzike ra unalnih sustava.R.

Materijalni nositelji se mogu prou avati kao sadr aj koji je na njima. Cd-i. spremnici podataka nekog pojedinog ili od vi e sustava zajedno. i sudskih dokaza za napad na sustav. 12 . Koriste se najvi e CD-i. jednom mjestu. na inu magnetskog zapisa koji e nam re i koji bit je zapisan i koliko puta na odre enom. a u kona nici. Ra unalnoj forenzici su bitni samo digitalni materijalni nositelji jer su oni direktno vezani za rad i analizu rada ra unalnog sustava. Ako je CD ili disk o te en morat emo fizi ki vr iti analizu zapisa na mediju. To se obavlja tehni kim putem tako to se na razne na ine prou ava gdje je bila zapisana jedinica i nula ( tj. diskete. DVD-i i prijenosni diskovi kao spremi te podataka. Na materijalne nositelje se upisuju podaci iz sustava koji je bio kompromitiran kako bi se bez utjecanja na rad sustava mogle obaviti analize napada na sustav. DVD-i i drugi prenosivi materijalni mediji. Naj e e analize te vrste uklju uju sofisticiranu opremu koja mo e mjeriti magnetske zapise tj. mo e se odrediti vrijednost svakog zapisanog bita). Materijalni nositelji (op enito) Materijalni nositelji su svi oni fizi ki. ali i sami mogu biti predmet analize. Pod materijalne nositelje ubrajamo papir (dokumenti koji su pisani na papiru). analogni ili digitalni.3.

Ovdje su nabrojani neki primjeri: y Nepo tovanje odredaba (npr. doga aja i sl.4. Glavni princip rada mre ne forenzike je taj da se podaci skupe (obi no preko paketa) i onda se radi post analiza da bi se rekonstruirao sadr aj ili shvatilo za to su se odre ene stvari dogodile. Naravno. Postavlje se pitanje da li mre na forenzika mo e unaprijed predvidjeti neobi na pona anja bazirana na karakteristikama nepravilne aktivnosti. Mre na forenzika se mo e primijeniti na vi e na ina. ali mo da je to samo rutinski back-up ili neka zakrpa za operacijski sustav. nije po eljno ni da jedan korisnik ili aplikacija koristi cijeli bandwidth na du e vrijeme. ili s druge strane ako jedna osoba ima cijeli bandwidth dok nikoga drugoga nema. Ili ako je iskori tenje WAN-a 100% tijekom nekog vremena potrebno ispitivati ako svi imaju dovoljno dobar pristup. nasuprot Äuvre avanja i ozna avanja³ prave scene zlo ina. napada na sigurnost i ostalih sli nih incidenata na na oj mre i. Ina e bi toliko koli ina prometa trebala biti sumnjiva. Tako se tako er mo e vidjeti i da li Sustavi za sprije avanje provala (Intrusion prevention systems ± IPS) rade dobro. Uvod u mre nu forenziku Forenzika mre nog prometa uklju uje snimanje i analizu mre nih doga aja kako bi zaklju ili prirodu i izvor informacijske zloupotrebe. Time mo emo shva ati forenziku kao detaljizirano prepoznavanje mogu nosti. Npr. kako. ali kratki bljeskovi 13 . 100%-tno iskori tenje mre e ne mora nu no biti lo a stvar i ne treba uvijek slati SNMP poruku sustavu i uklju ivati alarme po cijelom prostoru. i koliko. netko po alje povjerljive financijske podatke u nekriptiranom email-u Otkrivanje gre aka ± u slu aju da se mre a sru i. nakon to su se dogodili. ili ako je mre a pru ala slabe performanse u odre enom trenutku Hakiranje ± to je hakirano. ako neki korisnik napravi 2 GB prijenosa podataka petkom poslijepodne. tete u injeno. Dakle. To se naj e e posti e snimanjem ili hvatanjem paketa dug oro no sa klju nih to aka na e infrastrukture (kao to je jezgra ili vatrozid) i onda rudarenjem podataka za analizu i rekreiranje sadr aja. tko je hakirao? Preko Sustava za otkrivanje provala (Intrusion detection systems ± IDS) se mo e vidjeti da li je. y y Dakle mre nom analizom elimo dokumentirati takve incidente za analizu i rekreiranje doga aja. To su stvari koje su nepredvidljive i odstupaju od osnovnih odrednica.

Taj skup podataka mora biti za ti en kako bi se osigurala ispravnost i verifikacija. ako nijedna aplikacija ne mo e iskoristiti 100% voda. odnosno prikaz podataka. To mo emo napraviti enkripcijom ili pravljenjem kopije cijelog diska i spremanjem njega na odre eno mjesto. To zna i da moramo biti u stanju dokazati da podaci nisu bili mijenjani otkad smo ih prikupili.cs.Dijagram procesa mre ne forenzike 1 Na slici mo emo vidjeti dijagram cjelokupnog op enitog procesa mre ne forenzike.100%-tnog iskori tenja ak mogu biti dobra stvar. Po injemo sa jednim velikim skupom ''sirovih'' podataka vezanih za odre eni napad ili nepo eljan doga aj.pdf>. Tako er je vrlo va an i dio uskla ivanja podataka sa zakonskim odredbama. po tuju i lanac nadzora i procedura za da su nekompromitirani. u itano 15. Slika 1 . te nam alati moraju pomo i u odlukama kod nastalih situacija. 14 . Cilj je ne raditi ni ta na originalnim podacima. Zapravo. Forenzi ki alati trebaju pru iti fleksibilnost u spajanju analize u stvarnom vremenu sa naknadnom forenzikom. 1 uvanje dokaza. ali ih za tititi kako bi mogli dokazati < http://digital.edu/~erbacher/publications/NetworkForensicProcesses. Da li nam je potrebno 100%-tno kopiranje diska velikog kapaciteta? Koje dijelove mre e trebamo snimati? Koliko dugo moramo uvati podatke? Da li vi e elimo da forenzi ko rudarenje podataka i naknadne analize budu na udaljenim ma inama ili na lokalnim ma inama? Takva i druga sli na pitanja se postavljaju prilikom uspostave dijela sigurnosne politike vezanog za mre ni promet. i si i sa mre e to je br e mogu e.11. Od klju ne je va nosti petlja vezana za vizualizaciju. onda bi mo da trebali optimizirati stvari.usu. To je to se ti e op enito nekih stvari vezano za rad na mre ama i mre ni promet. Glavno je oti i na.2009.

htm>. Unutra nja sigurnost Istra ivanje svjetski poznatog Carnegie Mellon Computer Emergency Response Team (CERT) je izdalo asopis pod naslovom ''Uspore ivanje unutra nje IT sabota e i pijuna e: Analiza bazirana na modelu''.hr/ostalo/2007_horvat/Forenzika. u itano 15. npr. Zatim moramo paziti i na stvari kao to je ispunjeni hard disk.1 Prikupljanje podataka Mre ni dokazi predstavljaju rezultat pra enja mre ne komunikacije. Preporu a se dr ati ih do 512 Kbytes ili manje jer ako su 2 < http://os2. Studija je istra ivala ''psiholo ke. Veli ina datoteka je tako er bitna. Njihovo istra ivanje je dovelo do sljede ih klju nih to aka: y y Saboteri su imali osobnih problema izvan radnog mjesta Stresni elementi kao to je organizacijsko restrukturiranje je pove alo mogu nost malicioznog djelovanja Lo a radna etika je esto uzimana u obzir prije i za vrijeme sabota e pijuni imaju tendenciju uspostavljanja stvari da budu kako treba. Isto tako. organizacijske i konktekstualne faktore'' koji su pridonosili pijuna i i sabotiranju IT-a. ili za on-line rad IBID y y y y 5. moramo zapamtiti da to vi e idemu u dubinu to vi e optere ujemo i procesore. sekundarni accounti Organizacije nisu uspjele ili su ignorirale pravila sigurnosne politike kao to su zabranjeni download Nedostatak kontrole pristupa.zemris. tehni ke. Zbog toga se mora odrediti vremenski raspon koji ostaje zabilje en. 15 .2009. To pra enje mo emo podijeliti na tri dijela: y y y pra enje predefiniranih doga aja (event monitoring) pra enje zaglavlja mre ne komunikacije (trap and trace) pra enje cijelog prometa mre ne komunikacije (full-content monitoring)2 Kod pra enja mre nog prometa va no je odrediti koje to no podatke elimo bilje iti i to ne smiju biti samo paketi i broj prenesenih bajtova.fer. bilo za fizi ke lokacije.11.5.

upit i rezultat na bazu podataka.bitcricket.prevelike itanje iz njih traje predugo. 16 . Sa ve im brojem manjih datoteka to ide puno lak e.pdf>. u itano 15. HTTP). video.com/downl oads/Network%20Forensics.2009. IBID 3 < http://www. Niksun. Takvi alati se nazivaju alati za analizu mre ne forenzike (Network forensics analysis tool ± NFAT). Slika 2 ± Primjer prikupljenih podataka i njegovog sadr aja3 Postoji mnogo alata koji zadovoljavaju ranije spomenute zahtjeve. bilo bi lijepo rekreirati originalni pogled na sadr aj (bilo da je to e-mail i njegovi prilozi.11. WildPackets i tako dalje. Packet Forensics. web stranica. Nakon to su podaci sakupljeni. Neki od trenutno poznatih proizvo a a su sljede i: Network Instruments. Network General (NetScout). VOIP razgovor i tako dalje) iz niza paketa. Kod rudarenja podataka se mo e koristiti filter (fizi ka ili IP adresa) ili protokol (npr. Solera Networks.

5. Na primjer ako nam mail server izgubi poruke u rasponu nekoliko sati. Dobar alat koji e analizirati cjelokupan zapis mre nog prometa pru a kontekst za druge sli ne propuste. Yahoo Messenger e se prebaciti na port 23 ako je njegov defaultni port (5050) blokiran. analiza mre nog prometa nam mo e pomo i i s drugih aspekata. U nekim gospodarskim granama. Na primjer. a sigurnosne propuste i konfiguracijske probleme jednostavno otkloniti. a uobi ajene metode backupa ne uspiju. Ali relativno lako je mogu e zaobi i firewall. Osim zakonske obveze. adresa ili broja porta. NFAT e sku iti da se ne to doga a na portu 23 i mo i emo to sprije iti na vrijeme. Na primjer. po eljno je da ispregledamo sve povezane aktivnosti tog korisnika. NFAT alati rade u sinergiji sa firewallom i sustavima za detekciju provale (Intrusion ± detection systems ± IDSs). ili dana. Vrlo esto je te ko uravnote iti stvari koje zakon nala e s onima koje su tehni ki izvedive. konkurenata itd. ili one koje uklju uju taj klju . me utim forenzi ko snimanje mre nog prometa je dobar prvi korak. ali te ko je odrediti sve mogu e vrste provala koje bi se mogle dogoditi. Firewall dopu ta ili zabranjuje promet prema ili sa odre enih mre a. integritet podataka i frekvencija hvatanja podataka su glavne stvari na koje treba obra ati pozornost kod stavljanja NFAT-a na mre u. Ve ina organizacija je vi e zabrinuta za promet koji ulazi i izlazi iz organizacije nego s onim koji se upotrebljava unutar LAN-a. Nakon to smo odabrali promet od interesa za na u organizaciju mo emo postaviti NFAT da prikuplja relevantne pakete. Relativno velik opseg temeljne mre e ote ava hvatanje i arhiviranje prometa dovoljno dugo da bi se analiziralo doga aje. IDS-ovi otkrivaju aktivnosti koje su definirane kao zlonamjerne ili nepo eljne. zakon regulira na koji se na in mora provoditi nadziranje toka podataka. NFAT tako sura uje sa IDS-ovima i firewallovima na 2 na ina: dugoro no uva zabilje ene podatke o mre nom prometu i omogu uje brzu analizu doga aja koje su prethodna 2 alata identificirala. 17 . poruke mo emo vratiti preko snimanog prometa. je najbolje pratiti iznutra. partnera. ako na a analiza otkrije da je lozinka na nekom accountu kompromitirana. Interakcije izme u zaposlenika i klijenata. pitamo se koji promet je nama od interesa. Prije svega. Mre u koja je pripremljena za forenzi ku analizu je lako nadzirati. Prije nego to ga postavimo na mre u moramo razumjeti mre nu arhitekturu. Va nost prometa.2 Na in rada alata za mre nu forenziku Glavna motivacija mre ne forenzike je sve ve a briga za sigurnost od strane IT industrije.

Vrlo esto korisnik otvori NFAT sustav sa specifi nim skupom kriterija na umu i eli efektivno odrediti koji promet odgovara njegovom upitu. Ta fleksibilnost je izuzetno mo na i da bi NFAT bio koristan. A najkriti niji je kapacitet skladi ta podataka. NFAT alati nemaju tu mogu nost. forenzi ki alat bi nam trebao dati pristup razli itim razinama perspektiva na podatke. ako elimo prou iti email-ove od odre enog korisnika. U tipi noj TCP sesiji. mora omogu iti jednostavan pristup bilo kojem dijelu informacija. U nekim okolnostima NFAT mo e neke podatke filtrirati. ako jedna strana ne dobije sve pakete. oni e vjerojatno biti ponovo poslani. 18 . a to su stvari koje nemaju specifi nu vrijednost. Da bi pohvatali sve pakete ak i kad je mre a zasi ena trebamo dobro pode en alat i mre u. U svakom slu aju. Dva glavna faktora u tome su sposobnost pretra ivanja i vidljivost. ne bi trebali istovremeno gledati email-ove od nekih drugih korisnika.3 Analiza mre nog prometa Mre na forenzika je u stanju generirati ogromnu koli inu podataka. Dobar alat mora biti sposoban uhvatiti i spremiti sav promet sa potpuno zasi ene mre e za daljnu analizu. neke slo enije (Kad je vrhunac zahtjeva i koji protokoli su u pitanju?) do onih nepoznatih (Koje implementacije RFC 868 ugro avaju objavljeni standard?). Da bi to bilo mogu e. Snimanje paketa na disk zahtijeva sabirnicu i sustav skladi tenja koji mo e pratiti brzinu mre e. Dakle. Mo e analizirati jednostavne stvari (Kad je ra unalo A tra ilo od ra unala B a uriranje protokola to nog vremena?). Jednom kad je korisnik odredio skup poveznica za pregledavanje. U nekom drugom slu aju.Forenzi ki alati potencijalno mogu biti zainteresirani za sav promet koji prolazi mre om. Izvo enje svih ovih zadataka tro i resurse. stoga dobar NFAT mora biti izrazito sposoban prislu kiva . to se ti e integriteta podataka va no je znati da NFAT nikad ne bi smio sudjelovati u prometu kojega nadzire. 5. Stoga moramo pa ljivo odrediti koliko dugo emo uvati podatke. pregled samo onog to mi elimo implicira da vi e ne vidimo irelevantne i nepo eljne stvari. korisnik tra i nekakve anomalije. Tada detalje i op eniti pregled dostupnih podataka mora biti mogu e lako pregledati na vi e na ina. ali onda opet postoji opasnost da ne emo mo i dovoljno dobro napraviti analizu zbog nedostatka tih podataka. prikaz mogu ih kriterija mora biti mogu e pretra iti po specifi nim vrijednostima.

Uz to. Zbog sve ve e popularnosti be i nih tehnologija. mogu e je da e poduzeti dodatne mjere opreza. a u svrhu kori tenja u sudskom postupku. Princip je isti kao i kod obi ne mre ne forenzike.2009. u itano 15. Be i na forenzika.³ To se najlak e napravi kroz namjensko su elje za bilje enje prometa. te analizira iste podatke kako bi otkrila doga aje koji nisu u skladu s pravilima. 19 . u ini Ätihim na ici. < http://datapodium. Iako je skupljanje mre nih podataka po definiciji pasivna operacija.pdf >. wireless forenzics) grana je ra unalne forenzike.com/dokumenti/uploads/forenzika/Wireless_forenzika.Postoje programi koji tra e mre ne monitore (sniffers). snimke razgovora. temeljenih na 802.4 6. Nakon to napada osjeti mre ni monitor. podaci se izdvajaju od ostalih prikupljenih podataka. kao to je enkripcija ili potajni napadi.net/support/netintercept/downloads/ni-ieee. Na primjer. kao i obi na mre na forenzika otprilike. izvore napada. slo enost be i nih tehnologija ote avaju osiguravanje tih mre a 4 5 < http://www.sandstorm.11. zbog sve e eg kori tenja VoIP (eng.5 Be i na forenzike prikuplja podatke koji obuhva aju podatkovni promet te. Ili mo e ak se okomiti na sam mre ni monitor.pdf>.11. koja predstavlja postupak utvr ivanja injenica primjenom odgovaraju ih metoda nad digitalnim medijima. Usput se mre ni monitori za tite i od ranjivosti svog protokola. napadi na njih postaju sve e i. o uvaju se i analiziraju. Wireless forenzika Forenzika u be i nim mre ama (eng. u itano 15. detektor sniffera mo e slati podatke na prividnu IP adresu i onda bilje iti odgovore i pona anja. Na taj na in softver koji tra i prislu kiva e ne e na i ni ta. prikuplja sve podatke vezane za promet na mre i samo to je taj promet ostvaren preko wirelessa.11 standardu. te utvrdila posljedice napada na mre u i pojedina ra unala.2009. neobi nosti u nekim NT i Unix TCP hrpama ine ih da se pona aju druk ije dok su snifferi pokrenuti. Sav smisao mre ne analize je svesti hrpu podataka na korisne informacije kako bi se to lak e rije ili problemi vezani za mre ni promet. To se mo e rije iti tako da se skupljanje prometa izolira tj. Voice-over-IP) tehnologija unutar be i nih mre a.

11 kanala (vidi tablicu) ali napada i esto zanemaruju ta ograni enja. Ostaje nam samo namjestiti mre nu karticu ra unala s kojeg provodimo forenzi ku analizu na taj kanal. chipset) tvrtke Atheros. To zna i da moramo imati jednak ili ve i broj radio ure aja od kori tenih kanala. zbog zakonskih ograni enja u Sjedinjenim Dr avama. 20 . International Telecommunication Union) standarda pa je i to prilikom planiranja nadzora i analize potrebno uzeti u obzir.te provo enje istrage u slu aju kriminalne aktivnosti.2 Komunikacijski medij Forenzi ki alat mora podr avati isti komunikacijski standard kao i mre a koju on nadzire.11a opremi koja radi na naj e e kori tenom UNII-1 (eng. Ali s druge strane. kartica sa sklopovljem (eng. npr. Glavni nedostatak takvih kartica je to to. mnoge zemlje imaju specifi ne propise prema kojima se koriste frekvencijski pojasi izvan FCC (eng. Tako er. Pokazat emo Linux naredbu za pode avanje Atheros mre ne kartice za nadzor nekog kanala. channel hopping). Zbog toga se preporu a kori tenje 802. ne podr avaju zamjenjive antene. Propisima je u svakoj zemlji ograni en broj dozvoljenih 802. u ovom slu aju kanal 13: # iwconfig ath0 mode monitor channel 13 Ali kod ve ih be i nih mre a to ve postaje problem budu i da je potrebno sakupiti promet sa svih be i nih mre a na jednom podru ju to zna i da treba istovremeno nadzirati sve kanale.11 specifikacija.11 a/b/g/n vi epojasnih mre nih kartica koje podr avaju tri najpopularnija standarda. Unlicensed National Information Infrastructure) frekvencijskom pojasu. Zbog toga se preporu a nadzirati sve raspolo ive kanale. podaci se na ovaj na in primaju samo nekoliko milisekundi. Glavni tehnolo ki izazovi odnose se na karakteristike radiofrekvencijske komunikacije. to je lo a karakteristika. Federal Communications Commission). kompleksnost samog fizi kog medija i 802. Forenzi ki alati zbog toga koriste tehniku pretra ivanja cijelog frekvencijskog spektra od interesa te uzorkuju sve raspolo ive kanale (eng. Ako nadziremo jednu pristupnu to ku onda je problem rije en to se toga ti e. Spomenuti zakon naime zabranjuje kori tenje zamjenjive antene na 802. jer ona radi samo na jednom kanalu. Naj e e be i na oprema mo e komunicirati samo na jednom kanalu jer sadr i samo jednu radijsku komponentu u odre enom trenutku. 6. UNII ili ITU (eng.

u mW ili W.Broj dozvoljenih 802.3 Pokretljivost klijenata Glavna prednost be i nih mre a je mogu nost kretanja unutar mre e bez prekida veze na mre u.11a 802.2009. 6 < http://datapodium.pdf >.11n i WiMAX (eng.11. Konfiguracija be i ne mre e i polo aj klijenata unutar nje tako er utje u na mogu nost prikupljanja dokaza s odre ene lokacije jer je mogu e da klijent promjenom polo aja ode izvan dosega unutar kojeg forenzi ar mo e prikupljati podatke. U mre ama koje imaju vi e pristupnih to aka to se rje ava na na in da se postavi vi e ure aja za snimanje prometa na razli itim polo ajima. 6.11g 8 11 11 13 13 Tabela 1 . 21 . Ina e ne e svi podaci biti prikupljeni ime se ugro ava integritet prikupljenih dokaza. Prilikom planiranja analize treba u obzir uzeti takva kr enja zakona te mogu nost pojave novih tehnologija. ali napada i kr e i ta ograni enja.11b 802. To su stvari koje ote avaju provo enje forenzi ke analize mre nog prometa jer forenzi ki alat mora nadgledati sve raspolo ive kanale. Kori tenjem tri ili vi e takvih ure aja mo e se odred iti pribli ni polo aj pojedinih klijenata postupkom triangulacije.802.11 SAD EU razli ito za lanice Japan 4 14 14 maksimalni kanala 12 14 14 broj 802. Roaming je postupak koji omogu uje prijelaz s jedne pristupne to ke na sljede u najbli u tijekom slanja ili primanja podataka u ve im be i nim mre ama.com/dokumenti/uploads/forenzika/Wireless_forenzika. posebno one izme u kojih se doga a prijelaz. Tad se esto mijenja i kanal na kojem se komunikacija provodi. Kad mre na kartica zaklju i da je signal trenutne pristupne to ke preslab za nastavak komunikacije klijent se automatski spaja na sljede u pristupnu to ku.16. Worldwide Interoperability for Microwave Access) 802.11 kanala 6 Propisima je odre ena i maksimalna snaga oda iljanja. u itano 15. Multiple-Input Multiple-Output) 802. kao to su MIMO (eng.

upravlja ke i podatkovne pakete. Na primjer. To zna i da e forenzi ar u be i noj mre i koja se sastoji od samo jedne pristupne to ke tijekom sat vremena prikupiti 600 ovakvih paketa. Wireless Encryption Protocol) protokol paketu dodaje zaglavlje veli ine 8 okteta ‡ WPA (eng.11 specifikacija definira tri tipa mre nih paketa: kontrolne. a kona na duljina paketa ovisi o kori tenom enkripcijskom protokolu. 6. beacon) i to naj e e svakih est sekundi.11 specifikacijama je 2304 okteta. uz kori tenje WEP enkripcije maksimalna ukupna veli ina paketa je: duljina podatkovnog polja + 802. Na primjer. Opisanu i sli ne posebnosti be i nih mre a potrebno je uzeti u obzir prilikom planiranja forenzi kog postupka kako bi se osigurale zadovoljavaju e performanse i mogu nosti pohrane podataka. MTU (eng. Maximum Transmission Unit) veli ina podatkovnog polja paketa prema 802.11 zaglavlje + zavr ni slog (eng.6. npr.5Performanse ure aja za prikupljanje prometa S obzirom na karakteristike prometa moramo imati i adekvatno sklopovlje koje mo e prihvatiti maksimalnu teoretsku mogu u koli inu prometa. trailer) = 2312 + 30 + 4 = 2346 okteta.: ‡ WEP (eng. Treba uzeti u obzir i propusnost sabirnica koje povezuju be i ne mre ne kartice te propusnost su elja hard diskova kako ne bi do lo do zagu enja i samim time gubitka potencijalnih 22 . na primjer veli ina podatkovnih paketa i zahtjevi na propusnost veze. pristupne to ke oda ilju upravlja ke pakete namijenjene sinkronizaciji (eng. 802.11 specifikacijama na jednom kanalu mogu a brzina prijenosa je 54 Mbps pa je stoga maksimalna koli ina prometa u jedinici vremena na 14 kanala jednaka 756 Mbps. To je veli ina podataka prije enkripcije.4 Karakteristike prometa Sljede e to se mora uzeti u obzir kod prikupljanja paketa iz be i ne mre e jesu karakteristike prometa. Wi-Fi Protected Access) protokol paketu dodaje zaglavlje veli ine 20 okteta ‡ zaglavlje WPA2 protokola dugo je 16 okteta. Prema 802.

ARP (eng. Primjeri tih ure aja su Janus Project i WLAN-14. timestamp) te utvr ivanje polo aja na otvorenom. ‡ Kori tenje GPS (eng. Intrusion Detection System) sustav za otkrivanje neovla tenih pristupa. ‡ Forenzi ki alat bi trebao biti potpuno pasivan. Pri tome je potrebno u dnevni ke zapise bilje iti intervale sinkronizacije ure aja s GPS satelitima kako bi bilo mogu e dokazati da su njegova o itanja to na. da ne oda iljati pakete. ‡ Radi pobolj anja osjetljivosti prijemnika koristiti ure aje na koje je mogu e priklju iti vanjsku antenu. Pored ovih podataka u forenzi koj analizi mogu se koristiti dnevni ki zapisi (eng. monitor mode).11. To se posti e na sklopovskoj razini kori tenjem prigu nika ili jednosmjernih poja ala te na programskoj razini postavljanjem mre ne kartice u nadzorni na in rada (eng. bez filtriranja. a onda kasnije mo emo koristiti filtre radi ubrzavanja postupka. log) pristupnih to aka i drugih mre nih ure aja.com/dokumenti/uploads/forenzika/Wireless_forenzika.pdf >.7 7. tj. ukoliko je na forenzi ki postupak postavljen zahtjev potvr ivanja mjesta i vremena prikupljanja dokaza. Content Addressable Memory) tablice te podaci koje skuplja be i ni IDS (eng. Forenzi ki alati i postupci Nakon prikupljanja podataka iz be i ne mre e potrebno ih je analizirati kako bi se potencijalni dokazi odvojili od uobi ajenog prometa. Address Resolution Protocol) i CAM (eng. Global Positioning System) navigacijskog sustava omogu uje stvaranje preciznih vremenskih oznaka (eng. 7 < http://datapodium. Kao i kod obi ne mre ne forenzike treba osigurati dostatne kapacitete za pohranu velikih koli ina podataka. Be i nu forenziku je mogu e provesti kori tenjem standardnog PC sklopovlja i freeware programskih paketa ali za izgradnju sustava koji e zadovoljiti sve gore navedene zahtjeve potreban je pa ljiv dizajn i skupa implementacija.2009. Trenutno postoji nekoliko komercijalnih ure aja oblikovanih posebno za zahtjeve forenzi ke analize be i nih mre a.1 Zahtjevi i preporuke Ovdje su navedeni neke osnovne procedure koje se preporu a koristiti zajedno sa odgovaraju im alatima: ‡ Da bi se moglo istovremeno nadzirati svih 14 802. ‡ Za to kvalitetniju kasniju analizu forenzi ki alat treba prikupljati sav promet. 23 .IBID 7.11b/g kanala i pretra ivati radio spektar u potrazi za novim mre ama preporu a se kori tenje ure aja s 15 radio komponenti.dokaznih materijala. u itano 15.

rasipanje signala). Ne postoje adekvatne zamjene gore navedenih komercijalnih paketa. ‡ Kako bi se omogu ila rekonstrukcija postupaka forenzi kog alata. Network Global Regular Expression Parser) omogu uje tra enje znakovnih nizova u kontekstu podatkovnih paketa. to mo e biti potrebno tijekom sudskog procesa. a namijenjeni su automatizaciji pojedinih analiti kih zadataka kao to je filtriranje prikupljenog prometa prema postavljenim kriterijima. Message Digest 5) i SHA1 (eng.‡ Ponekad ure aj za prikupljanje prometa mo e biti na mjestu do kojeg je te ko ili nemogu e pristupiti. Secure Hashing Algorithm 1). ‡ Preporu a se i bilje enje podataka o snazi signala kako bi se omogu ila procjena udaljenosti osumnji enog od forenzi kog ure aja iako te informacije treba shva ati uvjetno jer postoje faktori koji utje u na njihovu to nost (refleksija. ‡ Savjetuje se zapisivanje prikupljenog prometa u standardnom Pcap formatu kojeg podr ava ve ina alata kako komercijalnih tako i onih otvorenog programskog koda. 24 y y . hash) algoritama kao to su MD5 (eng. ngrep (eng. Kod be i nih mre a to su TCP/IP temeljeni protokoli prilago eni 802. 7. Tada moramo imati mogu nost udaljenog pristupa ure aju.11 specifikacijama. ogib. ali postoje alati namijenjeni analizi mre nog prometa koji mogu pomo i u pretra ivanju prikupljenih podataka. Najpoznatiji komercijalni alati namijenjeni forenzi koj analizi i anih mre a su ÄSandstorm NetIntercept³.11b/g su elja.3 Komercijalni i alati otvorenog programskog koda Forenzi ar be i nih mre a mora dobro poznavati komunikacijske protokole. Neki od takvih alata su: y Wireshark se koristi za analizu mre e i ispravljanje mre nih problema (ranije poznat kao Ethereal). Valjanost takvih zapisa potrebno je za tititi pomo u jednosmjernih (eng. Su elje je potrebno za tititi odgovaraju im autentikacijskim i enkripcijskim mehanizmima. savjetuje se kori tenje naprednih mogu nosti stvaranja dnevni kih zapisa. Kako bi ih bilo mogu e primijeniti kod be i nih mre a potrebne su napredne analiti ke funkcije specifi nih 802. ÄNiksun NetVCR³ i ÄeTrust Network Forensics³ alati. To se mo e ostvariti pomo u zasebnog 802. lom. ‡ Preporu eno je kori tenje sklopovlja (mre nih kartica i radio komponenti) s velikom osjetljivo u prijemnika kako prikupljanje paketa ne bi bilo prekinuto u slu aju pogor anja uvjeta rada. tcdump i tshark su alati za stvaranje skripti s tekstualnim grafi kim su eljem.11 zaglavlja i sekvenci poruka karakteristi nih za be i ne protokole.

25 . To nam omogu uje alat mergecap. u slu aju da elimo rekonstruirati VoIP razgovor klijenta koji je promijenio kanal na kojem je vr io be i nu komunikaciju.pcap « channel_n.pcap channel_1. protocol dissection. koje omogu uje jednostavno rukovanje i pretra ivanje prikupljenog prometa. Zna ajnu razliku u odnosu na analizu prometa unutar i anih mre a predstavljaju enkripcijske mogu nosti ugra ene u 2. 8. sloj 802. ‡ filtriranje i ubrzavanje analize. za razumijevanje razli itih zaglavlja pojedinih protokola ‡ rekonstrukcija aplikacijskih sjednica. Wireshark omogu uje i izdvajanje audio zapisa razgovora. ‡ podatkovno rudarenje (eng.pcap Mogu e je tako er i obnavljanje sjednica. Packet capture).8. koji je dio Wireshark programsko paketa.11 specifikacije. Osim toga. data mining). ‡ rukovanje prometom preklapaju ih kanala. kako bi se otkrile anomalije i sumnjivi uzorci. Ponekad je podatke (u slu aju pokretnih klijenata) potrebno ujediniti sa razli itih kanala kako bi se rekonstruirale sjednice. ‡ prepoznavanje uzoraka. sljede om naredbom: # mergecap -w all_channels. Analiza be i nog prometa Analiza mre nog prometa sastoji se od sljede ih postupaka: ‡ normalizacija podataka. ‡ analiza protokola (eng. Specifi nosti be i ne forenzike u odnosu na i anu odnose se na: ‡ spajanje prometa vi e kanala.1 Spajanje prometa vi e kanala Jedna mre na kartica nadzire jedan kanal i prikupljenje podatke naj e e zapisuje u zasebnu Pcap datoteku (eng.

Mogu nost istovremenog prikupljanja paketa s vi e kanala ovisi o karakteristikama pristupnih to aka i ure aja za be i nu forenziku.11 specifikacija. kanala 14 u SAD i EU) ili kori tenje sna ne enkripcije na 2.8. kao i kod analize i anog prometa.11 frekvencije. Media Access Control) adresama mo emo dobiti prikaz prometa jednog klijenta. probija enkripcija kori tena za za titu prometa te uo avaju napredni alati za prikrivanje be i nog prometa.com/dokumenti/uploads/forenzika/Wireless_forenzika. mre nom sloju. Basic Service Set Identifier) oznakama promet jedne pristupne to ke. 26 . to nije DS Parameter set: Current Channel polju. ‡ Rx (end. Acknowledge) paketa i tako skriva komunikaciju budu i da ve ina alata ne analizira ACK pakete. Iako se pri tome koriste uobi ajene 802.11. Dalje ga mo emo filtrirati prema vrsti paketa. Raw ÄCovert alat³ mo e umetati podatke u 802. beacon paketa pristupnih to aka. 8.11 kontrolne pakete. a filtriranje prometa prema BSSID (eng. Rije je prilago enom mre nom stogu koji mo e komunicirati samo s drugim stogom koji je izmijenjen na jednak na in.8 8 < http://datapodium. Prikrivanje mre nog prometa se vr i kori tenjem skrivenih kanala te izmjenama 802. Receive) osjetljivost forenzi kog ure aja te ‡ karakteristike antene. Ti podaci se nalaze u zaglavlju paketa. Te podatke je mogu e razlikovati na temeljeu tzv. ÄWiFi Advanced Stealth Patches³ dodatak Ämadwifi-ng³ Linux pogonskoj aplikaciji namijenjenoj Atheros ipsetima implementira 802.2009.11 protokol s izmijenjenim MAC slojem. kao to su: ‡ Tx (eng.pdf >. Neke jednostavnije tehnike su komunikacija na nedopu tenim kanalima (npr.3 Rukovanje prometom preklapaju ih kanala Tijekom prikupljanja mre nog prometa na jednom kanala mogu e je istovremeno bilje enje paketa s drugih kanala. Na kraju je va no naglasiti da forenzi ka analiza be i ne mre e mora prikupiti sav ostvareni promet ina e valjanost dokaza mo e postati irelevantna. 8. IDS sustavi i sustavi za prikupljanje mre nog prometa ne mogu identificirati takve pakete. Dvostruke podatke je potrebno odbaciti. Transmission) snaga oda iljanja.4 Filtriranje i ubrzavanje analize Filtriranjem prema MAC (eng. odnosno prometa iz susjednih be i nih mre a.5 Tehnike maskiranja i prikrivanja tragova Razvojem novih metoda forenzike razvijaju se i nove tehnike njihova izbjegavanja. u itano 15. To se rad na na in da se prate svi i dostupni radio kanali. On ume e podatke u polje adrese primatelja ACK (eng. Na kraju se podaci izdvajaju i analiziraju. bilje i snaga signala te prostorne i vremenske oznake.

Ve ina ljudi kojima je potrebno spasiti podatke naj e e odaberu krivu metodu te time u potpunosti izgube ansu da im se podaci spase.htm) 27 . uzrok tome je velika cijena servisa koji se bave spa avanjem podataka. To je vrlo zanimljivo podru je o kojem ve ina ljudi znade vrlo malo ili je krivo informirana. a uzrok tomu je nedostupnost informacija ili dobivanje krivih informacija. o te enih ili uni tenih medija. Ovdje su navedene neke cijene poduze a HelpDisc: Slika 1. Dakako.9.hr/cjenik. Spa avanje podataka Spa avanje podataka proces ekstrakcije podataka sa neispravnih. Prikaz cijena (Izvor: http://www.helpdisc.

htm) Mogu e je potpisati i ugovor u uvanju tajne. Tvrdi diskovi 2. Prikaz cijena (Izvor: http://www. Opti ki ure aji 3. Flash diskovi 4.hr/cjenik. Medije na kojima se naj e e radi spa avanje podataka mogu e je pod ijeliti u slijede e razine: 1.helpdisc. Memorijske kartice 5. Floppy i Jazz diskete i diskovi 6.Slika 2. RAID sistemi 28 .

29 . glava i elektronika. Svaki tvrdi disk sastoji se od slijede ih fizi kih komponenti: y y y Magnetnih plo a ± na njima se nalaze podatci Magnetskih glava ± pomo u njih se podatci itaju Motora i elektronike Da bi tvrdi disk uop e funkcionirao potrebna mu je jo jedna programska komponenta koja se naziva ugra eni softver.10. Kvarovi do kojih dolazi i ija je posljedica gubljenje podataka na tvrdom disku mo emo podijeliti u dvije kategorije. Tvrdi diskovi Tvrdi diskovi se nalaze u svakom ra unalu i samim time je najrasprostranjeniji medij za uvanje podataka. Bitno je za napomenuti da kvar na bilo kojoj fizi koj komponenti tvrdog diska ili njegovom ugra enom softveru mo e dovesti do gubitka podataka. Bez njega se ne bi mogle sinkronizirati magnetne plo e. To su fizi ki i logo ki kvarovi.

1. Slika 3.1.1.10. magnetske glave slu e kako bi se podatci Äpro itali³ sa tvrdog diska.jpg) 30 . Neispravna glava Kao to je prije obja njeno. Prikaz neispravnih glava (Izvor: http://www. Magnetske glave su najosjetljiviji dio tvrdog diska zbog njihove vrlo male udaljenost od plo a te zbog njihovog krhkog dizajna. tj. lo i sektori (eng.helpdisc. Ovakve vrste kvarova uvijek je najbolje prepustiti rje avanju stru njaka zbog toga jer oni posjeduju profesionalnu opremu kojom je mogu e popraviti tvrdi disk. To je sklop koji se sastoji od osovine. Firmware) 10. ali ni to nije vrlo jednostavno i laici se u to ne bi trebali upu tati.hr/img/neispravne_glave. Fizi ki kvarovi Do ovakvih vrsta kvarova dolazi kada se na ili unutar diska o teti neka fizi ka komponenta. Fizi ke kvarove mogu e je podjeliti na slijede e kategorije: y y y y y Neispravna glava Neispravan motor Neispravna elektronika O te enje plo a. motora te ipa koji digitalizira onaj signal koji je pro itan sa glava. Bad sectors) Neispravan ugra eni softver (eng. feritne jezgre sa zavojnicom (glava). Jedina iznimka je u slu aju pregorjele elektronike gdje je pojedinac u mogu nosti sam napraviti zamjenu.

Prikaz komore isto e 100 (Izvor: http://www.jpg) Zamjenu glava potrebno je izvr iti uz pomo odre enog alata koji mora biti napravljen od ne magnetskih materijala.U slu aju da je bilo koji dio ovog sklopa neispravan potrebno ga je cijelog zamijeniti. tj. Kako bi se osiguralo od popunog uni tenja tvrdog diska.helpdisc. 9 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0. zamjenu je potrebno napraviti u istom prostoru. Potpunu zamjenu je potrebno napraviti iz tog razloga to cijeli ovaj sklop tvori jednu cjelinu te nije mogu e popraviti neki njegov neispravan dio.hr/img/komora. Tu zamjenu nije mogu e napraviti u bilo kakvoj prostoriji i ne mo e ju napraviti bilo tko. Slika 4.5 mikrona u bilo kojem podru ju od 0. u komori koja ima isto u 1009.03 kubi na metra zraka 31 .

jpg) Kako prepoznati da se je dogodilo o te enje glava ako se zna da se tvrdi disk smije otvoriti jedino u za to specijaliziranim komorama? To je najlak e ustanoviti po glasnom zvuku koji dopire iz ku i ta tvrdog diska. Njihovim o te enjem vi e nije mogu e spasiti podatke koji su se na njima nalazili. Bitno je napomenuti da je brzina motora va an faktor koji utje e na brzinu pristupa podatcima i njihovo kopiranje. Postoje dvije vrste motora: motori s kugli nim le ajevima i motori s fluidnim le ajevima. 32 . tj. Ukoliko se dogodi takva situacija potrebno je odmah isklju it ra unalo kako bi se sprije ilo daljnje o te enje tvrdog diska.Slika 5. Neispravan motor Motor je komponenta koja se najmanje mijenjao kroz povijest proizvodnje tvrdog diska. taj zvuk je najlak e poistovjetit sa lupkanjem. ali su zbog toga ne pouzdaniji.helpdisc.1. Alat za zamjenu glava (Izvor: http://www.2. 10. odnosno plo a. Prvi se vi e ne koriste u modernim tvrdim diskovima zbog toga jer su motori s fluidnim le ajevima jeftiniji i ti i.hr/img/alat.

uk/images/motor.co. Da bi se to napravilo potrebno je koristiti specijalne alate koji u svakom trenutku zadr avaju sinkronizaciju izme u plo a. zamjenu glava te na kraju zamjenu samog motora. Prikaz motora (Izvor: http://www.Slika 6.jpg) Neispravan motor spada u kategoriju najslo enijih kvarova jer je radi popravka potrebno napraviti zamjenu plo a. 33 . Bitno je za napomenuti da se neispravnost motora lako mo e zamijeniti sa neispravnom elektronikom. a razlika je u tome to se kod neispravnog motora iz tvrdog diska uje slab zvuk zujanja.mjmdatarecovery.

hr/img/spaljena_ploca. ATA i SCSI (eng. Small Computer System Interface). tj. obra uje ih te ih proslje uje ra unalu kako bi ih ono moglo koristiti. Neka od najpoznatijih su SATA. Postoji velik broj su elja putem kojih ra unalo komunicira s tvrdim diskom.helpdisc. Kvar elektronike se najlak e dijagnosticira ako se iz tvrdog diska ne uje zvuk motora. Razlika je u tome to elektroniku sa jedinstvenim ROM ipom nije mogu e zamijeniti. Prikaz pregorjelog elektri nog sklopa koji pokre e motor (Izvor: http://www. Elektronika je sklop elektri nih komponenata koji napaja motor tvrdog diska. ako se motor ne vrti. preuzima podatke sa magnetnog ita a.1.10. 34 .3. Kvarovi koji se odnose na elektroniku naj e e se ve u za elektri ni sklop koji pokre e motor. a za to se koriste ure aji sa toplim zrakom. Kod dana njih tvrdih diskova postoji elektronika sa jedinstvenim ROM ipom i elektronika bez jedinstvenog ROM ipa. dok u ne to manje frekventne kvarove spadaju strujni udari i pregrijavanje. Ako je stupanj o te enja prevelik tada se o te ena elektronika zamjenjuje sa ispravnom koja je kompatibilna. Neispravna elektronika Da bi tvrdi disk uop e radio potrebna je elektronika (eng. Slika 7.jpg) Da bi se spasili podaci koji su ugro eni ovakvom vrstom kvara potrebno je zamijeniti neispravne komponente sa ispravnima. tj. PCB ± Printed Circuit Board). glave.

hr/img/ostecena_ploca2. Slika 8. Te pozicije dobrih sektora uvaju se u ugra enom softveru. Da bi se to izbjeglo mogu e je odre enim itaju. broj softverskim alatima kontrolirati sektore koji se ponavljanja te preskoke lo ih sektora. Probleme sa lo im sektorima najlak e je dijagnosticirati po usporenom radu ra unala. dok su lo i sektori oni koji imaju ote ano ili nemogu e itanje. Prikaz izgrebene povr ina diska (Izvor: http://www.1.helpdisc. nemogu e je napraviti magnetnu plo u na kojoj bi se nalazili samo dobri sektori. Primjer takvog softverskog alata je ÄData Extractor³.4.jpg) 35 . Najve i problem do kojeg mo e do i je kontakt izme u glava i plo a i u tom slu aju podaci mogu biti trajno izgubljeni. O te enje plo a (lo i sektori) Na magnetskim plo ama nalaze se sami podaci pomo u kojih ra unalo obavlja odre ene zadatke. nemogu nosti pristupa nekim podatcima te po automatskom uklju ivanju softverskog alata Check Disk. a kako je taj sektor nemogu e pro itati usporava se rad itavog ra unala. Magnetske plo e sastoje se od podloge koja je napravljena od slitina aluminija ili stakla. Operativni sustav poku ava pro itati lo sektor 32 puta. Dobri sektori su oni iz kojih je mogu e itati i na koje je mogu e zapisati podatke.10. du inu njihovog itanja. Po to je proces same izrade tvrd diska og izuzetno kompliciran. magnetnog materijala te za titnog sloja.

a ona se nalazi na plo ama i nemogu e joj je pristupiti ako se za to ne koriste specijalizirani alati. Analysis and Reporting Technology)10 parametri.R.10. Self-Monitoring.M. Neispravan ugra eni softver (eng.1. 10 Sustav za pra enje tvrdog diska kako bi se detektirali i zabilje ili razli iti indikatori pouzdanosti kako bi bilo mogu e predvidjeti kvarove 36 . (eng. za ti enoj zoni (eng. Host Protected Area). serijski broj. Ugra eni softver u ve ini se slu ajeva nalazi u tzv. a prepoznaje ga se tako da se tvrdi disk prijavljuje ili ne prijavljuje. Firmware) Ugra eni softver je unutra nji softver tvrdog diska koji sinkronizira te povezuje mehani ke dijelove diska sa ra unalom te je on u ve ini slu ajeva jedinstven i samim time razlikuje se od jednog do drugog tvrdog diska. tako to nema nikakvih karakteristi nih zvukova te tako to podatcima nije mogu e pristupiti. broj sektora.T. itd. Vrlo je te ko dijagnosticirati neispravan ugra eni softver.5. S. model. On sadr i razli ite kao to su: veli ina tvrdog diska.A. podatci o tipu i broju glava.

Gubljenje particija Posljedica ovog kvara naj e e je nemogu nost podizanja operacijskog sustava. tj. Postoje dva va na pravila kojih se je potrebno pridr avati prilikom ove vrste spa avanje podataka. a to su da se nikako ne smije naknadno instalirati ili kopirati neki program ili podaci na tvrdi disk na kojem se ti podaci spa avaju jer bi se time mogli trajno izgubiti oni podaci koje elimo spasiti. tj. Drugo pravilo je da se nikad ne radi spa avanje podataka na originalnom tvrdom disku. Kako bi se izbjeglo daljnje o te enje ne smiju se koristiti alati za spa avanje podataka. Logi ki kvarovi Pod logi kim kvarom podrazumijeva se gubitak podataka sa diska kojem je mogu e fizi ki pristupiti. Kod ove vrste spa avanja podataka i dalje je preporu ljivo prepustiti rad stru njacima iako osobe s informati kim znanjem ovdje mogu puno vi e u initi same. potrebno je prvo napraviti potpunu sliku podataka i pohraniti ju na neki drugi medij te tada nad njom spa avati podatke.1. ako se radi o particiji na kojoj se nalazi operacijski sustav ili nemogu nosti pristupa podatcima ako se radi o particiji na kojoj se ne nalazi operacijski sustav. od prvog do zadnjeg. softveri koji upisuje sadr aj direktno na disk jer bi se time podatci mogli trajno izgubiti. Logi ke kvarove mogu e je podijeliti na slijede e kategorije: y y y y y Gubljenje particija O te enja uslijed djelovanja virusa Reinstalacija operacijskog sustava Brisanje podataka O te enja baza podataka i e-mail baza 10.2. 37 .10. To se odnosi na pristup sektorima bez problema.2. naravno. Ako se dogodio ovaj kvar tada e particija u ÄComputer Managementu³-u biti prikazana kao prazno polje.

2. ote ano je podizanje sustava. Prikaz logi kog kvara u windowsu (Izvor: http://www. Taj problem se naj e e znade poistovjetiti sa lo im sektorima po to i oni usporavaju rad ra unala. tj. Reinstalacije operacijskog sustava Reinstalacija operacijskog sistema je jedna od naj e ih gre aka koju rade korisnici ra unala. Problem je u tome to su oni uvjereni da su svi podatci backup-irani te su zapo eli proces reinstalacije. Najbolje rje enje je da se odmah prekine instalacije i to bez obzira u kojem se djelu ona nalazila.2. 38 . je usporeni rad ra unala. itd.Slika 9. koji je posljedica virusa. Posebno je bitno naglasiti da se zara enim diskovima treba posvetiti posebna pa nja po to je djelovanje virusa vrlo esto nepredvidljivo. Time je uklonjena svaka mogu nost spa avanja podataka.hr/img/logic. 10.2. Najgore to se tada mo e u initi je vratiti backup.3.jpg) 10. nemogu e je pristupiti pojedinim podatcima. O te enja uslijed djelovanja virusa Najve i problem.helpdisc. Tek nakon nekog vremena shvate da neki va an direktorij ili datoteku nisu sa uvali.

Nenamjerno ili namjerno brisanje.5. Najgore to se mo e napraviti je instaliranje nekog programa za spa avanje podataka na onaj tvrdi disk gdje su se ti podaci nalazili. Najbolje rje enje bi bilo odmah ugasiti ra unalo i prepustiti ga profesionalcima. tada je najbolje prestati jer ako problem nije u ruci. Razlog tome je to su glava za itanje i povr ina tvrdog diska na vrlo maloj udaljenosti te se lupanjem po istom mo e dogoditi da se odlomi neki dio glave ili mehanizma koju tu glavu pokre e te taj ili ti dijelovi mogu izgrebati povr inu diska te ga time nepovratno uni titi. mo e se zaklju iti da to je baza slo eniji i ve eg kapaciteta to je ve a vjerojatnost da e se ne to pokvariti.10. O te enja baze podataka i e-mail baza Ovakva vrsta o te enja nastaje bez nekog posebnog razloga. Kad tvrdi disk prestane biti detektiran od strane operacijskog sustava. Problem je u tome to to Älupkanje³ po tvrdom disku naj e e uzrokuje potpuni prestanak rada zbog navedenog Älupkanja³. daljnje udaranje moglo bi samo jo vi e na tetiti. a ti udarci bi trebali biti nje ni i jedan po jedan.4. neki ljudi lupaju po njemu sa rafcigerom ili ne im sli nim i to tokom podizanja operacijskog sustava. 10. tj. Brisanje podataka Ovo je isto tako jedna od naj e ih gre aka koju korisnici rade. Ako se nije ni ta postiglo nakon dva udarca. pogre no imenovanje te slu ajno prebacivanje podataka u pogre an direktorij naj e i su problemi u spa avanju podataka. najbolje je odmah isklju iti server te ne poku avati koristiti nikakve programe za spa avanje podataka koji pi u po disku. 39 .2.3. Zbog toga ova tehnika ini stvari samo te im. Ono to se zapravo doga a je to da lagani udarci po tvrdom disku mogu pomo i da se oslobodi ruka za itanje koja je po ela zapinjati zbog nekakvog mehani kog kvara.2. O bilo kojoj bazi da je rije . Mitovi o spa avanju podataka sa tvrdog diska MIT O UDARANJU Ovo je mo da i jedan od najstarijih mitova. 10.

postoje ljudi koji na forumima tvrde da su uspjeli rije iti svoj problem sa tvrdim diskom tako da su ga pustili da padne s visine otprilike jednog metra na pod s tepihom te da ga i dan danas koriste. MIT O SMRZAVANJU. a gdje zavr ava. a zatim je prestao raditi zauvijek. mo e se dogoditi potpunog uni tenje. njegova unutra njost se Äposlo i³ te se sve vrati na svoje mjesto i ponovno funkcionira. esto se znade dogoditi da se to magnetsko snimanje jednostavno promijeni zbog nekakvih razloga koji su povezani s povr inom materijala i tada se glava po inje pomicati naprijed i natrag. Ova re enica obja njuje za to esto jednostavna zamjena pokvarene logi ke plo e s potpuno istom takvom logi kom plo om i istim ugra enim softverom u praksi naj e e ne funkcionira. Netko je tada pretpostavio da to ovisi o temperaturi te je odlu io zamrznuti tvrdi disk u fri ideru. Ono poma e glavi da se to no pozicionira na po etak bloka. U nekim slu ajevima ova informacija ima nekog smisla po to bi retrakcija materijala. Na raznim forumima je pisalo da kad se tvrdi disk smrzne. To je potrebno napraviti kako bi se glavi omogu ilo itanje i pisanje po to no odre enim blokovima. ali ova metoda nikako nije preporu ljiva i to zbog toga to udarac na bilo koji neispravan tvrdi disk iji problem nije poznat mo e dovesti u pitanje spa avanje podataka. dok neki jedan dio snime u ROM a drugi dio u EPROM ili neku drugu flash memoriju koja se nalazi unutar diska. kako bi ona to no Äznala³ gdje blok po inje. ZAGRIJAVANJU I UGRA ENOM Tijekom izrade tvrdog diska neophodno je podesiti mehanizam za itanje i pisanje kako bi se glava pribli no to no pozicionirala iznad povr ine diska. 40 . Isto tako postoji snimanje na povr ini tvrdog diska tokom njegove izrade koje se naziva eng. Rje enje problema zbog kojeg tvrdi disk prestane zauvijek raditi le i u tome da je magnetska povr ina tada jako o te ena te se isti postupak vi e ne mo e primijeniti. Ra unalo je tada prepoznalo tvrdi disk koji je ponovno radio nekoliko minuta. tj. Uvijek se mo e dogoditi da se nekomu posre i. Zatim ga je izvadio te se po urio da ga spoji sa ra unalom i to je tada proradilo. mogla pomo i glavama za itanje da ponovno prona u trake.MIT O BACANJU HDD-A NA POD Koliko god ovaj mit bio nevjerojatan. dovoljno da se spase neke informacije. servo. zbog niskih temperatura. Neki proizvo a i snimaju sve te podatke u ROM memoriju koja se nalazi na logi koj plo i. tj.

Me utim. tada je najbolje poslati tvrdi disk profesionalnoj ustanovi koja se bavi spa avanjem podataka. Ovu tehniku nije preporu ljivo koristiti. Na temelju toga trebalo bi biti mogu e otvoriti tvrdi disk. tresti ili ak mijenjati plo e. Ovaj mit je vrlo dobro obra en. pritisak i vlaga.03 kubi na metra zraka 41 . a sve je to zbog toga kako bi se sa uvali podaci na tvrdom disku. MIT O ZAMJENI LOGI KE PLO E I SOFTVERU Mit o zamjeni logi ke plo e Postoje ljudi koji zamijene logi ku plo u pokvarenog tvrdog diska sa identi nom logi kom plo om ispravnog tvrdog diska u nadi da e ovaj neispravan proraditi te je to jedan od najlogi nijih mitova. Zamjena logi ke plo e mo e biti prava metoda kako bi se popravio neispravan tvrdi disk i to samo ako je u pitanju vanjsko o te enje i ako se ugra eni softver nalazi kontroleru. pogotovo ako su podatci va ni. Tada bi navodno bilo sigurno otvoriti tvrdi disk i dirati po njegovim dijelovima.Preporuka je da se ova metoda ne koristi jer se mo e spasiti samo mali broj informacija te je nemogu e poslije spa avati te podatke ne bilo koji na in sa strane profesionalaca. ako je tvrdi disk prepoznat. Iako je ovo dobra ideja. MIT O ISTOJ KUPAONICI Neki ljudi tvrde da se u ku i.5 mikrona u bilo kojem podru ju od 0. u kupaonici mo e napraviti ista prostorija i to tako da se pusti vru a voda te da njezina para ispuni prostoriju. pritiskati ih. Netko se je sjetio da bi mogao otvoriti slavinu sa vru om vodom. tj. ali itanje nije uspjelo. kontrolirana je temperatura. krajnji rezultat je ipak katastrofalan. ali mo e imati nepredvi ene posljedice na podatke zbog toga jer su najve i Äneprijatelji³ tvrdog diska vlaga i pra ina te se on smije otvoriti samo u prostorijama klase 10011. ali uvijek se mo e posre iti. 11 Prostorija u kojoj ne smije biti vi e od 100 estica pra ine ve ih od 0. U istim sobama koristi se sofisticirana oprema kako bi se manipuliralo dijelovima tvrdog diska. Zbog toga je ovu metodu vrijedno isprobati te je mogu e spasiti podatke. Para bi u ovom slu aju trebala na sebe vezati estice pra ine te ih spustiti prema zemlji. a da se on ne o teti. pri ekati nekoliko minuta te ju zatvoriti i ponovno pri ekati nekoliko minuta da para nestane.

a ne fizi ki problem. Me utim. Ono to oni rade je to da zamijene logi ku plo u i/ili koriste program koji sakrije pokvarene sektore i tada takav tvrdi disk daju korisniku pod izlikom da je popravljen. a da se sam tvrdi disk ne otvara. Zbog toga je potrebno znati kada koristiti programe koji su vezani za spa avanje podataka. naj e i rezultat je uni tenje podataka zbog neodgovaraju e okoline. MIT O ZAMJENI PLO A Neki ljudi tvrde da su uli kako je mogu e spasiti podatke s pokvarenog tvrdog diska i to tako da se prona e potpuno isti takav i da se onda zamijene plo e. itd. itd. 42 . softver za spa avanje podataka automatski e pokvariti tvrdi disk jer e neki sklopovi prestati raditi i time e nestati i zadnja nada u spa avanje podataka. serije tvrdog diska. neadekvatne tehnike i alata.Mit o softveru Neki softver za spa avanje podataka sigurno dobro funkcionira u svojoj namijeni ako je u pitanju logi ki. U slu aju fizi kog problema. MIT O POPRAVKU I ZAMJENI PLO A Mit o popravku Neki profesionalci ili kompanije tvrde da mogu Äpopraviti³ tvrde diskove iako je to nemogu e. To bi ak i moglo raditi ako se u obzir uzmu razli iti faktori poput ugra enog softvera.

ako se radi o backup-u. Naime. To bi moglo dovest do problema da opti ki ure aj ne prepozna da na mediju postoje podatci te je zbog toga preporu ljivo kad se ne to snima na takav medij.11. Primjena ove preporuke bi trebala rije iti problem. brandirani medij Potrebno je napraviti barem dvije kopije svih va nih podataka Potrebno je izbjegavati vi estruku pisanje. tj. zatvoriti sesiju. ali nisu pretjerano pouzdani.1. odnosno. nakon to je snimljeno. 43 . Prikaz praznog opti kog medija Kada se stavi opti ki medij u ure aj za njegovo itanje te se prika e da na njemu nema podataka tada bi problem mogao biti u tome to sesija (eng. tj. dok jeftini i ne brandirani mediji mogu predstavljati problem prilikom njihovog itanja kod ve ine CD i DVD ure aja. softver za snimanje podataka na opti ke medije omogu ava da se na medij pi e vi e puta. Zbog toga je potrebno pridr avati se nekoliko pravila prilikom kopiranja podataka. Opti ki ure aji Opti ki mediji poput CD-a i DVD-a tako er su podlo ni razli itim vrstama o te enjima te se zbog toga javlja potreba za spa avanjem podataka. na CD ili DVD: y y y y Uvijek je potrebno koristiti kvalitetan. softverski problemi mogu uzrokovati o te enje podataka. dozvoljava vi estruke sesije. Oni su popularni za pohranu podataka zbog njihovog velikog kapaciteta i male cijene. Session) nije finalizirana. snimanje podataka Treba testirati mogu nost itanja medija na razli itim ra unalima Postoje razli iti problemi koji se mogu javiti prilikom pogre ke na opti kom mediju te e ovdje biti obja njeno kako u kojem slu aju postupiti. 11.

Radi se o tome da se nastoji kopi ati ili r Äripati³ zvu ni ili video zapis na tvrdi disk kako bi se mogla nasnimiti nova kopija koja e sada uredno raditi. Uspjeh najvi e ovisi o CD i DVD ita u koji se nalazu u ra unalu. 11. Preporuke za spa avanje podataka sa opti kih ure aja Potrebno je zapamtiti da mogu nosti opti kog ure aja kao i mogu nosti programa za spa avanja podataka na opti kim medijima imaju veliki zna aj za uspje nost spa avanja podataka. tj. a podaci su od iznimne va nosti tada je potrebno zatra iti pomo od profesionalaca koji se time bave. Spa avanje filmova i muzike sa cd -a i dvd-a Spa avanje ovakvih vrsta podataka koji se nalaze na opti kim medijima razlikuje se od spa avanja uobi ajenih podataka na tim medijima. Rewritable) mediju potrebno je koristiti odre eni softver za njihovo spa avanje.2. Za neprofesionalnu upotrebu mogu e je koristiti program ÄCD and DVD Recovery³ dok oni korisnici koji imaju ve a znanja o spa avanju podataka mogu koristiti ÄIsoBuster³. memorijskim karticama ili bilo kojem drugom prepisivom (eng. Softver za spa avanje podataka na opti kom mediju Po to su podatci na opti kom mediju zapisani u razli itom formatu nego li oni koji se nalaze na tvrdom disku. Program koji se mo e preporu iti za ovakvo spa avanje podataka je ÄAVS DVD Copy³.4. 11.11. Ako ono nije bilo uspje no potrebno je poku ati s drugim opti kim ure ajem. Zbog toga to programi za spa avanje podataka koriste algoritme kako bi prepoznali na koji na in su podatci pohranjeni nije mogu e koristiti undelete programe ili programe za spa avanje podataka koji se nalaze na tvrdom disku za one podatke koji se nalaze na opti kom mediju. Kako bi postojala to ve a ansa za spa avanje potrebno je ripati na to manjim brzinama. o njegovoj toleranciji na pogre ke koje se nalaze na opti kom mediju.3. Oni posjeduju specijalne ure aje za takve vrste spa avanja koji se ne nalaze u obi nim ra unalima 44 . Ako ove metode nisu pomogle.

Spare area) koje se koristi se za spremanje meta podataka. Pages). Me utim. Fizi ke karakteristike Postoje dvije vrste flash memorija. kod flash memorija. Neki flash diskovi koriste koncept zona (eng. Mogu e ju je prona i u mobilnim telefonima. 12. stranica ima jo tzv. Pomo u logi kog spa avanja podataka esto nije mogu e spasiti sve podatke kao to su npr. Ve ina dana njih forenzi kih alata bazira se na logi kom spa avanju podataka. NAND memorija naj e e se nalazi u mobilnim medijima kao to su mobilni telefoni s kamerama. Za razliku od blokova i stranica. a kao rezultat dobiju se jedinice u tim blokovima koji su brisani. pomo no mjesto (eng. itd. a svaka stranica je veli ine 512 bajta. Zone). Na in na koji se spremaju podaci u flash memoriju temelji se na pohrani elektri nog naboja u tranzistoru. U NAND memoriji blokovi su podijeljeni u stranice (eng. USB stikovima. zona je samo logi ki koncept. potrebno ih je itati bit po bit. Za razliku od NAND memorije NOR memorija mo e se u konstantnom vremenu itati bajt po bajt te se zbog toga u njoj naj e e nalazi firmware. Na taj na in se mogu potencijalno propustiti vrlo va ne informacije. Taj naboj mo e biti pohranjen na vrlo duga ko vrijeme bez da se koristi vanjsko napajanje. izbrisani podaci. Kao to je slu aj kod tvrdih diskova da se prvo kopiraju svi podaci na neki drugi medij. 32 ili 64 stranice po bloku. tj. a to su NOR i NAND. a njih se mo e definirati kao skupina blokova reda veli ine od 256 do 1024. tj. npr. a zatim da se radi obrada tih kopiranih podataka. ali i oni podaci koji nisu direktno va ni za korisnika. 45 . Zbog tih nedostataka potrebno je raditi spa avanje podataka na ni im razinama. Dodatno. U flash memoriju mo e se zapisivati bajt po bajt. ne postoji fizi ka reprezentacija. digitalne kamere i USB flash diskovi. kako vrijeme prolazi tako se gubi i taj elektri ni naboj. Flash memorija Flash memorija je u dana nje vrijeme najrasprostranjenija vrsta memorije u podru ju memorije s nepokretnim dijelovima.1. tj.12. Ostatak memorije koji nije zauzeo firmware mo e biti iskori ten za spremanje podataka sa strane korisnika. PDA ovima. ali mora se brisati blok po blok kako bi se ponovno ne to moglo upisati. tako je po eljna ista procedura i kod ugra enih memorija s nepokretnim dijelovima.

Breeuwsma. odnosno im ju se proizvede ve sadr i lo e blokove. Kako bi se smanjilo to kvarenje blokova uzrokovano brisanjem istih proizvo a i memorija razvili su algoritme koji razmje taju podatke ravnomjerno po svim blokovima te na taj na in produ uju ivotni vijek memorije. M. Fizi ka i logi ka podjela flash memorije (Izvor: M. Kako se blokovi bri u tako se i kvare. Forensic data recovery from flash memory. Bad block). de Jongh. van der Knijff i Mark Roeloffd. imaju stanje 0. Postoje pravila koja govore da broj tih lo ih blokova prilikom proizvodnje smije biti maksimalno 2%. lipanj 2007) Pomo no mjesto mo e sadr avati informacije poput statusa stranice ili bloka. NAND memorija i prije nego stigne do korisnika. Takav blok se tada naziva lo blok (eng. Pomo no mjesto mo e jo sadr avati informacije bitne za fizi ko i logi ko adresiranje. tj. Klaver. informacija o tome kad je blok pokvaren bit e sadr ana upravo u pomo nom mjestu. a svaki blok mo e biti izbrisan izme u 104 i 106 puta prije nego bitovi postanu neizbrisivi.Slika 10. Za njih ti algoritmi predstavljaju vrijedno intelektualno vlasni tvo te ih ne ele nikome otkriti. Isto tako mo e sadr avati ECC podatke koji se brinu da otkrivaju pogre ke u stranici i da ih ispravljaju i to samo u slu aju ako je jedan bit pogre an te e nakon toga taj blok biti ozna en kao lo blok. tj. C. R. 46 .

nije potrebno poznavati kako oni stvaraju fizi ku sliku podataka. JTAG (eng. a to su metoda pomo u programskih alata. 12. Programski alati Najjednostavniji i najjeftiniji na in za spa avanje podataka sa flash memorije pru aju upravo hardversko su elje i programski alati koji potpuno kopiraju flash memoriju na neki drugi medij radi daljnje analize. Problem le i u tome to ne postoji generalna metoda jer svaki ugra eni sustav ima svoje su elje pomo u kojih se prenose podaci te isto tako ne postoji standardizirani Äoperacijski sustav za ugra ene sisteme³ s dokumentacijom o pristupnim funkcijama za itanje podataka na razini bita. Me utim.1. Postoje tri metode spa avanja podataka sa flash memorija. Dakle. Zapravo je potrebno znati kako rekreirati ispravan poredak fizi kih blokova za dobivanje logi ke kopije.2.Da bi se spasili podaci sa flash memorija nije potrebno poznavati rad tih algoritama. ipak postoje alati za kopiranje podataka koji su namijenjeni za odre ene ure aje. algoritam se pona a kao dinami ki proces koji kontinuirano razmje ta stranice i/ili blokove kako bi produ ili ivotni vijek memorije te kad se poku ava interpretirati stati ka snimka stanja tada nije potrebno znanje o radu algoritama. Dosada nja ispitivanja pokazala su da se prilikom paljenja ili ga enja mobilnih ure aja podaci mijenjaju i to najvjerojatnije zbog tih algoritama te je ta paljenja ili ga enja potrebno svesti na minimum. To zapravo i nije tako jednostavno kako se ini na prvi pogled jer kod flash memorije algoritmi za razmje tanje podataka mogu napraviti nepredvidljive promjene na podacima. Joint Test Action Group) metoda te metoda gdje se ip fizi ki odvaja te se ita pomo u vanjskog ita a podataka. Spa avanje podataka Najva nije pravilo prilikom forenzi kog spa avanja podataka glasi da se podaci ne smiju mijenjati. Pomo u tih metoda napravi se potpuna kopija podataka koji se nalaze na flash mediju. a razvijaju ih uglavnom proizvo a i ure aja i centri za servis. 47 . 12. tj.2.

mijenjanje serijskih brojeva ili dodavanja funkcionalnosti. Takve programske alate za mobilne ure aje najjednostavnije je na i na internetu. dok je na nekim mobilnim ure ajima mogu e raditi samo djelomi ne kopije. Primjer programskog alata za spa avanje podataka na mobilnim ure ajima je Twister flasher box. To je potrebno napraviti kako bi se provjerila njegova funkcionalnost. Osim to imaju mogu nost kopiranja podataka ti alati isto tako katkad imaju i neke druge opcije kao to su brisanje memorije. Pomo u njega mogu e je raditi potpune kopije podataka na razli itim modelima mobilnih telefona Nokije. Prednosti i nedostaci: y y y y Povezivanje hardvera je naj e e jednostavno s konektorom Flash memorija mo e biti rekonstruirana bez da se odlemljuju ipovi flash memorije Neki programi ne rade potpune forenzi ke kopije flash memorije Ne postoji garancija da podaci ne e biti upisani u memoriju 48 . Te opcije su katastrofalne u kontekstu forenzi kog spa avanja podataka. tj.Trebalo bi biti vrlo pa ljiv prilikom upotrebe tih alata tijekom forenzi ke analize. Prije nego se po ne raditi sa memorijom iz koje se ele spasiti podaci potrebno je najprije testirati program za spa avanje podataka na sli noj memoriji. na forumima ili internetskim du anima.

lipanj 2007= 12 Pristupni testni port koji se normalno koristi za testiranja ili ispravljanje pogre aka. C. Pins) do kojih korisnik ina e ne mo e direktno pristupiti. Slika 11.12. R. JTAG Kad se ne mo e napraviti forenzi ka kopija podataka tada se koristi JTAG12 metoda. External test mod). de Jongh. Forensic dana recovery from flash memory. Ve inu tih procesora koji podr avaju JTAG mod omogu uju dva moda.2. Klaver. 12.2. Mati ne plo e koje podr avaju JTAG imaju dodatne testne pristupne to ke (eng. Debug mod) i vanjski testni mod (eng. Pristup flash memoriji kori tenjem jtag metode Flash memorijski ipovi ina e nemaju omogu en JTAG mod. Neki procesori podr avaju oba dva moda dok neki podr avaju samo jedan. van der Knijff i Mark Roeloffd. Breeuwsma.2.2. M. ali kako je prikazano na slici 11 ti su ipovi uobi ajeno povezani s ostalim ipovima poput procesora te se taj procesor mo e koristiti kako bi se pristupilo flash memoriji i to ako on podr ava JTAG. ali se isto tako mo e koristiti kako bi se pristupilo memoriji 49 .1. a to su mod za ispravljanje pogre aka (eng. Primjer ugra enog sistema (Izvor: M.

1. Breeuwsma. Slika 12.2. M. de Jongh.12. Taj je testni vektor aktiviran nakon u itavanja. To je pohranjeno u drugom testnom vektoru. Primjer takvog itanja NOR flash memorije s pomo u dva testna vektora prikazan je na slici 12. Drugi se testni vektor ita ra unalo te se podaci sa podatkovne sabirnice pohranjuju u datoteku. Forensic dana recovery from flash memory. Klaver. 50 . lipanj 2007) 1. r/w) s naredbom itanja. 2. Nakon pristupnog vremena ip flash memorije odgovara sa zatra enim podacima preko podatkovne sabirnice.2. Prvi testni vektor sadr i adresu NOR flash memorijske lokacije i kontrolne signale (ce. R. 3. C. Testni vektori se u itaju ili itaju naj e e koriste i posmi ni spremnik.1. van der Knijff i Mark Roeloffd. a vanjska flash memorija mo e se itati tako da se u itaju ili itaju nizovi serijskih testnih vektora. Kori tenje vanjskog testnog moda kako bi se pristupilo memoriji (Izvor: M. Vanjski testni mod U ovom modu jezgra procesora je isklju ena dok su sve pristupne to ke na procesoru kontrolirane pomo u JTAG kontrolera.

tj. prvo je potrebno izmjeriti sve pristupne to ke te se na taj na in eliminira ve ina tih to aka. iako sam proces du e e trajati zbog toga to je potreban ve i broj testnih vektora kako bi se pro itao bajt ili rije podatka. Mod za ispravljanje pogre aka Sklopovi za ispravljanje pogre aka koji su ugra eni u procesor mogu se koristiti kako bi se ispravile pogre ke softvera kojeg taj procesor koristi. Potpuna slika NAND flash memorije mo e biti napravljena na isti na in. dok to nije mogu e ili je izuzetno te ko za NAND flash memoriju.Potpuna slika NOR flash memorije mo e se napraviti na isti na in z svaku memorijsku a lokaciju. prije po etka izrade slike flash memorije.1. To se radi tako dugo dok se ne dobije validan signal. ak i vi e od 100. Na nekim sklopovskim plo icama te pristupne to ke nalaze se u jednom retku i jasno su ozna ene. registre za itanje stanja ili registre za pisanje i itanje podataka sa vanjskih memorijskih ipova.2. dok je opet nedostatak to tih to aka mo e biti jako puno. Ta se zadnja opcija mo e koristiti kako bi se napravila slika NOR memorije. Postoje razli iti na ini kako prona i te pristupne portove od kojih neki mogu i uni titi ugra ene sustave. 12. ali ipak u ve ini slu ajeva sli ne su ostalim pristupnim to kama i ak se mogu nalaziti na obje strane plo ice te ih je zbog toga te ko prona i. Oni se ovdje nalaze u jednom retku. Na slici 13 prikazani su JTAG testni pristupni portovi na mobilnom ure aju SAMSUNG SGH-D500. potrebno je prona i JTAG testni pristupni port. Testni pristupni portovi mogu se prona i nakon drugog mjerenja tako da se mjere sve mogu e ulazno/izlazne kombinacije pomo u algoritme. JTAG sklopovlje u procesoru ima dodatne registre za zaustavljanje i pokretanje naredbi. PRONALA ENJE JTAG TESTNOG PRISTUPNOG PORTA Prije nego to se mo e po eti sa procesom spa avanje podataka.2. Komercijalni alati dakle mogu koristiti kako bi se napravila potpuna kopija NOR memorije. Kod ovog pristupa potrebno je mjeriti sve pristupne to ke na sklopovskoj plo ici i to zbog toga jer JTAG ulazi i izlazi imaju specijalna svojstva za razliku od ostalih pristupnih to aka. Dakle. Prednost je u tome to se to mo e napraviti relativno brzo. Zbog toga e ovdje biti opisan samo jedan pristup koji je najjednostavniji.2. a ujedno i najsigurniji. 51 .

) Nedostatak le i u tome to je komunikacija u vanjskom testnom modu spora iako u modu za ispravljanje pogre aka mo e biti ne to br a Mo e biti te ko prona i JTAG pristupne to ke Nisu svi ugra eni sustavi opremljeni s podr kom za JTAG y y y y y 52 . C. van der Knijff i Mark Roeloffd. itd. Forensic dana recovery from flash memory. JTAG testni pristupni port na Samsungu SGH-D500 (Izvor: M.Slika 13. de Jongh. uvijek postoji barem malo vrijeme izme u uklju ivanja i vremena kad se unesu neka od dva moda te u tom vremenu sustav mo e komunicirati sam sa sobom. mo e se garantirati da podaci ne e biti zapisani ni u vanjskom testnom modu niti u modu za ispravljanje pogre aka. pomo no mjesto memorije. Mo e se napraviti slika memorije bez da se odlemljuju ipovi Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci. lipanj 2007 Prednosti i nedostaci: y Rizik promijene podataka je minimaliziran. M. lo i blokovi. Klaver... Me utim. tj. Breeuwsma. R.

2. Slika 14.12. 12. tj. R. Nakon to se lem otopi.3. lipanj 2007) Vru i zrak pu e na rubove ipa te samim time temperatura ipa ostaje ni a od temperature pinova koji su zalemljeni.1. Ta se metoda koristi kada se ne mogu koristiti softverski alati ili kad JTAG nije dostupan. Ball Grid Array) ku i tima. C.2. sliku flash memorije le i u tome da se fizi ki odstrani flash ip sa sklopovske plo ice te da ga se zatim Äpro ita³ s nekim alatom za itanje podataka. Odlemljivanje flash memorijskih ipova Ve ina dana njih ipova nalazi se u TSOP (eng.2. Va enje TSOP ipa pomo u toplog zraka (Izvor: M. ip se izvadi van pomo u specijalnog ure aja. Bolji na in za va enje TSOP ipova je pomo u vru eg zraka i on je prikazan na slici 14.3. 12. Klaver.1. Va enje TSOP ipova TSOP ipovi mogu se izvaditi iz sklopovske plo ice pomo u lemila. M.1. Forensic dana recovery from flash memory. van der Knijff i Mark Roeloffd. 53 . Breeuwsma. Fizi ka ekstrakcija Jo jedan na in na koji je mogu e napraviti kopiju. Thin Small Outline Package) i Micro BGA (eng.3. de Jongh. iako to nije preporu ljivo zbog toga to se treba upotrijebiti mnogo lema na pinovima ipa te je onda kasnije potrebno vi e vremena kako bi se o istio ip.

12.2.3.1.2. Va enje mikro BGA ipova

Mikro BGA ipovi mogu se izvaditi pomo u vru eg zraka, tj. ure aja namijenjenog upravo za lemljenje ili odlemljivanje ipova. On koristi temperaturni profil kako bi izvadio ip te ta temperatura treba biti dovoljno visoka kako bi se otopio lem. Tako er je potrebno provjeriti da temperatura ne bude previsoka jer bi se time mogao o tetiti ip. To je osobito va no kod bezolovnih ipova, tj. bezolovnih lemova zato jer oni imaju ve u temperaturu taljenja. Preporu ljivo je da se prvo vje ba na referentnom modelu prije nego se po inje raditi s originalom i to zato jer je temperaturni profil druga iji za svaki ip ili sklopovsku plo icu.

12.2.3.2. Priprema ipa za daljnju obradu

Pinovi TSOP ipa potrebno je o isti, a to je mogu e napraviti pomo u ice za va enje lema (eng. Solder wick) ili pomo u teku eg sredstva (eng. Solder flux). Slijede e to je potrebno jest provjeriti da li su pinovi dobro poravnati te da li je na njima ostalo lema. Kod mikro BGA ipova situacija je ne to kompliciranija. Ako se on izvadi iz sklopovske plo ice tada su kuglice na ipu o te ene zbog toga jer je ne to lema ostalo na plo ici, a ne to na ipu. Na posljetku su te kuglice razli ite veli ine, a ta razlika radi probleme kod ve ine podno ja. Ta podno ja su napravljena tako da je u njih mogu e staviti samo ipove s istim kuglicama, a ako je stavljen ip kojemu te kuglice nisu iste veli ine za rezultat se dobije lo a konekcija. Da bi se ispravio taj problem koristi se opcija ponovne izrade kuglica (eng. Reballing) i to je najbolje raditi pomo u stroja. Nakon to je ip o i en, mogu e ga je Äpro itati³ pomo u ita a ili programera. Taj programer memorijskih ipova ili ita uobi ajeno imaju nekoliko tipova podno ja u kojima nije potrebno primijeniti silu (eng. Zero Insertion Force) kako bi se povezali sa ipovima. TSOP flash ipovi naj e e imaju 48 pinova te ih je zato mogu e itati samo pomo u jednog podno ja, dok nasuprot njima BGA ipovi dolaze u razli itim veli inama i imaju razli ite veli ine i koli ine kuglica. Njihova podno ja su skupa i potrebno je du e vrijeme da se dostave. Zbog toga je po eljno koristiti podno je na kojem se mo e koristiti vi e razli itih vrsta ipova.

54

12.2.3.3. Programer ili ita flash memorijskih ipova

Flash memorijske ipove mogu e je Äpro itati³ pomo u komercijalno dostupnih softverskih programera. Nedostatak je u tome to je potreban upravlja ki program za svaki memorijski ip, a ako taj program ne postoji tada ga proizvo a ili programer moraju napraviti. To naravno iziskuje odre eno vrijeme i nije ga uvijek mogu e napraviti zbog manjka dokumentacije ipa. Kako bi se to izbjeglo mogu e je koristiti univerzalni ita Prednosti i nedostaci
y

Garantirano nikakvi podaci ne e biti zapisani u flash memoriju zbog toga to je ugra eni sistem uga en Podaci se mogu spasiti sa o te enih ugra enih sistema Mo e se napraviti potpuna forenzi ka slika memorije (svi podaci, pomo no mjesto memorije, lo i blokovi, itd...) Nedostatak je to to je mogu e o tetiti ipove prilikom odlemljivanja Potrebno je otvoriti ugra ene sisteme kako bi se moglo odlemiti ipove

y y

y y

13. Magnetske kartice
Tehnologija magnetskih kartica se koristi u mnoge svrhe, uklju uju i kreditne, debitne, telefonske i identifikacijske kartice. Ove vrste magnetskih kartica i sadr aj pohranjen na njima oslanjaju se na identifikaciju i osobnu autentifikaciju . Kori tenje kreditne ili debitne kartice, u kupovanju razli itih dobara i usluga, promijenilo je put socijalnih i financijskih procesa te je odgovorno u rukovanju monetarnih i financijskih transakcija. Magnetna kartica ili kartica s magnetnim zapisom spada u red pasivnih magnetnih kartica. To je plasti na kartica koje na svojoj pole ini imaju magnetnu traku na kojoj su zapisani ifrirani podaci koji se itaju opti kim ita em. Magnetna traka na zadnjoj strani mo e pohraniti oko 200 bajta ili 0,2 kb podataka. Zbog toga to je te ko pro itati ili zapisati podatke na karticu bez autorizacije te zbog toga to kartica mo e stati u svaki d ep, magnetna kartica je isklju ivo primjerena za sigurnu pohranu podataka. Povijest magnetnih kartica Povijest kartica se e u pedesete godine pro log stolje a, kada je Diners predstavio svoju prvu charge karticu. Nakon toga slijedi prava ekspanzija karti nih organizacija i njihovih proizvoda. Ovdje su navedeni neki od zna ajnih doga aja vezanih uz karti no poslovanje: 1950 - Diners predstavio prvu charge karticu 1958 Bank of America predstavila prvu bankovnu karticu (Bank Americard) 1965 ± Eurocard ustanovljen u Belgiji 1967 - osnovana Me ubankarska karti na organizacija (Interbank Card 55

Association) od strane ameri kih banaka 1968 - Interbank Card Association (ICA) i Eurocard oformili savez 1974 - osnovan Eurocheque International 1977 - Bank Americard postala Visa International 1979 - ICA postaje Mastercard International 1988 - MasterCard postaje dioni ar u Eurocard Interantional & EPSS 1992 - Eurocard, Eurocheque & EPSS su se spojili Europay International 2003 - Europay International nestaje u spajanju s MasterCard International i postaje MasterCard International. Magnetske kartica je vrsta kartica koje su sposobne pohraniti digitalne podatke, snimaju i magnetske uzorke izme u Äpruga³ na nali ju kartice. Postoje tri podatkovne trake izme u magnetskih pruga. Kreditna kartica koristi samo Traku 1 i 2. Tipi no, Traka 1 slu i za pohranu broja ra una, korisni kih imena, i vremena istjecanja kartice. Ova traka tako er mo e poslu iti za pohranu Ädiskrecijskih Ä podataka vezanih na izdavatelja kartice. Traka 2 je izgra ena za bankovnu industriju, tj. koristimo ju za spremanje kopije trake 2, ali bez korisni kog imena i koda usluge, koji je povezan sa sigurnosnim funkcijama kao to je koli ina dozvoljene transakcije. Telefonska kartica je vrsta Ätop-up³ magnetske kartice, koja na sebi sadr i trake 1 i 2. U pravilu Ätop-up³ je naziv za Äglupe³ magnetske kartice, zato to im je sigurnost na jako niskoj razini. U pravilu je dovoljno samo prepisati traku 2 sa novim brojem ra una.

13.1 ita i kartica
Postoji mnogo ita a magnetskih kartica odnosno takozvanih Äskimmera³. Ovi ure aji se izri ito proizvode za kori tenje u legalne svrhe, no ipak se koriste u ilegalnim aktivnostima. Primjer prenosivog ita a magnetskih kartica i njegova obilje ja imamo na sljede oj slici.

56

ita sve tri trake. Magnetski ita je zapravo ure aj baziran na mikro -kontroleru . budu i da oni imaju samo mogu nost itanja podataka sa kartice. . Glava ita a sadr i poja ala signala i linijske upravlja ke programe. . .samostalan. ita tako er sadr i i Äoscilatornu sekciju( dio )³ koja se koristi za uklju ivanje i isklju ivanje 13. Sve modernije glave ita a sadr e i integrirani F/2F bit koji slu i za spa avanje podataka.RS232/USB su elje.2 Koderi magnetskih kartica ita i magnetskih kartica su samo dijelovi opreme kori tene za kloniranje kartica.aplikacijsko brisanje zapisa ita i magnetskih kartica za itanje podataka sa kartica koriste posebnu komponentu koja se naziva glava ita a.Veli ina ± duljina 50mm. .512 K bytes memorije ± vi e 2048 zapisivanja.ita magnetskih kartica Obilje ja: . . dok neke novije verzije mogu itati sve tri trake istodobno. irina 30mm. Za kloniranje magnetskih kartica naj e e se koristi MSR206 koder prikazan na sljede oj slici: Koder MSR206 57 . vremenskih releja. visina38 mm.nakon spremanja . Ve ina Äglava³ ita prvu i drugu traku istodobno.PIN-om za ti en ± etiri brojke. napajan baterijom ± CR2032 naponska elija. .

Ponekad gre kom mo emo formatirati neki od ure aja na kojem imamo podatke. Recuva tako er mo e prona i podatke na ure aju koji je formatiran. 14. Prvo obilje je odnosi se na spa avanje podataka koji su gre kom izbrisani. me u kojima odaberemo tip(vrstu) podataka koje elimo Äspasiti³. tj. te sve ostale podatke. korisno ju je imati na bilo kojem prenosivom disku. Kao ponu ene opcije imamo: slike. Ovakve ure aje mogu e je lako kupiti.Obilje - ja: mogu nost itanja i pisanja na magnetske trake mogu nost itanja pisanja na trake u kombinacijama Traka: 1. odnosno smart ure aju. Recuva ima i koristan Äwizard³. 2&3. odnosno pomo nik koji nam poma e da bez nekih prevelikih napora povratimo izgubljene podatke. elektroni ku po tu. neovisno. mo e Äspasiti³ obrisanu elektroni ku po tu. U prvom koraku wizard nam pru a grupu opcija. iskoristimo bilo koje od navedenih funkcija koje nam doti ni program pru a. 1&2. video sadr aj. Primjena forenzi kih alata . znanja i vje tine mogu e ih je pretvoriti u ure aje s kojima mo emo napraviti te ke kriminalne radnje. Budu i da ima svoju Äportable³ verziju. Serijski/USB/PS/2 portevi. 2. Ovaj alat ima nekoliko obilje ja. jer na taj na in mo emo bilo gdje koristiti njezine mogu nosti. ima i mogu nost skeniranja tj. tra enja datoteka. dokumente. glazbu. cameri ili iPod-u. ali i brisanja datoteka koje elimo izbrisati zauvijek. te uz malo truda. 58 . ili obrisanu glazbu sa iPod Ovaj koristan program -a.primjer Kao primjer u ovom seminaru obradit emo jedan besplatan i vrlo koristan alat ± ÄRecuva³. dali su na usb memorijskoj kartici. ra unalu.

Budu i da smo ju zadnje maknuli iz ko a za sme e. koja Ädirektno bri e³ sa operacijskog sustava. ili kod brisanja upotrijebimo kraticu shift+delete. 59 . Nakon to smo izabrali tip datoteke. tada ju obri emo i iz ko a za sme e. tako da je jo uvijek mo emo vratiti u slu aju da shvatimo. tip podatka koji elimo opet vratiti u funkciju je dokument. a onda ju jo maknuli iz ko a za sme e. prvo smo obrisali naredbom delete.Odabiranje tipa podatka Kao to je na slici iznad prikazano. Dakle. Ako ju elimo u potupnosti obrisati. Poznato je svima. odabrana lokacija e biti upravno on. sljede e to moramo je izabrati lokaciju na kojoj se nalazila tra ena datoteka. da se brisanje dogodilo gre kom.doc koja se nalazi na putanji: C:\Recuva. da nakon to je bilo koja datoteka obrisana na windowsima ona se privremeno Äspremi³ u ko za sme e. Brisanje datoteke u ovom slu aju i lo je na uobi ajen na in. U na em slu aju to e biti datoteka tipa .

60 . Te pronalazi sve obrisane datoteke iz tzv. ko a za sme e.Odabir lokacije na kojoj se nalazi tra ena datoteka Odabiranjem lokacije i pritiskom na next Recuva po inje skenirati tra enu lokaciju.

Prvi tab . Po meni najva niji je tab ÄInfo³ u kojem vidimo sve najva nije podatke o izbrisanoj datoteci. dok naran asta boja zna i ba suprotno. odnosno da ne e do i do gubitka sadr aja. ali upitan je sadr aj.ÄPreview³ na koristi. kao to mo emo vidjeti na slici ispod. Ako elimo koristiti napredne dijelove Recuva programa u gornjem desnom dijelu ekrana pritisnemo na ÄSwitch to advanced mode³. Zelena boja ozna ava da je datoteku mogu e povratiti. Mo emo primijetiti da su datoteke ozna ene razli itim bojama.doc datoteku. odnosno datoteku je mogu i spasiti. Tada nam se sa desne strane otvori ekran u kojem stoje tri taba.Rezultati skeniranja Kao to mo emo vidjeti iz rezultata skeniranja. 61 . U tome slu aju mo emo vidjeti pregled te slike. Recuva je prona ao na u obrisanu *. ako je tra ena datoteka bila slika.

Kori tenje naprednih opcija Sljede i korak je da datoteku jednostavno ozna imo kva icom i stisnemo na Recover u donjem desnom dijelu ekrana. Recuva nam izbaci prozor u kojem odaberemo mjesto na koje elimo spremiti datoteku i time postupak spa avanja podatataka zavr ava. 62 .

Forenzika nam omogu ava da te podatke analiziramo. odnosno potrebno je izdvojiti odgovaraju e informacije. Bit ra unalne forenzike je initi dobro. Upravo ove injenice potvr uju da ra unalna forenzika predstavlja jedno vrlo zahtjevno podru je u kojem vrijeme i ovjek imaju klju nu ulogu. Stru nost. praksa. Analiza. znanje te ostali njima sli ni parametri. vje tine. te pratiti ono to je netko u inio u poku aju rekonstrukcije doga aja. te ostale metode su naro ito zahtjevni vremenski procesi. 63 . Dobro poznavanje sklopovske i programske opreme predstavlja preduvjet za prakticiranje forenzi ke znanosti. Analiziranjem i sintetiziranjem dobivenih informacija donose se zaklju ci koje se oblikuje rje enje nekog slu aja. izdvajamo i sa uvamo od destrukcije. Zaklju ak to je tehnologija razvijenija te e nam je pratiti bilo kakve doga aje i aktivnosti unutra na eg informacijskog sustava. nu ni su uvjet da bi se ovjek usko bavio nekom granom forenzike. Nakon to su podaci pribavljeni potrebno je te podatke analizirati i napraviti apstrakciju nad njima. Alati otvorenog koda pokazali su se kao izvrstan temelj za u enje i razumijevanje metoda i procedura koje se primjenjuju. pohranjenih u razli itim spremi tima podataka. apstrakcija. odnosno uni tenja na odgovaraju i na in. Dana nji sustavi sadr e ogromne koli ine podataka. sinteza. dok ovjek ima klju nu ulogu u interpretaciji podataka i dono enju zaklju aka.15.

2009.cs. dostupno 15. dostupno 15.11.11.2009.tportal.2009.2009.2009 http://www. dostupno 15.com/downloads/Network%20Forensics. dostupno 15. Forensic dana recovery from flash memory.fer. http://forum. dostupno 15. http://www.tech-pro.bitcricket. dostupno 15. C.hr/ostalo/2007_horvat/Forenzika.pdf.html.pdf.net/support/netintercept/downloads/ni-ieee.hr/tehno/racunala/42598/Microsoftov-forenzicki-alat-procurio-nainternet.srce.11.pcekspert.htm. dostupno 15. dostupno 15.11.11.2009.usu.11.2009 http://www. dostupno 15.pdf.2009. M.php?t=88478. M.pdf.com/magnetic-card-reader. dostupno 15.11. http://en.2009. http://www.11. y y y y y y y y y y y y 64 .11. Literatura y http://digital.com/article/245.tech-faq.11.hr/fileadmin/user_root/seminari/Srce-Sys-SeminariOsnove_racunalne_forenzike.zemris.2009.sandstorm. van der Knijff i Mark Roeloffd.2009.shtml.2009.wikipedia. dostupno 15.hardwaresecrets. http://sistemac.org/wiki/Magnetic_stripe_card . dostupno 15.edu/~erbacher/publications/NetworkForensicProcesses.11.com/showthread. Klaver. http://datapodium.com/dokumenti/uploads/forenzika/Wireless_forenzika.11. Breeuwsma.2009 http://www.11. http://www.16. http://os2.pdf.html. lipanj 2007.net/how-to-cd-data-recovery. dostupno 15. de Jongh. R.

17. Zadu enja tima Zoran Erdec y y y y Spa avanje podataka Tvrdi diskovi Opti ki ure aji Flash memorija Denis Miksi y y y y y Uvod u mre nu forenziku Unutra nja sigurnost Forenzi ki postupci i alati Wireless forenzika Analiza be i nog prometa Nikola Modru an y y y y y Uvod Forenzi ki alati u forenzici Magnetske kartice Primjena forenzi kih alata ± primjer Zaklju ak Bojan Vuk i y y Forenzika(op enito) Materijalni nositelji 65 .