NEE Skaidrės v2 PDF

Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
E. nusikaltimo poėmis ir analizė kompiuterizuotoje darbo vietoje
Š. Grigaliūnas
2020
1
ATSISAITYMAS
3 LABORATORINIAI DARBAI
1 TARPINIS (TESTAS)
1 EGZAMINAS (TESTAS)
2
BENDRAUSIME
MS TEAMS
#kanalas
Moodle – T120M152 modulis
El. paštas
3
MODULIS
Kaip vyks?
• Legenda
• 2 (4) grupės – skirstomės pagal porinius ir neporinius
skaičius sąraše – giname įkalčių surinkimo [ne]tvarkingimą
• Įkalčiai:
• Darbo vietos kompiuterio kietasis diskas
• Telefono atvaizdas
• Darbo priemonės (angl.k. tools)
• Laboratoriniai darbai – praktika iš paskaitų medžiagos –
įkalčių ieškojimas
• Gynimas
4
LEGENDA
ALMANTAS KARVELIS – nužudytas

KTU TELEKOMO darbuotojas (video) buvo nužudytas, dėl savo
atsakingo posto (pareigų), po to kaip hackeriai įsilaužė į IT sistemas.
POLICIJA: atliko įkalčių poėmi (darbo vietoje), namuose nerado nieko.
RASTAS: kažkam priklausantis telefonas
UŽDAVINYS:
• Išsiaiškinti ar teisingai atliktas poėmis, vadovaujantis turimu disko ir
operacinės atminties atvaizdais.
• Sekti dėstytojo nurodymais, dėl papildomu įkalčių įtraukimo į bylos
nagrinėjimą
• Parengti ir apginti ataskaitą (autopsy)
5
KAS TAI?
Kriminalistiniams tyrimams skirtų įkalčių analizė remiasi skirtingų

"artefaktų" analize, kurie yra įrašomi
veikiant Windows operacinei sistemai. Svarbi darbo Windows sistemoje
dalis yra registro failų („avilio“
failų), įrašančių paskutinius kompiuteryje atliktus veiksmus, analizė.
Norint sparčiau pasiekti šią informaciją ir lengviau sukonfigūruoti tam

skirtus įrankius, reiktų sukurti
tyrimui reikalingų failų bei aplankų saugojimo struktūrą. Tokiu atveju
nereiktų dirbti su pilnu disko
atvaizdu, kuriame yra įkalčiai, taigi, nereiktų dirbti su didžiuliais kiekiais
informacijos, pvz., 1TB kopijomis.
6
COMBODOCK
7
Klausimai?
8
tyrimų metodikos
(T120M152)
E. nusikaltimo įrankiai neapsaugotiems įkalčiams gauti
Š. Grigaliūnas
2020
1
Kriminalistiniai tyrimai Microsoft
aplinkose
In situ kriminalistinių tyrimų naudojamus

įrankius
Kriminalistinių tyrimų darbo vietoje
naudojamus įrankius
Tipinės problemos ir jų sprendimo būdai
2
In situ (vietoje)
In situ (in-situ) yra lotynų kalbos terminas, pažodžiui verčiamas

„vietoje". Taip apibūdinamas renginys ar priemonė, kuri vykdoma
„įprastoje vietoje“
Šis terminas naudojamas įvairiuose kontekstuose ir įvairiose srityse
(medicinoje, teisėje, lingvistikoje ir kt.)
Kriminalistikoje in situ suprantama nusikaltimo pėdsakų paieška ir jų
tyrimas nusikaltimo vietoje
3
Operatyviosios atminties analizė
Operatyviosios atminties analizei galime panaudoti „LiveKd“ įrankį

(Russinovich, 2015), kurį galima parsisiųsti iš svetainės
http://live.sysinternals.com Tai nemokama programinė įranga, kurią
kuria Sysinternals kompanija
Ši programinė įranga išnaudoja standartinius Microsoft branduolio
derintuvus, o tai leidžia tyrinėti veikiančią sistemą, neperjungiant
sistemos į derinimo režimą
Šis įrankis padeda išvengti informacijos modifikavimo kompiuterio
diske
4
Disko prijungimas
Turėdami VM virtualųjį diską (VHD), galime atlikti jo analizę. Pastebime,

kad visada analizė atliekama tik su VHD kopija. Prieš darant virtualaus
disko kopiją reikia apskaičiuoti kontrolinę sumą
Microsoft Windows turi galimybę prijungti (map) diską kaip papildomą
įrenginį prie jau veikiančios OS. Vėliau galima atlikti jo turinio analizę,
kaip tai būtų daroma savo kompiuteryje
Turime išsikviesti disko prijungimo valdymo programą (Disk
Management; greičiausias būdas tai padaryti – Run eilutėje įvesti
komandą diskmgmt.msc)
5
Disk Management valdymo
langas
6
Disko prijungimas
Norėdami prijungti virtualų diską, meniu Action pasirenkame Attach

VHD ir nurodome kelią iki mūsų VHD kopijos.
Tam, kad duomenys būtų nepakeisti ar kažkaip kitaip įtakoti pačios
operacinės sistemos, rekomenduojame naudoti tik skaitymo režimą
(Read-only).
Viską tinkamai nurodžius, turėsime papildomą diską Disk 2, prijungtą prie
esamos sistemos.
7
Disko prijungimas
8
Konvertavimas į RAW
RAW formatas mums reikalingas dirbant su dideliais duomenų kiekiais

ir atliekant automatizuotą įkalčių paiešką
Čia yra konkretus pavyzdys, kaip in situ poėmio metu įmonėje iš
virtualioje aplinkoje VMware Čia yra konkretus pavyzdys, kaip in situ
poėmio metu įmonėje iš virtualioje aplinkoje VMware veikiančios VM
disko (vmdk) yra parengiamas RAW
Toliau pateiktame pavyzdyje matome, kad poėmio metu buvo sulaikyta
Linux OS, kurios virtualus diskas buvo suskaidytas į lygias dalis.
Naudodami QEMU programinę įrangą, 6 virtualaus disko failus
konvertuojame į vieną RAW formato failą:
9
Konvertavimas į RAW – pavyzdys
(1)
C:\Program Files\qemu>qemu-img.exe info "C:\Users\user\Documents\Debian 7.x\Debian 7.x.vmdk
image: C:\Users\user\Documents\Debian 7.x\Debian 7.x.vmdk
file format: vmdk
virtual size: 20G (21474836480 bytes)
disk size: 19G
cluster_size: 65536
Format specific information:
cid: 2465942210
parent cid: 4294967295
create type: twoGbMaxExtentSparse
extents:
[0]:
virtual size: 4251975680
filename: C:\Users\user\Documents\Debian 7.x\Debian 7.x-s001.vmdk
cluster size: 65536
format: SPARSE
[1]:
10
Konvertavimas į RAW – pavyzdys
(2)

cluster size: 65536
format: SPARSE
C:\Program Files\qemu>qemu-img.exe create -f raw -o size=20G

D:\debiantRaw\debian.raw
Formatting 'D:\debiantRaw\debian.raw', fmt=raw size=21474836480
freespace 41701883904
C:\Program Files\qemu>qemu-img.exe convert -O raw "C:\Users\user\Documents\Debian

7.x\Debian 7.x.vmdk" D:\debiantRaw\debian.raw
freespace 41701883904
11
Paleistų procesų analizė
Windows 8.1 operacinės sistemos aktyvių procesų analizei galima

naudoti Sysinternals paketo įrankį̨ autoruns.exe. Juo galima matyti ir
proceso metaduomenis (pavyzdžiui, kūrėją), analizuoti procesų medį, OS
startavimo metu paleidžiamų procesų sąrašą ir kitą naudingą informacija:
12
Įvykių̨ žurnalas
Įvykių žurnale galima rasti naudotojo veiksmų istoriją

Ankstesnėse OS (tokiose, kaip Windows XP/2003) įvykių registracijos
žurnalo failai saugomi kataloge C:\windows\system32\config; ten
rasime tris pagrindinius žurnalinius failus – AppEvent.evt,
SecEvent.evt, SysEvent.evt
Naujesnėse Windows versijose ir Microsoft programose (pvz.,
Microsoft Office 2007 ir Internet Explorer 7/8) sukuriami papildomi
žurnaliniai failai Osession.evt ir Internet.evt
Savo atskirus žurnalus veda ir tokios programos kaip DNS serveris,
domeno kontroleris
Įvykių žurnalus galima peržiūrėti naudojant Microsoft Management
Console Event įskiepį Viever arba išsikviesti iš komandinės eilutės:
c:\windows\system32\eventvwr.exe
13
Įvykių žurnalas
Kiekvienas įvykis turi savo identifikatorių EventID, pagal kurį galima

sužinoti problemos priežastis ir trumpą aprašymą:
14
Nuorodų failai (.lnk)
Tai yra nuorodos į kitą failą̨ ar katalogą̨, todėl nuorodų failai gali būti
naudingi ir tyrėjui nurodant įkalčių paieškos vietą
Nuorodų faile taip pat išsaugomos laiko žymės (data ir laikas), tikrojo
failo sukūrimo laikas, paskutinio atidarymo ar modifikavimo laikas:
15
Thmbnail buferiniai failai
Thumbs.db – tai sudurtinis failas, kuriame saugomi sumažintos apimties

failų atvaizdai, kurie buvo peržiūrėti Windows Explorer programa. Šis failas
automatiškai sukuriamas, kai katalogo failai peržiūrimi „Thumbnails“ režimu,
ir modifikuojamas, jei kataloge atsiranda naujų failu
Thumbs.db failo vieta priklauso nuo Windows versijos. Windows Vista,
Windows 7 šis failas būna kataloge C:\Users\<user
folder>\AppData\Local\Microsoft\Windows\Explorer, o ankstesnėse
Windows versijose jis būdavo tame pačiame kataloge.
Thumbs.db failus galima atidaryti ir peržiūrėti, kokie failai buvo kataloge,
naudojant programinę įrangą Thumbs Viewer :
16
Thmbnail buferiniai failai
17
OS pasikartojančių darbų
užduočių failai
Windows 8.1 operacinę sistemą nagrinėjant in situ būdu, reikėtų

nepamiršti ir .job (pasikartojančių darbų) paleidimo peržiūrėjimo
galimybės. Ši informacija yra saugoma pagrindiniame
C:\Windows\Tasks kataloge:
18
OS pasikartojančių darbų
užduočių failai
Norint peržiūrėti, importuoti ar eksportuoti pasikartojančių darbų užduočių
failus, reikia paleisti Start  All Programs  Accessories  System
Tools ir spragtelti Task Scheduler (arba panaudoti Run 
taskschd.msc :
19
Windows Prefetch
Įjungiant kompiuterį OS stebi, kurias programas paleidžiate. Windows šią

informaciją saugo mažų failų pavidalu kataloge C:\Windows\Prefetch
Kitą kartą įjungiant kompiuterį, Windows panaudoja šiuos failus pradiniam
paleidimo procesui paspartinti
20
Windows Prefetch
Norėdami sužinoti, kokia taikomoji programa ir kada buvo paleista,

galite pasinaudoti nemokama programine įranga Windows File
Analyzer
21
Windows Prefetch
Spragtelėję dominančios programos pavadinimą dešiniuoju pelės

klavišu, pamatysime išsamesnę informaciją, pavyzdžiui:
Application: FIREFOX SETUP STUB 36.0.4.EXE

Created: 2015-03-23 08:28:50
Written: 2015-03-23 08:28:50
Last Accessed: 2015-03-23 08:28:50
Embedded Date: 1601-01-01 02:07:09
Runs: 0
File Path Hash: 79B018C5
MD5: E25A805BDB5AD5D39337F375B7E192BD
22
Laiko ir datos žymės
Windows 8.1 operacinių sistemų failai turi tris laiko ir datos žymes: sukūrimo,
paskutinio modifikavimo (perrašymo) ir paskutinio atidarymo (naudojimo)
NTFS ir FAT failų sistemose esančių̨ failų laiko ir datos žymės skiriasi:
– Failo metaduomenyse minėtos žymės yra išsaugomos skirtingose vietose, NTFS
laiko ir datos žymės saugomos universalaus laiko (UTC ) pavidalu, o FAT – lokalios
laiko juostos pavidalu
– NTFS laikas matuojamas 100 nanosekundžių ̨ periodu nuo 1601-01-01, o FAT failų
sistemoje laiko periodas yra 10 milisekundžių,̨ ir laikas skaičiuojamas nuo 1980-01-
01
– Failo įrašymo laikas FAT sistemoje skaičiuojamas kas 2 sekundes, o failo paskutinio
atidarymo laikas skaičiuojamas dienomis
– Be to, reikia žinoti, kad pakeitus registro įrašo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisa
blelastAccessUptime reikšmę į 1, Windows 8.1 nebekeis paskutinio prieigos laiko ir
datos reikšmių
23
Įdiegtų programų sąrašas
Įdiegtos programos paprastai saugomos kataloge c:\Program Files\.

Kitos vietos, kuriose gali būti laikoma įdiegiama programa, yra šios:
c:\Documents and Settings\<user folder>\Application Data (Windows XP)
c:\Documents and Settings\<user folder>\Local Settings\Application Data
(Windows XP) 
c:\Users\<user folder>\AppData (Windows Vista and 7)
c:\ProgramData (Windows Vista and 7)
C:\Users\<user folder>\AppData (Windows 8)
24
Įdiegtų programų sąrašas
Kiekvieno naudotojo asmeniniame šakniniame kataloge yra failas

ntuser.dat, kuriame yrȧ su įdiegtomis programomis susijusi
informacija, kuri nurodo, kad programa buvo ne tik įdiegta, bet ir
naudojama
Windows registre taip pat yra informacija apie įdiegtas ir pašalintas
programas. Registro šakoje Software\Classes galima matyti visų
failų, kurie yra ir buvo naudojami, plėtinius. Radus nelegalios
programos failo plėtinį, galima teigti, kad turėjo būti programa, kuri
dirbo su tokio tipo failais
Šiuo metu kompiuteryje įdiegtų ir pašalintų programų sąrašą galima
rasti registro šakose:
– SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths
– SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
25
Windows shadow failai
Windows standžiajame diske esančio šešėlinio disko kopijavimo

servisas (Volume Shadow Copy Service – VSS) yra sistema, kuri
leidžia sukurti disko atsarginę kopiją, kol OS toliau įrašo failus
Šios savybės leidžia vartotojams susigrąžinti ankstesnes failų versijas,
kurios buvo suarchyvuotos naudojant VSS arba kai atsarginė kopija
buvo sukurta naudojant Windows Backup programą.
Norėdami peržiūrėti tiriamos sistemos VSS, galime pasinaudoti grafine
aplinka Shadow Explorer (http://www.shadowexplorer.com/ ) arba
naudoti komandinę eilutę (tam reikalingos administratoriaus teisės):
26
27
Komandų pavyzdžiai (eilutės gale būtinas simbolis „\“):

C:\> vssadmin list shadow # peržiūrime visą (ilgą) shadow
diskų sąrašą
C:\> vssadmin list shadows /for=C: # peržiūrime C: diske
išsaugotus shadow diskus (30 skaidrė)
Tam, kad bent vieną jų panaudotume, reikalinga komanda mklink:
mklink /D
C:\katalogas\\?\GLOBALROOT\Device\HarddiskVolumeShadowCo
py#\
mklink /D C:\shadow_volume_1
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
Viską atlikus tinkamai, išvysime tokį vaizdą:
symbolic link created for <katalogas> <<===>>
\\?GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
28
VSS turi peržiūrėjimo pagal laiką ir datą galimybę. Žemiau pateiktas

pavyzdys su išsaugotomis 4 datomis:
29
Klausimai?
30
Smart patterned surfaces with
programmable thermal emissivity
Loreta Garmutė MGTF-7
1
Norint supaprastinti prieigą
prie analizuojamų įkalčių ir
jų valdymą, turėtų būti
sukurta tam tikra aplankų
struktūra, kurioje būtų
galima rasti norimą
informaciją. Tokios aplankų
struktūros pradžia galėtų
būti
vienas iš tyrimams skirto
kompiuterio kietasis diskas
ar skirsnio šakinis aplankas
(angl. root folder).
2
Klausimai?
3
tyrimų metodikos
(T120M152)
Vartotojų registro ir istorijos failų analizė
Š. Grigaliūnas
2020
1
Apie
• NTUSER.DAT kriminalistinė analizė

• Audito funkcija
• UserAssist
• RunMRU
• ShellBags
• Paieškos analizė
• Naršyklių paieškos analizė
2
Vartotojų registro failų
kriminalistinė analizė
Vartotojo atliktų veiksmų analizė yra labai svarbi nustatant vartotojo autorystę.
Ši veikla pagrinde yra laikoma NTUSER.DAT faile, esančiame vartotojų profilių
aplanke.
Windows sistemose (priklauso nuo versijos) pasiekti vartotojo failus buvo
galima per x:\Documents and settings\Name_user”
3
Vartotojo atliekamos veiklos
sistemoje identifikavimas
Jeigu yra įjungti audito nustatymai, efektyviausias būdas nustatyti, kada
vartotojas buvo prisijungęs, yra
analizuojant "security log" faile esančius "logon records".
Windows šis prisijungimo įvykis priskirtas ID=???. Parametras "Logon Type"
nurodo, kaip vartotojas prisijungė pagal atitinkamas reikšmes:
2 Interactive Vartotojas buvo prisijungęs prieš šio kompiuterio.
3 Tinklas Vartotojas buvo prisijungęs prie šio kompiuterio iš tinklo.
4 Batch Šis prisijungimo būdas naudojamas "batch" procesų serverio,
kuriame procesai gali būti atliekami be tiesioginio vartotojo įsikišimo.
10 RemoteInteractive Vartotojas prisijungė nuotoliu būdu naudodamasis
Terminal Server arba Remote Desktop
Nuo Windows 7 versijos įrašų žurnalo formatas pasikeitė į XML, o įvykio ID yra
registruojami 4 skaitmenimis (pvz. ID=4648)
4
Audito funkcija
Norint nustatyti, ar audito funkcija yra jungta, galima pateikti užklausą

“PolAdtEv” raktui, esančiam "Security" faile.
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtE
Papildomai (komandos):
1. gpedit.msc arba secpol.msc
2. auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
3. psexec -s -i regedit
Jeigu prisijungimų prie sistemos registravimas (angl. Audit Logon Events)

yra įjungtas, galime nustatyti, kokie vartotojai buvo prisijungę. Papildomai
galime filtruoti duomenis pagal prisijungimo datą arba vartotoją (arba
abu).
5
Audito funkcija (reikšmės)
Logon prasideda 22 bitu
16-bit (2 bitai) reikšmės:
00 00 nėra įjungta „auditing“

funkcija
01 00 įjungtas tik „ success
auditing“ (sėkmingas
prisijungimas)
02 00 įjungtas tik „failure
auditing “ (nesėkmingas
prisijungimas)
03 00 įjungta pilna „auditing“
funkcija
6
Event Log Explorer
Turėdami šiuos rezultatus, galime priskirti prisijungimo datas atliktiems veiksmams
7
Event Log Explorer (filtras)
8
UserAssist
UserAssist registro rakte įrašo kiekvieno sistemoje registruoto vartotojo programų paleidimo
užklausas.
Šiame rakte yra bent du Globaliai unikalūs identifikatoriai (GUID):
Kiekviename iš jų yra po žemesnės kategorijos raktą su analizuojama informacija, pavadintą

"Count".
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Informacija "count" žemesnės kategorijos rakte yra užkoduota ROT-13 formatu (kiekvienas
simbolis yra pasuktas per 13 pozicijų nuo pradinės reikšmės), Todėl informaciją reikia
atkoduoti prieš ją analizuojant.
Duomenys yra 16 baitų binarinio tipo, iš kurių, 8 paskutiniai nurodo datą FILETIME formatu
(Windows 64-little Endian).
Kita 4 baitų grupė nurodo, kiek kartų kuri programa buvo paleista. Šie duomenys auga
kiekvieną kartą paleidžiant programą, tačiau pradinė reikšmė prasideda skaičiumi "5".
9
UserAssist programa
Naudojantis šiuo įrankiu, galima peržiūrėti stulpeliu pateiktus įrašus bei

nustatyti jų funkciją pagal pirmąją pavadinimo raidę.
10
„logon“ reikšmės
UEME_RUNPATH - Vartotojas buvo paleidęs nurodytą programą

UEM_RUNPIDL - Nurodo rodyklę link sąrašo elemento (pvz., Program Menu)
UEM_RUNCPL - Prieiga prie Control Panel elemento (pvz., WinSCP, cmd, winbox
ir pan.)
11
RunMRU
Nurodo užklausas įvykdyti komandoms/paleisti programas iš Start -> RUN nustatymų.

HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
12
ComDlg32/LastVisited MRU
Parodo programą, kuri buvo naudota atverti failams “OpenSaveMRU” rakte

(visi failai atverti/išsaugoti su Windows "Open/Save" nustatymu).
Tai pat parodo visą kelią iki aplanko, kuriame patalpinta šiuo būdu atverta
programa.
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\E
xplorer\ComDlg32\LastVisitedMRU
xplorer\ComDlg32\OpenSaveMRU
xplorer\ComDlg32\OpenSavePIDMRU
13
Naujausi failai (RecentDocs)
RecentDocs raktas, kuris savo struktūra panašus į OpenSaveMRU, suteikia

informacijos apie paskutinį kartą naudotus failus. Toliau galima sukurti Išplėstinį
programų sąrašą, kurios buvo paleidžiamos iš
darbalaukio.
Po pagrindiniu raktu galima rasti žemesnės kategorijos raktą kiekvienam failo
tipui, suskirstytą pagal plėtinį (asc, bmp, camrec, cer, conf, exe…) bei remiantis
tuo, kur yra failų žurnalas, kuriam priskirta raidė ("reikšmės pavadinimas") ir
MRUList reikšmė, nurodanti prisijungimo tvarką (nuo naujausio iki seniausio).
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Explore
r\RecentDocs
Užuomena: Naujas .lnk

%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
14
Programų paskutinio
naudojimo data
Daugelis programų, ne vien Office paketas, registre talpina informaciją

apie naujausią veiklą. Pavyzdžiui:
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\
Applets\Wordpad\Recent File List
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\
Applets\Paint\Recent File List
HKEY_CURRENT_USERS\Software\Microsoft\MediaPlayer\Player\Rece
ntFileList
HKEY_CURRENT_USERS\Software\Adobe\Acrobat
Reader\version\AVGeneral\cRecentFiles
HKEY_CURRENT_USERS\Software\Foxit Software\Foxit Reader\Recent
File List
15
Shell Bags
Windows registras renka informaciją apie kiekvieno aplanko, kurį vartotojas atidaro,
poziciją, rodinį ir lango dydį.
Nors gali atrodyti, kad ši informacija nėra svarbi, tačiau turint šiuos įrašus galime
artimiau susipažinti su vartotojo veikla, atsižvelgiant į aplankus, dokumentus ir
įdiegtas programas.
Tai pat Windows sukuria seriją papildomų artefaktų jau po ypatybių išsaugojimo
registre. Tai suteikia tyrėjui platesnį supratimą apie aplanką, įtariamojo naršymo
istoriją bei detales apie sistemoje ištrintus, nebeegzistuojančius arba išorinėje
laikmenoje talpinamus aplankus.
Windows 7 ir naujesnėse versijose - UsrClass.dat faile bei raktuose:
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
16
Shell Bags peržiūra
Informacija įrašoma dviejuose pagrindiniuose registro raktuose: BagMRU ir Bags. ShellBags Viewer
BagMRU: talpina aplankų pavadinimus bei nurodo kelią iki jų.
Bags: saugo pagrindinius prieigos pasirinkimus, tokius kaip lango dydis, vieta bei peržiūros režimas.
BagMRU rakte saugomos informacijos struktūra yra panaši į tą, kuri pasiekiama per Windows Explorer - pridėtu
skaičiumi, kuris atvaizduoja "parent" arba "child" aplanką.
BagMRU raktas atvaizduoja darbalaukį (angl. desktop). "BagMRU\0" raktas nurodo pirmąjį aplanką, “BagMRU/1”
sekantį, ir t.t.
17
Atliktos paieškos informacijos
paieška
Pradedant Windows 7 versija, informacijos paieška, atlikta iš "Start" laukelio, įrašoma

WordWheelQuery rakte. Šis raktas struktūruotas nuosekliai – kiekvienas atliktos paieškos įrašas žymimas
skaičiais, kartu su failu MRUListEx, nurodančiu eiliškumą (nuo paskutinio veiksmo).
18
Naršyklių paieškos analizė
Pats dažniausias vartotojų įrankis neabejotinai yra interneto naršyklė. Dažniausiai

naudojamos naršyklės:
• Internet Explorer;
• Google Chrome;
• Mozilla Firefox;
• Safari.
Naršyklių naudojimo metu įrašoma informacija yra labai išsami ir naudinga
kriminalistiniams tyrimams.
Naudojant minėtas naršykles galime sužinoti:
• Naršymo istoriją;
• Saugomus slapukus;
• Talpinamus ateičiai failus;
• Peržiūrėtus paveikslėlius (angl. thumbnails).
Visos naršyklės naudoja atskirus registro įrašus (gali skirtis priklausomai nuo operacinės
sistemos versijos) bei skirtingai valdo ir saugo informaciją.
19
Naršyklių paieškos analizė: IE
Naršymo istoriją galima rasti History.IE5 faile, patalpintame "%userprofile%", kuriame

user profile yra paskyros vartotojo vardas:
Nuo Windows 7:
%userprofile%\AppData\Local\Microsoft\Windows\History\
Nuo Windows 7:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
20
Naršyklių paieškos analizė: IE
regedit search User Shell Folders

21
Naršyklių paieškos analizė:
FireFox
Patalpinta SQLite duomenų bazės formatu. Ją galima rasti:
Nuo Windows 7:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\ profile.default\places.sqlite
Nuo Windows 7:
%userprofile%\ appdata\local\Mozilla\Firefox\Profiles\profile.default\Cache
22
Naršyklių paieškos analizė:
Chrome
Failas, kuriame yra naršymo istorija, patalpintas:
Nuo Windows 7:
%userprofile%\ AppData\Local\Google\Chrome\User Data\default\
Nuo Windows 7:
%userprofile%\appdata\local\Google\Chrome\User Data\Default\Cache
23
Naršyklių paieškos analizė: Safari
Failas, kuriame yra naršymo istorija, patalpintas:
Nuo Windows 7:
%userprofile%\AppData\Roaming\Apple Computer\Safari\History.plist
Windows 7:
%userprofile%\AppData\Local\Apple Computer\Safari\Cache.db
24
Naršyklių paieškos analizės
įrankiai
Vienas iš įrankių – Chrome Cache viewer, kurį galima naudoti Internet Explorer
tyrimui, yra Nirsoft paketas:
(http://www.nirsoft.net/web_browser_tools.html).
25
įrankiai (2)
Vienas iš įrankių – Chrome Forensics, kurį galima naudoti Internet Explorer tyrimui, yra Nirsoft paketas:
26
įrankiai (3)
Vienas iš įrankių – Chrome Forensics, kurį galima naudoti Internet Explorer tyrimui, yra Nirsoft paketas:
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default
27
Klausimai?
28
tyrimų metodikos
(T120M152)
Debesų paslaugų ir elektroninio pašto kriminalistinė analizė
Š. Grigaliūnas
2020
Debesų technologijos ir
elektroninis paštas
Kalbėsime apie:
• Debesų paslaugas
• Debesų kriminalistiką
• Elektroninio pašto kriminalistiką
2
Debesų paslaugos
3
Internetinė saugykla
• Internetinė saugykla – informacijos saugojimo internete
modelis, kur daugelio paskirstytų serverių, priklausančių
trečiosioms šalims, tinkle yra saugomi klientų duomenys
• Vietoj to, kad įsigytų savo specialų serverį arba nuomotų
jį savo duomenims, vartotojai nuomuoja vietą
internetinės saugyklos serveriuose
• Fiziškai šie serveriai gali būti išdėstyti geografiškai
nuotolusiose vietose, netgi keliuose žemynuose
• Duomenys yra saugomi ir gali būti tvarkomi
vadinamajame debesyje, kuris kliento požiūriu gali būti
laikomas vienu dideliu virtualiu serveriu, kurio vidinė
struktūra vartotojui nėra matoma
4
Internetinė saugykla
Internetinė saugykla gali būti traktuojama kaip:
• Terpė duomenų ar jų atsarginių kopijų laikymui internete;
trečiųjų šalių saugojimo paslaugos teikėjai leidžia
vartotojams įkelti ir saugoti bet kokio tipo duomenų failus.
Kai kurie iš jų siūlo ribotą talpą saugyklos diskuose
nemokant mėnesinių mokesčių, kiti paslaugų teikėjai siūlo
naudotis saugykla už mėnesinį mokestį (už gigabaitą).
• Naršyklės pagrindu veikianti programa, kuri leidžia
vartotojui įkelti savo svarbius duomenų failus saugiam ir
patikimam saugojimui ir juos bet kada pasiekti. Vartotojas
turi prieigą prie failų 24/7 (24 valandas 7 dienas per
savaitę), gali dalytis savo failais su kitais ir netgi užšifruoti
savo failus didesniam apsaugos lygiui pasiekti.
5
Internetinės saugyklos privalumai
Duomenų laikymo internetinėje saugykloje
privalumai:
• klientas moka tik už tą vietą, kurią iš tikrųjų naudoja
duomenų saugojimui - jam nereikia mokėti už visų
serverio išteklių nuomą;
• klientui nereikia rūpintis duomenų saugojimo
infrastruktūros įsigijimu, palaikymu ir priežiūra, o tai
sumažina bendras gamybos sąnaudas;
• visas atsarginių kopijų darymo ir duomenų
vientisumo užtikrinimo procedūras atlieka
internetinės saugyklos paslaugų teikėjas, kuris į šį
procesą klientų neįtraukia
6
Internetinės saugyklos
infrastruktūra
Internetinės saugyklos infrastruktūrą sudaro du
komponentai:
• saugyklos techninė įranga – serveriai ir atminties
įtaisai;
• saugyklos programinė įranga – operacinės
sistemos ir virtualizacijos programinė įranga,
reikalinga norint pasiekti internetinėje saugykloje
laikomus failus ir tenkinanti skaičiavimams keliamus
reikalavimus.
7
Populiarios internetinės saugyklos
Nemokamai Tarifai
Saugykla Programinė įranga Pastabos
suteikiama talpa (metams)
Nemokamai bandomajam 60 dienų

periodui. Šifravimas, muzikinių įrašų
Web sąsaja, Microsoft iki 199.99$/
Comodo Cloud 5 GB
Windows, Android 1 TB
klausymas, fotografijų peržiūra ir
dokumentų redagavimas tiesiogiai
debesyje tarsi lokaliajame diske
2 GB (iki 18 GB, Web sąsaja, Microsoft

naudojant Windows, Mac OS X, 120$/100
Dropbox partnerystės Android, Apple iOS, GB
Šifravimo nėra
programą) BlackBerry OS
7 GB (25 GB – Saugojimo laikas – 270 dienų po
Web sąsaja, Microsoft
vartotojams, paskutiniojo SkyDrive ar kitų Live ID
OneDrive gavusiems paskyrą
Windows, Ubuntu,
paslaugų (Hotmail, Messenger)
Android, Apple iOS
iki 30.04.2012) naudojimo
5 GB (už mokestį –
Google Drive iki 16 TB)
Windows, Mac OS X, 30$/100 GB Vietoje Google Docs
Android, Apple iOS
5 GB (už mokestį – 12$/20 GB Dokumentai debesyje, nuotraukos,
iCloud iki 1 TB)
Windows, Mac OS X,
240$/1 TB fonoteka, kalendorius, paštas
Apple iOS 5
8
Google Drive (Google Docs)
• Google Drive (Google diskas) yra Google internetinė
failų saugykla ir sinchronizavimo paslauga, kuri buvo
paleista 2012 metų balandžio 24 d.
• Ji pakeitė Google Docs, taikomųjų programų
komplektą, skirtą bendradarbiaujant redaguoti
dokumentus, skaičiuokles, pateiktis ir t.t.
• Google diskas kiekvienam vartotojui pradžioje skiria
5 GB jo duomenims laikyti. Be to, vartotojas gali
gauti nuo 25 GB iki 16 TB papildomos vietos
saugykloje, kurią dalijasi Picasa ir Google diskas, už
ją mokėdamas mėnesinį abonentinį mokestį (2,49$
per mėnesį už 25 GB)
9
• Naudojant naršyklę galima redaguoti tiek MS
Word dokumentus, tiek ir skaičiuoklės
dokumentus ir pateiktis. Be to, visi vartotojo
failai gali būti laikomi jo sukurtuose aplankuose.
• Redaguojant dokumentą, galima naudoti
daugumą įprastų operacijų – teksto fragmentų
iškirpimą ir įterpimą, šrifto keitimą, įvairias
formatavimo operacijas. Dirbant su skaičiuoklės
lentelėmis, galima naudoti formules, tvarkyti
darbo lapus ir t.t.
10
• Google diskas leidžia bendradarbiauti: kolegai galite
nusiųsti nuorodą, suteikti jam teisę matyti ir redaguoti
jūsų dokumentus. Tam nebūtina įdigti atitinkamą
programinę įrangą, nes redaguoti galite per interneto
naršyklę.
• Laikant failus internetinėje saugykloje Google diskas,
verta naudotis dar viena galimybe – redaguoti savo
dokumentus Google Docs priemonėmis. Google Docs –
tai Google programinė įranga, teikiama kaip paslauga. Į
šios paslaugos biuro programų rinkinį įeina dokumentų
redagavimo, skaičiuoklių ir pateikčių kūrimo programos
11
• Dokumentais gali būti dalijamasi, jie gali būti kelių
vartotojų atverti ir redaguojami tuo pačiu metu.
Vartotojas nemato kitų vartotojų daromų pakeitimų, bet
bendradarbiavimui palengvinti programa gali įspėti
vartotojus apie pridėtą komentarą
• Vartotojas paprastai gali matyti, kuris redaktorius tuo
metu tvarko dokumentą arba failą, nes daugumoje
produktų redaktoriaus dabartinė padėtis yra indikuojama
tam tikra spalva/žymekliu. Vartotojas taip pat gali matyti
ir pakeitimų istoriją, kitų vartotojų atliktus pakeitimus
išskiriant konkrečia spalva
12
• Sukurti dokumentai gali būti saugomi tiek Google diske,
tiek ir vartotojo vietiname kompiuteryje įvairiais
formatais (ODF, HTML, PDF, RTF, teksto, Microsoft Office)
• Dokumentai automatiškai išsaugomi Google serveriuose,
siekiant išvengti duomenų praradimo. Taip pat
automatiškai išsaugoma ir peržiūros bei redagavimo
istorija, kad galima būtų matyti anksčiau atliktus
keitimus. Dokumentai gali būti pažymėti ir glaudinami
(archyvuojami)
• Paslaugą oficialiai palaiko naujausių versijų Firefox,
Internet Explorer, Chrome naršyklės, veikiančios
Microsoft Windows, Apple Mac OS X ir Linux operacinių
sistemų aplinkoje
13
Google Picasa
• Google Picasa – automatinė skaitmeninės fotografijos
tvarkyklė, sukurta Lifescape 2002 m.
• Nuotraukų tvarkymui Picasa turi failų importavimo ir
peržiūros funkcijas, taip pat žymeles, veido atpažinimą,
pasižymi paprastu ir nesudėtingu valdymu ir siūlo nemaža
efektų: spalvos ryškinimą, raudonų akių efekto šalinimą ir
iškarpų darymą, komentaro pridėjimą prie nuotraukos.
• Paveikslėliai gali būti sudėlioti į albumus, o šie savo
ruožtu į kolekcijas. Vaizdai gali būti parengti išoriniam
naudojimui, pavyzdžiui, siuntimui elektroniniu paštu ar
spausdinimui, mažinant failo dydį ir nustatant puslapio
dydį. Yra integracija su internetine nuotraukų
spausdinimo paslauga.
14
Gmail
Gmail – nuo 2004 m. „Google“ korporacijos teikiama nemokama
web ir POP3 elektroninio pašto dėžutė.
• Kiekvienam vartotojui suteikiama daugiau nei 7 GB dydžio
elektroninio pašto dėžutė
• Leidžia naudotis elektroninių laiškų paieška pagal laiško turinį
• Galima prie siunčiamo laiško prisegti iki 20 MB dydžio failą
• Laiškus galima rūšiuoti ir pagal temą
• Kitas unikalus dalykas – galimybės laiškams priskirti etiketes
• Mėgstantiems pokalbius internete turėtų patikti integruota
skubiųjų žinučių sistema Jabber/XMPP interneto standarto
pagrindu.
15
Gmail
• Prie Gmail pašto dėžutės galima prisijungti per
dauguma mobiliųjų telefonų, palaikančių GPRS
funkciją. Yra galimybė prijungti keletą kitų pašto
dėžučių naudojant POP3 protokolą.
• Google paslaugų paketas yra prieinamas
naudojant vieną Google prieigą – paprastai tai
GMail adresas ir pasirinktas slaptažodis.
16
Dropbox
• Dropbox sukurta 2007, o plačiam naudojimui
perduota 2008 metais. Dabartiniu metu ji siūlo
keletą planų, tinkamų tiek individualiems
vartotojams, tiek ir verslo vartotojams
• Dropbox suteikia vartotojams galimybes
sinchronizuoti bet kurios apimties ir bet kurio tipo
failus, tam naudojant internetinės saugyklos
paslaugą
• Dropbox suderinama su daugeliu šiuolaikinių
operacinių sistemų, įskaitant Windows, Mac ir
Linux.
17
Dropbox
• Netyčia pašalinus failą ar į jo vietą įrašius kitą,
Dropbox gali užtikrinti, kad svarbi informacija
nebūtų prarasta: čia 30 dienų saugoma vartotojo
kiekvieno failo sugrąžinimo (undo) istorija, todėl
galima atkurti tiek pašalintus failus, tiek ir
ankstesnes jų versijas.
• Naudojant Dropbox, iš bet kurios darbo vietos gan
paprastai galima pasiekti ir bendrai naudoti failus.
Apie bet kokius pakeitimus tuojau pat informuojami
kiti Dropbox vartotojai. Galima kurti bendrus
aplankus ir nustatyti reikiamas prieigos teises
18
Dropbox
• Dropbox dabar turi programėles mobiliesiems
įtaisams (iPhone, iPad, BlackBerry ir Android
įtaisams). Naudodami šias programėles, vartotojai
gali tvarkyti visus savo failus ir aplankus, nusiųsti
naujus failus, peržiūrėti saugykloje saugomus failus.
• Vienas iš svarbių Dropbox privalumų – paprasta
vartotojo sąsaja ir galimybė vartotojams kurti foto
galerijas.
• Saugumui užtikrinti Dropbox naudoja SSL šifravimą
19
iCloud Drive
• iCloud – virtuali informacijos saugykla internete,
kurią sukūrė ir 2011 m. pristatė kompanijos Apple
Inc. specialistai; nuo 2014 m. vadinama iCloud
Drive
• Jos paskirtis – saugoti debesyje vartotojo muziką,
nuotraukas, programas, kalendoriaus įrašus,
dokumentus ir kitą informaciją
• Kiekvienam vartotojui saugykloje suteikiama
nemokamai 5 GB saugoti elektroninį paštą,
dokumentus ir atsarginių kopijų failus. Tiesa, reikia
mokėti už muzikinių įrašų, kurie įsigyti ne iTunes
parduotuvėje, laikymą
20
iCloud Drive
Pagrindinės iCloud Drive vykdomos funkcijos:
• visų kontaktų sinchronizacija;
• nusipirkta programa ar knyga pasiekiama visuose
kliento įtaisuose;
• klientui naudojant iPhone, iPad, iPod Touch įtaisus,
per Wi-Fi automatiškai kaupiama pirkta muzika,
programėlės, knygos, nuotraukos, vaizdo įrašai;
• automatiškai atnaujinami dokumentai;
• informacija automatiškai persiunčiama tarp
skirtingų įtaisų.
21
iCloud Drive
• iCloud Drive dirba Microsoft Azure ir Amazon Web Services
serveriuose
• Norint prisijungti prie iCloud, reikalingas iPhone 3Gs arba
naujesnis, iPod touch (3 kartos arba naujesnis), iPad arba iPad
mini, kuriuose įdiegta iOS 5 arba vėlesnė versija, Mac kompiuteris,
kuriame įdiegta OS X Lion v10.7.5 ar vėlesnė versija, arba PC,
kuriame įdiegta Windows 7 arba Windows 8 (Outlook 2007 ar
vėlesnė versija arba reikalinga naujausia naršyklė, kad būtų galima
pasiekti elektroninį paštą, kontaktus ir kalendorius). Kai kurioms
funkcijoms reikalingas Wi Fi ryšys.
22
iCloud Drive
• Įkeliant failus į iCloud Drive, jie ir toliau užima
vietą Apple įtaise. iCloud saugo failus
lygiagrečiai su išmaniuoju telefonu ar planšete
(t.y., jie saugomi ir debesyje, ir jūsų įtaise)
• Kalendoriai, kontaktai, žymelės, nuotraukos,
dokumentai, iCloud Drive yra užžifruotos 128
bitų AES sistema tiek saugant jas serveriuose,
tiek ir persiuntimo metu, paštas IMAP pašto
serveriuose nėra šifruojamas, tačiau
persiuntimas tarp galinių įtaisų ir iCloud Mail
yra šifruojamas SSL 23
Debesų kriminalistika
24
• Pastaruoju metu auga skaičius nusikaltimų, kurie susiję su
kompiuteriais ir internetu, todėl tai skatina kūrimą naujų
produktų, kuriais siekiama padėti teisėsaugai renkant ir
panaudojant skaitmeninius įrodymus, padedančius
nustatyti nusikaltėlius, nusikaltimų metodus, laiką ir aukas
• Vystomi skaitmeniniai ekspertizės metodai siekiant
užtikrinti tinkamą kompiuterinių ir elektroninių
nusikaltimų įrodomųjų duomenų pateikimą teisme
• Pagal 2008 metų FTB statistinius duomenis JAV
skaitmeninės kriminalistikos duomenų apimtis vidutiniškai
augo 35% per metus – nuo 83 GB 2003 m. iki 277 GB 2007
m.
25
• Debesų kompiuterijos plitimas ne tik paaštrino
skaitmeninės kriminalistinės veiklos problemą, bet
taip pat sudarė prielaidas naujiems elektroninių
nusikaltimų tyrimams vystyti
• Teismo praktikai turi plėsti savo žinias skaitmeninės
ekspertizės srityje ir sugebėti naudoti atitinkamus
įrankius debesų kompiuterijos aplinkoje. Kartu jie
turėtų padėti debesų paslaugų teikėjams ir
klientams, vystant įkalčių paieškos galimybes, kas
mažintų saugumo riziką debesyse
26
Nusikaltimai debesyse yra bet kokie nusikaltimai, susiję su debesų
kompiuterija. Debesis gali būti nusikaltimų objektas, subjektas arba
įrankis:
• debesis yra nusikaltimo objektas, kai debesų paslaugų teikėjas yra
nusikaltimo tikslas ir į jį tiesiogiai nukreipiama nusikalstama veika;
pavyzdžiui, DDoS (Distributed Denial of Service) ataka, nukreipta į
debesies dalį ar net visą debesį;
• debesis yra nusikaltimo objektas, kai jis yra aplinka, kurioje
nusikaltimas vykdomas; pavyzdžiui, neteisėtas debesyje saugomų
duomenų modifikavimas ar sunaikinimas, debesies vartotojų tapatybės
vagystė;
• debesis taip pat gali būti priemonė, naudojama nusikaltimui atlikti arba
planuoti; pavyzdžiui, debesyje gali būti saugomi ir bendrinami
nusikaltimo įkalčiai, debesis gali būti naudojamas pulti kitus debesis
27
• Debesų kriminalistika gali būti apibrėžta kaip
skaitmeninės ekspertizės taikymas debesų
kompiuterijoje
• Debesų kompiuterijos nauda yra priežastis, kuri
kelia kriminalistinės bendruomenės susirūpinimą
• Debesies išplečiamumas (scalability) reiškia, kad
toje pačioje laikmenoje gali būti laikomi
duomenys iš skirtingų šaltinių, o tyrėjas gali
netyčia paimti kito vartotojo duomenis
28
Debesų kriminalistikos naudojimas
tyrimams
• nusikalstamumo debesyse ir pažeidimų kelių
jurisdikcijų ar kelių debesies naudotojų aplinkoje
tyrimai;
• įtartinų sandorių ir operacijų debesyje tyrimas,
siekiant reaguoti į incidentus;
• įvykio debesyje rekonstrukcija;
• priimtinų įrodymų teikimas teismui;
• bendradarbiavimas su teisėsauga konfiskuojant
išteklius
29
• duomenų failų ir jų savininkų vietos nustatymas
virtualiai ir fiziškai debesų aplinkoje;
• pavienių įvykių ar tendencijų, kurios laikui bėgant
iššaukia didelį incidentų skaičių, priežasčių
nustatymas ir naujų strategijų, kurios padėtų išvengti
panašių incidentų pasikartojimo, parengimas;
• įvykio debesyje sekimas ir jo būsenos įvertinimas;
• įvairių debesų programų ir debesų paslaugų
problemų sprendimas;
• saugumo incidentų sprendimas debesyje
30
• stebėsenai - kelių debesų sistemų žurnalų įrašų
surinkimas, analizavimas ir sąryšių analizė;
• duomenų debesyje, kurie buvo atsitiktinai ar
tyčia ištrinti arba modifikuoti, atkūrimas;
• užkoduotų duomenų debesyje, atkūrimas, kai
prarastas šifravimo raktas;
• atsitiktinai sugadintų ar išpuoliais pažeistų
sistemų atkūrimas;
• duomenų debesyje, kurie yra perkelti į kitą vietą
ar nurašyti, išgavimas.
31
Debesų kriminalistika - problemos
• Techniniu požiūriu - turime gan ribotas priemones
• Teisiniu aspektu - šiuo metu nėra susitarimo tarp
debesų organizacijų dėl bendradarbiavimo atliekant
tyrimus. Nėra sutarta ir dėl pareigų atskyrimo tarp
debesų paslaugų teikėjų ir debesų klientų
• Debesų klientai susiduria su sumažėjusia prieiga
prie įrodymų. Prieiga prie jų priklauso nuo debesies
modelio: IaaS klientai turi gana lengvą prieigą prie
visų duomenų, reikalingų kriminalistiniam tyrimui,
tuo tarpu SaaS vartotojai gali turėti labai mažą
prieigą prie reikalingų duomenų ar jos išvis neturėti.
32
• Sumažėjusi prieiga prie tyrimui reikalingų duomenų
reiškia, kad debesų klientai paprastai negali kontroliuoti ar
net žinoti savo duomenų fizinės vietos; vieta gali būti
nurodoma aukštesnio lygio abstrakcija, tokia kaip objektas
ar konteineris
• Debesų paslaugų teikėjai nuo klientų tyčia slepia duomenų
laikymo vietą, kad palengvintų duomenų judėjimą ir
replikavimą
• Daugelis paslaugų teikėjų nesudaro sąlygų klientams rinkti
kriminalistinius duomenis. Pavyzdžiui, SaaS paslaugų
teikėjai gali nesuteikti prieigos prie kreipinių žurnalo įrašų;
IaaS teikėjai gali neteikti tokios informacijos, kaip VM ir
disko atvaizdai
33
• Įkalčiams paprastai būdingas trapumas ir
nepastovumas. Renkant įrodymus reikia būti
atsargiems, kad jų nesuklastotume ar net
nesunaikintume. Ši problema yra aktuali ne tik
skaitmeniniame pasaulyje. Renkant skaitmeninius
įrodymus, tyrėjas gali sukurti tapačią jų kopiją
laikmenoje, prieš pradėdamas įrodymų analizę. Šis
metodas yra veiksminga priemonė užkertant kelią
galimam įrodymų sunaikinimui analizės metu, tačiau
debesų aplinkoje paprastai yra nelengva tai padaryti
34
• Kita problema yra kontekstas, kuriame egzistuoja
įrodymai. Išorės ekspertai gali iš pirmo žvilgsnio
nepastebėti, kaip tarpusavyje koreliuoja įvairiuose
debesų sistemos komponentuose esantys įrodymų
fragmentai. Tai tinka ir tradicinėms IT sistemoms, bet
debesyse, įvertinant jų tarptautinę ir tarpnacionalinę
struktūrą, analizuoti ir vertinti viską yra sunkiau
• Nemaža problema kriminalistams yra debesų
saugyklų talpos augimas. Jie susiduria su reikalingų
įrodymų paieška milžiniškose saugyklose ir didelėmis
laiko, reikalingo jų analizei, sąnaudomis
35
• Užtikrinti saugumą įrodymų globos grandinėje
taip pat sunku. Debesų paslaugų teikėjai turi
galimus įrodymus, tačiau kaip vartotojas gali būti
tikras, kad įrodymai yra tikri ir nebuvo specialiai
įdėti trečiąja šalimi? Šiame kontekste terminas
„duomenų kilmė“ tampa labai prasmingas: tai
apima duomenų fragmento ištakas ir kaip jis
galėjo būti modifikuotas, tai yra, kas peržiūrėjo ar
modifikavo duomenų fragmentą tam tikru laiko
momentu.
• Šiandienos debesų aplinkoje yra sunku ar net
neįmanoma naudoti automatinius
kriminalistikos įrankius. Tenka atskirai peržiūrėti
ir apdoroti kiekvieną atvejį atskirai
36
Elektroninio pašto kriminalistika
37
• Spartus elektroninio pašto duomenų srauto apimties augimas
(kasmet išsiunčiama daugiau kaip 100 trilijonų tarnybinių ir
privačių elektroninių laiškų) atvėrė duris piktnaudžiauti
nusikaltėliams ir teroristams, nes tokiu būdu jie gali išlikti
anonimiški
• Šis elektroninio pašto anonimiškumo faktorius sudaro sunkumus
teismo tyrėjams identifikuojant elektroninių laiškų autorystę
• Visgi šiandien beveik kiekvienu teisminio nagrinėjimo atveju
elektroniniai laiškai gali būti panaudoti kaip svarbus įrodomosios
medžiagos komponentas
• Ištrinti laiškai dažnai gali būti atkurti, net jei jie buvo sąmoningai
ištrinti. Atkurti gali būti ir metaduomenys, pavyzdžiui,
elektroninio pašto adresai, laiko žymos ir t.t., o tai taip pat gali
būti labai naudinga atliekant kriminalistinį tyrimą
38
• Elektroninio pašto klientai ir serveriai dažnai yra tikros duomenų bazės,
kartu su dokumentų saugyklomis, kontaktų tvarkyklėmis, kalendoriais ir
daugeliu kitų funkcijų, kurios visos gali būti prieinamos teismo
ekspertams
• Tam palanku ir tai, kad tokios organizacijos, kaip bankai ar finansų
maklerio įmonės, naudoja laiškų saugojimo vietoje politiką arba juos
archyvuoja ir saugo daugelį metų, kad esant reikalui atrastų juos,
panaudodami paieškos priemones
• Elektroniniai laiškai gali būti laikomi vartotojui nežinomuose serveriuose
arba atsarginėse kopijose, kurios daromos įprasta tvarka
• Teismo ekspertai sugeba ištraukti pašto įkalčius iš kompiuterių, pašto
serverių ir elektroninio pašto serverių, taip pat iš išmaniųjų telefonų,
mobiliųjų telefonų, planšečių ir kitų mobiliųjų įtaisų
39
Elektroninio pašto kriminalistų
problemos
• Nuolat augantis kompiuterių vartotojų skaičius ir vis
platesnis informacinių ir ryšių technologijų naudojimas
lėmė elektroninio nusikalstamumo padidėjimą
• Nusikaltėliai tapo išradingais ir sugeba pavogti asmeninę
vartotojų informaciją, sukčiauja (phishing) ir nukreipia
internetinį srautą į fiktyvias svetaines (pharming)
• Techninių žinių ir įgūdžių trūkumas. Paprastai elektroninio
pašto tyrimus vykdo teisėsaugos institucijos, o teismo
ekspertams dažnai trūksta įgūdžių, todėl reikalingas ir
skaitmeninių kriminalistinių ekspertų ugdymas
40
problemos
• Pastebima, kad daugelis organizacijų nuvertina
reikalavimus, kuriuos teisinė sistema kelia skaitmeniniams
įrodymams, kad jie būtų teisiškai priimtini teisme. Todėl
teismo ekspertams reikalingos metodikos, kurios užtikrintų
atitikimą įstatymo reikalavimams
• Kitas svarbus iššūkis, su kuriuo susiduria teismo ekspertai,
yra jų žinioje turimų priemonių (įrankių) trūkumai:
– Šios priemonės turi trumpą gyvenimo trukmę ir todėl dažnai jos
nespėja žengti į koją su šiuolaikiniais kriminalistiniais tyrimais
– Kai kurie įrankiai buvo sukurti maždaug prieš dešimtmetį, todėl
turi trūkumų, pavyzdžiui, nepakankamą informacijos
apdorojimo greitį ir klaidų programinėje įrangoje
41
problemos
• Sparčiai auga adorotinos informacijos apimtis.
Pavyzdžiui, dar 2009 finansiniais metais JAV
Regioninėje kompiuterinių nusikaltimų tyrimo
laboratorijoje (Regional Computer Forensics Labs)
buvo apdorota 2334 terabaitai informacijos. Tam
reikalingi ir nauji techniniai pajėgumai, ir nauji
įrankiai
42
• Specialistai surinktus laiškus ir kitus ryšio dokumentus
gali susieti pagal datą, temą, gavėją ar siuntėją ir
pateikti labai suprantamą ir lengvai atsekamą įvykių,
veiksmų ir objektų vaizdą
• Tam naudojami specialūs įrankiai, užtikrinantys
aukštus standartus atitinkančią teisminės
informacijos vientisumą
• Per praktinį užsiėmimą panagrinėsime pėdsakų
paiešką trijose elektroninio pašto sistemose:
– Windows Essentials
– Microsoft Outlook
– Mozilla Thunderbird
43
Windows Essentials
• Windows Essentials (anksčiau vadinta Windows
Live Essentials ir Windows Live Installer) yra
nemokamas Microsoft programų rinkinys, kuris
apima integruotą elektroninį paštą, momentinių
pranešimų tarnybą, keitimąsi nuotraukomis,
internetinį dienoraštį ir saugos paslaugas
• Windows Essentials programos yra gerai
integruotos tarpusavyje, taip pat su Microsoft
Windows ir su tokiomis Microsoft žiniatinklio
paslaugomis, kaip SkyDrive ir Outlook.com
44
Windows Essentials 2012 paketas
Windows Essentials 2012 paketą sudaro:
• Windows Live Messenger – realaus laiko pokalbių
programa (dabar jau Skype);
• Windows Photo Gallery – visas reikalingas nuotraukų
tvarkymo, redagavimo ir publikavimo funkcijas
vykdanti programa;
• Windows Movie Maker – programa, įgalinanti lengvai
sukurti filmą iš nuotraukų ir vaizdo įrašų;
• Windows Live Mail – el. pašto programa, palaikanti
keletą abonentų, kalendorių ir savo kontaktus;
45
Windows Essentials 2012 paketas
• Windows Live Writer – programa, įgalinanti kurti interneto
dienoraščio įrašus, įtraukiant į juos nuotraukas, vaizdo įrašus,
žemėlapius ir kt.;
• SkyDrive for Windows – failų saugykla;
• Outlook Connector Pack – ryšio su Microsoft Outlook
programa, įgalinanti naudoti Microsoft Office Outlook 2003,
Microsoft Office Outlook 2007 arba Microsoft Office Outlook
2010 tam, kad pasiektume ir valdytume savo Microsoft
Windows Live Hotmail arba Microsoft Office Live Mail
paskyras, įskaitant elektroninio pašto pranešimus, kontaktus ir
kalendorius;
• Windows Live Family Safety (tik Windows 7) – šeimos
paslaugų paketų kontrolės įrankis.
46
Microsoft Outlook
Microsoft Outlook pašto klientas naudoja Personal Folder File
(PFF) – asmeninių failų katalogą užduočių informacijai,
kontaktams, susitikimų planavimui, pastaboms ir kitai
informacijai laikyti. Yra trys skirtingi PFF tipai:
• Personal Address Book (PAB) – asmeninė adresų knygutė,
kurioje saugoma kontaktų informacija. Šie failai turi .pab plėtinį.
• Personal Storage Table (PST) – čia laikoma visa informacija apie
susitikimus, laiškus, užduotis, pastabas. Ši informacija yra dviejų
tipų: einamoji ir archyvas. Šie failai saugomi .pst plėtiniu.
• Offline Storage Table (OST) – čia laikoma visa informacija apie
susitikimus, laiškus, užduotis, pastabas režimu, kuriam
nereikalingas internetinis ryšys (offline) Offline Folder File (OFF)
– nereikalaujantis ryšio failų katalogas, kuriame saugoma
informacija .ost failų plėtiniu.
47
Mozilla Thunderbird savybės
• Dirba įvairiose operacinėse sistemose, palaiko
XHTML, JavaScript, CSS
• Turi įvairių priedų, temų, įdiegiamų į programą
• Yra galimybė dirbti su keletu pašto dėžučių arba
naujienų abonentų vienu metu
• Veikia laiškų paieška, filtravimas
• Galima importuoti nustatymus, laiškus ar adresų
knygas iš kitų el. pašto programų
• Naudojama adresų knyga, darbo su LDAP katalogais ir
adresų automatinio užbaigimo priemonės.
• Palaikomos įvairios kalbos (lietuviškos, rusiškos, UTF-
8 ir kitos koduotės)
48
Mozilla Thunderbird savybės
• Standartiškai nustatyta nevykdyti JavaScript ar VBScript,
todėl nėra galimybės „užsikrėsti“ virusais peržiūrint laišką.
• Šlamšto (spam) valdymas. Į programą integruotas efektyvus
šlamšto valdymo mechanizmas analizuoja gaunamus
laiškus, aptinka įtartinus laiškus ir žymi juos kaip šlamštą.
• Galima keisti priemonių juostų struktūrą, rūšiuoti laiškus,
rodyti tik tam tikros kategorijos laiškus, sudaryti rodomų
laiškų kategorijas.
• Naujienos RSS formatu. Programoje galima užregistruoti
svetainių RSS kanalus ir skaityti RSS kanalų pavidalu
pateikiamą turinį.
• Turi svarbias saugumą užtikrinančias savybes (S/MIME,
skaitmeninis parašas, liudijimai, darbas su saugumo
moduliais).
49
Klausimai?
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
Debesų technologijų ir elektroninio
pašto naudojimas
Šiame užsiėmime:
• Įdiegsime Windows Essentials
• Atliksime informacijos paiešką registruose
• Įdiegsime Microsoft Outlook pašto klientą
• Atliksime pašto analizę
• Įdiegsime Mozilla Thunderbird pašto klientą
• Atliksime in-situ analizę
2
Windows Essentials –
diegimas ir pėdsakai
3
Windows Essentials diegimas
Diegimui naudosime Windows Essentials paketą
(http://windows.microsoft.com/en-us/windows-live/essentials ): 2011
m. jis buvo pritaikytas Windows XP/Vista7, o 2012 m. – Windows 7/8.
Visos programos valdomos vienu vartotojo profiliu:
4
Programa yra diegiama į:
• C:\Program Files (x86)\Windows Live,
• C:\Program Files (x86)\Windows Live\Contacts,
• C:\Program Files (x86)\Windows Live\Family Safety,
• C:\Program Files (x86)\Windows Live\Installer,
• C:\Program Files (x86)\Windows Live\Mail,
• C:\Program Files (x86)\Windows Live\Messenger,
• C:\Program Files (x86)\Windows Live\Photo Gallery,
• C:\Program Files (x86)\Windows Live\Shared,
• C:\Program Files (x86)\Windows Live\SOXE,
• C:\Program Files (x86)\Windows Live\Writer
5
Vartotojo profilis ir kriminalistiniam tyrimui aktualūs
failai:
• C:\Users\<vartotojas>\AppData\Local\Windows Live Writer,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Feeds,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\SkyDrive,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows Live,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows Live Mail,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows,
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\contacts.edb (kontaktų
failas),
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\dbstore.ini (programos
paskutinio paleidimo ir paskutinio užgesinimo laikas),
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\LogFiles. 6
Messenger Log (žurnalai):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger\
contactslog.txt
SkyDrive Log (žurnalai):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\SkyDrive\se
tup\logs\yyyy-mm-dd_sukūrimolaikas_xxx-xxx.log (vartotojo
SkyDrive usersid ir kita naudinga informacija).
Messenger vartotojo paskyra (sujungtas su
Outlook.com/Hotmail.com paveikslėliu):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger\
user@outlook.com\ObjectStore\UserTile\g
ADSFafsdgsf3shs4fdgSFD25sd=.dt2
7
Windows Essentials vartotojo profilis
Prisijungus naudojant naršyklę galima rasti
kokiomis paslaugomis vartotojas naudojasi:
8
Informacijos paieška registruose
Diegimo metu OS registre sukuriami skirtingi raktai
(nustatymai) ir reikšmės:
• HKEY_USERS\S-1-5-21-2717992307-2921726419-3291764464-
1000\Software\Microsoft\IdentityCRL\OfflineCreds,
• HKEY_USERS\S-1-5-21-2717992307-2921726419-3291764464-
1000\Software\Microsoft\Windows Live
Mail\PerPassportSettings,
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Installer\UserData\S-1-5-
18\Products\032440EF5AC97F34B985A55C2AA8F133\InstallPro
perties,
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft
\Windows\CurrentVersion\Uninstall\WinLiveSuite
9
Registrų informacijos pavyzdys
"URLInfoAbout"="http://explore.live.com/windows-live-essentials"
"WLWave"="4"
"DisplayName"="Windows Live Essentials"
"DisplayName_Localized"="@C:\\Program Files (x86)\\Windows
Live\\Installer\\wlsres.dll, -3002"
"DisplayIcon"="C:\\Program Files (x86)\\Windows Live\\Installer\\wlarp.exe"
"UninstallString"="C:\\Program Files (x86)\\Windows Live\\Installer\\wlarp.exe"
"InstallLocation"="C:\\Program Files (x86)\\Windows Live\\"
"Publisher"="Microsoft Corporation"
"DisplayVersion"="15.4.3555.0308"
"Language"=dword:00000009
"URLUpdateInfo"="http://explore.live.com/windows-live-essentials"
10
Iš registrų failų galime rasti tinkamos informacijos

kriminalistiniam tyrimui:
• vartotojo prisijungimo vardą;
• vartotojo elektroninio pašto adresą;
• programos diegimo katalogą;
• programos versiją.
11
Windows Live Mail poėmis
In situ arba vėlesnei analizei galima naudoti nemokamą elektroninio
pašto peržiūros programinę įrangą MiTeC Mail Viewer, kurią galima
parsisiųsti iš http://www.mitec.cz/mailview.html tinklapio
12
Elektroninio pašto naršymas
• Kadangi informaciją apie elektroninio pašto

buvimo vietą mes jau turime, belieka tik
programai nurodyti kelią iki jos
• Vėliau galime visiškai laisvai naršyti po visą
įtariamojo elektroninio pašto turinį, kuris yra
išsaugotas standžiajame diske:
13
Galima peržiūrėti pasirinktą elektroninį laišką, jei jis
pasirodys aktualus tyrimo eigai
14
Jeigu elektroninio pašto paslauga ir toliau yra įjungta, galime pasinaudoti
nemokama programa Mail Password Decryptor
(http://securityxploded.com/mail-password-decryptor.php):
15
Dešifruoti elektroninio pašto vartotojo vardas ir slaptažodis:
Internet Explorer version : 11.0.9600.16428
Username : user
Password List
**************************************************
Application: Firefox
Username : Čia Vartotojo Vardas
Password : Slaptažodis
Turėdami prisijungimo vardą ir slaptažodį, galime pilnai

kontroliuoti visą Windows Essentials paslaugų paketą
16
Microsoft Outlook –
17
Microsoft Outlook diegimas
• Microsoft Outlook pagal nutylėjimą įdiegiama į
C:\Program Files\Microsoft Office\Office15\
katalogą.
• Vartotojo konfigūraciniai failai yra saugomi pagal
sistemos vartotoją, todėl kiekvienas OS vartotojas
turi savo Microsoft Outlook konfigūraciją
(C:\Users\<vartotojas>\AppData\Local\Microsoft\Outlook\).
18
Taip pat gali pasitaikyti toks atvejis, kad vartotojas
turės ne vieną, o kelis pašto profilius skirtingiems
tikslams. Todėl aktualius failus iš vartotojo katalogo
reikia paimti visus jo sukurtus profilius.
• HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook
• HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Ou
tlook
• HKEY_CLASSES_ROOT\Installer\Assemblies\Global
• HKEY_CLASSES_ROOT\feed\DefaultIcon
19
Kiti failai sukuriami kliento diegimo metu (greito

paleidimo failai). Juos galima nesunkiai rasti
nukeliavus į C:\Windows\Prefetch katalogą:
20
• Elektroninio pašto skaitymui ir analizei naudosime
nemokamą programinę įrangą Kernel OST Viewer , kurią
galima parsisiųsti iš http://soft.udm4.com/Email-
Tools/OST_Viewer.html svetainės
• Ši programa atveria .OST failą, kai nėra užmegztas ryšys
su MS Exchange Server
• Ji skenuoja .OST failą ir parodo visą jo turinį – elektroninį
paštą, kontaktų sąrašą, užrašus (Notes), kalendoriaus
įrašus ir t. t. – atitinkamuose aplankuose
21
OST failų peržiūros programa
22
• Taip pat galima naudoti (jei bus .PST failas – senesnė
Microsoft Outlook versija) kitą programinę įrangą – Free
Inbox Viewer, kurią galima parsisiųsti iš
http://www.osforensics.com/email-viewer.html
svetainės
• Ši programa gali ištraukti bet kurį elektroninį laišką tiesiai
iš archyvo, tam nenaudojant elektroninio pašto
programos (jos nereikia įdiegti)
• Tinka daugeliui populiarių elektroninio pašto programų,
pavyzdžiui, Outlook, Thunderbird
23
Su šia programine įranga, įvertinant Offline Storage Table
(.OST) failo formato informacijos laikymo ypatybes, galima
išgauti visą naudingą tyrimui informaciją:
• elektroninius laiškus ir susirašinėjimą – išsiųsti ir gauti laiškai,
laiškų juodraščiai;
• elektroninio pašto archyvą;
• kalendorius;
• kontaktus;
• dienyną (Journal);
• RSS (naujienų) užsakymą;
• švenčių sąrašus (tik išsaugotus arba prisirašytus);
• užduotis.
24
OST faile esantis kalendorius
25
OST faile esantys kontaktai
26
Elektroninio pašto analizė
Be elektroninio laiško antraščių (header) peržiūrėjimo, galima
papildomai rasti ir daug svarbios informacijos naudojantis
OST failų skaitymo programos Advanced Properties View
funkcija. Antraštėje randame informaciją apie:
• X-Received / Received - siuntėją (POP atveju – IP adresas);
• Message-ID: <BAY182-
DS117829534F163F530EBA2BB4E40@phx.gbl> – unikalus pašto
žinutės ID;
• X-Mailer – elektroninio pašto klientas;
• X-OriginalArrivalTime – tikslus pašto gavimo laikas;
• Date – data ir laikas, rodomi elektroniniame laiške
27
28
Elektroninio pašto antraštės analizė
Pačių pašto antraščių gilesnę analizę galima atlikti
naudojantis Kernel OST Viewer programine įranga:
29
In situ atveju, jei vartotojas vykdo susirašinėjimą iš savo kompiuterio,
dažniausiai informacija apie prisijungimą yra išsaugoma įdiegtoje
programinės įrangos konfigūraciniuose failuose (senesnėse Microsoft
Outlook versijose – iki Outlook 2013). Naudojant nemokamą
programinę įrangą Outlook Password Decryptor, galima dešifruoti
vartotojo prisijungimo vardą ir slaptažodį
30
Čia gauname papildomos informacijos apie Outlook
paskyros vardą ir slaptažodį:
• Email Address – elektroninio pašto adresas;
• Username – sistemos vartotojas;
• Password – Outlook paskyros slaptažodis;
• Account Type – prieigos prie pašto tarnybinės stoties
tipas;
• Server Name – pašto tarnybinė stotis (adresas).
31
Pašalinant Microsoft Outlook, kliento konfigūracinis

katalogas yra pašalinamas, tačiau galima ieškoti ne
pačių failų, o informacijos apie jų buvimą:
• prefetch failai nėra pašalinami;
• jei vartotojas ištrynė failus, galime bandyti juos atkurti.
Galima atkurti informaciją iš:
• Registry keys – programinės įrangos registrų,
• Thumbnails,
• Restore points/ Volume Shadow Copies,
• Pagefile.sys,
• Hiberfil.sys.
32
Mozilla Thunderbird –
33
Mozilla Thunderbird diegimas
Thunderbird programinė įranga pagal nutylėjimą įdiegiama į
C:\Program Files (x86)\Mozilla Thunderbird katalogą.
Vartotojo konfigūraciniai failai yra saugomi pagal sistemos
vartotoją, todėl kiekvienas OS vartotojas turi savo
Thunderbird konfigūraciją:
34
Elektroninio pašto duomenų sinchronizavimui pagal
nutylėjimą naudojami profilio <*.default> kataloge
\ImapMail\imap.googlemail.com\ esantys failai. Visas e.
paštas yra INBOX faile. Diegimo metu OS registre sukuriami
skirtingi raktai (nustatymai) ir reikšmės:
• HKEY_CLASSES_ROOT\Applications\thunderbird.exe\shell\open\com
mand\
• HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Program
Files (x86)\Mozilla Thunderbird\thunderbird.exe
• HKEY_CLASSES_ROOT\Thunderbird.Url.mailto\DefaultIcon\
• HKEY_CLASSES_ROOT\Thunderbird.Url.mailto\shell\open\command\
• HKEY_CLASSES_ROOT\mailto (papildomai)
• HKEY_CLASSES_ROOT\.eml (papildomai).
35
Kiti failai sukuriami kliento diegimo metu (greito paleidimo
failai). Juos galima rasti C:\Windows\Prefetch kataloge:
36
Thunderbird Prefetch analizė
Galima pasinaudoti ir nemokama programine įranga

WFA:
37
Thunderbird pašto analizė
• Kiti failai, kurie gali būti naudingi atliekant in situ tyrimą,
taip pat yra <vartotojas> profilio kataloge
• Čia rasime naudingus failus – SQLite duomenų bazes,
kuriose saugoma informacija apie vartotojo elektroninio
pašto kontaktus
• Duomenų bazių informacijos peržiūrai naudosime BD
Browser for SQLite, kurį galima parsisiųsti iš
http://sqlitebrowser.org/. Tai atviro kodo programinė
įranga, skirta su SQLite suderinamiems duomenų bazių
failams kurti ir redaguoti
38
Thunderbird kontaktų duomenų bazė
BD Browser for SQLite pateikiamos informacijos
pavyzdys:
39
Thunderbird susirašinėjimo duomenų
bazė
Ši peržiūros programa padės rasti informaciją apie
vartotojo susirašinėjimą:
40
Thunderbird IMAP pašto duomenų
bazė
Ši peržiūros programa padės peržiūrėti vartotojo
IMAP pašto sinchronizavimo katalogus:
41
Analizuodami paštą, pasitelksime pašto failo INBOX
antraščių analizę:
From - Tue Jun 30 03:31:07 2015
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Delivered-To: alarvelis@gmail.com
Received: by 10.28.214.18 with SMTP id n18csp3264305wmg;
Thu, 16 Apr 2015 04:38:47 -0700 (PDT)
X-Received: by 10.68.68.176 with SMTP id x16mr55359682pbt.95.1429184326567;
Thu, 16 Apr 2015 04:38:46 -0700 (PDT)
Return-Path: <alarvelis@hotmail.com>
Received: from BAY004-OMC2S25.hotmail.com (bay004-omc2s25.hotmail.com.
[65.54.190.100])
by mx.google.com with ESMTPS id fc4si11744920pbc.28.2015.04.16.04.38.45
for <ALarvelis@gmail.com>
.......
42
Čia randame tokią informaciją:
• X-Received / Received – siuntėjo informacija; POP atveju
– IP adresas;
• Message-ID: <BAY182-
DS117829534F163F530EBA2BB4E40@phx.gbl> –
unikalus pašto žinutės ID;
• X-Mailer – elektroninio pašto klientas;
• X-OriginalArrivalTime – tikslus laiško gavimo laikas;
• Date – data ir laikas, rodomi elektroniniam pašte.
43
Thunderbird pašto paskyros
dešifravimas
Thunderbird vartotojo prisijungimo vardui ir slaptažodžiui
dešifruoti galima naudoti nemokamą programinę įrangą
Thunderbird Password Decryptor:
44
Thunderbird pašto paskyros
dešifravimas
Čia gauname papildomos informacijos apie
Thunderbird (IMAP) paskyros vardą ir slaptažodį:
• Username – sistemos vartotojas;
• Email Server – pašto tarnybinė stotis (adresas);
• Password – Thunderbird paskyros slaptažodis.
45
Thunderbird pašto turinio in-situ
analizė
Pašto turinio analizei naudosime Free Inbox Viewer:
46
Thunderbird pašto turinio in-situ
analizė
Free Inbox Viewer palaiko tokius formatus:
• .pst (Outlook),
• .mbox (Thunderbird, Eudora, Unix mail ir kt.),
• .msg (Outlook),
• .eml (Outlook Express),
• .dbx (Outlook Express).
47
Pašalinus Thunderbird
Pašalinus Thunderbird, kliento konfigūracinis katalogas yra
pašalinamas, tačiau galime ieškoti ne tiesioginių failų, o
informacijos apie jų buvimą:
• prefetch failai nėra pašalinami,
• jei vartotojas ištrynė failus, galime bandyti juos atkurti.
Galima atkurti informaciją iš:
• Registry keys – programinės įrangos registrų,
• LNK failų,
• Naršyklės istorijos ir išsaugotų (cached) failų,
• Thumbnails,
• Restore points/ Volume Shadow Copies,
• Pagefile.sys,
• Hiberfil.sys.
48
Pašalinus Thunderbird
Windows registrai, kurie išlieka po programos pašalinimo:
• HKEY_CLASSES_ROOT\.xpi
• HKEY_CURRENT_USER\Software\Mozilla\Mozilla Thunderbird\
XX.X.X
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Uninstall\Mozilla Thunderbird XX.X.X
• HKEY_LOCAL_MACHINE\Software\Mozilla\Mozilla
Thunderbird\ XX.X.X
49
Bendraukime
50
tyrimų metodikos
(T120M152)
Debesų paslaugų kriminalistika
Š. Grigaliūnas
2020
Debesų technologijų ir elektroninio
pašto naudojimas
Šiame užsiėmime įdiegsime įvairias internetines
saugyklas ir ieškosime nusikaltimų pėdsakų jose:
• Google Drive
• OneDrive
• Dropbox
• Box Sync
2
Google Drive –
3
Google Drive diegimas
• Diegimui naudosime Windows 8.1 skirtą versiją (yra versijos ir Apple
OS operacinei sistemai). Google Drive galima parsisiųsti iš
https://www.google.com/drive/download/ tinklapio. Skelbiama,
kad bus versija ir Linux operacinei sistemai (kol kas tai veikia tik
naudojantis trečių šalių programine įranga).
• Visas diegimas yra atliekamas per nuotolinę tarnybinę stotį
4
Google Drive diegimas
• Programa pagal nutylėjimą bus įdiegta į C:\Program Files
(x86)\Google\Drive (Windows 8.1) katalogą.
• Vartotojo konfigūraciniai failai yra saugomi sistemos vartotojo
srityje, todėl kiekvienas OS vartotojas turi savo Google Drive
konfigūraciją C:\Users\<vartotojas>\AppData\Local\Google\Drive\
5
Google Drive pėdsakai
Diegimo metu OS registre sukuriami tokie įrašai :
• SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\
• SOFTWARE\Google\Drive
• NTUSER\Software\Microsoft\Windows\CurrentVersion\Run\Googl
eDriveSync
• NTUSER\Software\Classes
PASTABA: registrų medis gali skirtis; čia pateikti
pavyzdžiai Windows OS 8.1 atvejui
6
• Duomenų sinchronizavimui pagal nutylėjimą
naudojamas C:\Users\<vartotojas>\Google Drive\
katalogas
• Jame būna sinchronizavimo failas sync_config.db –
SQL duomenų bazės failas, kuriame rasime Google
Drive atnaujinimo numerį, programos versijos
numerį, lokalios sinchronizacijos pagrindinio
katalogo kelią ir kitus parametrus
• Norėdami pamatyti šio failo turinį, galite panaudoti
SQL peržiūros programą, pavyzdžiui, nemokamą
SQLite Database Browser, kurią rasite adresu
https://github.com/sqlitebrowser/sqlitebrowser/rel
eases
7
Registre galime sužinoti <vartotojo> Google Drive
katalogą bei programinės įrangos versiją:
[HKEY_CURRENT_USER\Software\Google\Drive]
"Installed"="True"
"Path"="C:\\Users\\<vartotojas>\\AppData\\Local\\Google\\Drive\\"
"FileManagerRestartedVersion"="1.22.9403.0223"
"thankyoushown"=dword:00000001
8
Ten rasime ir informaciją apie įdiegtą programinę
įrangą:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.ATL\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\am\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\en\\"=""
..
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\lt\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.MFC\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.CRT\\"=""
"C:\\Windows\\Installer\\{CBC9F5FD-5CFA-4A33-81CD-369EAB77E3A6}\\"=""
"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Google Drive\\"=""
9
Google diskas turi keletą labai naudingų dalykų, kurie
padeda nustatyti ne tik tai, ką vartotojas išsaugo
debesyje, bet ir tai, ką jis parsisiuntė iš debesies ir
išsaugojo savo sistemoje. Čia yra svarbūs trys
pagrindiniai failai:
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/snapshot.db
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/sync_config.db
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/sync_log.txt
10
• Momentinės kopijos failas snapshot.db yra SQL
duomenų bazės failas, kuriame rasime informaciją apie
kiekvieną failą, į kurį buvo kreiptasi: kelio URL,
sukūrimo ir modifikavimo datą ir laiką (UNIX
timestamp formatu; tai laikas, skaičiuojamas
sekundėmis nuo 1970 m. sausio 1 d.; pavyzdžiui,
1436172703 atitinka 2015-07-06 08:51:43), failo MD5
reikšmę ir dydį
• Šio failo turinį galite pamatyti naudodami minėtą SQL
peržiūros programą
11
snapshot.db faile yra 6 lentelės:
12
Kitoje skaidrėje pateiktas snapshot.db failo
cloud_entry lentelės turinio pavyzdys. Šioje lentelėje
galime rasti tokią naudingą informaciją:
• doc_id – failo identifikatorius, nurodantis debesies saugykloje
laikomą failą; pirmoji jo dalis identifikuoja autoriaus paskyrą, antroji
– failą,
• filename – failo pavadinimas,
• created – failo sukurimo laikas (UNIX Timestamp formatu),
• modified – failo modifikavimo laikas (UNIX Timestamp formatu),
• checksum (MD5 hash) – failo kontrolinė suma,
• size – failo dydis,
• shared – failo bendrinimas,
• *_type – failo tipas,
• *_role – rolės prieigai,
• removed – ar failas ištrintas.
13
cloud_entry lentelė
14
• sync_config.db yra maža duomenų bazė, kurioje
laikoma informacija apie šio Google Drive diegimą
ir vartotojo abonementą.
• sync_log.log yra vietinis žurnalas, kurį tvarko
Google Drive. Jis teksto forma rodo visą neseniai
vykdytą veiklą. Skirtingai nuo anksčiau minėtų
SQLite duomenų bazių, tai tiesiogiai atveriamas
naudojamoje platformoje. Jis gali būti naudingas
nedaug, tačiau jame yra nuorodos į failus, kurie
buvo įkeliami į ir parsisiunčiami iš debesies
15
• Žurnalo faile rasite:
– informaciją apie sinchronizavimo sesijas;
– failo sukūrimo laiką;
– failo išsaugojimo laiką;
– failo ištrynimo laiką.
• Mes galime naudoti reikalingos informacijos
paiešką pagal tokius raktažodžius:
– RawEvent (CREATE
– RawEvent (UPLOAD
– RawEvent (DELETE
– RawEvent (MODIFY
16
Paieškos žurnalo faile pavyzdys
2015-06-26 22:30:23,566 -0700 INFO pid=3232 3760:Worker-0
common.change_buffer:276 Removing entry from change buffer:
ChangeBufferEntry(state=IN_PROGRESS,
fschange=ImmutableChange(Direction.UPLOAD, Action.CREATE,
ino=3096224743920207, path=u'\\\\?\\C:\\Users\\user\\Google Drive',
name=u'111412_1755_Investigati151.png', parent_ino=2251799813766032,
is_folder=False, modified=1431680022, size=114796,
backup=Backup.NO_BACKUP_CONTENT, is_cancelled=False, is_priority=False,
hash=1204185018, _constructor_called=True),
raw_event=ImmutableRawEvent(op=CREATE, path=\\?\C:\Users\user\Google
Drive\111412_1755_Investigati151.png, time=1435383015.09, is_dir=False,
ino=3096224743920207, size=114796, old_path=None, new_ino=None,
mtime=1431680022, parent_ino=2251799813766032, affects_gdoc=None,
is_cancelled=RawEventIsCancelledFlag.FALSE, old_parent_ino=None,
backup=Backup.NO_BACKUP_CONTENT, _hash_code=-631082692),
sequence_number=0)
....
17
Paieškos žurnalo faile pavyzdys
....
2015-06-26 22:30:33,786 -0700 INFO pid=3232 3304:XmppClient
common.push.xmpp.xmpplib:384 StanzaConnection read s where length=444 and
ssl=<ssl.SSLSocket object at 0x06074830>, s='<message
from="tango@bot.talk.google.com"
to="ALarvelis@gmail.com/driveDD15FD2C"><push:push channel="tango_raw"
xmlns:push="google:push"><push:recipient
to="ALarvelis@gmail.com"></push:recipient><push:data>CAAiXApACgYKBAgDEAISJQoG
CgQIAxABEhIJchZF5Ioi44ERrkazJry+xkoaBwiCMhADGAEgvsKV9uIpKgg0MTE1MDI4NhoY
ChYKDgj2BxIJQ0hBTkdFTE9HEAEYTjABKgYKBAgDEAIwAjgBQioIbxImEAQYAiITYWxhcnZlb
GlzQGdtYWlsLmNvbUIJdGFuZ29fcmF3SAE=</push:data></push:push></message>'
18
Prisijungdamas iš naršyklės prie profilio, vartotojas
gali gauti visą informaciją apie ištrintus, pakeistus,
pridėtus failus:
19
Galima peržiūrėti kiekvieno failo ankstesnių versijų
istoriją, taip pat atkurti ankstesnę failo versiją:
20
Pasirinkus konkretų failą,

galima atkurti ir peržiūrėti
buvusį failo turinį. Taip pat yra
galimybė (net jei tokia
paslauga nėra aktyvuota)
patikrinti vartotojo aktyvumą:
21
Įvairios naršyklės dažniausiai išsaugo informaciją apie
vartotojo prisijungimą (funkcionalumas Remember
passwords), todėl rekomenduotina patikrinti, ar
nebuvo jungtasi į Google Drive naudojant naršyklę. In
situ atveju tam galime naudoti nemokamą programą
Google Password Decryptor:
22
Ši programa suteikia informaciją apie Google
paskyros vardą ir slaptažodį:
• Username – sistemos vartotojo vardas;
• Operating System – naudojama operacinė sistema;
• Application – programinė įranga, kurioje yra
išsaugoti vartotojo prieigos duomenys;
• Google Account Name – Google paskyros
prisijungimo vardas;
• IE naršyklės versiją
23
Informacija apie Google paskyrą
Programinė įranga leidžia visą informaciją išsaugoti
HTML/TXT duomenų formatu:
Internet Explorer version : 11.0.9600.16428

Username : user
Password List
******************************************************************
Application: Firefox
Username : Čia vartotojo vardas
Password : Slaptažodis
24
OneDrive –
25
OneDrive kliento įdiegimas
• OneDrive klientas yra įdiegiamas vartotojo profilio
viduje, todėl kiekvienas vartotojas turi skirtingą
profilį. Jį rasime kompiuterio sisteminiame diske
C:\Users\<vartotojas>\AppData\Local\Microsoft\On
eDrive:
26
Pagal nutylėjimą yra sukuriamas katalogas
C:\Users\<vartotojas>\OneDrive:
27
• Diegimo metu pagal nutylėjimą sukuriami 2 katalogai, į kuriuos
darbo metu bus talpinami dokumentai ir paveikslai:
– Documents,
– Pictures.
• Diegimo metu programa pakeičia informaciją registrų failuose. OS
registre sukuriami skirtingi raktai (nustatymai) ir reikšmės:
– SYSTEM\ControlSet001\Services\Parameters\FirewallPolicy\FirewallRules
– SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\
OneDrive1
OneDrive2
OneDrive3
– NTUSER\Software\Microsoft\Windows\CurrentVersion\Uninstall
– NTUSER\Software\Microsoft\Windows\CurrentVersion\Run
– NTUSER\Software\Microsoft\OneDrive
– NTUSER\Software\Classes\OneDrive.SyncFileInformationProvider
28
OneDrive - pėdsakai
• Microsoft Windows registro redaktorius RegEdit gali suteikti
naudingos informacijos in situ tyrimo metu. Pavyzdžiui, čia galime
sužinoti programinės įrangos versiją, diegimo kelią ir pan.:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\OneDrive]
"Version"="17.3.5860.0512"
"CurrentVersionPath"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\
17.3.5860.0512"
...
"UserFolder"="C:\\Users\\user\\OneDrive"
"FirstRun"=dword:00000001
"ClientEverSignedIn"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\OneDrive\17.3.5860.0512]
"InstallPath"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\17.3.586
0.0512"
"InstallPaths"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\17.3.58
60.0512;"
....
29
OneDrive sukuriami failai
• Jeigu naudojama Microsoft Office arba OneDrive komercinė
versija, registrai ir juose randama informacija gali būti matoma
pavadinimu SkyDrive:
Windows Registry Editor Version 5.00
...
"Description"="Free online storage. Store, access and share thousands of
documents on OneDrive."
"Name"="OneDrive"
"ServiceId"="WLINBOX_SKYDRIVE"
"ServiceUrl"="https://g.live.com/8seskydrive/HomePageUrl"
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\ServicesManag
erCache\ServicesCatalog\WLINBOX_SKYDRIVE\Metadata]
"DefaultCreateRelativePath"="/^.Documents"
"DefaultFolderRelativePath"="/^.Documents"
"KeyTip"="K"
"Type"="Skydrive"
...
30
Konfigūravimo failai yra laikomi vartotojo kataloge;

tai failai:
• Settings – kliento nustatymai,
• Log – aktyvumo žurnalas,
• Setup – programinės įrangos naujinimo žurnalas,
• Update – naujinimo žurnalas.
31
Diegimo metu sukuriami tokie failai ir nuorodos:

• C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\OneDrive.lnk
• C:\Users\Default\Links\OneDrive.lnk
• C:\Users\<vartotojoas>\AppData\Roaming\Microsoft\Windows\
Start Menu\Programs\OneDrive.lnk
• C:\Users\<vartotojas>\Links\OneDrive.lnk
• C:\Windows\Prefetch\ONEDRIVE.EXE-NNNNNNNN.pf
32
OneDrive Prefetch analizė
Jei yra sukurtas greitojo startavimo Prefetch failas (ONEDRIVE.EXE-
...pf), reiškia, kad ši programa bent vieną kartą buvo paleista. Šį failą
rasime Windows Prefetch kataloge:
33
OneDrive Prefetch analizė
Darbui palengvinti galima pasinaudoti nemokamu Windows failų analizatoriumi
(WFA), kurį galima parsisiųsti iš http://www.mitec.cz/wfa.html. Čia papildomai suži-
nosime, kada programa buvo paleista, kiek kartų buvo paleista, failo kontrolinę sumą:
34
OneDrive pėdsakai (Settings)
Settings kataloge rasime:

• ClientPolicy.ini – kliento programinės įrangos nustatymų failą,
kuriame randame tyrimui naudingos informacijos, pavyzdžiui:
– MaxFileSizeBytes – maksimalus failo dydis bitais,
– MaxClientMBTransferredPerDay – laidžiama atsisiųsti per vieną dieną,
– MaxClientRequestsPerDay – užklausų kiekis per vieną dieną,
– MaxItemsInOneFolder – maksimalus kiekis elementų viename kataloge,
– NumberOfConcurrentUploads – vienu metu vykdomų atsisiuntimų skaičius.
35
OneDrive pėdsakai (Settings)
Settings kataloge rasime:

• ApplicationSettings.xml; čia randame UserCid (User Identification
Device) – unikalų vardą, suteiktą vartotojui ir naudojamą prieigai
prie komputerio, duomenų bazės, pašto ir pan.
• <UserCid>.ini – vartotojo nustatymų failas, kuriame randame:
– installName – kompiuterio vardą,
– lastRefreshTime – datą ir laiką, kada buvo atlikta paskutinis failų
sinchronizavimas,
– library – vartotojo katalogą,
• <UserCid>.dat – failų ir katalogų vardai.
36
Laiko žymos skaičiavimas
• Galime pasinaudoti skaičiuoklės programa.
Pavyzdžiui, langelyje B2 įvedę laiko reikšmę
sekundėmis, pagal žemiau pateiktą formulę
gausime datą ir laiką (žr. lentelę; mūsų laiko
juosta yra GMT+2, tai formulė yra tokia:
=(((B2/60)/60)/24)+DATE(1970;1;1)+(2/24)
Parametras Reikšmė Apskaičiuota Apskaičiuotas
Data laikas
LastRefresh 1435738667 2015-07-01 10:17:47
LastUpdate 1435662701 2015-06-30 13:11:41
37
OneDrive failų analizė
• Toliau nagrinėjant kataloge Settings esančius failus, tekstų
peržiūrai ir redagavimui rekomenduojame naudoti nemokamą
teksto redaktorių Notepad++
• Šiame redaktoriuje failas ApplicationSettings.xml atrodo taip:
38
• Tame pačiame kataloge yra sukuriamas unifikuotas vartotojo
konfigūracinis failas *.ini. Nagrinėjamu atveju tai
60ab0cca314ce2e0.ini, kur failo pavadinimas sutampa su
UserCid:
nickname =
installID = 1
installName = user-PC
maxNumRequests = 10
originatorID = 60e7de69-7e49-425e-b852-8b9f227678e3
lastRefreshTime = 1435662744
requestsSent = 19
bytesTransferred = 664400
Subscription = 2 60AB0CCA314CE2E0!105 WLS_SubscriptionId_0CD15564-DF89-4C1F-9A74-
9B729190022D
Subscription = 1 60AB0CCA314CE2E0!105 WLS_SubscriptionId_EF2A8119-BF07-4964-8D2D-
AB7DB8B20646
library = 1 4 60AB0CCA314CE2E0!105 1435662651 "SkyDrive" Me personal "C:\Users\user\OneDrive"
39
• USERCID.DAT faile saugoma informacija apie failų
trynimą. Prieš ištrinant failą iš OneDrive talpyklos, jį *.dat
aptinkame; po ištrynimo tokios informacijos nėra (yra tik
pažymėjimas, kad failas yra ištrintas):
40
• Naudojant naršyklę ir prisijungus prie vartotojo paskyros,
galima rasti išsaugotą informaciją apie šiukšliadėžės
turinį:
41
• Taip pat galima rasti informaciją apie konkretų failą ir ar
tas failas bendinamas (shared) su kitais vartotojais:
42
OneDrive: Logs katalogas
• Jame galima rasti žurnalo failą su informacija apie
kliento programinės įrangos veiklą. Faile
SyncDiagnostics.log – pateikiama informacija apie
paskutinį sinchronizavimą.
• ../OneDrive/setup/logs/ kataloge pateikiamas
detalus sinchronizavimo žurnalas konkrečiai dienai
formatu YYYY-MM-DD_HHMMSS_hex-hex.log (pvz.,
2015-06-30_041041_12a8-10f0.log).
43
OneDrive: Logs katalogas
06/30/2015 04:10:41.757 WatsonReport: Registering setup log files with watson
06/30/2015 04:10:41.757 ResourceManager: Found lang id: 0409
06/30/2015 04:10:41.757 ResourceManager: Using lang id: 0409
06/30/2015 04:10:41.757 ResourceManager: Using langId 0x0409
06/30/2015 04:10:41.757 SetupEngine: Entered Initialize
06/30/2015 04:10:41.757 SetupEngine: Image: C:\Users\user\Downloads\OneDriveSetup.exe
06/30/2015 04:10:41.757 SetupEngine: X-LogID: 5BB548D9-5702-4201-881C-7794233018F9
06/30/2015 04:10:41.757 SetupEngine: X-AppName: SkyDriveSetup
06/30/2015 04:10:41.757 SetupEngine: X-AppVersion: 17.3.5860.0512
06/30/2015 04:10:41.757 SetupEngine: X-User: user
06/30/2015 04:10:41.757 SetupEngine: X-Computer: USER-PC
06/30/2015 04:10:41.773 SetupEngine: X-UMID: BC763EB2-EA79-42A5-83FB-75235B8096E2
06/30/2015 04:10:41.773 SetupEngine: X-UUID: B7D9F27E-C7C9-49B2-A824-78FFF1E7C177
06/30/2015 04:10:41.773 SetupEngine: Flavor: SHIP
06/30/2015 04:10:41.773 SetupEngine: CommandLine: "C:\Users\user\Downloads\OneDriveSetup.exe"
06/30/2015 04:10:41.773 SetupEngine: Windows: 6.1 (7601) [100]
06/30/2015 04:10:41.773 SetupEngine: Windows ServicePack: Service Pack 1
06/30/2015 04:10:41.773 SetupEngine: Processor: 4 processor(s), architecture=amd64
06/30/2015 04:10:41.773 SetupEngine: Memory: 8334924 KB, 5008312 KB available
06/30/2015 04:10:41.773 SetupEngine: Locale: System=1033, UI=1033
06/30/2015 04:10:41.773 SetupEngine: Locale: en-US
06/30/2015 04:10:41.773 SetupEngine: OS String: 6.1.7601sp1.0x64-Wrk-1(1033;1033;en-US)Win7
44
OneDrive: Log failas
Šiame faile galime rasti informaciją apie visus failus, įskaitant
tuos, kurie buvo ištrinti. Atliekame paiešką pagal raktines
reikšmes:
• CreateNewFileRealizerWorkItem – ši funkcija naudojama, kai
kiekvieną kartą yra sukuriamas failas;
• FILE_ACTION_ADDED – ši funkcija naudojama, kai kiekvieną
kartą sukuriamas failas lokaliai (standžiajame diske);
• FILE_ACTION_REMOVED – ši funkcija naudojama, kai kiekvieną
kartą yra ištrinamas failas lokaliai (standžiajame diske);
• FILE_ACTION_RENAMED – ši funkcija naudojama, kai kiekvieną
kartą yra lokaliai (standžiajame diske) pakeičiamas failo
pavadinimas.
45
Jei OneDrive klientas yra įdiegtas kompiuteryje,
mes galime rasti informacijos operatyvioje
atmintyje. Atminties turinio išklotinėje (memory
dump) yra informacija apie sesijas; joje reikėtų
atlikti paiešką pagal reikšmes:
• login.live.com,
• skydrive,
• onedrive.
46
Galime rasti tokią informaciją:
• User email – vartotojo elektroninio pašto adresas (taip pat prisijungimo
adresas);
• Version number – programos versija;
• Config Path – konfigūracinio katalogo vieta;
• Local sync folder path – sinchronizavimo katalogo vieta standžiajame diske;
• File names – failų pavadinimai;
• Hiberfil.sys – failas, kuriame išsaugoma sistemos būsena miego (hybernation)
metu;
• apie programine įrangą;
• nuorodų failų .LNK;
• naršyklės istorijos ir išsaugotų (cached) failų;
• Thumbnails – sugeneruotos paveikslėlių miniatiūros;
• Restore points / Volume Shadow Copies – sistemos atkūrimui reikalingų
duomenų fiksavimo priemonės;
• Pagefile.sys;
• Hiberfil.sys.
47
Dropbox –
48
Dropbox
Debesų prieiga ir programa Dropbox
(http://www.dropbox.com ) yra taip pat labai
populiari paslauga, pradėta teikti 2007 m.:
• ji turi daugiau nei 400 milijonų vartotojų
(https://www.dropbox.com/news/company-info);
• kas 24 valandas yra išsaugoma 1,2 milijardo failų;
• Dropbox palaiko 20 kalbų; ja naudojasi vartotojai iš
200 pasaulio šalių;
• šia paslauga naudojasi 97 procentai Fortune 500
sąrašo įmonių
49
Dorpbox diegimas
Programa pagal nutylėjimą yra įdiegiama į C:\Program Files
(x86)\Dropbox (Windows 8.1) katalogą. Vartotojo konfigūraciniai
failai yra saugomi pagal sistemos vartotoją, todėl kiekvienas OS
vartotojas turi savą Dropbox konfigūraciją
C:\Users\<vartotojas>\AppData\Roaming\Dropbox
50
Dorpbox diegimas
• Pagal nutylėjimą sinchronizavimui bus
naudojamas katalogas
C:\Users\<vartotojas>\Dropbox. Šiame
kataloge rasime:
51
Dorpbox diegimas
• PDF failas (Getting Started.pdf) yra
atnaujinamas su kiekviena Dropbox versija. Nuo
Dropbox versijos 2.025 pagal nutylėjimą jokie
JPG failai įdiegimo metu nėra sukuriami.
Anksčiau būdavo sukuriami 3 JPG pavyzdžio
failai (svarbu žinoti, nes tokie failai nėra įkalčių
objektas) Photos\Sample Album‘e:
– Boston City Flow.jpg,
– Costa Rican Frog.jpg,
– Pensive Parakeet.jpg.
52
• SYSTEM\CurrentControlSet\Services\SharedAccess\Paramet
ers\FirewallPolicy\FirewallRules
• SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOv
erlayIdentifiers\DropBoxExt1
• NTUSER\Software\Microsoft\Windows\CurrentVersion\Uni
nstall\Dropbox
• NTUSER\Software\Dropbox\InstallPath
53
Registro redaktorius RegEdit gali sutikti naudingos
informacijos in situ tyrimo metu. Pavyzdžiui, čia galime
sužinoti diegimo katalogą, įdiegtą Dropbox versiją ir pan.:
...
"InstallLocation"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\
75,00,73,00,65,00,72,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,\
00,52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,44,00,72,00,6f,00,70,00,\
62,00,6f,00,78,00,5c,00,62,00,69,00,6e,00,00,00
"DisplayName"="Dropbox"
"Publisher"="Dropbox, Inc."
"DisplayIcon"="C:\\Users\\user\\AppData\\Roaming\\Dropbox\\bin\\Dropbox.exe,0"
"DisplayVersion"="3.6.7"
"URLInfoAbout"="https://www.dropbox.com"
"HelpLink"="https://www.dropbox.com"
"NoModify"=dword:00000001
"NoRepair"=dword:00000001
54
Dorpbox diegimas
• Dropbox diegimo metu sukuria tokius failus, kurie
gali būti naudojami in situ kriminalistinei analizei
atlikti. Konfigūracijos failai saugomi viduje diegimo
aplanko, atskirai pagal kiekvieną vartotoją.
Paleidžiamieji failai ir bibliotekos saugomos
subkataloge bin. Taip pat yra sukuriami failai:
– C:\Users\<username>\Desktop\Dropbox.lnk
– C:\Users\<username>\Links\Dropbox.lnk
– C:\Windows\Prefetch\DROPBOX N.N.NN.EXE-
NNNNNNNN.pf
– C:\Windows\Prefetch\DROPBOX.EXE-NNNNNNNN.pf
55
Dorpbox: Windows Prefetch
• katalogas
Windows Prefetch kataloge (C:\Windows\Prefetch)
sukuriami greitojo paleidimo failai, kurios patogiau yra
peržiūrėti naudojant Windows failų analizatorių WFA, kurį
galima parsisiųsti iš http://www.mitec.cz/wfa.html
56
Dropbox failai Prefetch kataloge
Čia papildomai sužinosime, kada programa buvo
paleista, kiek kartų buvo paleista, failo kontrolinę
sumą:
57
Dropbox failų analizė
Dešiniuoju pelės klavišu išsirenkame išankstinio greitojo
paleidimo užduotį ir galime nagrinėti informaciją apie Dropbox
paslaugos (kliento) paleidimą: kada paleistas, kada paskutinį
kartą paleistas, kada sukurta ir t.t.
Application: DROPBOX.EXE
Created: 7/1/2015 4:56:41 AM
Written: 7/1/2015 4:56:41 AM
Last Accessed: 7/1/2015 4:56:41 AM
Embedded Date: 7/1/2015 4:56:39 AM
Runs: 1
File Path Hash: B495C8D
MD5: E047D66CDA5E8B61BA1B2C44102A63DE
58
Dropbox konfigūracinių failų
katalogo analizė
• Nuo 2011 m. konfigūraciniai failai yra užšifruojami. Galime
nagrinėti tik Host.dbx ir Host.db failus, kuriuose yra
sinchronizavimui skirto lokalaus katalogo pavadinimas.
• .db failas yra Base64 algoritmą (jis skirtas pranešimo
transformacijai į 8 bitų simbolių seką; naudojamas perduoti
duomenis tam tikrais kanalais vien paprastų simbolių
pagalba). Šių failų peržiūrai naudosime tekstinį redaktorių
Notepad++
• Užšifruotas Dropbox host.db failas tekstiniam režime atrodo
taip:
59
Dropbox konfigūracinių failų
katalogo analizė
Base64 Encode (http://sourceforge.net/projects/gbm64/)
dešifruotas Dropbox host.db failas atrodo taip:
60
Dropbox .dbx failų iššifravimas
Taip pat įdomus ir naudingas failas yra filecache.dbx. Šio failo
peržiūrai yra naudojama nemokama programinė įranga Dropbox
Decryptor:
61
Ši nemokama programinė įranga veikia tik su Microsoft Windows
XP ar Windows Vista (iki 2017.04.11 d.) operacinėmis sistemomis.
Čia išvardyti tokie failai, turintys specialią paskirtį:
• Filecache.dbx – C:\Documents and Settings\<vartotojas>\Application
Data\Dropbox (Windows XP)
• Filecache.dbx – C:\Documents and
Settings\<vartotojas>\AppData\Roaming\Dropbox\instance1
(Windows 7/8)
• Windows Protection folder – C:\Documents and
Settings\<vartotojas>\AppData\Roamin\Microsoft\Protect (Windows
7/8)
• NTUSER.DAT\Software\Dropbox\ks\Client – Windows registrų failas,
kuriame saugoma informacija apie sistemos vartotoją. Jį galima rasti,
naudojant Windows RegEdit programinę įrangą, kataloge
HKEY_LOCAL_MACHINE.
62
Dešifravę failą, jį rasime nurodytame kataloge (Output
Folder) – filecache.db.
Šioje duomenų bazėje yra tokie kriminalistiniam tyrimui
svarbūs laukai:
• Server path – informacija apie debesyje esančius failus;
• Local file name – failai, esantys lokaliam (standžiajame)
diske; jie gali būti nesinchronizuoti su debesiu;
• Local creation time – (standžiajame) diske esančio failo
sukūrimo laikas,
• Local modified time – (standžiajame) diske failo esančio
modifikavimo laikas,
• Local size – (standžiajame) diske esančio failo dydis
63
Dropbox prieiga per naršyklę
• Naudojant vartotojo prisijungimo vardą ir
slaptažodį, per naršyklę galima prieiti prie visos
informacijos apie ištrintus failus:
64
• Nemokamoje Dropbox versijoje yra numatyta
galimybė 30 dienų atkurti ištrintus failus
• Todėl atliekant in situ tyrimą labai svarbu
nepraleisti šio termino, nes tokie failai gali būti
ypač svarbūs
• Jeigu Dropbox yra komercinio naudojimo
(business), tokiu atveju failus galima atkurti be
laiko apribojimo
65
Prisijungus galima rasti ir sąrašą įrangos (kompiuteriai su vardais,
mobilūs telefonai, planšetiniai kompiuteriai), su kuriais buvo
atliekama sinchronizacija arba į kuriuos buvo įdiegtas konkretus
vartotojas:
66
Prisijungus taip pat galima peržiūrėti, kurie failai buvo
modifikuoti. Dropbox palaiko ir failo versijas (t.y. yra
numatyta galimybė atkurti prieš tai sukurtą, o vėliau
modifikuotą, failą):
67
In situ analizės ryšiams nustatyti gali būti naudinga ir
galimybė peržiūrėti, ar buvo bendrintas failas ir, jei
buvo, tai su kuo konkrečiai:
68
Dropbox: Operatyviosios atminties
analizė
Jei Dropbox klientas yra įdiegtas kompiuteryje,
mes galime rasti informacijos operatyvioje
atmintyje
Atminties turinio išklotinėje (memory dump) yra
informacija apie sesijas; joje reikėtų atlikti paiešką
pagal reikšmes:
– AUTHENTICATE – autentifikavimas,
– filecache.dbx – failų sąrašas,
– server_time – debesies laikas,
– updated/deleted – atnaujinti / ištrinti failai.
69
Dropbox: Operatyviosios atminties
analizė
Galime rasti tokią informaciją:
• User email – vartotojo elektroninis paštas
(prisijungimo vardas),
• Display name – vardas,
• Filecache.dbx – kelias iki nurodyto archyvo,
• Server time (Unix timestamp) – laiko žymė,
• File list – failų sąrašas,
• Deleted file – ištrinti failai.
Panašią informaciją galime rasti nagrinėjant
Hiberfil.sys ir Pagefile.sys failus.
70
Programinės įrangos pašalinimo metu jos
konfigūracinis katalogas yra pašalinamas, tačiau
galime ieškoti ne tiesioginių failų, o informacijos apie
jų buvimą:
• prefetch failai nėra pašalinami,
• failai, įrašyti lokaliai, nėra ištrinami,
• NTUSER\Software\Dropbox – registruose informacija palikta, bet be
reikšmių.
Galime atstatyti informaciją iš standžiajame diske
esančių failų fragmentų su nutrūkusiais ryšiais (carved
files). Naudojant paiešką pagal paveikslėlių failų
kontrolines (hash) sumas, galima taip pat surasti JPG
failus.
71
BOX Sync –
72
BOX Sync diegimas
• BOX Sync naudojama saugiam savo failų saugojimui, tvarkymui ir
dalinimuisi jais debesyje
• Prisijunti galima iš bet kur naudojant naršyklę, mobilų telefoną ar
planšetę
• Galima dalintis bet kur esančiais dideliais failais, pateikiant jų
paprastas nuorodas
• Didesnė paslaugų dalis yra galima naudojant
Starter/Business/Enterprise versiją
• Programa pagal nutylėjimą bus įdiegta į C:\Program Files\Box
(Windows 8.1) katalogą
73
BOX Sync diegimas
Pagal nutylėjimą diegimo metu sukuriamas katalogas
C:\Users\<vartotojas>\Box Sync
74
BOX Sync konfigūraciniai failai
Vartotojo konfigūraciniai failai yra saugomi pagal sistemos vartotoją,
todėl kiekvienas OS vartotojas turi savo Box Sync konfigūraciją:
Pagal nutylėjimą nei failai, nei katalogai nėra sukuriami

75
BOX Sync diegimas
Diegimo metu programa pakeičia informaciją

registrų failuose. OS registre sukuriami skirtingi
raktai (nustatymai) ir reikšmės:
• HKEY_LOCAL_MACHINE\SOFTWARE\Box\BoxSync
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\BoxSync
_RASAPI32
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\BoxSync
_RASMANCS
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\
Windows\CurrentVersion\Uninstall\{233689df-bc73-4823-8bf9-
84cce462613d}
76
BOX Sync Windows registre
Microsoft Windows registro redaktorius RegEdit
gali suteikti naudingos informacijos in situ tyrimui:
"BundleCachePath"="C:\\ProgramData\\Package Cache\\{233689df-bc73-4823-
8bf9-84cce462613d}\\BoxSyncSetup.exe"
...
"BundleVersion"="4.0.6442.0"
"BundleProviderKey"="{233689df-bc73-4823-8bf9-84cce462613d}"
"EngineVersion"="3.7.1224.0"
"DisplayIcon"="C:\\ProgramData\\Package Cache\\{233689df-bc73-4823-8bf9-
84cce462613d}\\BoxSyncSetup.exe,0"
"DisplayName"="Box Sync"
"QuietUninstallString"="\"C:\\ProgramData\\Package Cache\\{233689df-bc73-
4823-8bf9-84cce462613d}\\BoxSyncSetup.exe\" /uninstall /quiet"
"UninstallString"="\"C:\\ProgramData\\Package Cache\\{233689df-bc73-4823-
8bf9-84cce462613d}\\BoxSyncSetup.exe\" /uninstall"
"EstimatedSize"=dword:000073b0
...
77
BOX Sync diegimas
Iš registrų informacijos mes galime sužinoti:

• DisplayVersion – BoxSync programinės įrangos versiją;
• InstallPath=C:\\Program Files\\Box\\Box Sync\ – diegimo vietą.
• Box Sync sukuria konfigūravimo failus (vartotojo kataloge),
programinės įrangos automatinio sinchronizavimo katalogą.
Diegimo metu sukuriami tokie failai ir nuorodos:
• C:\Users\<vartotojas>\AppData\Roaming\Microsoft\Windows\
Start Menu\Programs\Box Sync.lnk
• C:\Users\<vartotojas>\Links\Box Sync.lnk
• C:\Windows\Prefetch\BOXSYNCSETUP.EXE-NNNNNNNN.pf
78
BOX Sync - Prefetch katalogas
C:\Windows\Prefetch galime peržiūrėti greitojo startavimo failus:
Tas pats naudojant Windows failų analizatorių (WFA):
79
BOX Sync - Prefetch katalogas
Dešiniuoju pelės klavišu spragtelėję greitojo startavimo užduotį
(prefetch), galime nagrinėti informaciją apie Box Sync paslaugos
(kliento) paleidimą: kada paleistas, kada paskutinį kartą paleistas,
kada sukurtas ir t.t.:
Application: BOXSYNCSETUP.EXE
Created: 7/1/2015 4:50:53 AM
Written: 7/1/2015 4:59:29 AM
Last Accessed: 7/1/2015 4:50:53 AM
Embedded Date: 7/1/2015 4:59:19 AM
Runs: 3
File Path Hash: 49E322E3
MD5: 7D03EEAB468052B09CA9AAD49F335780
80
Box Sync sync.db failas box_item
81
Box Sync sync.db failas preferences
82
BOX Sync sync.db analizė
Šios duomenų bazės peržiūrai naudojame DB

Browser for SQLite, kurią galima atsisiųsti iš
http://sqlitebrowser.org/ svetainės
Nagrinėdami duomenų bazę, lentelės stupeliuose
rasime tokią informaciją:
• Name – failo vardas arba priskyrimas (pvz., vartotojo ID);
• Owner_id – vartotojo ID;
• Checksum – failo kontrolinė suma;
• Size – failo dydis;
• Is_deleted – ar failas yra ištrintas (1 – ištrintas; 0 - neištrintas);
• Value – parametro reikšmė.
83
BOX item_status.db
Tai SQLite duomenų bazė, kurios saugoma informacija apie
sinchronizuojamus failus:
• Reason – failas yra sinchronizuotas: rodomas arba slepiamas;
• Timestamp – laiko žymos reikšmė
84
BOX Sync žurnalas
Žurnalų (Logs) kataloge yra saugomi dienos (ir

tikslaus laiko) įvykių įrašai, kurių formatas yra: Box
Synx-versija.YYYY-MM-DD.log (pvz: Box Sync-
4.0.6442.2015-07-01.log)
Galima naudoti paiešką pagal raktažodžius su
reikšmėmis:
• is_deleted – failas yra ištrintas (jei taip, – kada),
• appdata\local\temp – laikinųjų failų laikymo katalogas
PASTABA: Box Sync, atlikdamas konkrečius žurnalizavimo veiksmus,
sukuria laikinuosius failus, kurių vėliau netrina
85
BOX Sync diegimas
Konfigūravimo failai yra laikomi vartotojo kataloge; tai failai
• Settings – kliento nustatymai,
• Log – aktyvumo žurnalas,
• Setup – programinės įrangos naujinimo žurnalas,
• Update – naujinimo žurnalas.
86
Bendraukime
87
tyrimų metodikos
(T120M152)
Įkalčių analizės būdai. AutoPSY
Š. Grigaliūnas
2020
1
Įkalčių paieška: menas ar mokslas?
Holmsas
Vatsonas
Inspektorius
Lestreidas
2
Fundamental Computer Investigation Guide
for Windows
Yes:
- reiks sertifikato tyrėjui
- reiks sertifikuotų tyrimo priemonių
-reiks dokumentuoti nustatyta tvarka
3
Tyrimo priemonių patikimumas
Duomenų rinkimo priemonės turi būti patikimos ir tikslios.

Įrodyti įkalčius paprastai yra lengviau, jei jūs naudojate gerai
žinomas kompiuterių ekspertizės priemones.
Įrankiai neturi keisti failų prieigos laiko ar kitų atributų.
Eksperto kopijų saugojimo įrenginys turi būti sterilus, o tai
reiškia, kad iš principo tai turi būti naujas, nenaudotas diskas.
Eksperto įranga ir įrankiai naudojami tik tyrimo procese, o ne
atliekant kitas užduotis.
4
Įkalčių analizės etapo užduotis
surasti surinktoje informacijoje duomenis, kurie gali:

- atstatyti galimai didesniu tikslumu įvykių eigą;
-patvirtinti arba paneigti tyrimo hipotezę.
Ko ieškoti?
Kur ieškoti?
5
Įkalčių rinkimo ir įkalčių analizės etapų skirtumai
Įkalčių rinkimo etapas
Trumpalaikis
Gerai automatizuojamas
Nebūtinai reikalauja aukštos kvalifikacijos
Įkalčių analizės etapas

Išsami surinktos informacijos analizė
Trunka ilgai
Automatizavimas tik pagalbinė priemonė
Automatizuotos priemonės padeda pagreitinti analizės procesą. Jos

labiausiai veiksmingos pradiniuose analizės etapuose:
- ištraukti visą įmanomą informaciją iš atvaizdo
- susiaurinti paieškos sritį atrenkant potencialiai tyrimui reikšmingus
duomenis
- Be to, padeda susisteminti, surūšiuoti tiriamą informaciją
6
Kompiuteris kaip nusikaltimo objektas
Tirti reikia veikiančią sistemą, kurios dažniausiai negalima stabdyti

Ieškoma įsilaužimo ar kenkėjiškos programos veiklos pėdsakų
Įkalčių rinkimo ir analizės etapai dažnai susilieja į vieną
Įkalčių analizė gali būti pagrindas pareikšti įtarimus galimam
nusikaltėliui
7
Papildomi šaltiniai analizei
Įvykių žurnalai
Registras
Sisteminiai slaptažodžiai
Atminties turinys
auditpol – kokia nustatyta policy, t.y. kokie log‘ai formuojami

ntlast – parodo sėkmingus ir nesėkmingus bandymus jungtis
dumpel - paima log‘us
regdump/regquery - registrų turinys visas/dalinis
pwdump (pwdump3e)- slaptažodžių hash‘ai + windows password-
cracking tool
Čia minimos priemonės yra vidinės OS komandos arba Windows sysinternals

komplekte
8
Unix ypatumai
Vykdomos programos failą galima ištrinti kol dar programa

vykdoma
Priemones tenka kompiliuoti konkrečiai sistemai su konkrečia
architektūra
Sistemų versijos būna nesuderinamos (Solaris 2.6 ir 2.7)
Unix sisteminės komandos dažnai pakeičiamos trojanais, taigi
reikia naudoti savo apvalkalą (trusted shell) ir atitinkamai
nustatyti kelius (path)
Prisijungti per konsolę, ne per grafinę sąsają
9
Kompiuteris kaip nusikaltimo įrankis
Nuo ko prasideda tyrimas?

Nuo įtarimų, kurie gaunami iš išorinių šaltinių viešoje erdvėje
arba specialiose sistemose
Sekančiu etapu gali būti įtariamojo stebėjimas -
inicijuojami veiksmai, leidžiantys surinkti papildomus įkalčius:
Susirašinėjimo stebėjimas,
Tinklo srautų registracija
Veiksmų kompiuteryje stebėjimas
10
Kokia informacija surenkama
Įkalčių paėmimo vietoje – paimamas kompiuteris iš kurio:

Gyvos sistemos vaizdas neišjungus kompiuterio
Vėliau- informacijos laikmenų kopijos
Jei buvo atliekamas sekimas

Tinklo srautų
Susirašinėjimo
Tyrimo eigoje papildomai užklausiama/tikslinama:

Duomenys viešoje erdvėje
Paslaugų sistemų žurnalų įrašai
Duomenų perdavimo tarnybinių žurnalų įrašai (NAT, Netflow)
11
Išsaugotų įkalčių tyrimo įrankiai
Dauguma operacijų susiveda į tam tikrų duomenų paiešką pagal tam

tikrus kriterijus
Vienai ir tai pačiai operacijai yra keletas įrankių
Skirtingi tos pačios paskirties įrankiai gali duoti skirtingus rezultatus
Užtikrina, kad operacijos saugios – nekeičia įkalčių atvaizdo turinio
Naudojamos pavienės programos ir komplektai

Komplektai susideda iš atskirų programų rinkinio
Daugelyje komplektų kartojasi tos pačios programos
Protokoluoja tyrėjo vykdomus veiksmus, palengvina paruošti ataskaitą
12
Operacijų kategorijos
Įkalčių paieška pagal reikšminius žodžius/hex

pavadinimuose, laiškų temose, adresatuose
failų/ laiškų turinyje
tarnybiniuose failuose (tmp,istorija)
neatstatytuose/sugadintuose failuose
Sukuria indeksus, nurodančius kokiame objekte ir
kokioje jo vietoje rasta
Žurnalų analizė: kada ir kas buvo daroma

- kokios programos instaliuotos/ištrintos/vykdytos,
- kokie failai kuriami/naudojami/panaikinti
- kur buvo jungiamasi,
- kas buvo daroma internete
13
Kontaktų analizė
- e-laiškai,
- žinučių ir pokalbių programų žurnalai
gali reikti papildomos informacijos iš kitų šaltinių
grafinės ir vaizdo informacijos analizė

-schemos, brėžiniai, galimai neteisėtai gauti ar panaudoti
-nuotraukos, video
Atminties atvaizdo analizė

Dažniausiai ieškoma slaptažodžių, kuriais užšifruoti duomenys
Paslėpti procesai
14
Naršyklių istorijos ir podėlio failų analizė

- kur, kada, kiek kartų lankėsi, kuo domėjosi
Failų keitimo istorijos analizė
Atstatyti panaikintus failus kiek įmanoma
Nustatyti failų tipus pagal metaduomenis (ypač jei
failai sugadinti)
Jei yra įtarimų, kad įkalčiai galėjo būti slepiami

- ieškoti failų specialiose disko vietose
- tikrinti, ar nėra specialiai pakeisti failų plėtiniai
(Mismatch File Search funkcija)
15
Tinklo srauto analizė

Atfiltruoti triukšmą
išsiaiškinti komunikavusių objektų poras
paketus sugrupuoti į sesijas
interpretuoti sesijas taikymo sluoksnio protokolais
atkoduoti ir atkurti perduodamus failus
Chronologija (Timeline)
tiriamų objektų poaibio atžvilgiu meta duomenyse ir
žurnaluose užfiksuotus veiksmus sudėlioti
chronologine tvarka
Timeline – veiksmų su failais sekos nustatymas

Supertimeline - praplėsta seka: iš registro ir įvairių logų
surenkami ir įtraukiami kiti įvykiai
16
“Known Good” ir “Known Bad” failai
Kad sutikrinti ar operacinės sistemos ir įdiegtų programų failai yra
originalūs, nepakeisti ar nesuklastoti, egzistuoja specialios gerai žinomų
failų maišos lentelių duomenų bazės
Kartu palaikomi ir žinomai pažeistų virusais ar kitu užkratu failu hash’ai
Trečia vertinga savybė: jei randame nepažįstamą failą, galima pasitikrinti
jo hash kad sužinoti kas tai yra (Hash Matching)
Tyrimui naudinga, kad leidžia atfiltruoti didžiąją dalį diske esančių failų
.
(NSRL) RDS 2.42 , September 2013
signatures of the four ISO
images and DVD image
disc 1
OWASP File Hash Repository
disc 2
Team Cymru Malware Hash Registry National
disc 3
Software Reference Library
disc 4
description of the RDS
contents
17
Sleuth Kit
Sleuth Kit (TSK) tai Unix ir Windows (Cygwin) įrankių ir sisteminių
priemonių rinkinys skirtas kompiuterinių sistemų įkalčių analizei
Atviro kodo
Disko atvaizdo analizei
Automatiškai detektuoja atvaizdo formatą, failų sistemos tipą,
išrenka skirsnius ir sektorius nepriskirtus skirsniams
18
Autopsy- Sleuth Kit
Originalus grafiniėTSK sąsaja, HTML tipo:
- paleidžia TSK komandinės eilutės įrankius
- analizuoja išvedamus duomenis
- prideda HTML tag’us ir atvaizduoja
19
autopsy.org
http://www.sleuthkit.org/autopsy/ - programinė įranga
skirta analizuoti failų sistemas (NTFS, FAT, UFS1/2,
Ext2/3). Skirta: Linux, Mac OS X, Open & FreeBSD,
Solaris, Cygwin.
Harmonizuotas skaitmeninės informacijos tyrimo modelis (HDFI - modelis)
• Kiekvieno informacijos tyrimo atvejo sėkmė priklauso nuo išmaniojo telefono

vykdytų procesų liktinės informacijos, taikomų tyrimo metodikų ir tyrėjo praktinių
įgūdžių.
• Siekiant sumažinti dažnai pasikartojančių paieškos uždavinių problemas, bandoma
kurti specializuotus programinės įrangos produktus, leidžiančius automatiškai
arba pusiau automatiškai atlikti norimos išgauti informacijos paiešką ir atvaizduoti
analizės rezultatus.
• Tokie sertifikuoti programiniai produktai kaip „AccessData FTK“, „MPE+”,
“MobilEdit” arba atviro kodo įrankis „Autopsy“ skirti informacijos ištraukimui iš
išmaniojo įrenginio.
20
autopsy.org
Solaris, Cygwin. V 4.16
21
autopsy.org
Solaris, Cygwin.
22
23
Autopsy - Sleuth Kit
Autopsy naudoja tris hash duomenų bazes kad sumažinti failų

kiekį tolesnei analizei :
NIST National Software Reference Library (NSRL) OS ir
programinių paketų distribucijos originalų failų hash’ai
Ignore Database tyrėjas pildo pats
Alert Database turi “known bad” failų hash’us. Tyrėjas gali
sužinoti ar tokie failai yra jo tiriamoje sistemoje
Timeline of File Activity – sukuria chronologinius sąrašus pagal

visas tris MAC laiko žymes
24
PTK Forensics
PTK Forensics tai komercinis grafinis interfeisas, naudojantis

SleutKit ir kai kuriuos papildomus įrankius. Indeksuoja disko
atvaizde rastus objektus, skaičiuoja hash’us, surašo į SQL
duomenų bazę.
Veikia specialiai paruoštoje LAMP aplinkoje (Linux, Apache,
MySQL, Perl/PHP/Phyton)
Kliento – serverio aplinka leidžia tą patį tyrimą vienu metu
atlikti keliems tyrėjams
Profesionali versija gali būti virtuali arba aparatūrinė
25
SANS SIFT Workstation
SANS SIFT Workstation - VMware virtualioje mašinoje pilnai
sukonfigūruota su tyrimo įrankiais
* The Sleuth Kit (File system Analysis Tools)

* log2timeline (Timeline Generation Tool) –supertimeline
kategorijos
* ssdeep & md5deep (Hashing Tools)
* Foremost/Scalpel (File Carving)
* WireShark (Network Forensics)
* Vinetto (thumbs.db examination)
* Pasco (IE Web History examination)
* Rifiuti (Recycle Bin examination)
* Volatility Framework (Memory Analysis)
* DFLabs PTK (GUI Front-End for Sleuthkit)
* Autopsy (GUI Front-End for Sleuthkit)
* PyFLAG (GUI Log/Disk Examination)
+ dar 150 įrankių
26
COFEE
2006 Microsoft sukūrė Computer Online Forensic Evidence

Extractor (COFEE), skirtą išimtinai teisėsaugai
Tai priemonė gyvai sistemai stebėti
USB instaliacija, prijungiama prie veikiančio kompiuterio
Distribucijos teises turėjo Interpolas, bet 2009 metais paplito per
torentus
COFEE įrankiai: slaptažodžių dešifravimas, interneto history failų
analizė, kitų duomenų iš sistemos išskyrimas, įskaitant RAM
“Priešnuodis” - Detect and Eliminate Computer Assisted Forensics

(DECAF) sukurtas sustabdyti COFEE. Kai pastebi prijungtą USB su
COFEE, jį blokuoja ir/arba klaidina
27
Encase
Komercinis, sukurtas Guidance Software (www.guidancesoftware.com)

Windows platforma
Visa gama produktų: nuo įmonės saugos iki mobilių prietaisų analizės
Plačiai naudojamas teisėsaugos institucijose
Virš 40000 naudotojų
Naudoja USB raktą (dongle)
Tinklinė versija tinkama prevencijai (Encase Enterprise), kliento pusėje
diegiamas agentas
Viskas integruota į vieną sąsają
Stiprus tyrimo dokumentavimas, formuoja ataskaitą standartinėje formoje
Ataskaitoje naudojami hyperlinkai į dokumentus ir failus
Aplinka integruota su pirminiais etapais, kaip liudininkų apklausa,
įkalčių surinkimas
Stiprus failų atstatymas, slaptažodžių išgavimas
28
Encase
Disko kopijos bitas į bitą, RAID, Wmvare, CD/DVD, kai kurie

užšifruoti diskai
Gali būti analizuojamos beveik visos OS, beveik visos failų sistemos
Supranta apie 400 failų formatų
Mobilių įrenginių analizė
Stiprus:
failų atstatymas,
log’ų analizė,
slaptažodžių išgavimas
registro analizė
daug priemonių įvairiems e-pašto ir naršyklių atvejams
Enscript- galimybė rašyti papildomas programas
http://www.fer.unizg.hr/_download/repository/EnCase_Forensic_Features.pdf
29
Forensic Toolkit
Forensic Toolkit (FTK) , sukurtas AccessData Funkcionalumu ir

taikymu konkuruoja su Encase
Šiek tiek mažiau failų sistemų ir failų formatų (pvz. nepalaiko
RAID, bet mobilius palaiko) Daugiau automatizuotų operacijų
FTK Imager apie 7 MB, leidžiamas iš USB Galimybė leisti ant 3 į
1G tinklą sujungtų kompiuterių Iki 4 tyrėjų lygiagrečiai vienai
bylai Oracle duomenų bazė Ruošiama debesų versija
30
Encase vs Forensic Toolkit
File Recovery The EnCase Forensic by Guidance

Software is a
Forensics
Forensics
Imaging Tool
Proprietary for the price of $3,594.

Proprietary for the price
of $2,995.
http://data-recovery-software.findthebest.com/compare/4-13/Forensic-Toolkit-vs-
EnCase-Forensic
31
32
33 33
34
Windows Sysinternals Tools
Sukurtos 1996, 2006 nupirko Microsoft ir nuolat

palaiko
Ne tiek tyrimui, kiek priežiūrai
File and Disk Utilities

Networking Utilities
Process Utilities
Security Utilities
System Information Utilities
Miscellaneous Utilities
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
35
OSForensics
Feature Windows file systems Mac/Linux file systems
File name searching
Disk indexing and All file types except

searching unallocated sectors
Detect recent activity
Deleted files searching File carving only
Mismatched files
searching
File information
Raw disk viewer
unavailable
Find passwords
Verify & create hash
Create and compare

signatures
PassMark Software
Free edition/PRO edition
36
Foremost
Foremost sukurta US AirForce
Dirba su atvaizdais ar tiesiog su gyvais diskais jai failų sistema
sugriauta
Atkuria failo turinį pagal jo meta duomenis
Paprastas atkūrimas jei neatitinka tik plėtinys: failo pradžia
sveika, failas nefragmentuotas ir nesuspaustas (pakanka
header ir footer)
Tą patį daro ir Scalpel
Foremost sugeba atkurti jei failas fragmentuotas ir
dalis fragmentų neatstatomi
37
Foremost
38
Tinklo tyrimo įrankiai
E-detective -Decision Group Inc. komerciniai produktai
Kompleksiniai sprendimai:HW+SW
E-Detective - LAN Internet Interception, Monitoring and Content

Analysis Solution
Wireless-Detective - WLAN Internet Interception and Content Analysis
Solution
EDDC - Offline Internet Packet Reconstruction Solution
HTTPS/SSL Interceptor - LAN HTTPS/SSL Interception Solution
VoIP-Detective - Voice over Internet Protocol (VoIP) Interception
Solution
NIT - Network Investigation Toolkit
NPFAT - Network Packet Forensics Analysis Training
FIT - Forensics Investigation Tool (MS Windows based)
39
NetFlow ir NAT log’ai
Srovė (flow) – tai nenutrūkstama srauto dalis su tais pačiais siuntėjo ir gavėjo IP
numeriais ir portais. Sukaupti duomenys apie sroves per maršrutizatorių
akumuliuojami ir raportai periodiškai siunčiami į informacijos surinkimo įrenginį
Netflow surenka informaciją apie buvusias komunikacijas: kas su kuo, kokie
portai/protokolas, kiek baitų paketų, tačiau skirtingai nuo sniferių nerenka
perduodamo turinio.
Žurnalai saugomi 0,5-2 metus
NetFlow naudojama apskaitai, mokėjimams už perduotų duomenų kiekį, tinklo
planavimui, srautų valdymui, vartotojų darbo tinkle fiksavimui
Interneto paslaugų teikėjai tokia pat tvarka saugo ir NAT maršrutizatorių log’us
Nusikaltimų tyrime esant teismo nutarčiai privalu pateikti informaciją apie nurodyto IP
komunikacijas nurodytu laiku
40
Mobilūs įrenginiai
Telefonai, PDA, IPOD, foto/video kameros, MP3 grotuvai, ...
XRY and XACT from msab Very good but very expensive!
Mobile Edit from mobiledit.com Low budget solution
Device Seizure form Parabem nice for PDA examination
http://www.forensics-research.com/index.php/computer-
forensics/tools/#index
http://www.elsevierdirect.com/companions/9780123742681/
Chapter_20_Final.pdf
41
Klausimai?
42
tyrimų metodikos
(T120M152)
Įkalčių Linux operacinėje sistemoje analizė
Š. Grigaliūnas
2020
1
Turinys
„Unix“ operacinių sistemų įrankiai

Autopsy
Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle
Darbinė atmintis
2
Disko atvaizdo poėmiui
naudojami įrankiai
Sukurti kompiuterio disko, kuriame veikia „Unix“ operacinė sistema, atvaizdą

galima naudojant ir anksčiau minėtus komercinius įrankius:
„EnCase“, „Forensic Toolkit“, „X-Ways“, „Magnet“ ir kitus.
Jei tiriamame kompiuteryje, naudojant LVM technologiją, suformuotos
kintamojo dydžio kietojo disko skiltys, tai sukelia problemų darant atvaizdus.
Elektroninių nusikaltimų tyrimų įrankiai nepalaiko LVM, todėl tokiu atveju

rekomenduojama kurti ne disko, o kiekvieno skirsnio atvaizdą atskirai.
3
AutoPSY
Originalus grafinė TSK sąsaja, HTML tipo:
paleidžia TSK komandinės eilutės įrankius
analizuoja išvedamus duomenis
prideda HTML tag’us ir atvaizduoja
4
Įkalčių poėmis
dd - naudojama tiek kietojo disko, tiek ir operatyviosios

atminties atvaizdams sukurti.
dcfldd - suteikia papildomų galimybių, tokių kaip
siunčiamų duomenų kodavimas realiu laiku, disko
valymas pagal tyrėjo nurodytą šabloną ir t. t.
ddrescue galima kurti kietojo disko atvaizdą, kuriame
sugadinta failų struktūra ar yra fizinių klaidų.
Žemiau pateiktas ddrescue pavyzdys, kuriame raktas

max-retries nurodo, kad bus 3 kartus bandoma nuskaityti
klaidingą įrašą:
ddrescue --direct --max-retries=3 /dev/sda /home/forensics/disk.image/logfile.txt
5
Vartotojo veiksmų istorija
Nusikaltimo tyrimui gali būti naudinga ir vartotojo vykdytų

veiksmų istorija. Kiekvieno vartotojo namų kataloge yra
tekstinis failas, kuriame saugoma vartotojo vykdytų komandų
istorija.
Failo pavadinimas priklauso nuo naudojamo komandinio

interpretatoriaus ir gali būti toks:
.bash_history (bash), .history.csh (csh)

Failą peržiūrėti galima bet kuriuo teksto redaktoriumi ar
komandomis:
cat, more, pg
6
Failų ir failų sistemų analizė.
Laikas
Atliekant tyrimus su „Unix“ failų sistema reikia atkreipti dėmesį į failų laiko ir
datos žymes.
„Unix“ operacinės sistemos naudojama iki 4 laiko žymių, t. y. modifikavimo,
pakeitimo, prieigos ir ištrynimo žymės. Laiko ir datos žymė saugoma failo
metaduomenyse.
Tam naudojamas 32 bitų laukas, kuriame fiksuojamas laikas sekundėmis,

prabėgusiomis nuo 1970 m. sausio 1 d. vidurnakčio.
Laikas saugomas UTC laiko juostoje, todėl norint sužinoti tikrąjį laiką reikia
žinoti, kokia laiko juosta nustatyta kompiuteryje.
Laiko juostos nustatymai apibrėžti faile: /etc/localtime
7
Prijungimas
Atliekant failų analizę reikia atkreipti dėmesį ir į failų teises, nes pagal teisių
priskyrimą vartotojui galima nustatyti, ar jis galėjo atlikti tam tikrus veiksmus:
modifikuoti ar ištrinti failą, užmontuoti failų sistemą ir t. t.
Kokios failų sistemos ir kokiuose kataloguose užmontuojamos , galima sužinoti

perskaičius failą: /etc/fstab.
Ši informacija yra svarbi, nes užmontuojant failų sistemas iš nutolusių serverių

dalis duomenų saugomi ne lokaliame diske, o tai reiškia, jog būtina pasidaryti ir
nutolusių duomenų kopijas.
8
Atstatymas
Norint atstatyti ištrintus failus, geriausia patikrinti ištrintų failų metaduomenis

(angl. inode) metaduomenų lentelėje. Nors metaduomenyse nesaugomi failų
pavadinimai, tačiau lieka tokia informacija kaip datos, teisės, failo vieta.
Mažesnių failų metaduomenyse yra saugomi netgi atskiri duomenų blokai.

Ištrintiems failams atstatyti galima naudoti „The Sleuth Kit“ (TSK), rinkinio fls
komandą:
fls -f linux-ext2 -r -p -d ext2-itariamojo-diskas.dd

r/- * 0: file2.jpg
r/- * 0: handle.pdf
r/- * 0: .file3.txt
9
Failų ir failų sistemų analizė. ils
Atstatant failus neatkuriamos laiko ir datos žymės, nes

neaišku, su kokio failo metaduomenimis jie susiję.
Naudojant kitą to paties paketo komandą ils, galima

detaliau analizuoti susijusius metaduomenis:
ils -f linux-ext2 ext2-itariamojo-diskas.dd
Gautuose rezultatuose galima surasti ryšius tarp

metaduomenų ir failų bei tokiu būdu atstatyti duomenis.
10
Failų ir failų sistemų analizė. lsof
Norint sužinoti, kokie failai ar tinklo prievadai sistemoje yra atidaryti, verta
naudoti įrankį lsof, kuris padeda identifikuoti ryšį tarp proceso ir prievado. lsof
įrankis yra įtrauktas į daugelį „Linux“ distribucijų, todėl jo nereikia atskirai
instaliuoti.
Komandos naudojimo pavyzdys, kurią įvykdžius sužinomi visi atvirieji interneto
lizdai:
lsof −i +M
Jei reikia surasti ryšį tarp atidaryto prievado ir sisteminio proceso:
lsof –i –n –P
11
„Unix“ įvykių registracijos
žurnalas
Vartotojų prisijungimų žurnalas „Unix“ operacinėse sistemose yra saugomas

failuose :
/var/log/wtmp ir /var/run/utmp
Kiekvieną įrašą sudaro tokie laukai:

vartotojo prisijungimo vardas, įrenginio pavadinimas,
kompiuterio vardas arba IP adresas, prisijungimo
laikas, data ir trukmė
Prisijungimų žurnalo peržiūrai naudojama komandas last. Norinti atlikti paiešką,
papildomai galima naudoti komandą grep. Pavyzdžiui, norint sužinoti, kada
buvo prisijungta prisijungimo vardu root, vedama komanda:
last | grep root | more
12
syslog.local
Sisteminiams įvykiams registruoti „Unix“ operacinėse sistemose naudojamas

žurnalas syslog.
Čia saugoma informacija apie kritinius ir paprastuosius įvykius, atsirandančius
veikiant sisteminiams ir taikomiesiems procesams. Įvykių įrašą sudaro du laukai:
proceso pavadinimas ir įvykio sunkumo lygis
Numatyta, kad „Linux“ operacinėse sistemose įvykių žurnalas saugomas faile:

/var/log/messages
Pastaba: kai kurie procesai, pvz., „Apache“, gali turėti ir savo atskirus žurnalo
katalogus, pvz.,
/var/log/httpd.
13
syslog.remote
Žurnalas gali būti saugomas ne tik lokaliajame diske, bet ir siunčiamas į nutolusį
kompiuterį, pvz., duomenų centro konsoliduotą įvykių žurnalų serverį.
Įvykių registravimo žurnalo nustatymai atliekami faile (pavadinimas gali keistis

priklausomai nuo „Linux“ versijos):
/etc/syslog.conf
Žurnalo failas yra tekstinis, todėl failo analizę galima atlikti grep, tail, more ir
kitomis „Unix“ komandomis:
tail -f /var/log/messagesarbagrep string /var/log/messages | more
14
NEE įkalčių paieškai kompiuterių
tinkle. Wireshark
„Wireshark“ – tai vienas iš žinomiausių, atvirojo kodo paketų, skirtų tinklo protokolų analizei
(www.wireshark.org). „Wireshark“ paketo savybės:
1. Įvairių tinklo tipų palaikymas, įskaitant Ethernet, IEEE 802.11, PPP, „loopback“. USB
srauto skaitymas.
2. Įvairių protokolų palaikymas, todėl galima analizuoti inkapsuliuotus duomenis skirtingų
protokolų atžvilgiu.
3. „VoIP“ palaikymas. Jei garsas koduojamas vienu iš paketo palaikomų kodavimo
technologijų, galimas pokalbio klausymas.
4. Skaitymas ir (arba) rašymas skirtingais failų formatais: „tcpdump“ („libpcap“), „Pcap NG“,
„Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Network Monitor“, „Network
General Sniffer“, „Sniffer Pro“, „NetXray“, „Network Instruments Observer“, „NetScreen
snoop“, „Novell LANalyzer“, „RADCOM WAN/LAN Analyzer“, „Shomiti/Finisar
Surveyor“, „Tektronix K12xx“, „Visual Networks Visual UpTime“, „WildPackets
EtherPeek/TokenPeek/AiroPeek“ ir kitais.
5. Įvairių protokolų dešifravimas, įskaitant „Ipsec“, ISAKMP, „Kerberos“, SNMPv3,
SSL/TLS, WEP, WPA/WPA2.
6. Rezultatų eksportas XML, „PostScript“, CSV formatais.
tinkle. Wireshark
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libpcap biblioteką.
Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane
pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) turinį. Šis paketas gali būti
naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato, ar visi reikalingi
maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą.
Komandos pavyzdys, kai surenkami ir išvedami visi IP paketai, siunčiami tarp kompiuterių:
Kitas „Tcpdump“ pavyzdys demonstruoja duomenų nuskaitymą iš traffic.cap failo, o ne iš

tinklo sąsajos:
tcpdump –n –r traffic.cap
tinkle. nmap
„Nmap“ (Network Mapper) – tai atvirojo kodo

įrankis (www.nmap.org), skirtas kompiuterio
saugumui patikrinti, identifikuojant tinklo
sujungimus, atviruosius prievadus. Naudojant
„Nmap“ galima atlikti tinklo įrenginių
inventorizaciją ir auditavimą skenuojant tinklą.
„Nman“ siunčia specialius paketus į tiriamą
įrenginį ir analizuoja atsaką. Siunčiant paketus
yra įvertinamos tinklo charakteristikos, tokios
taip uždelsimas, fluktuacijos, tinklo
apkrovimas. Įrankiu nustatoma analizuojamo
kompiuterio operacinė sistema, veikiantys
servisai, ar yra ugniasienė. „Nmap“ veikia tiek
„Windows“, tiek ir „Unix“ operacinėse
sistemose.
Įrankis turi grafinę sąsają, vadinamą

„Zenmap“. „Nmap“ įrankio skenavimo
rezultatai gali būti išsaugoti 4 skirtingais
formatais tekstiniame faile, kurį galima
analizuoti awk, sed, grep ir kitais įrankiais.
tinkle. netcat
„Netcat“ – tai dar vienas atvirojo kodo įrankis (nc110.sourceforge.net), skirtas sukurti TCP arba UDP
sujungimą tarp dviejų įrenginių, siekiant skaityti ir (arba) rašyti duomenis. Sujungimai gali būti
padaromi tarp bet kurių prievadų lokalioje ir nutolusioje mašinoje. Šis įrankis gali būti naudojamas
kaip priemonė sudaryti patikimą sujungimą tarp dviejų kompiuterių, kuriuo gali naudotis kitos
programos ar servisai. Šiuo įrankiu galima atlikti ir prievadų skenavimą, suformuoti siunčiamos
informacijos atvaizdą (angl. hex dump).
tinkle. NetFlow
Tinklo maršrutizatorių žurnalas „NetFlow“. Tinklo maršrutizatorių žurnalai dažnai suteikia

neįkainuojamos informacijos atliekant nusikaltimo tyrimą. Didieji tinklo įrangos gamintojai „Cisco“,
„Juniper“, „Extreme Networks“ pildo įvykių žurnalus naudodami duomenų struktūrą, vadinamą
„NetFlow“.
„NetFlow“ srautas – tai vienkrypčių iš siuntėjo gavėjui siunčiamų paketų aibė. Srautą identifikuoja
raktiniai paketo laukai: siuntėjo ir gavėjo IP adresai, siuntėjo ir gavėjo prievado numeriai, paketų
skaičius sraute, priimančios sąsajos SNMP indeksas. Iš viso pakete yra 20 laukų.
„Maksimali „NetFlow“ įrašo trukmė – 30 minučių. Jei ši riba viršijama, kuriamas naujas įrašas.
Analizuojant „NetFlow“ žurnalo įrašus, galima nustatyti nusikaltėlio kompiuterio IP adresą,
protokolą ir tinklo prievadą, per kurį nusikaltėlis įsibrovė, datą ir laiką, kada buvo įvykdytas
nusikaltimas, bei persiųstą duomenų kiekį.
„Nfsen“ – tai atvirojo kodo paketas, skirtas „NetFlows“

paketams analizuoti, filtruoti, statistiniams rodikliams
skaičiuoti.
Paketas yra parašytas kaip grafinė sąsaja įrankiui nfdump
tinkle. NetFlow
RAM
„Unix“ operacinėse sistemose tam tikslui skirti įrenginių failai /dev/mem ir

/dev/kmem. Pirmasis failas siejamas su fizine operatyviąja atmintimi, o antrasis
– su virtualiąja atmintimi.
Naudojant „Unix“ komandą dd galima nuskaityti informaciją, esančią atmintyje,
ir ją perkelti į kitą laikmeną. Pavyzdžiui, norint padaryti operatyviosios atminties
atvaizdą į failą mem.bin, naudojama tokia dd komandos sintaksė:
dd if=/dev/mem of=/home/forensics/mem.bin bs=1024
Joje argumentas if apibrėžia įvedimo failą, of – išvedimo failai, bs – bloko dydis

baitais.
21
RAM.dcfldd
JAV Gynybos departamente dd komanda buvo patobulinta ir labiau pritaikyta

nusikaltimams tirti. Taip atsirado specializuotas įrankis dcfldd, kurio
svarbiausios savybės: siunčiamų duomenų kodavimas realiu laiku, disko
valymas pagal vartotojo nurodytą šabloną, sukurto atminties atvaizdo tikrinimas,
galimybė atlikti išvedimą į keletą įrenginių vienu metu ir išvedamos informacijos
skaidymas į keletą failų. Komandos dcfldd pavyzdys:
dcfldd if=/dev/mem hash=md5,sha256 md5log=md5.txt sha256log=sha256.txt hashconv=after

bs=512 conv=noerror of= /home/forensics/mem.bin
Pateiktame pavyzdyje kopijuojamas /dev/mem failas į /home/forensics/mem.bin

failą jį koduojant md5 ir sha256 raktais, kurie bus įrašyti md5.txt ir sha256.txt
failuose. Argumentas bs nurodo, kad atminties kopija bus daroma 512 baitų
blokais.
22
RAM.strings
Nors komanda dd atminties atvaizdą sukuria binariniu

pavidalu, jame visgi dažniausiai būna ir ASCII teksto
fragmentų, pavyzdžiui, slaptažodžiai.
Teksto eilutes galima filtruoti ir išvesti į ekraną,
panaudojant komandą strings. Pavyzdžiui:
strings /home/forensics/mem.bin
23
/proc
Norint gauti informacijos apie veikiančios sistemos branduolį ir procesus, galima

analizuoti informaciją, prieinamą per pseudofailinę sistemą, esančią /proc kataloge.
Šiame kataloge saugomi failai, kurie teikia informaciją apie visus atmintyje esančius
procesus.
Pavyzdžiui, failas /proc/kcore yra tiesiogiai susijęs su visa fizine atmintimi
(panašiai kaip /dev/mem). Šio failo dydis atitinka kompiuterio operatyviosios
atminties dydį su nedideliu pertekliumi.
Analizuojant /proc katalogo failus, galima rasti informacijos apie kompiuterio
aparatūrinę dalį:
–procesorių (/proc/cpuinfo),
–atmintį (/proc/meminfo)
–failų sistemas (/proc/filesystems)
–branduolio modulius (/proc/modules)
–sistemos būseną (/proc/stat)
24
hexdump
Kiekvieną paleistą procesą šiame kataloge atitinka antrinis

katalogas, kurio pavadinimas sutampa su proceso ID. Visų failų
turinį galima peržiūrėti naudojant komandą cat, o panaudojus
komandą hexdump galima išvedamą informaciją pateikti ir
šešioliktainėje sistemoje. Pavyzdžiui:
dd if=/proc/filesystems | hexdump -C | less Sukurtų failų sistemų peržiūra

dd if=/proc/meminfo | hexdump -C | less Atminties būsena
dd if=/proc/interrupts | hexdump -C | less Pertraukčių lentelė
dd if=/proc/kallsyms | hexdump -C | less Branduolio išeksportuotų simbolių
apibrėžimai
25
Klausimai?
26
tyrimų metodikos
(T120M152)
Elektroninių įkalčių palyginimas Windows ir Linux. Kur saugomi e. įkalčių

pėdsakai
Š. Grigaliūnas
2020 1
Turinys
Įkalčiai Linux operacinėje sistemoje

Įkalčiai Windows operacinėje sistemoje
Duomenų objektai
Tyrimui naudinga informacija
2
Linux: /boot
/boot Naudojamo OS branduolio versija, sukompiliuoti

ir naudojami branduolio moduliai.
3
Linux: /etc
/etc Šiame kataloge gali būti rasta didžioji dalis

operacinės sistemos konfigūracinių nustatymų.
Tyrimo metu reikėtų ieškoti nukrypimų nuo
tipinių nustatymų.
4
Linux: /etc/passwd
/etc/passwd Informacija apie sistemoje registruotus

vartotojus, jų ID.
5
Linux: /var/spool/cron
/etc/crontab
/var/spool/cron Informacija apie sistemoje reguliariai

/etc/crontab atliekamus veiksmus. Gali būti naudinga, jei
tam tikro veiksmo reguliarumą sukonfigūravo
nusikaltėlis.
6
Linux: lastlog
/var/run/utmp
lastlog Vartotojų prisijungimo (laiko, iš kur jungtasi ir

/var/run/utmp t. t.) informacija.
7
Linux: /etc/syslog.conf
/var/log
/etc/syslog.conf
Įvykių ̨ registracijos įrašų nustatymai, taip pat
/var/log
įvairūs įvykių registracijos įrašai.
8
Linux: .bash_history
.history
.sh_history
.bash_history
.history Vartotojo vykdytos komandos.
.sh_history
9
Linux: .recently-used.xbel
.recently-
used.xbel
(Gnome)
Įvairių programų paskutiniai atidaryti
.recently-
failai.
used.xbel (GIMP)
.wireshark/recent
(Wireshark) …
10
Linux: /var/spool/cups
/etc/printcap
/var/spool/cups Spausdintuvo nustatymai ir jo eilės failo

/etc/printcap informacija.
11
Linux: known_hosts
known_hosts Nuotolinės mašinos, prie kurių buvo jungtasi iš

analizuojamos mašinos per SSH protokolą.
12
Linux: *.sqlite
.mozilla/firefox
Cookies.sqlite
Downloads.sqlite
Formhistory.sqlite
Places.sqlite Interneto naršyklės „Mozilla Firefox“ (šiuo
sessionstore.js metu populiariausia „Linux“ OS) naršymo
_CACHE_MAP_;_CACH istorija.
E_001_;
_CACHE_002_;
_CACHE_003_
13
Linux: mbox
mbox
Maildir
.mozilla/thunderbird
Susirašinėjimo el. paštu analizė.
14
Linux: swap space
Sukeitimų vieta Naudojama atminties atvaizdo analizei,

(angl. swap atmintyje vykdomai dvejetainio kodo analizei,
space). šifravimo slaptažodžių paieškai.
15
Windows:boot.ini
Failas boot.ini versijose įdiegtų operacinių sistemų

Windows NT / 2000 / XP / versijoms nustatyti ir joms surišti
2k3 / Vista / 7 su kietojo disko skaidiniais.
16
Windows:NTFS failai
$MFT – įvairios funkcijos, tokios kaip saugomų

objektų sąrašas.
$LogFile – naudojamas sistemos atstatymui po
avarijos užtikrinti.
$MFTMirr – naudojamas sistemos atstatymui po
avarijos užtikrinti.
$Volume – saugoma informacija apie formatuotą
Vidiniai NTFS failai (jei diegimui naudojama disko tūrį (angl. volume).
NTFS failinė sistema) $AttrDef – nurodo atributus, palaikomus
formatuoto disko tūrio.
$Bitmap – stebimas klasterių išnaudojimas disko
tūryje.
$Boot – nurodo į disko įkrovos sektorių.
$BadClus – stebi blogų klasterių buvimo vietas
diske.
$Secure – saugo saugumo atributus.
17
Windows:Registrai
Prisijungimų prie sistemos

nustatymai.
Registrai Įvykių registracijos įrašų valdymo
nustatymai. Sistemos
konfigūraciniai nustatymai.
18
Windows:NTUSER.DAT
Vartotojo sukūrimo laikas.

NTUSER.DAT Paskutinio sistemos išjungimo
laikas.
19
Windows: *.evt
Katalogas c:\windows\system32
\config Failai:AppEvent.evt,
SecEvent.evt, SysEvent. evt, Įvairių tipų įvykių
Osession.evt, Internet.evt Arba registracijos įrašai.
katalogas: c:\windows\system32\
winevt\logs
20
Windows: *.lnk
Gali išlikti, net jei ištrinti

failai, kuriuos jie nurodė. Gali
Nuorodų failai (*.lnk) būti kaip įrodymas, kad tam
tikri failai sistemoje atsirado
ne be vartotojo žinios, nes jis
buvo sukūręs jų nuorodą.
21
Windows: „Thumbnails“ režimas
Thumbs.db, Faile saugomi paveiksliukų

thumbcache_32.db, išankstinės peržiūros (angl.
thumbcache_96.db, preview) atvaizdai. Failas
thumbcache_256.db, sukuriamas, jei įjungiamas
thumbcache_1024.db „Thumbnails“ režimas. Iš
failo, jei jis išliko, galima
sužinoti apie kataloge
saugotų paveikslėlių turinį,
net jei patys paveiksliukai
buvo sunaikinti.
22
Windows: *.SHD *.SPL
c:\windows\system32\s
Spausdintuvo eilės failo
pool\printers *.SHD
informacija.
*.SPL
23
Windows: *.SHD *.SPL
Recycler, Recycled, Šiukšliadėžės informacija. Gali

$Recycle.Bin būti panaudota, jei pati
šiukšliadėžė yra sugadinta ir
neatsidaro standartinėmis
priemonėmis.
24
Windows: Pagefile.sys Hiberfil.sys
Naudojami atminties atvaizdo

Pagefile.sys Hiberfil.sys analizei, atmintyje vykdomai
dvejetainio kodo analizei,
šifravimo slaptažodžių
paieškai.
25
Windows: „šešėlinės“ kopijos
Atstatymo taškai ir „šešėlinės“ kopijos

(angl. Rektore points ir Shadow
copies) SYSTEM\<ControlSet###>\
Control\BackupRestore
Sistemos būsenos nustatymas tam tikru laiku
SOFTWARE\Microsoft\ Windows
(priklauso nuo atstatymo taškų kūrimo
NT\CurrentVersion\ SystemRestore
dažnio).
SYSTEM\<ControlSet###>\
Control\BackupRestore
SOFTWARE\Microsoft\ Windows
NT\CurrentVersion\ SystemRestore
26
Windows: naršymo istorija
C:\Documents and
Settings\<username>\ Cookies
C:\Users\<username>\AppData\
Roaming\Microsoft\
Windows\Cookies Vartotojo naršymo istorija, atsisiųsti
C:\Documents and laikini failai, lankytų interneto svetainių
Settings\<username>\ Local „saldainiukai“. Pastaba: tinka, jei
Settings\History \History.IE vartotojas naudojasi integruota
C:\Documents and „Internet Explorer“ naršykle, priešingu
Settings\<username>\ Local atveju reikia nagrinėti konkrečios
Settings\ naršyklės realizaciją.
Temporary Internet
Files\Content.IE5
27
Windows: *.PST ir *.OST
Failai su plėtiniais: *.PST ir „MS Outlook“ el. pašto kliento

*.OST. archyvai, laiškai, kontaktai. Gali
būti panaudoti susirašinėjimo
analizei.
28
Klausimai?
29
Kriminalistiniai nusikaltimai
elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
RAM poėmis ir analizė
Š. Grigaliūnas, N. Jusas
2016
1
Paskaitos tema
• RAM kriminalistinė analizė:

– RAM atvaizdo gavimas;
– RAM atvaizdo analizė;
• Volatility įrankio naudojimas;
2
Kas yra RAM analizė?
• Nepastovios informacijos analizė skirta greitai surasti grėsmes;

• Galima išskirti du RAM analizės žingsnius:
– RAM atvaizdo gavimas;
– RAM atvaizdo analizė;
2. RAM atvaizdo
1. RAM atvaizdo išskaidymas ir analizė
gavimas
Tiriamas prietaisas
RAM atvaizdas
Tyrėjas ir jo darbo
priemodenės
3
RAM analizės privalumai
• Geriausia vieta identifikuoti žalingos programinės
įrangos veikimą:
• Analizuoti veikiančios sistemos konfigūraciją;
• Identifikuoti sistemos nenuoseklumas;
• Rookits ir kitą paslėptą informaciją;
• Analizuoti ir sekti sistemoje vykusius veiksmus:
• Profiliuoti veiklas pagal tai kas jas atliko: vartotojas,
atakuotojas;
• Identifikuoti visą neseniai vykusią veiklą, reikšmingą tyrimui;
• Įkalčių surinkimui, kurie negali būti surinkti niekur kitur:
• Interneto veiklas;
• Memory-only žalinga programinė įranga;
4
RAM atvaizde randama
informacija
• Procesai;
• Atidaryti failai ir registrų informacija;
• Tinklo informacija;
• Slaptažodžiai ir kriptografiniai raktai;
• Iššifruotas turinys;
• Paslėpti duomenys;
• Žalingas kodas.
5
Pradiniai veiksmai
6
Galimos problemos
• RAM nepastovumas;
• Prietaiso atmintis;
• Nevientisi duomenys;
7
Kada atlikti RAM poėmį
• Kai vartotojas naudojasi kompiuteriu;
• Kai kompiuteris įjungtas, bet vartotojas juo

nesinaudoja;
8
Priemonės RAM poėmiui
• Vietinė į išorinę laikmeną;
• Per nuotolį;
• Veikimo „apklausa“;
• Naudojant specialią aparatūrinę įrangą;
9
Programiniai įrankiai
• Fizinės atminties adresus surašo į virtualios atminties

adresus;
• Skirtingai interpretuoja atminties vietas, kurios turi

būti įtrauktos arba praleistos;
• Dauguma įrankių praleidžia „ Prietaiso atmintį“;
10
Įrankių pasirinkimo problema
• Nėra atliktas įrankių vertinimas;
• Įrankiai skirtingai reaguoja į OS versijas ir sistemas,

konfigūracijas ir aparatūrinę įrangą;
• Geras įrankis tas, kuris teisingai atlieka poėmį, gerai

dokumentuotas ir turi klaidų fiksavimą;
11
Windows RAM poėmis
• Dump-IT;
• F-Response;
• Mandiant Memoryze;
• HBGary FastDump;
• Winpmem;
• ............
12
Linux RAM poėmis
• /dev/mem;
• Linux Memory Extrator (LiME);
• Fmem;
13
Mac RAM poėmis
• Mac Memory Reader (MMR);
• Mac Memoryze;
• OSXPmem;
14
RAM atvaizdų formatai
• Neapdorotas (Raw Memory dump);

• Windows „lužio“ atvaizdas: Blue screen,
CrashOnScrollControl, Debbugers;
• Windows gilaus miego failias (Hibernation File);
• Expert Witness Format (EWF);
• HPAK formatas;
• Virtualių mašinų mintis: VMWare, VirtualBox, KVM,
Microsoft Hyper-v;
15
Volatility programinis paketas
• Komandine eilute valdomas RAM

atvaizdo analizės įrankis;
• Pirmiausia orientuotas į Windows

aplinką;
• Dabar yra Linux (Android) ir MAC

palaikymas;
16
Volatility privalumai
• Vienas vientisas karkasas;

• Atviro kodo;
• Veikia: Windows, Linux ir Mac aplinkose;
• Išplečiama programinė sąsaja;
• Didelis palaikomų formatų skaičius;
• Greiti ir efektyvūs algoritmai;
17
Volatility nėra
• RAM atvaizdų darymo programa;
• Apsaugota nuo programinių klaidų (angl.

bug);
18
Volatility pavyzdys
19
tyrimų metodikos
(T120M152)
Tyrimų principai ir tyrimo eiga
Š. Grigaliūnas
2020
1
Turinys
Bendrieji NEE tyrimo principai ir etapai

Principai, leidžiantis padidinti bylos sėkmę
Elektroninių įkalčių tipai
Įkalčių kategorijos ir šaltiniai
Įkalčių išėmimo procesas
2
Įžanga
NEE tyrimą tyrėjas atlieka tam tikrą žingsnių ir

procedūrų seką:
• identifikuojamas nusikaltimas;
• surenkami įkalčiai ir formuojama įrodymų
grandinė (angl. chain of custody);
• įkalčių analizė;
• tyrėjas turi elgtis kaip liudininkas ekspertas bei
mokėti pristatyti įkalčius teisme;
• tyrėjas tampa kibernetinių nusikaltimų
persekiojimo mechanizmo dalimi.
3
NEE tyrimo principai ir etapai (1)
1. Vadovybė kreipiasi į teisininką konsultacijos.

2. Tyrėjas parengia pirminio atsako procedūras (angl. First Response Procedures (FRP)).
3. Tyrėjas surenka įkalčius įvykio vietoje ir perduoda juos tyrimo laboratorijai. Vykdant šį
etapą laikomasi tam tikros tvarkos:
• Identifikuojami įkalčiai. Nustatoma, kur sistemoje įkalčiai gali būti saugomi.
• Nustatomas duomenų tinkamumas, t. y. kiek rasti duomenys gali įrodyti incidento faktą.
Šito žingsnio metu svarbu neatmesti reikšmingų duomenų.
• Nustatoma rinkimo tvarka. Pagrindinis tvarkos nustatymo kriterijus – spėjamas įkalčių
gyvavimo laikas, t. y. tikimybė prarasti įkalčius dėl jų gedimo. Tie įkalčiai, kurių gyvavimo
trukmė yra mažesnė, pvz., įrašai diskeliuose, turi būti surenkami ir paruošiami apdoroti
pirmiausiai.
• Pašalinami išorinio poveikio veiksniai. Renkant duomenis reikia išvengti jų modifikavimo,
kadangi tik nemodifikuoti duomenys gali būti laikomi įkalčiu. Nusikaltėliai dažnai savo
kompiuteriuose įdiegia programinę įrangą, tam tikromis sąlygomis (kompiuterio
atjungimas nuo interneto, klavišų derinio paspaudimas arba tam tikrų veiksmų
neatlikimas per nustatytą laiką nuo kompiuterio įjungimo) ištrinančią visą jame
saugomą informaciją. 4
NEE tyrimo principai ir etapai (2)
4. Daromos surinktų duomenų laikmenų atvaizdo kopijos, siekiant

užfiksuoti jų būseną. Taip pat fiksuojama nusikaltimo įvykio vieta
(nuotraukos, aprašymai).
5. Tyrėjas išanalizuoja įkalčius nusikaltimui įrodyti ir paruošia
negalutinę tyrimo ataskaitą.
6. Tyrėjas perduoda užsakovui ataskaitą, o klientas įvertina, ar
sieks iš nusikaltėlio kompensacijos teismo tvarka.
7. Tyrėjas sunaikina bet kokius saugomus konfidencialius arba
jautrius kliento duomenis, kurie neturi tiesioginės įtakos tyrimui.
5
Principai, leidžiantis padidinti
bylos sėkmę
1. Analizuoti originalius įkalčius kiek įmanoma mažiau. Stengtis pagal galimybę

analizuoti įkalčių dublikatus.
2. Nemodifikuoti įkalčių. Jeigu tai nėra įmanoma – dokumentuoti bet kokius, net
pačius nereikšmingiausius įkalčių pakeitimus.
3. Formuoti pagrįstas nusikaltimo įrodymo grandines, atsargiai ir atsakingai
elgtis su įkalčiais. Formuoti tik tas išvadas, kurios tiesiogiai pagrįstos surinktais
įkalčiais.
4. Jausti atsakomybę už atliekamą darbą bei suprasti, kad klaidingai
suformuluotos bei pateiktos išvados gali lemti teismo klaidą, suluošinti
žmonių likimą arba neigiamai atsiliepti pačiam tyrėjui teisinio persekiojimo
forma.
5. Naudoti tyrimo metu surinktus duomenis tik tyrimo tikslais, neperduoti jų
trečiosioms šalims, nenaudoti šantažui ar asmeninei naudai.
6
Elektroninių įkalčių tinkamumo
kriterijai
Atliekant NEE tyrimą galima vertinti dviejų

įkalčių tinkamumo kriterijus:
1. autentiškumą – arba įkalčio atsiradimo

šaltinį;
2. patikimumą – kiek šaltinis yra patikimas ir
(arba) nešališkas bei apsaugotas nuo
galimų pažeidimų.
7
Elektroninių įkalčių tipai
Įkalčių tipai, kurie gali būti naudojami atliekant NEE tyrimą:
Duomenų objektai. Galimi informacijos šaltiniai su tam tikra tikimybine

verte, susieti su fiziniais objektais. Gali pasitaikyti įvairių formatų
duomenų objektų.
Skaitmeniniai įkalčiai (angl. digital evidence). Tam tikros tikimybinės
vertės informacija, saugoma arba perduodama skaitmeniniu formatu.
Fiziniai objektai. Įrenginiai, kuriuose duomenų objektai arba informacija
yra saugomi arba per kuriuos duomenų objektai yra perduodami.
Originalūs skaitmeniniai įkalčiai. Fiziniai objektai ir su jais susiję
duomenų objektai konfiskacijos metu.
Skaitmeninių įkalčių dublikatai. Tiksli skaitmeninė visų duomenų
objektų, saugomų originaliame fiziniame objekte, kopija.
8
Elektroninių įkalčių vėlesnio
pritaikymo tipai
Įkalčiai dar gali būti skirstomi pagal jų vėlesnio

pritaikymo tikslą:
1. įkalčiai, renkami tolesniam teisminiam

persekiojimui;
2. įkalčiai, kurių tikslas – tiesiog nustatyti NEE
faktą bei išsiaiškinti priežastis, jo
neperduodant teismui.
9
Elektroninių įkalčių sąvybės.
Abstrakcijos
1. NEE tyrėjai naudojasi kompiuterių sistemų suteikiama

duomenų vaizdavimo sistema, perteikiančia fiziniu pavidalu
saugomus duomenis žmogui suprantama forma (pvz., žmogus
retai tiesiogiai analizuoja kietojo disko bitus ar sektorius, o
naudojasi katalogais ir failais).
2. Dar vienas abstrakcijos lygis – specializuoti NEE tyrimo įrankiai,
kurie, kaip ir bet kokia programinė įranga, gali turėti klaidų –
tiek techninių, tiek atsiradusių dėl netinkamos probleminės
srities suvokimo.
3. Viena iš didžiausių pasitaikančių įrankių problemų –
netinkamas failinių sistemų interpretavimas.
10
Dinamika
Įkalčių dinamika – tai bet koks veiksnys, kuris keičia įkalčio turinį, dislokaciją
arba jį sunaikina, nepriklausomai nuo to, ar poveikis yra tyčinis ar netyčinis.
Žemiau įvardyti keli iš galimų įkalčių dinamikos pavyzdžių:
Sistemų administratorius. Stengdamasis padėti tyrimui atlieka veiksmus su

nagrinėjama sistema, modifikuodamas įkalčius.
NEE tyrėjas. Keičia įkalčius netyčia arba neturėdamas kitos išeities, kaip ištirti
nusikaltimą.
Įtariamasis. Pašalina įkalčius iš kietojo disko, jei prieiga laiku neužblokuojama.
Kompiuterio netyčinis panaudojimas. Kompiuteris su įkalčiais netyčia
panaudojamas kažkokiam veiksmui, nesusijusiam su NEE tyrimu, atlikti.
Liudininkas. Sistemų administratorius, mažindamas incidento pasekmes, ištrina
nusikaltėlio sukurtas vartotojo paskyras.
Gamtos / laiko veiksniai.
11
Modifikavimas
Prie elektroninių įkalčių savybių galima priskirti ir tai, jog

teismuose jos yra dažnai atakuojamos nusikaltėlio gynimo pusės
dėl jų tariamai lengvo modifikavimo. Rekomenduoja, kad renkant
įkalčius bei juos ruošiant teismo procesui būtų:
1. patvirtintas kompiuterinės įrangos patikimumas;

2. aprašyta, kokiu būdu buvo paveikti duomenys;
3. aprašyta, kokių priemonių buvo imtasi, kad būtų išvengta
duomenų modifikavimo ir praradimo;
4. patvirtintas programų, naudojamų įkalčių analizei,
patikimumas.
12
Elektroninių įkalčių sąvybės. Kitų
žodžiai..
Dar vienas būdas išvengti atsakomybės, prieš elektroninių įkalčių

patikimumą, yra traktavimas kaip parodymai, paremti kitų žodžiais.
Šios atakos gali būti paneigtos tokiais argumentais:
1. Parodymai, paremti kitų žodžiais, yra apibrėžiami būtent kaip

žmogaus parodymai, o kompiuterių sistemos sugeneruoti
pranešimai šiai kategorijai nepriklauso.
2. Parodymai, paremti kitų žodžiais, turi tam tikrų išimčių, prie
kurių tam tikrais atvejais gali būti priskirti ir elektroniniai
įkalčiai.
13
Įkalčių kategorijos ir šaltiniai
Elektroninių įkalčių kategorija Į kategoriją patenkantys duomenų objektai

Vartotojų sukurti objektai – įprasto formato duomenų objektai, kurie gali būti Adresų knygos.
nesunkiai išanalizuoti tyrimo metu. El. pašto pranešimai.
Garso / vaizdo / grafiniai failai.
Dokumentai ir užrašai / skaičiuoklių failai.
Kalendoriai.
Duomenų bazės.
Išsaugotos nuorodos.
Vartotojų sukurti ir apsaugoti objektai – duomenų objektai, kuriems dėl vienų Suspausti failai.
ar kitų priežasčių jų kūrėjas pritaikė apsaugos priemones. Taikomas apsaugos Nekorektiškai pavadinti failai.
tipas gali vienaip ar kitaip apsunkinti įkalčių identifikavimą ir analizę. Šifruoti failai.
Slaptažodžiais apsaugoti failai.
Paslėpti failai.
Steganografijos metodų taikymas.
Kompiuterių sistemų sukurti objektai – objektai, atsiradę kompiuterių Atsarginės kopijos.
sistemose kaip jų funkcionavimo pasekmė. Dažniausiai gali suteikti Įvykių registracijos įrašai.
pakankamai daug naudingos informacijos tyrimui. Konfigūraciniai failai.
Eilės (angl. spool) failai įrenginiuose.
Sukeitimų (angl. swap) failai.
„Saldainiukai“ (angl. Cookies).
Sisteminiai failai.
Laikinieji (angl. temp) failai.
Kiti duomenų objektai – objektai, kurie paprastai nėra prieinami naudojant Sugadinti klasteriai.
įprastas OS suteikiamas priemones, atsiradę dėl netinkamo sistemų Ištrinti failai.
funkcionavimo, tačiau galintys turėti svarbių įkalčių. Laisva vieta diske (kurioje anksčiau potencialiai buvo svarbūs duomenys).
Paslėpti disko skaidiniai (angl. partitions).
Failinės sistemos metaduomenys.
Sisteminės sritys.
Nepriskirta vieta diske.
14
Įkalčių ryšių tipai
Gamybinis ryšys. Šaltinis pagamino įkaltį, t. y. galima vienareikšmiškai atsekti, kad konkretus
įrenginys buvo panaudotas vienokio ar kitokio įkalčio gamybai. Tai gali būti svarbu, jei, pvz.,
žinoma, kad įrenginys tikrai priklauso įtariamajam. Tokį ryšį užtikrinančiais įkalčiais gali būti į
duomenis įrašomi įrangos serijiniai numeriai (pagrindinės plokštės, CPU ir kt.).
Segmentavimo ryšys. Šaltinis padalintas į dalis, o dalys yra išsklaidytos. Jei tyrimo metu
įvykio vietoje yra randama viena dalis, pagal ją galima nustatyti galimus šaltinio ir įkalčio
ryšius.
Keitimo ryšys. Šaltinis keičia arba modifikuoja įkaltį, pvz., įsilaužėlio naudojamas įsilaužimo
įrankis (angl. exploit) palieka žymes laužomoje programoje.
Vietos ryšys. Nustatymas, iš kurios vietos atkeliavo duomenys, galintys tapti įkalčiais, gali
turėti didžiulės reikšmės NEE tyrimui. Tai ypač svarbus uždavinys, kai tiriama ne izoliuota, o
tinklinė kompiuterių sistema. Tokio uždavinio sprendimo pavyzdžiu gali tapti atakuojančiojo
IP adreso nustatymas, įsitikinant, kad IP adresas nebuvo modifikuotas ir kad nustatytas IP
adresas nepriklauso tarpinei stočiai, kuri yra naudojama nusikaltėlio pėdsakams paslėpti.
15
Elektroniniai įkalčių šaltiniai ir
juose aptinkami įkalčiai
Įkalčių šaltinis Galimi įkalčiai
Procesorius (CPU) Fizinis įkaltis (minimas atskirai tik jei įrenginiui nėra būdingi kiti įkalčiai). Greičiausiai turi unikalų
identifikacijos numerį. Gali būti atliekama CPU registrų analizė.
Operatyvioji atmintis Fizinis įkaltis. Gali būti aptikta informacija, kuri nėra rašoma į išorines laikmenas (vartotojo vedami,
bet neišsaugomi, duomenys (tokie kaip paieškos raktažodžiai), procesų aktyvumas, maršrutizavimo
lentelės ir kt.). Esant galimybei – atlikti atminties kopiją (angl. dump). Operatyviosios atminties liekanų
galima rasti kietojo disko išklojos kopijos (angl. disc dump) failuose, net jei atminties kopija specialiai
nėra daroma.
Praėjimo žetonai ir kortelės (angl. smart- Identifikacinė informacija apie prieigos lygį. Dažniausiai turi sunkiai modifikuojamą identifikacinį
cards) numerį. Kartu su įvykių registracijos įrašais iš prieigos kontrolės sistemų gali būti naudojami prieigos
prie sistemos / patalpos faktui nustatyti.
Autoatsakikliai / fakso aparatai Paskutiniai rinkti numeriai, palikti pranešimai (jei naudojamos magnetinės kasetės, tai galima atstatyti
ir ankstesnius įrašus, kurie jau buvo ištrinti arba perrašyti), vidinė atmintis.
Skaitmeninės kameros Įvykio vietos nuotraukos. Įvykio laiko informacija.
Portatyvieji įrenginiai (išmanieji telefonai, Adresai, failai, elektroniniai laiškai, susirašinėjimo informacija, nuotraukos, naršymo istorija.
grotuvai, planšetiniai įrenginiai, portatyvieji
asistentai)
Kietieji diskai Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės sistemos priemonėmis matomų
failų, ir tarp pašalintų failų, sugadintuose bei perrašytuose sektoriuose.
Atmintinės kortelės Bet kokia įrašyta informacija.
Modemai Fizinis įkaltis. Gali būti rasta informacijos apie prisijungimus, rinktus numerius.
Tinklo kortos Fizinis įkaltis. Unikalus identifikatorius – MAC (angl. media access control) adresas.
Tinklo įrenginiai Fizinis įkaltis. Konfigūraciniai nustatymai. Administracinių bei kitų veiksmų įvykių registracijos įrašai.
Maršrutizavimo lentelės.
Spausdintuvai Vidinė atmintis. Naudojimo istorija.
Išorinės duomenų laikmenos (diskeliai, CD, Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės sistemos priemonėmis matomų
DVD diskai, USB raktai). failų, ir tarp pašalintų failų, sugadintuose bei perrašytuose sektoriuose.
Skeneriai, kopijavimo aparatai Vidinė atmintis. Naudojimo istorija.
Telefonai Adresai, rinkti numeriai.
16
Įkalčių išėmimo procesas
17
Alternatyvūs įkalčių išėmimo
metodai
1. Atvykęs į įvykio vietą tyrėjas susisiekia su kompromituotos sistemos

administratoriumi arba kitu techniniu personalu, galinčiu ir norinčiu padėti
identifikuojant duomenų objektus bei juos kopijuojant.
2. Jei kompanija negali suteikti techninio eksperto, jis samdomas iš trečiosios
šalies ir padeda identifikuoti orderyje nurodytus failus ir kitus duomenų
objektus. Už pačių identifikuotų duomenų objektų išsaugojimą atsakomybė
tenka tyrėjui.
3. Jei atskirų failų ar duomenų objektų išėmimas dėl techninių priežasčių yra
neįmanomas, sukurti laikmenos tikslią (atvaizdo) atsarginę kopiją.
4. Jei ir atvaizdo kūrimas yra neįmanomas, išimamas fizinis įkaltis ir
pristatomas į specializuotą laboratoriją, turinčią specializuotą duomenų
atstatymo įrangą.
18
Klausimai?
19
Nusikaltimai elektroninėje
ervėje ir jų tyrimo metodikos
Lektorė: Irma Dargė

El.p. darge.irma@gmail.com
1. 1. Nusikaltimo elektroninėje erdvėje
samprata
• Visose žmogaus veiklos srityse sparčiai plinta šiuolaikinės
informacinės technologijos, kuriomis pasinaudojus tampa
prieinama elektroninė erdvė.
• Šiuo metu neišvengiamai susiduriama su didėjančiu
nusikalstamų veikų skaičiumi elektroninėje erdvėje, įvykdyti
naujus nusikaltimus, kuriuose nukenčia milijardai vartotojų.
• Literatūroje nurodoma, jog kompiuterinio nusikaltimo
terminas buvo pavartotas jau 60-70-iais metais. Vienas iš
pirmųjų susidomėjęs šia problema JAV Donn Parker: "visos
tyčinės veikos, vienu ar kitu būdu susijusios su
kompiuteriais, kurių pasėkoje nukentėjęs patyrė ar galėjo
patirti žalą, o nusikaltimo subjektas turėjo ar galėjo gauti iš to
naudos".
1.1. Nusikaltimo elektroninėje erdvėje
samprata
• Šiai dienai nėra vieningi apibrėžti nusikaltimai elektroninėje ervėje
kitaip vadinami kompiuteriniais ar kibernetiniais nusikaltimais.
• Paminėtina, kad įvairios tarptautinės organizacijos sąmoningai
neapbrėžinėja kompiuterinio nusikaltimo, nes mano, kad pastoviai
keičiantis technologijoms toks apibrėžimas greitai pasidarytų
nebeaktualus.
• Reikia paminėti, jog dažnai apibūdinant elektroninius nusikaltimus
vartojami skirtingi terminai, kurie tam tikrais atvejais gali būti ir
sinonimai: kompiuteriniai nusikaltimai (angl. computer crime), su
kompiuteriais nusiję nusikaltimai (angl. computer-related crime)7,
aukštų technologijų nusikaltimai (angl. high-tech crime) ir kt.
1.1. Nusikaltimo elektroninėje erdvėje
samprata
• Išskirtinos 2 pagrindinės nusikaltimų elektroninėje ervėje kryptys:
1. Siaurąja prasme kompiuteriniais nusikaltimais laikomos tik tos veikos,
kurios nurodytos atskiruose baudžiamųjų įstatymų skirsniuose (pvz.,
Lietuvoje – XXIX sk. ,,Nusikaltimai informatikai”). Šioms veikoms būdingas
bendras objektas (visuomeniniai santykiai informacijos apdorojimo procese)
bei dalykas – kompiuterinė informacija;
2. Plačiąja prasme kompiuteriniais nusikaltimais laikomos baudžiamojo
įstatymo nustatytos visuomenei pavojingos veikos, kai kompiuterinė
informacija yra nusikaltimo dalykas arba kai kompiuteris panaudojamas kaip
nusikaltimo priemonė. Todėl prie tokių veikų priskiriamos ir šios veikos:
sukčiavimas panaudojant kompiuterius, autorių teisių pažeidimas,
panaudojant kompiuterius ir kt.
1.1. Nusikaltimo elektroninėje erdvėje samprata
• 2001 metais priėmus Konvenciją dėl elektroninių nusikaltimų,

kompiuterinių nusikaltimų terminą pakeitė elektroninių
nusikaltimų (ang. cybercrime) terminas.
• Terminas “cybercrime” simbolizuoja globaliai stipriai
kompiuterizuotai interneto visuomenei būdingas nusikalstamas
veikas. Jis kilęs iš termino “Cyber space”, kuris verčiamas
“elektroninė erdvė”. Tačiau reikia paminėti, kad Lietuva ratifikavo
Konvenciją dėl elektroninių nusikaltimų ir tokiu būdu de jure
buvo įteisintas elektroninio nusikaltimo terminas.
1.2. Elektroninių nusikaltimų žala
• Kibernetiniai nusikaltimai yra ypač pavojingi, nes oficiali

teisėsaugos organų statistika neatspindi realios padėties.
• Lietuvos Respublikos nacionalinis elektroninių ryšių tinklų
ir informacijos saugumo incidentų tyrimo padalinys
apibendrina visų metų veiklos rezultatus.
• 2017 metais buvo 54 414 incidentų pagal pranešimus, gautus
iš Lietuvos elektroninių ryšių paslaugų teikėjų.
• Tokį didelį elektroninių nusikaltimų latentiškumą lemia keli
faktoriai:
1. Kompiuterių naudotojai dažnai neturi pakankamai žinių pastebėti
tokius nusikaltimus.
2. Aukų vengimas informuoti apie kompiuterinius nusikaltimus, kai
jie yra aptinkami.
• Verslo srityje šis nenoras susijęs su dviem dalykais:
2.1. Kai kurios aukos nenori atskleisti informacijos apie jų darbą,
bijodamos viešumo arba gero vardo praradimo;
2.2. Kitos aukos bijo prarasti investuotoją, visuomenės pasitikėjimą.
• Verslo srityje šis nenoras susijęs su dviem dalykais:
1. Kai kurios aukos nenori atskleisti informacijos apie jų darbą,
bijodamos viešumo arba gero vardo praradimo;
2. Kitos aukos bijo prarasti investuotoją, visuomenės pasitikėjimą.
• Lietuvoje dvi didžiausios kibernetinio saugumo
problemos yra kenkimo programinė įranga (kenkimo kodai)
ir nesaugios informacinės sistemos, tarp jų ir interneto
svetainės.
1.2. Elektroninių nusikaltimų žala Lietuvoje
1.3. Nusikaltimų elektroninėje erdvėje
klasifikacija
• Viena iš pirmųjų elektroninių nusikaltimų klasifikacijų pateikta
1989 metais, Europos Tarybos Ministrų kabinetas priėmė
rekomendaciją R89(9) Europos Sąjungos šalių vyriausybėms.
• Minimalus sąrašas:
1. Sukčiavimas naudojant kompiuterį (Computer-related fraud).
2. Klastojimas naudojant kompiuterį (Computer forgery).
3. Elektroninių duomenų ar programų sunaikinimas ar sugadinimas
(Damage to computer data or computer programs).
klasifikacija
4. Sabotažas naudojant kompiuterį (Computer sabotage).
5. Neteisėtas priėjimas prie kompiuterinių sistemų (Unauthorised access).
6. Neteisėtas informacijos perėmimas kompiuterinėse sistemose
(Unauthorised interception).
7. Neteisėtas apsaugotų kompiuterinių programų dauginimas ir
platinimas; (Unauthorised reproduction of a protected computer program).
8. Neteisėtas kompiuterinių lustų (mikroschemų) topografijų dauginimas ir
platinimas (Unauthorised reproduction of a topography).
klasifikacija
• Viena iš pirmųjų elektroninių nusikaltimų klasifikacijų pateikta 1989
metais, Europos Tarybos Ministrų kabinetas priėmė rekomendaciją
R89(9) Europos Sąjungos šalių vyriausybėms.
• Minimalus sąrašas:
1. Sukčiavimas naudojant kompiuterį (Computer-related fraud).
2. Klastojimas naudojant kompiuterį (Computer forgery).
3. Elektroninių duomenų ar programų sunaikinimas ar sugadinimas (Damage
to computer data or computer programs).
4. Sabotažas naudojant kompiuterį (Computer sabotage).
5. Neteisėtas priėjimas prie kompiuterinių sistemų (Unauthorised access).
klasifikacija
• INTERPOLO rekomendacijose “Computers and crime” Europos Tarybai,
kurios aiškinamos sekančiai:
1. Sukčiavimas naudojant kompiuterį. Kompiuterinių duomenų ar
kompiuterinių programų įvedimas, pakeitimas, ištrynimas ar kitas
trukdymas duomenų apdorojimo procesui, padarydamas žalą kito
asmens nuosavybei, norint neteisėtai gauti materialinę naudą sau ar
kitam asmeniui.
2. Klastojimas naudojant kompiuterį. Kompiuterinių duomenų ar
kompiuterinių programų įvedimas, pakeitimas, ištrynimas kitas
trukdymas duomenų apdorojimo procesui.
3. Kompiuterinių duomenų ar programų sunaikinimas ar sugadinimas.
Kompiuterinių duomenų ar kompiuterinių programų ištrynimas,
sunaikinimas, sugadinimas, neturint tam teisės.
klasifikacija
4. Sabotažas naudojant kompiuterį. Kompiuterinių duomenų ar
kompiuterinių programų įvedimas, pakeitimas, ištrynimas ar
įsikišimas.
5. Neteisėtas priėjimas prie kompiuterinių sistemų, neturint teisės,
prie kompiuterinės sistemos ar kompiuterinio tinklo, pažeidžiant
saugumo priemones.
6. Neteisėtas informacijos perėmimas kompiuterinėse sistemose.
Perėmimas, atliktas techniškai-legaliai nenumatytais būdais,
kompiuterinio tinklo viduje ar iš išorės.
klasifikacija
• Pastaruoju metu akcentuojamas kompiuterinės sistemos darbo sutrikdymas, kai
kompiuterinė sistema per internetą ,,užverčiama” dideliu kiekiu žinučių (angl. a
distributed denial of service (DDoS) attack). Prisimenant 2018 m. lapričio 1. d. LR
Seimą.
• Šiuo būdu sutrikdomas kompiuterinės sistemos darbas, nors neteisėta prieiga prie
sistemos ir neatliekama. praktika liudija apie ne vieną bylą, kai buvo nuteisti tokias
veikas įvykdę asmenys. Pavyzdžiui, 2002 m. pradžioje, remiantis Federaliniu
sukčiavimo bei piktnaudžiavimo panaudojant kompiuterį įstatymu, buvo nuteistas
Bret McDanel. Šis asmuo buvo pripažintas kaltu, nes piktavališkai siuntė
tūkstančius elektroninių žinučių į centrinį kompiuterį, kurio operatorius buvo
“Tornado Development”. Tokiu būdu šis centrinis kompiuteris buvo perpildytas,
dėl to sutriko jo darbas. Bret McDanel buvo nuteistas 5 metams laisvės atėmimu.
klasifikacija
• Kaip viena iš didžiausių DDoS atakų paminėtini 2007 metų Estijos
įvykiai, kai botnet tinklas, kurį sudarė apie 1 milijonas kompiuterių,
buvo panaudotas atakuoti Estijos kompiuterius ir kompiuterinius
tinklus, ko pasėkoje buvo sutriktydas šalies valstybinių institucijų,
parlamento bei daugumos bankų darbas.
• Estija manė, kad Rusija pradėjo elektroninį karą. Tačiau pakankamai
įrodymų tam nėra iki šiol.
Ačiū už dėmesį.
Naudingos internetinės svetainės
1. https://www.nksc.lt/
2. https://www.ada.lt/
3. https://cert.litnet.lt/category/dokumentai/
4. https://esaugumas.lt/lt
5. https://www.lrs.lt/
6. https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html
Kibernetinių nusikaltimų
subjektai. Kibernetinių
nusikaltimų Lietuvoje teismų
praktika

2. Kibernetinių nusikaltimų subjektai
• Kodėl reikia žinoti, kas yra kibernetinių nusikaltimų subjektai?
• Atskirų kategorijų tipinių nusikaltimų išskyrimas, šių žmonių
pagrindinių bruožų žinojimas leidžia optimaliai išskirti ratą
žmonių, tarp kurių reikėtų ieškoti nusikaltėlio.
• Elektroniniai nusikaltėliai yra iš skirtingų visuomenės sluoksnių.
Jų amžius vidutininškai svyruoja nuo 6-7 iki 60 ir daugiau metų,
įgūdžių lygis - nuo naujoko iki profesionalo.
2. Kibernetinių/elektroninių nusikaltimų
subjektai
• Nusikaltėlių, kurie vykdo elektroninius nusikaltimus rūšys
pateikiamos atsžvelgiant į dažniausiai vykdomus
elektroninius nusikaltimus (pvz., neteisėtą prieigą,
sukčiavimą). Prof. Brenner elektroninius nusikaltėlsiu
skirsto į šias grupes:
1. Hakeriai;
2. Vidiniai nusikaltėliai;
3. Sukčiautojai;
4. Persekiotojai (ang. Stalkers).
subjektai
• Angliškai “hacker” - juvelyras, žmogus kuris kruopščiai

atlieka savo darbą. Pagal analogiją kompiuterinis hakeris -
žmogus, sugebantis įvykdyti juvelyrinį darbą su kompiuteriu.
Kitais žodžiais tai žmogus, sugebantis padaryti tai, ko
nesugebėtų padaryti paprastas vartotojas.
• Pagal priklausomybę hakerius galima skirstyti į dvi grupes:
1. Vidiniai darbuotojai;
2. ”Svetimšaliai”.
subjektai
• Pavojingiausi hakeriai - profesionalai, kurie aktyviai panaudoja
savo žinias. Veikti jie gali savo iniciatyva, taip pat kaip
nusikalstamos grupuotės nariai arba vykdydami nurodymus.
Dažniausiai hakerių - profesionalų objektais tampa bankai,
draudimo kompanijos, firmos.
• Hakeriai - profesionalai skirstomi į sekančias grupes:
1) Nusikaltėlių grupuotės, siekiančios politinių tikslų;
2) Asmenys, besistengiantys gauti informaciją pramoninio špionažo
tikslais;
3) Asmenų grupuotės pasipelnijimo tikslais.
subjektai
• Apgavystės ir piktnaudžiavimas naudojant kompiuterius
sparčiai didėja. Kriminalinės grupuotės - ir vietinės, ir
tarptautinės - įsitraukia į elektroninius nusikaltimus kaip į
tiesioginį nelegalių pajamų šaltinį.
• Nusikaltėliai supranta, kad jie gali uždirbti daugiau pinigų
vykdydami kompiuterinį sukčiavimą ir tai daryti daug
saugiau už kitus įprastus nusikaltimus.
• 2017 m. Lietuvos Bankas nurodė, jog didžiausias šalies
pavojus yra kibernetinės atakos nukreiptos prieš finansines
įstaigas.
2.1. Elektroninių nusikaltimų atlikimo būdai
• Nusikaltimo padarymo būdas – fakultatyvinis bendrosios

nusikaltimo sudėties požymis. Jei jis numatytas konkrečioje
nusikaltimo sudėtyje, jis tampa būtinu požymiu.
• Kriminalistikoje nusikaltimo padarymo būdas suprantamas
kaip subjekto elgesys iki nusikaltimo padarymo, nusikaltimo
padarymo metu ir po nusikaltimo, paliekantis tam tikrus
pėdsakus.
• Išsamų sąrašą sudaryti sunku, nes pačių veikų vystantis
technikai vis daugėja.
Išskiriami keturi elektroninių nusikaltimų įvykdymo būdai:
I. Perėmimo metodai.
II. Neteisėtos prieigos metodai.
III. Manipuliacijų metodai.
IV. Kompleksiniai metodai.
Perėmimo metodai. Šiai grupei priskiriami elektroninių nusikaltimų
padarymo būdai, kuriais nusikaltėlis gauna duomenis ir
kompiuterinę informaciją, naudodamas audiovizualinio ir
elektromagnetinio perėmimo metodus, plačiai naudojamus
teisėsaugos operatyvinių tarnybų .
Būdai:
1. Tiesioginis perėmimas. Dažniausiai šis būdas vykdomas betarpiškai
prisijungiant prie kompiuterio, kompiuterinės sistemos .
2. Elektromagnetinis perėmimas. Duomenys ir informacija gali būti
perimti ne tik ryšių kanaluose, bet ir patalpose, kuriose yra komunikacijos
priemonės, o taip pat tam tikru atstumu nuo jų.
3. Pasiklausymo įrenginių panaudojimas. Tai radioelektroninių
įrenginių (pvz.: blakių) panaudojimas papildomai informacijai
gauti. Apsauga nuo tokio informacijos nutekėjimo yra labai
sudėting
4. Informacijos fiksavimas ir atranka. Tai taip pat pagalbinis
būdas kai gaunama papildoma informacija apie dominantį
objektą.
5. “Šiukšlių rinkimas”. Šis būdas pasireiškia neteisėtu
informacijos proceso techninių liekanų (šiukšlių) naudojimu.
II. Nesankcionuotos prieigos metodai.
1. “Paskui kvailį”. Toks būdas yra labai paprastas ir naudojamas
patekti į zonas su ribota prieiga (fizinis patekimas į patalpas; b)
elektroninis variantas).
2. “Įsilaužimas” į kompiuterį ar sistemą.
3. Lėtos atrankos (pasirinkimo) būdas. Nusikaltėlis atlieka
neteisėtą prieigą prie kompiuterinės sistemos, jos apsaugoje
aptikdamas silpnas vietas.
4. Klaidos paieška. Skirtingai nuo lėtos atrankos būdo čia
ieškoma ne silpnosios vietos, bet klaidos. Tokios klaidos
atsiranda dėl logikos ar kokių kitų netikslumų darant
apsaugos sistemą.
5. ”Liukas”. Šis būdas yra naudojamas po klaidos suradimo
programoje.
6. ”Apsišaukėlis”. Nusikaltėlis patenka į kompiuterinę
sistemą, apsimetęs teisėtu vartotoju.
III. Manipuliacijų metodai.
1. Duomenų pakeitimas – paprastas ir gana dažnai naudojamas
nusikaltimų įvykdymo būdas. Tai tikrų duomenų pakeitimas arba
įvedimas naujų, kuris atliekamas dažniausiai duomenų įvedimo ar
išvedimo procese.
2. Kodo pakeitimas. Iš esmės tai yra aukščiau minėtas būdas.
3. ”Trojos arklys”. Šis būdas pasireiškia slaptu įvedimu į svetimą
programinę įrangą specialiai sukurtų programų, kurios,
patekdamos į informacines-skaičiavimo sistemas (paprastai
apsimesdamos žinomomis programomis), pradeda atlikti naujas,
teisėto savininko neplanuotas funkcijas.
4. Kompiuteriniai virusai. Tai ne kas kita, kaip “trojos arklio” būdo
loginė moduliacija.
5. ”Saliami”. Šis būdas atsirado tada, kai buhalterinėms
operacijoms atlikti pradėti naudoti kompiuteriai.
6. ”Loginė ir laiko bomba”Naudodami šį būdą, nusikaltėliai slapta
į nukentėjusios pusės programą įveda komandas, kurios turi
suveikti atsiradus tam tikroms aplinkybėms.
8. Asinchroninė ataka. Šis metodas labai sudėtingas ir reikalauja
labai gerų operacinės sistemos žinių. Operacinė sistema (OS) – tai
kompleksas programinių priemonių, užtikrinančių informacinių
procesų valdymą.
9. Modeliavimas. Programinės įrangos pagalba modeliuojama,
kaip elgsis įrenginys ar sistema. Pvz.: daroma tikros programos,
į kurią norima įsilaužti, kopija (panaši programa).
10. ”Aitvaras”. Dviejuose bankuose atidaromos dvi fiktyvių
asmenų sąskaitos. Vėliau atliekami piniginiai pervedimai iš
vienos sąskaitos į kitą vis didinant pervedamą sumą.
11. „Phishing" – duomenų vagystė, arba, kitaip tariant,
„žvejojimas", nieko blogo neįtariančių interneto vartotojų
įviliojimas į kibernetinių nusikaltėlių paspęstus informacijos
rinkimo tinklus.
IV. Kompleksiniai metodai.
• Tai nėra kitokie tokių veikų atlikimo būdai. Elektroniniai
nusikaltimai yra daromi, atliekami pasitelkus du, kelis ar
keletą aukščiau aprašytų būdų.
• Pavyzdžiui, įsibrovimas, šnipinėjimo programa,
slaptažodžio žvejyba, pakartojimo ataka ir kt.
Nusikaltimų elektroninėje
erdvėje šaltiniai

3. Nusikaltimų elektroninėje erdvėje šaltiniai
• Tarptautiniu mastu elektroninių nusikaltimų sritį reguliuoja
(teisines priemones koordinuoja) sekančios organizacijos
Europos ekonominio bendradarbiavimo ir vystymo
organizacija (OECD), Europos taryba, Jungtinių tautų
organizacija, Pasaulio prekybos organizacija, Europos
komisija ir kitos organizacijos.
3.1. Tarptautiniai teisės šaltiniai ir
Konvencija
• Pirmieji tarptautinio bendradarbiavimo žingsniai buvo padaryti 1983 m., kai
Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) kompiuterinių
nusikaltimų komitetas išleido ataskaitą.
• 1992 m. EBPO paruošė kitą rekomendaciją „Dėl informacinių sistemų
apsaugos gairių“ („Concerning Guidelines for the Security of Information
Systems“), kurioje suformulavo reikalavimus informacinių sistemų saugai
užtikrinti.
• 1989 m. Europos Tarybos su kompiuteriais susijusių nusikaltimų ekspertų
komitetas paruošė rekomendaciją Nr. R (89) 9 „Dėl su kompiuteriais susijusių
nusikaltimų“ (aprašoma su kompiuteriais susijusio nusikaltimo samprata,
nustatytas minimalus (8 punktų) ir pasirinktinis (4 punktų) kriminalizuotų
veikų. Kurios nurodytos pirmoje paskaitoje.
3.1. Konvencija dėl elektroninių nusikaltimų
I skyriuje apibrėžiamos tokios sąvokos kaip kompiuterinė sistema,

kompiuteriniai duomenys, paslaugų tiekėjai ir srauto duomenys,
kurios vėliau naudojamos apibrėžiant nusikaltimo objektą,
priemones, nusikaltimo tyrimo procedūras.
II skyrių sudaro trys skirsniai, t. y. materialioji baudžiamoji teisė,
procesinė teisė ir jurisdikcija.
I skyriuje apibrėžiamos tokios sąvokos kaip kompiuterinė sistema,
kompiuteriniai duomenys, paslaugų tiekėjai ir srauto duomenys,
kurios vėliau naudojamos apibrėžiant nusikaltimo objektą,
priemones, nusikaltimo tyrimo procedūras.
3.1. Konvencija dėl elektroninių nusikaltimų
Galimos procesinės priemonės:
 Operatyvus laikomųjų kompiuterinių duomenų
išsaugojimas;
 Laikomųjų kompiuterinių duomenų paieška ir poėmis;
 Kompiuterinių duomenų surinkimas realiuoju laiku.
reglamentavimas Lietuvoje
• Realios galimybės kovoti su tokio tipo nusikaltimais atsirado tik
1994 m., kai buvo patvirtinti senojo, dar iš sovietinių laikų
paveldėto, 1961 m. BK pakeitimai. Senasis BK ir jo pakeitimai
galiojo iki 2003 m. gegužės 1 d. 1994 m. BK įvestuose
pakeitimuose nebuvo išskirtas atskiras skyrius elektroniniams
nusikaltimams, taip pat nebuvo suformuluoti nauji BK
straipsniai.
• Ratifikavus Konvenciją dėl elektroninių nusikaltimų, įstatymų
leidėjai atliko esminius 2000 m. BK 30 skyriaus pakeitimus, kurie
buvo patvirtinti LR Seime 2007 m. birželio mėn. 28 d. įstatymu
Nr. X-1233. Pirmiausiai buvo pakeistas skyriaus pavadinimas į
„Nusikaltimai elektroninių duomenų ir informacinių sistemų
saugumui“.
• Atsakomybė už kibernetinius nusikaltimus numatytas Lietuvos
Respublikos Baudžiamojame kodekse (nuo 196 str. - 1982 str.).
• 196 straipsnis. Neteisėtas poveikis elektroniniams duomenims. Tas, kas
neteisėtai sunaikino, sugadino, pašalino ar pakeitė elektroninius
duomenis arba technine įranga, programine įranga ar kitais būdais
apribojo naudojimąsi tokiais duomenimis padarydamas žalos ir
kt.(išsamiai LR BK);
• 197 straipsnis. Neteisėtas poveikis informacinei sistemai ( Tas, kas
neteisėtai sutrikdė ar nutraukė informacinės sistemos darbą
padarydamas žalos) ir kt. (išsamiai LR BK).
198 straipsnis. Neteisėtas elektroninių duomenų perėmimas ir
panaudojimas
• 1. Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė,
pasisavino, paskleidė ar kitaip panaudojo neviešus elektroninius duomenis,
baudžiamas bauda arba laisvės atėmimu iki ketverių metų.
• 2. Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė,
pasisavino, paskleidė ar kitaip panaudojo strateginę reikšmę nacionaliniam
saugumui arba didelę reikšmę valstybės valdymui, ūkiui ar finansų sistemai
turinčius neviešus elektroninius duomenis, baudžiamas laisvės atėmimu iki
šešerių metų.
• 3. Už šiame straipsnyje numatytas veikas atsako ir juridinis asmuo.
198¹ straipsnis. Neteisėtas prisijungimas prie informacinės sistemos
• 1. Tas, kas neteisėtai prisijungė prie informacinės sistemos ar jos
dalies pažeisdamas informacinės sistemos apsaugos priemones,
baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės
atėmimu iki dvejų metų.
• 2. Tas, kas neteisėtai prisijungė prie strateginę reikšmę nacionaliniam
saugumui ar didelę reikšmę valstybės valdymui, ūkiui ar finansų
sistemai turinčios informacinės sistemos ar jos dalies, baudžiamas bauda
arba areštu, arba laisvės atėmimu iki trejų metų.
• 3. Už šiame straipsnyje numatytas veikas atsako ir juridinis asmuo.
198² straipsnis. Neteisėtas disponavimas įrenginiais, programine
įranga, slaptažodžiais, kodais ir kitokiais duomenimis
1. Tas, kas nusikalstamais tikslais ar kitaip neteisėtai gamino,
gabeno, importavo, pardavė, suteikė prieigą ar kitaip platino, įgijo
ar laikė įrenginius ar programinę įrangą, tiesiogiai skirtus ar
pritaikytus daryti nusikalstamas veikas, taip pat slaptažodžius,
kodus ar kitokius panašius duomenis, skirtus prisijungti prie
informacinės sistemos ar jos dalies, baudžiamas viešaisiais darbais
arba bauda, arba areštu, arba laisvės atėmimu iki ketverių metų.
3.2. Kibernetinių incidentų nuo 2010 m. iki
2017 m. suvestinė
3.3. Elektroninių nusikaltimų tyrimų tipai
• NEE tampa kasdienybe. Europos Sąjungos (ES) Tarybos
duomenimis, 85 proc. verslo organizacijų ir vyriausybinių
institucijų patyrė vienokį ar kitokį informacijos saugos
incidentą.
• Augant NEE skaičiui lygiagrečiai vystėsi jų tyrimo metodai,
kurie jau tapo atskira kompiuterijos bei kriminologijos šaka –
NEE tyrimų metodais (angl. Computer forensics).
• Išskiriami formalusis ir neformalusis metodai.
• Formaliojo tyrimo metu surinktus įkalčius yra
planuojama perduoti teismui nagrinėti.
• neformaliojo atveju – ne.
• Nepriklausomai nuo to, koks metodas bus
taikomas, kartojami tie patys įkalčių rinkimo,
identifikavimo, išgryninimo ir analizės etapai.
• „Gyvų“ ir „negyvų“ sistemų tyrimo metodai .
• Ilgą laikotarpį NEE tyrimo metodika buvo paremta „negyvų“
sistemų analize, t. y. sistema, kurioje potencialiai buvo palikti
įkalčiai, turėjo būti izoliuota nuo kitų sistemų (pvz., ištraukiant
tinklo kabelį).
• „Gyvų“ arba funkcionuojančių sistemų analizė tampa vienintele,
kad ir keliančia daugybę diskusijų, alternatyva, nors jos vykdymo
metu gali keistis nagrinėjamų failų laiko antspaudai (angl. time-
stamp), kontrolinės sumos ir registrų reikšmės dėl globalios
ekonomikos, visiško disko šifravimo technologijos, poreikio
nepertraukiamai veikiančioms sistemoms.
3.4. Reagavimo į incidentus etapai
I. Reagavimas į incidentus yra apibrėžiamas kaip priemonės
problemai aptikti, priežasčiai nustatyti, problemai spręsti ir
kiekvienam iš žingsnių dokumentuoti vėlesnei analizei.
II. Incidentų sulaikyme (angl. handling) pagrindinis dėmesys
yra skiriamas priemonėms, leidžiančioms nepasireikšti
incidento pasekmėms pilna jėga, ir incidentų pasekmėms
sumažinti / šalinti.
III. Incidentų valdymas (angl. incident management) – tai
procesas, apimantis visus žingsnius nuo incidento paskelbimo
iki dokumentavimo ir incidentų analizės fazės jam pasibaigus.
CSIRT/CERT grupės tipas Privalumai Trūkumai
Vidinė grupė (suformuota iš Sistemų architektūros ir Interesų konfliktas. Įtariamasis

kompanijos darbuotojų). organizacijos veiklos niuansų gali būti grupės sudėtyje.
supratimas.
Išoriniai konsultantai (angl. Interesų konfliktų išvengimas. Aukšta kaina.

outsource Kvalifikacijos klausimai.
Ilgas laiko tarpas, reikalingas
organizacijos sistemoms suvokti.
Teisėsaugos organai, vyriausybės Interesų konfliktų išvengimas. Kvalifikacijos klausimai.

įgaliotos organizacijos Žema kaina. Ilgas laiko tarpas, reikalingas
organizacijos sistemoms suvokiti.
Maža tyrimo eigos kontrolė.
Incidento
nustatymas
Informavimas apie
incidentą
Įkalčių išsaugojimas
Analizės fazė
Pristatymas
Peržiūra pabaigus
incidentą
Preliminarų tyrimą sudaro tokie etapai:
1. Skundo ir (ar) informacijos peržiūra. Patikrinama, ar tikrai buvo
sutrikimas ar neleidžiamas veiksmas, kad tai nėra klaidingas pranešimas
(„false-positive“ tipo).
2. Žalos įvertinimas. Siekiama įvertinti, kiek kritiškas incidentas buvo arba
gali būti organizacijai. Vertinime turėtų dalyvauti ir technikos specialistai,
ir verslo atstovai.
3. Liudininkų apklausa. Siekiama surinkti kuo daugiau informacijos iš
skirtingų šaltinių.
4. Įvykių registracijos įrašų analizė. Siekiama surasti dokumentinių
incidento patvirtinimų.
5. Tyrimo reikalavimų nustatymas. Nustatomas tyrimo tipas, terminai.
Elektroninių įkalčių rūšys

4.1. Elektroninių įkalčių rūšys
• Elektroniniais arba skaitmeniniais įkalčiais gali būti traktuojama bet
kokia kompiuterių sistemomis perduodama arba saugoma informacija.
• Tyrėjai, vykdydami NEE tyrimą, turi vertinti du įkalčių tinkamumo
kriterijus:
• 1. Autentiškumą – arba įkalčio atsiradimo šaltinį;
• 2. Patikimumą – kiek šaltinis yra patikimas ir (arba) nešališkas bei
apsaugotas nuo galimų pažeidimų.
4.1. Elektroninių įkalčių rūšys
• Duomenų objektai. Galimi informacijos šaltiniai su tam tikra
tikimybine verte, susieti su fiziniais objektais.
• Skaitmeniniai įkalčiai (angl. digital evidence). Tam tikros
tikimybinės vertės informacija, saugoma arba perduodama
skaitmeniniu formatu.
• Fiziniai objektai. Įrenginiai, kuriuose duomenų objektai arba
informacija yra saugomi arba per kuriuos duomenų objektai yra
perduodami.
• Originalūs skaitmeniniai įkalčiai. Susiję duomenų objektai
konfiskacijos metu.
• Skaitmeninių įkalčių dublikatai. Tiksli skaitmeninė visų duomenų
objektų, saugomų originaliame fiziniame objekte, kopija.
•
4.2. Elektroninių įkalčių šaltiniai
Procesorius (CPU) Fizinis įkaltis (minimas atskirai tik jei
įrenginiui nėra būdingi kiti įkalčiai).
Greičiausiai turi unikalų identifikacijos
numerį.
Operatyvioji atmintis Fizinis įkaltis. Gali būti aptikta informacija,
kuri nėra rašoma į išorines laikmenas
(vartotojo vedami, bet neišsaugomi,
duomenys (tokie kaip paieškos
raktažodžiai), procesų aktyvumas,
maršrutizavimo lentelės ir kt.).
Skaitmeninės kameros Įvykio vietos nuotraukos. Įvykio laiko
informacija.
Įrenginiai (išmanieji telefonai, grotuvai, Adresai, failai, elektroniniai laiškai,
planšetiniai įrenginiai, portatyvieji susirašinėjimo informacija, nuotraukos,
asistentai) naršymo istorija.
Atmintinės kortelės Bet kokia įrašyta informacija.
4.2. Elektroninių įkalčių šaltiniai
Modemai Fizinis įkaltis. Gali būti rasta informacijos apie

prisijungimus, rinktus numerius.
Tinklo kortos Fizinis įkaltis. Unikalus identifikatorius –
MAC (angl. media access control) adresas.
Tinklo įrenginiai Fizinis įkaltis. Konfigūraciniai nustatymai.
Išorinės duomenų laikmenos, telefonai Bet kokia įrašyta informacija, rinkti numeriai
(diskeliai, CD, DVD diskai, USB raktai).
Internetinės svetainės Naujienš svetainėsd, socialiniai tinklai,
kontroliuojami tinklraščiai, draudžiamo
turinio svetainės, DNS įrašai.
4.3. Įkalčių analizės būdai
• Įkalčių analizė yra sunkus ir daug laiko reikalaujantis procesas.

• Pagrindinė įkalčių analizės etapo užduotis yra surasti visoje
įvykio vietoje surinktoje informacijoje duomenis, kurie gali
patvirtinti arba paneigti tyrimo hipotezę ir atstatyti įvykio eigą.
• Tyrėjai vis dažniau naudojasi automatizuotais metodais.
• Įkalčių paieška pagal reikšminius žodžius. Tai vienas iš plačiausiai
taikomų analizės metodų (pasitelkiama specializuota programinė
įranga, ieškanti reikšminių žodžių ne tik rinkmenų pavadinimuose,
bet ir rinkmenų viduje).
• Įvykių registracijos įrašų analizė ir koreliacija. Pagrindinis metodo
privalumas prieš bendrą paiešką pagal reikšminius žodžius yra tas,
kad skirtingai nuo paieškos skirtingo formato failuose ar duomenyse,
įvykių registracijos įrašai yra griežtai struktūrizuoti.
• Sukeitimų rinkmenos arba disko skaidmenos analizė. Sukeitimų
rinkmenos analizė naudinga tada, jei analizuojamas kompiuteris buvo
konfiskuotas nusikaltėliui nespėjus jo perkrauti ir aktyvuoti
sukeitimų valymo programų arba tinkamai išjungus kompiuterį,
nustačius įsilaužimą.
• Kontaktų analizė. Kontaktų analize galima nustatyti įtariamojo
bendravimo ratą, tačiau ji turi būti atliekama nepažeidžiant LR
Asmens duomenų apsaugos įstatymo.
• Grafinės ir vaizdinės informacijos analizė. Peržiūrint fotografuotus
ir vaizdo įrašus galima nustatyti asmenis, su kuriais buvo
bendraujama, gali būti užfiksuoti nusikaltimo įvykiai (pvz.,
nusikaltėlis pats fiksavo įvykio vietą).
• Atminties atvaizdo (angl. dump) analizė. Jei yra galimybė gauti
kompiuterio atminties atvaizdą, tai naudojant specializuotus įrankius
galima gauti informacijos apie veikiančius ir paslėptus procesus.
• Žiniatinklio naršyklės podėlio (angl. cache) analizė.
• Failų keitimo istorijos analizė.
4.4. Tyrimo atskaitos struktūra
• Tyrimo ataskaitos parengimas atlikus įkalčių analizę yra
labai svarbus tyrimo etapas. Dokumentas yra parengiamas
su tikslu pristatyti analizės išvadas suinteresuotiems
asmenims. Jei išvados negali būti suformuluotos, niekas
negalės įvertinti tyrimo rezultatų ir priimti reikiamų
sprendimų.
• Ataskaitos yra skirstomos pagal pateikimo formą:
• Žodinės ir rašytinės;
• Formalios ir neformalios.
4.4. Tyrimo atskaitos struktūra
Dažniausiai ataskaita gali būti suskirstyta į keturias logines dalis:

I dalyje aprašoma administracinė su tyrimu susijusi informacija, tokia
kaip tyrimą vykdanti organizacija / specialistas, jų kontaktinė
informacija ir ataskaitos saugojimo vieta.
II dalyje pateikiama esminė ataskaitos pateikimo priežastis ir tyrimo
santrauka.
III dalis – pagrindinė ataskaitos dalis, kurioje aprašomas tyrimo
procesas, rasti įkalčiai, formuluojamos tyrimo išvados ir t. t.
IV dalyje pateikiami ataskaitos priedai, nuorodos į naudotą medžiagą,
padėkos ir t. t.
5. Elektroniniai incidentai Lietuvoje
• 2017 metais CERT-LT ištyrė 54 414 incidentų pagal pranešimus, gautus iš
Lietuvos
• elektroninių ryšių paslaugų teikėjų, užsienio CERT tarnybų, atliekančių
tarptautinius
• incidentų tyrimus, ir iš Lietuvos interneto naudotojų.
• Per 2018 m. III ketvirtį Lietuvos Respublikos ryšių reguliavimo tarnyba (RRT)
interneto karštąja linija gavo 718 pranešimų apie neteisėtą ar žalingą turinį
internete. Interneto naudotojai siuntė pranešimus apie internete rastą
informaciją, susijusią su rasinės ir tautinės nesantaikos kurstymu,
pornografija, vaikų seksualiniu išnaudojimu, smurtu ar patyčiomis prieš
asmenis, narkotinių medžiagų platinimu, taip pat apie neleistiną asmeninės
informacijos skelbimą.
5. Elektroniniai incidentai Lietuvoje

NEE Skaidrės v2 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NEE Skaidrės v2 PDF

Uploaded by

Copyright:

Available Formats

Nusikaltimai elektroninėje erdvėje ir jų

E. nusikaltimo poėmis ir analizė kompiuterizuotoje darbo vietoje

ALMANTAS KARVELIS – nužudytas

Kriminalistiniams tyrimams skirtų įkalčių analizė remiasi skirtingų

Norint sparčiau pasiekti šią informaciją ir lengviau sukonfigūruoti tam

E. nusikaltimo įrankiai neapsaugotiems įkalčiams gauti

In situ kriminalistinių tyrimų naudojamus

In situ (in-situ) yra lotynų kalbos terminas, pažodžiui verčiamas

Operatyviosios atminties analizei galime panaudoti „LiveKd“ įrankį

Turėdami VM virtualųjį diską (VHD), galime atlikti jo analizę. Pastebime,

Norėdami prijungti virtualų diską, meniu Action pasirenkame Attach

RAW formatas mums reikalingas dirbant su dideliais duomenų kiekiais

virtual size: 214958080

C:\Program Files\qemu>qemu-img.exe create -f raw -o size=20G

C:\Program Files\qemu>qemu-img.exe convert -O raw "C:\Users\user\Documents\Debian

Windows 8.1 operacinės sistemos aktyvių procesų analizei galima

Įvykių žurnale galima rasti naudotojo veiksmų istoriją

Kiekvienas įvykis turi savo identifikatorių EventID, pagal kurį galima

Thumbs.db – tai sudurtinis failas, kuriame saugomi sumažintos apimties

Windows 8.1 operacinę sistemą nagrinėjant in situ būdu, reikėtų

Įjungiant kompiuterį OS stebi, kurias programas paleidžiate. Windows šią

Norėdami sužinoti, kokia taikomoji programa ir kada buvo paleista,

Spragtelėję dominančios programos pavadinimą dešiniuoju pelės

Application: FIREFOX SETUP STUB 36.0.4.EXE

Įdiegtos programos paprastai saugomos kataloge c:\Program Files\.

Kiekvieno naudotojo asmeniniame šakniniame kataloge yra failas

Windows standžiajame diske esančio šešėlinio disko kopijavimo

Komandų pavyzdžiai (eilutės gale būtinas simbolis „\“):

VSS turi peržiūrėjimo pagal laiką ir datą galimybę. Žemiau pateiktas

Loreta Garmutė MGTF-7

Vartotojų registro ir istorijos failų analizė

• NTUSER.DAT kriminalistinė analizė

Norint nustatyti, ar audito funkcija yra jungta, galima pateikti užklausą

Jeigu prisijungimų prie sistemos registravimas (angl. Audit Logon Events)

Logon prasideda 22 bitu

16-bit (2 bitai) reikšmės:

00 00 nėra įjungta „auditing“

Turėdami šiuos rezultatus, galime priskirti prisijungimo datas atliktiems veiksmams

Kiekviename iš jų yra po žemesnės kategorijos raktą su analizuojama informacija, pavadintą

Naudojantis šiuo įrankiu, galima peržiūrėti stulpeliu pateiktus įrašus bei

UEME_RUNPATH - Vartotojas buvo paleidęs nurodytą programą

Nurodo užklausas įvykdyti komandoms/paleisti programas iš Start -> RUN nustatymų.

Parodo programą, kuri buvo naudota atverti failams “OpenSaveMRU” rakte

RecentDocs raktas, kuris savo struktūra panašus į OpenSaveMRU, suteikia

Užuomena: Naujas .lnk

Daugelis programų, ne vien Office paketas, registre talpina informaciją

Windows 7 ir naujesnėse versijose - UsrClass.dat faile bei raktuose:

Pradedant Windows 7 versija, informacijos paieška, atlikta iš "Start" laukelio, įrašoma

Pats dažniausias vartotojų įrankis neabejotinai yra interneto naršyklė. Dažniausiai

Naršymo istoriją galima rasti History.IE5 faile, patalpintame "%userprofile%", kuriame

regedit search User Shell Folders

Patalpinta SQLite duomenų bazės formatu. Ją galima rasti:

Failas, kuriame yra naršymo istorija, patalpintas:

%userprofile%\ AppData\Local\Google\Chrome\User Data\default\

Failas, kuriame yra naršymo istorija, patalpintas:

Debesų paslaugų ir elektroninio pašto kriminalistinė analizė

Nemokamai bandomajam 60 dienų

2 GB (iki 18 GB, Web sąsaja, Microsoft

Elektroninio pašto kriminalistika

Iš registrų failų galime rasti tinkamos informacijos

• Kadangi informaciją apie elektroninio pašto

Turėdami prisijungimo vardą ir slaptažodį, galime pilnai

Kiti failai sukuriami kliento diegimo metu (greito