VISOKA ŠKOLA „CEPS-CENTAR ZA POSLOVNE STUDIJE“ KISELJAK

INFORMACIJSKE TEHNOLOGIJE

NERMIN HAĐIĆ

SEMINARSKI RAD:

SOFTVERI U DIGITALNOJ FORENZICI

U Kiseljaku, 2018. godine

2
 DIGITALNA FORENZIKA
Digitalna forenzika je nauka koja ima za cilj prikupljanje, čuvanje, pronalaženje, analizu i
dokumentiranje digitalnih dokaza tj. podataka koji su skladišteni, obrađivani ili prenošeni u
digitalnom obliku.
Softverski alati koji se koriste u forenzičkoj istrazi često su komercijalni i treba za njih
izdvojiti velike svote novca. Međutim, postoji veliki broj besplatnih i opensource programa
koji su priznati od strane stručnjaka za ovu oblast.
Pomenućemo specijalizovane Linux Live diskove DEFT Linux, Penguin Sleuth Kit, F.I.R.E,
CAINE i Helix koji su namjenjeni upravo forenzičkoj analizi diskova i mrežnog saobraćaja i
sadrže grafičke i konzolne alate razvijene za ovu specifičIsto tako, i besplatni Windows
programi koje vrijedi isprobati su DEFT Extra – skup Windows aplikacija za analizu diskova
i logova, i OSForensics sa izvanredno organizovanim spiskom programa i procedura koje se
koriste u forenzičkoj praksi. Međutim, mnogi stručnjaci koriste zasebne programe koji nisu
dio nekog paketa a sposobni su da prikažu podatke koji zanimaju istražitelje: programi za
povratak izbrisanih fajlova, programi za pronalaženje i prikazivanje logova, ili za praćenje i
analizu mrežnog saobraćaja, razni HEX editori ili HASH analizatori.nu namjenu.

3
Nema okolišanja – već pri prvom pokretanju jasno daje do znanja kome je ovaj alat
namijenjen sasvim otvoreno prikazujući čime sve raspolaže…

4
 Forenzički softverski alati
Nakon što je obavljena istraga i nakon što su predstavljeni njezini rezultati, dokazi postaju
subjekt temeljitog proučavanja u sudnici.
 Kako bi se osigurala pravovaljanost dokaza razvijeno je mnoštvo softverskih alata koji
pomažu forenzičkim stručnjacima u pregledavanju, pretraživanju i analizi dokaza.
 Ugled pojedinih proizvoĎača forenzičkog sofvera može dodatno pojačati dokaznu
snagu prezentiranog Nalaza, te se preporuča koristiti autorizirane inačice softvera čija
se licenca onda spominje i u Nalazu.

Softver za manipulaciju diskom

 PDBlock–softver tvrtke Digital Intelligence koji sprečava pisanje po izvornom disku

prilikom forenzičkog kopiranja diskaDriveSpy –softverski alat tvrtke Digital
Intelligence baziran na DOS-u, sa interfejsm sličnim istom, a koji omogućava
stvaranje forenzičke kopije diska, obnavljanje obrisanih podataka, neiskorištenih
dijelova sektora, hash analizu
 Forensic Replicator –softver tvrtke Parben Forensics Tools za forenzičko kopiranje
različitih medija
 FTK Imager –softver tvrtke AccessData Corporation za forenzičko kopiranje
 DiskSig–softver tvrtke NTI koji služi za provjeru autentičnosti forenzičke kopije diska
 SnapBack® Exact–softver tvrtke SnapBack koji služi za forenzičko kopiranje diska
 GetFree –softver tvrtke NTI koji služi za kopiranje svog osloboĎenog prostora diska,
spremanje tih podataka na drugi medij te njihovu analizu
 GetSlack –softver tvrtke NTI koji radi na istom principu kao GetFree, samo što kopira
slack space

Softver za obnavljanje podataka

 Ontrack – softver za obnavljanje podataka izbrisanih sa diska
 AcoDisk – softver za obnavljanje podataka sa CD-a
 MediaMerge for PC – softver tvrtke
 Computer Conversions koji služi za obnavljanje podataka s optičkih, tvrdih diskova,
CD-a.

5
OnTrack
 Za šta možete koristiti Ontrack EasyRecovery?
 Oporavite slučajno izbrisane datoteke, fascikle, dokumente, fotografije, video
zapise i još mnogo toga
 Oporavite nedostajuće datoteke
 Obnavljanje podataka o korumpiranim, oštećenim, obrisanim ili formatiranim
količinama
 Pruža mogućnost pauziranja i nastavka obnavljanja podataka kasnije.

AcoDisk
 Izvršava oporavak i popravku na optičkim medijima za skladištenje kao što su
CD-ROM, CD-R, CD-RW, DVD-RAM, DVD-R / W, DVD + R / W, mini-
CD-R, CompactFlash, Smart Media i Sony memorijske štapove.

6
 MediaMerge for PC
Alat tvrtke Computer Conversions koji služi za obnavljanje podataka s optičkih medija i
tvrdih diskova.

Softver za pregled binarnih datoteka

010 Hex editor – softver tvrtke SweetScape koji služi za pregledavanje binarnih datoteka

7
Zašto je 010 Editor tako snažan? Za razliku od tradicionalnih hex urednika koji prikazuju samo sirov
heks bajt datoteke (1), 010 Editor također može parirati datoteku u hijerarhijsku strukturu koristeći
Binary Template (2). Rezultati pokretanja binarnog šablona su mnogo lakše razumjeti i uređivati nego
koristiti samo sirove heks bajtove.Binarni predlošci se lako mogu pisati i izgledati slično C / C ++
strukturama, osim što mogu sadržavati ako, za ili dok su izjave, kao i funkcije ili kompleksni
izrazi.Dovoljno moćno da razdvaja skoro bilo koji binarni format datoteke.Može se podesiti da se
pokreće automatski kada se datoteke otvaraju
Hex Workshop prikazan na slici je programski paket tvrtke Break Point koji služi za pregledavanje i
upravljanje datotekama, predviđen za rad na operacijskom sistemu Windows.

Višenamjenski forenzički softveri

 EnCase – proizvodna linija tvrtke Guidance Software, jedna od najpotpunijih
forenzičkih softverskih alata
 Maresware - softverski alat tvrtke Mares and Company koji je kolekcija korisnih
alata za forenziku na mjestu zločina
 Access Data
 ASR
 Digital Intelligence

8
 EnCase

Program je internacionalno priznat od strane sudskih ustanova, te se koristi širom svijeta.

Osim u sudsko-policijskim istragama, program je popularan i na privatnom sektoru. Široku
primjenu nalazi i na području vojno-obavještajnih ali i drugih sigurnosnih institucija.
Može se reći da je EnCase industrijski standard u digitalnoj forenzici. Između ostalog odlikuje
ga dobra podrška korisnicima kao i velika baza korisnika. Korištenjem EnCase-a može se
uraditi kompletna forenzička analiza počevši od akvizicije do konačnog izvještaja.EnCase
radi na Windows platformi, a postoji LinEn verzija koja se bazira na Linuxu.

9
 Maresware
Maresware: pruža osnovni skup alata za istraživanje računarskih zapisa plus moćne
mogućnosti analize podataka. Ovaj komplet od preko 40 odvojenih, visoko ciljanih programa
vam pruža fleksibilnost za postizanje širokog spektra zadataka. I to vam daje kontrolu da
izvršite bilo kakvu istragu ili analizu onako kako želite.

Glavne karakteristike Mareswarea:

 Brzina i veliki kapacitet: Izuzetno brza obrada fajlova praktično neograničene veličine
(ova karakteristika dizajna je konstruisana korišćenjem visoko efikasnog C-
programiranja i razvojem neintegriranih, visoko ciljanih pojedinačnih programa.
 Korisnička kontrola: odabirom koji program (e) koristi, korisnik - a ne softver -
određuje svaki korak analize i određuje njegov preferirani format izlaza. Svi programi
koriste slične opcije komandne linije.
 Fleksibilnost: Učinite pojednostavljene pojedinačne zadatke ili koristite bilo koju
kombinaciju / niz programa za operacije u više koraka.

Acce
ss Data

Jedan od programa Acces Data je Forensic Toolkit, ili FTK, je softverski forenzički softver.
Skenira čvrsti disk koji traži razne informacije. Može, na primjer, locirati izbrisane e-poruke i
skenirati disk za tekstovne nizove da ih koristi kao rječničku riječ za pukotinu šifriranja.
Komplet alata uključuje i samostalni program za snimanje diskova pod imenom FTK Imager.
FTK Imager je jednostavan ali koncizan alat. Štedi sliku čvrstog diska u jednoj datoteci ili u
segmentima koji mogu kasnije biti rekonstruisani. Izračunava vrijednosti ishrane MD5 i

10
potvrđuje integritet podataka prije zatvaranja datoteka. Rezultat je datoteka sa slikama koja se
može sačuvati u nekoliko formata, uključujući DD sirove

Ostali forenzički softver

 Softver za hash analizu
 Drive Spy (Digital Intelligence)
 Hash, Crckit, Discat – softver tvrtke Mares and Company ostalo
 DtSearch – tvrtka koja ima cijelu liniju softverskih alata za pretraživanje podataka
pomoću ključnih riječi
 Net Treat Analyzer – softverski alat za identifikaciju Internet aktivnosti i
pregledavanje zamjenskih datoteka.

Oprez kod korištenja softverskih alata

Iako postoji mnoštvo alata za prikupljanje i analizu dokaza, bez stručnog nadzora
mnoge stvari mogu poći krivo i uništiti dokaze, a samim tim i slučaj.
Stoga valja naglasiti da forenzičku istragu ne može provesti bilo ko služeći se putem
interneta dostupnim alatima, nego nju može kvalitetno i pravovaljano voditi jednino
forenzički stručnjak.
Za privatnu upotrebu u funkciji održavanja vlastitog računarskog sistema se, naravno,
treba poticati korištenje raznih programskih alata, kako onih "free ware" tako i onih koji uz
malu naknadu ("share ware" mogu u potpunosti zadovoljiti potrebe vlasnika računra u
njihovoj potrazi za izgubljenim datotekama, e-poštom i sl.Oprez kod korištenja softverskih
alata.

Besplatni forenzički alati:

 Sleuth Kit  – biblioteka i kolekcija komandno-linijskih alata koji omogućuju
pretraživanje diska i datotečnog sistema. 
 Helix  – skupina forenzičkih alata koja uključuje Sleuth Kit i mnoge druge
aplikacije.
 Foremost  – alat za pretraživanje slikovnih datoteka i različitih datotečnih
sistema, kao što su Linux swap, UFS, JFS, NTFS, FAT12, FAT16, FAT32)

 F.I.R.E. – samostalna skupina alata koja se pokreće kada se upali računar.

 Forensic Toolkit, BinText, Galleta, NTLast, Pasco, Patchit, Rifiuti, i ShoWin

– alati posebno namijenjeni operacijskom sistemu Windows. 

 WinHex  – alat za upravljanje datotekama, diskovima i radnom memorijom u

heksadekadnom formatu

 SMART Linux  – Linux distribucija posebno osmišljena za forenzičku analizu

dokaza. Sadrži alate za analizu podataka, pretraživanje i odgovor na sigurnosni
incident.
11
  Wireshark–alat za analizu mrežnog saobraćaja

 NTFSWalker  – alat za analizu NTFS datotečnog

Autopsy alat
Autopsy Forensic Browser je alat koji pruža grafičko okruženje za softverski paket i koristi se
za izvršavanje analize digitalnih istraga.
• Postoji besplatna inačica alata.
• Funkcionalnost alata temelji se na HTML tehnologiji.
• Autopsy pruža pregled izbrisanih podataka i strukture podataka.
Tvorac alata je Brian Carrier, međunarodno poznat autor i veliki zagovornik legalizacije
upotrebe forenzičkih alata otvorenog kôda.
Budući da se funkcionalnost alata temelji na HTML tehnologiji, njegovom je poslužitelju
moguće pristupiti pomoću bilo koje platforme koja koristi HTML preglednik. Autopsy pruža
interfejs nalik sučelju datotečnog upravitelja (eng. File Manager), a omogućava pregled
izbrisanih podataka i struktura datotečnog sistema. Prije instalacije paketa Autopsy potrebno
je instalirati Sleuth Kit (jednostavnim pokretanjem "./configure", "make", "make install"
naredbi). Prilikom instalacije paketa Autopsy (naredba "make") potrebno je odrediti u koji će
se direktorij spremati dokazi. Ako je instalacija završila uspješno, prilikom pokretanja
programa korisnik dobiva URL adresu koju mora kopirati u adresnu traku web preglednika
kako bi otvorio grafičko interfejs. Istrage su organizirane u slučajeve, a svaki slučaj sadrži
jedno ili više računala. Prilikom stvaranja novog slučaja potrebno je unijeti naziv i opis
slučaja te imena istražitelja, a nakon toga i identificirati računalo koje se istražuje te dodati
slikovnu datoteku diska ili particije koja će se provjeravati. Nakon dodavanja novog slučaja
moguće je provoditi razne analize, pregledavati detalje o pojedinom slučaju i dr. Postoje
različite tehnike pretraživanja dokaza – analiza datoteka i direktorija, njihovog sadržaja,
pretraživanje tzv. hash baze podataka, sortiranje tipova datoteka, praćenje aktivnosti vezanih
uz datoteke, pretraživanje po ključnim riječima, analiza meta podataka i dr. Prilikom analize

12
generiraju se izvješća o datotekama i drugim strukturama datotečnog sistema.

13
Prvi koraci nakon instalacije Autopsy alata:

14
15
16
17
Neki od najčeše korišćenih forenzičkih softverskih paketa su EnCase, FTK, X-Ways
Forensics,iLook i Paraben. Ovi licencirani softverski alati zatvorenog kôda, široko su
primenjeni od strane zvaničnih organa istrage, ali su veoma skupi i često nedostupni drugim
organizacijama.
Autopsy je open source forenzički alat koji ima mnogo istih karakteristika kao i njegovi
komercijalni pandani. Autopsy se isto koristi u zvaničnoj forenzičkoj istrazi.
Autopsy program se pokreće kada se URL unese u jedan od pretraživača (Konqueror ili
Firefox). Potrebno je napraviti novi case (slučaj), dati mu ime i navesti listu istražitelja.
Pokreće se Add Host opcija i dodaju se informacije za New Host.
Dostupna polja su Host Name, Description, Time Zone, Timeskew Adjustment, i HashPaths.
Dodaju se imidži pokretanjem opcije Add Image, a zatim Add Image File. Putanja do imidža
nije uvijek ista (/mnt/sda1/BackTrack/hd.img∗ - zvezdica se koristi kada je imidž podjeljen na
nekoliko fajlova). Sljedeća opcija nudi biranje diska ili particije. U okviru Default import
metoda bira se podrazumjevana vrijednost za Symlink i nastavlja se dalje. Nakon prethodnih
akcija sada se na ekranu pojavljuje opcija Split Image Confirmation koja provjerava da li su
svi dijelovi imidža prisutni. Za potvrđivanje integriteta fajla bira se opcija Calculate the hash
value for this image.
U daljem toku procesa potvrđuje se opcija Testing Partitions. Kada se na ekranu pojavi opcija
Select a volume to analyze, bira se C:/ i obeležava Analyze radio button. Sljedeći korak je
izlistavanje fajlova. Po podrazumevanoj vrijednosti (default) izlistaće se sav sadržaj u root
direktorijumu sa mnoštvom informacija o fajlovima, uključujući vrijeme kada su upisani,
kada im se pristupalo, kada su mjenjani i tako dalje.

18
 Budućnost kompjuterske forenzike 
Digitalna forenzika oblast je koja još uvijek nije pokrivena opšteprihvaćenim standardima,
kako zbog činjenice da je to relativno novo polje, tako i zbog različitog pristupa pojedinih
zakonskih akata ovoj materiji. Ali, ohrabruje činjenica da se digitalnoj forenzici pridaje sve
više pažnje, da se vrši školovanje, obuka i kursevi na fakultetima, specijalizovanim
seminarima ili u okviru kompanija koje se bave ovim poslom, kao i spremnost da iskusni
stručnjaci podjele svoje znanje i praksu javno, putem Interneta ili stručih skupova.
Forenzička nauka, bez obzira na polje svog djelovanja, podrazumijeva primjenu nauke u
izvođenju dokaza. Obzirom da su računovodstvene prevare u današnje vrijeme postale veliki
problem, a razvojem informacionih tehnologija, njihovo činjenje je i olakšano. Sada nam
ostaje da veću pažnju posvetimo otkrivanju već počinjenih zloupotreba putem računara, u
čemu nam može pomoći digitalna forenzika, kao i prevenciji od nastajanja budućih
zloupotreba dajući naglasak na zaštitu informacionih sistema. Borba protiv kompjuterskog
kriminala je sve teža i zahtjeva izuzetna znanja i vještine. Digitalna forenzika, kao efikasno
sredstvo u toj borbi, pronalazi svoju široku primjenu te se ubrzano razvija kao posebna grana
forenzike.

Zaključak
 Razvojem tehnologije porastao je broj kompjuterskih zločina. Izvjesno je da će se taj
trend nastaviti s obzirom na tehnologiju koja se i dalje razvija. Više zapravo i nije
pitanje da li ćemo postati žrtve kompjuterskog zločina, već kada ćemo to postati.
Stoga je neizmjerno važno da forenzički stručnjaci i provoditelji zakona postupaju sa
digitalnim dokazima s osobitom pažnjom, te ih predstave temeljito.

 Broj kriminalnih djela povezanih s mobilnim i računalnim tehnologijama, također je

svakim danom sve veći. U tu svrhu moraju se razvijati obrambene tehnologije, tj.
načini kako će se ta kriminalna djela spriječiti i kako će se otkritiosoba koja je počinila
zločin. Također, može se zaključiti da pojam ekstrakcije podataka se sve više koristi,
jer je pojam povezan s forenzičkom analizom.

 Danas već mnoge agencije pružaju pažnju o prikupljanju, ispitivanju i korištenju

digitalnih dokaza. Uskoro će biti potrebno ne samo to, nego i šire profesionalno
obrazovanje u polju računalne forenzike, jer će zajedno s napretkom tehnologije i
porastom kriminala rasti potreba za osiguravanjem podataka i rješavanjem
kompjuterskih zločina. U želji za podizanjem praga sigurnosti naših sistema, digitalna
forenzika će proširiti svoje granice.

19
Literatura:

Branimir Radić: Osnove računalne forenzike (

http://sistemac.srce.hr/fileadmin/user_root/seminari/Srce-Sys-Seminari
Osnove_racunalne_forenzike.pdf
Carnet:Osnove računalne forenzičke analize
(http://security.lss.hr/documents/LinkedDocuments/CCERT-PUBDOC-2006-11-174.pdf
Oseles, L. Computer Forensics: The Key to Solving the Crime. Scientific paper., 2001.
ComputerForensics.pdf, 2006., An Introduction to Computer Forensics,
http://www.dns.co.uk/NR/rdonlyres/5ED1542B-6AB5-4CCE-838D-
prof. dr Saša Adamović-Digitalna forenzika.
https://hr.wikipedia.org/wiki/Forenzika
Uvod u Racunalnu Forenziku - Scribd
https://www.scribd.com/document/245081937/Uvod-u-Racunalnu-Forenziku
forenzike pdf - P(1) - Docs-Engine.com
https://www.docs-engine.com/pdf/1/forenzike.html
UVOD U RAČUNALNU FORENZIKU
www.ieee.hr/_download/repository/03_Ieee_Uvod_u_racunalnu_forenziku.pd

20