Seminarski rad iz predmeta:

ZAŠTITA RAČUNARSKIH SISTEMA

Tema:

Student: Profesor:
ALEN GRGIĆ 09/18-ri PROF. DR. DRAGAN SOLEŠA
1) Deleted Files Search
SADRŽAJ 1) Raw disk viewer- interfejs
2) Glavni interfejs 2) Kontekstni meni nastavak
3) Osnovna upotreba 3) Dodatni podmeni
4) Osnovna upotreba unaprijed postavljenih opcija 4) Za najbolje rezultate
5) Višestruko pretraživanje 5) Konfiguracija za pretragu izbrisanih datoteka
6) “Wildcard”-zamjenski znak 6) Konfiguracija za “File Carving”
7) Napredne postavke 7) Skeniranje po ekstenziji fajla
8) Rezultati pretrage 8) Vrste prikaza rezultata pretrage
9) Konvencija o imenovanju rezbarenih 9) Dodatni meni:
datoteka „Carved files” 10) Prikaz klastera (grupa) izbrisanih datoteka
10) Desni klik- meni
11) Kontekstni meni
 Deleted Files Search
Modul za pretraživanje izbrisanih
datoteka može se koristiti za
oporavak datoteka koje su trajno
izbrisane iz sistema (dakle onih
datoteke koje se više ne nalaze ni u
„korpi“).
 Deleted Files Search
Ovo je posebno korisno za oporavak
datoteka koje je korisnik možda
pokušao uništiti radi skrivanja
nekih dokaza.
Glavni interfejs
 Osnovna upotreba
Osnovno pretraživanje izbrisanih datoteka
jednostavno uključuje unos pojma za
pretraživanje i odabir fizičkog diska.
OSForensics će skenirati odabrani disk za
tragovima izbrisanih datoteka čije ime
sadrži pojam koji smo unijeli za pretragu.
Osnovno pretraživanje ne razlikuje velika i
mala slova.
 Osnovna upotreba unaprijed
postavljenih opcija
Možete odabrati jednu od unaprijed
postavljenih opcija pretraživanja za
brzo lociranje slikovnih datoteka
ili dokumenata.
Višestruko pretraživanje
Pretraživanje više različitih
pojmova odjednom vršimo tako što
pojmove odvajamo separatorom ;(tačka
zarez):
pojam1;pojam2;pojam3;pojam4....itd.
Višestruko pretraživanje
Također je moguće koristiti i
“wildcard” pretraživanje sa
znakovima '*' ili '?' kao zamjenski
znakovi unutar pojma za
pretraživanje. predstavlja bilo koji broj znakova
poj*;po?am2;poja*;pojam?....itd.

predstavlja samo jedan znak

“Wildcard”-zamjenski znak
Ako se zamjenski znak (wildcard) unese bilo gdje
u polje za pretraživanje, podudaranje zamjenskih
znakova je omogućeno za sve pojmove pretrage.
ovo će pretražiti cijeli disk koji smo odabrali bez obzira na naziv, jer
* zvjezdica mjenja sve znakove.
'*' na početku i na kraju pojma se postavlja ako
pokušavate pronaći neku riječ koja se može
pojaviti usred naziva datoteke.
*rg* Kao rezultat pretrage možemo dobiti Grgić, Grgeč isl.

*rg* Grgić Grgeč

 Napredne postavke
Klikom na gumb bit ćete
preusmjereni na prozor Konfiguracija
pretraživanja izbrisanih datoteka
gdje se mogu odabrati naprednije
opcije za pretragu.
 Rezultati pretrage
Rezultati pretraživanja prikazuju se
u jednom od nekoliko prikaza zajedno
sa sažetkom broja stavki koje su
tražene/pronađene.
 Rezultati pretrage
Prikaz Popisa datoteka sadrži popis
naziva datoteka, zajedno s
odgovarajućim metapodacima i
pokazatelj kvalitete između 0-100
(u obliku male diode ).
 Rezultati pretrage
Vrijednost blizu 100 znači da je
izbrisana datoteka uglavnom u taktu,
sa samo nekoliko nedostajućih
skupina podataka.
Rezultati su razvrstani prema
kriterijima koje smo odabrali iz
kombo boxa za Sortiranje.
 Konvencija o imenovanju rezbarenih
datoteka „Carved files”
Za izrezbarene datoteke, konvencija
imenovanja je sljedeća:
„rezbarena '[vrsta]’ datoteke [lokacija
sektora u HEX -u]. [ekstenzija]
npr.:
rezbarena 'jpg' datoteka 0x0003FA22.jpg ".
 Desni klik- meni
Desnim klikom na
izbrisanu datoteku
otvorit će se kontekstni
izbornik opcija dostupnih
za odabranu datoteku.
Dodatni podmeni neće
biti dostupak ukoliko
nije odabrana barem
jedna datoteka!
 Kontekstni meni
Otvara izbrisanu
datoteku pomoću programa OSForensics
Viewer radi temeljitije analize
Otvara izbrisanu
datoteku zadanim programom
omogućava korisniku
odabir programa za otvaranje
izbrisane datoteke
 Kontekstni meni
Otvara grafički
prikaz lokacije grupa datoteka (file
clusters) na fizičkom disku.

Otvara karticu “Raw

Disk Viewer” i prelazi na prvu grupu
odabrane izbrisane datoteke
Raw disk viewer- interfejs
Kontekstni meni nastavak
Dodajte listu
rezultata izbrisanih datoteka u
“Case” (engl. slučaj) kao HTML ili
CSV datoteku.
Izvozi popis
rezultata izbrisanih datoteka i
pridruženih atributa u TXT, CSV ili
HTML datoteku.
Kontekstni meni nastavak
Uključuje /
isključuje “checkbox” za trenutne
stavke.
Odaberi sve stavke.
u ovom odatnom
podmeniju se može pristupiti ako smo
odabrali neke stavke iz pretrage.
Dodatni podmeni
Ovako izgleda
taj dodatni
podmeni koji se
dobije ukoliko
smo odabrali
neke stavke iz
pretrage;
Dodatni podmeni

Ova opcija
dodaje odabrane
stavke u željeni
“case” -> slučaj
Dodatni podmeni

Uklanja izbrisane
datoteke iz nekog
“Case”-a
 Dodatni podmeni
Provjerava dali se
odabrane izbrisane
datoteke nalaze u “haš
set”-u aktivne baze
podataka.

U mojoj pretrazi se NISU nalazile:

Dodatni podmeni
Izvozi/eksportuje
odabrane
izbrisane
datoteke i
pridružene
atribute u TXT,
CSV ili HTML
formatu ;
Dodatni podmeni

Sprema izbrisane
datoteke na
disk;
Dodatni podmeni
Sprema izbrisane
datoteke na
disk,
uključujući i
klastere koji su
dodijeljeni toj
datoteci
 Za najbolje rezultate
Za najbolje rezultate u oporavku
izbrisane datoteke, važno je da se na
disku odvija što manje aktivnosti (poput
stvaranja ili mijenjanja datoteka).
Bilo kakve promjene mogu prepisati
informacije o fajlu ili sadržaju
datoteke.
 Za najbolje rezultate
Sliku odabranog diska treba snimiti
što je prije moguće.
Obnovljene datoteke treba sačuvati
na drugom disku jer oporavak na
istom disku može prepisati neke
informacije o fajlu.
 Za najbolje rezultate
OSForensics bi bilo najbolje
pokrenuti s USB pogona.
Ovo omogućava korištenje softvera
bez instalacija na sistemu, čime se
smanjuje vjerovatnoća promjena
sistemskih datoteka.
 Za najbolje rezultate
Datoteke slike diska (disk image files) i
fizičke diskove treba montirati u režimu samo
za čitanje (read only), kako bi se izbjeglo
bilo kakvo prepisivanje podataka od strane
operativnog sistema ili drugih aplikacija.
Konfiguracija za pretragu izbrisanih
datoteka
Prozor za konfiguraciju pretraživanja
izbrisanih datoteka omogućava korisnicima da
konfigurišu postavke pretraživanja za
izbrisane datoteke.
Na 11. slajdu ove prezentacije, ukratko je
opisano na koji način možemo pristupiti ovoj
konfiguraciji, a to je pomoću tipke .
Konfiguracija za pretragu
izbrisanih datoteka
Konfiguracija za pretragu
izbrisanih datoteka
Ova opcija
određuje minimalni
nivo kvaliteta
obrisane datoteke
koju treba
uključiti u
rezultate
pretrage.
Konfiguracija za pretragu
izbrisanih datoteka
Ako je ova opcija
označena,
pretraživanje će
biti osjetljivo na
velika i mala
slova.
Ova opcija je po
defoltu
onemogućena.
Konfiguracija za pretragu
izbrisanih datoteka
Ako je ova opcija
uključena, nazivi
mapa će također
biti uključeni u
pretraživanja, a ne
samo nazivi
datoteka.
Ova opcija je po
defoltu takođe
onemogućena.
Konfiguracija za pretragu
izbrisanih datoteka
Kad je ovo odabrano, rezultati
uključuju samo ako je niz za
pretraživanje uparen kao upisana
riječ u imenu datoteke.
Pored razmaka, sljedeći znakovi se
koriste kao znakovi za prekid oko
riječi: "_-.()[]".
Na primjer, ako pretražujemo "Test" s
omogućenom ovom opcijom pokazale bi
datoteke poput “:
‹ "_Test.txt",
‹ "A(Test).jpg",
‹ "Ovo je Test.docx" ili
‹ "file.test".

Ali neće pokazati:

‹ "testing.txt",
‹ "testimony.pdf" ili
‹ "contest.zip". Isl.
Konfiguracija za pretragu
izbrisanih datoteka
Umjesto pronalaženja
datoteka iz glavnih
tablica datoteka, “File
carving” (urezivanje
datoteka) gleda na sirove
podatke fizičkog diska za
datoteku, uključujući i
zaglavlja.
Ovo zahtjeva čitanje svih
podataka na disku, pa je
ova metoda mnogo sporija
od standardne metode.
Konfiguracija za pretragu
izbrisanih datoteka
Ovo je jedna dodatna opcija
za “File carving” koja nam
otvara slijedeći prozor:
Konfiguracija za pretragu
izbrisanih datoteka
Omogućava korisniku da
odredi ograničenja
veličine datoteke za
rezultate pretraživanja.
Korisnik može unijeti
bilo koji minimum,
maksimum, oba ili ni
jedno.
Jedino ograničenje je da
maksimum mora biti veći
od minimuma.
Konfiguracija za “File Carving”
Za FAT i NTFS sisteme,
OSForensics ima mogućnost
indeksiranja samo
neraspoređenih sektora
(unallocated sectors).
Ovo će otkriti datoteke u
neiskorištenom dijelu
diska.
Izbor ove opcije će
prisiliti OSForensics da
skenira cijeli disk
uključujući i sektore
koji mogu biti
dodijeljeni za neobrisanu
datoteku.
Konfiguracija za “File Carving”
Prilikom odabira
fizičkog diska pretražit
će se cijeli sadržaj tog
diska, što može vratiti
datoteke koje se zapravo
ne brišu ako na tom
disku postoje “radne”
particije (C:).
Prilikom odabira samo
jedne particije
pretraživat će se samo
nedodijeljeni prostor na
toj odabranoj particiji.
Konfiguracija za “File Carving”
U standardnom Linux
sistemu datoteka kao što
je EXT2, sadržaj
datoteka se pohranjuje u
nizu blokova podataka.
Svaka datoteka na
sistemu ima indeksni
čvor (inode) koji sadrži
pokazivače na ove
blokove podataka.
Metadata primjer: Datum kreiranja, datum pristupa, veličina datoteke isl.
Konfiguracija za “File Carving”
Samo je prvih 12 blokova
podataka direktno
usmjereno na inode.
Ako je datoteka veća od 12
blokova podataka, sistem
datoteka će dodjeliti
"indirektni blok" koji
sadrži dodatne pokazivače
na sadržaj datoteke.
Konfiguracija za “File Carving”
Prvi indirektni blok se
obično nalazi neposredno
nakon prvih 12 blokova
podataka.
Ako je ova opcija
omogućena, onda će
OSForensics pokušati
otkriti indirektni blok za
svaki fajl i izrezbariti
ga.
OSForensics podržava samo
otkrivanje i uklanjanje
prvog indirektnog bloka.
Dvostruki i trostruki
indirektni blokovi nisu
podržani.
Konfiguracija za “File Carving”
Ova opcija
omogućava da
korisnik odabere
raspon rezbarenja
(Carve Range),
jer je ponekad
korisno pogledati
samo određeni dio
diska.
Skeniranje po ekstenziji fajla
Zadani tipovi datoteka se
učitavaju iz datoteke
"osf_filecarve.conf" u
direktoriju ProgramData.
Moguće je i dodavanje
dodatnih vrsta datoteka
ili ukloniti trenutno
omogućene vrste datoteka.
 Skeniranje po ekstenziji fajla
Zadani tipovi datoteka, s popisa se mogu
ukloniti, ali se njihove definicije ne mogu
uređivati.
OSForensics će izrezati korisnički
definirane tipove datoteka, ali će tražiti
samo uzorak zaglavlja i/ili podnožja kada
uzorak podnožja nije naveden.
 Vrste prikaza rezultata pretrage
prikazuje rezultate PRIKAZ 1: PRIKAZ DETALJA O DATOTECI
pretrage u obliku
tabele, navodeći
nazive datoteka
zajedno sa
relevantnim
atributima i
metapodacima.
Rezultati se
sortiraju prema
kriterijumu koji je
korisnik odabrao u
combo boxu i to
vrijedi za sve
naredne vrste
prikaza;
 Vrste prikaza rezultata pretrage
prikazuje PRIKAZ 2: LISTA IZBRISANIH DATOTEKA
rezultat
pretrage kao
listu naziva
datoteka,
zajedno sa
odgovarajućim
metapodacima
i ikonama.
 Vrste prikaza rezultata pretrage
prikazuje rezultate PRIKAZ 3: SLIČICE
pretrage kao listu
sličica uključujući
i putanju do
datoteke.
Ovo je posebno
korisno ukoliko
tražimo neke
medijske datoteke,
jer omogućava
korisniku da brzo
pregleda sličicu
medijske datoteke.
 Vrste prikaza rezultata pretrage
prikazuje PRIKAZ 4: GRAFIKON VREMENSKE LINIJE
interaktivni
trakasti
grafikon koji
korisniku pruža
vizuelni
pregled
distribucija
datoteka s
obzirom na
datum datoteka.
 Vrste prikaza rezultata pretrage
Ovaj prikaz je PRIKAZ 4: GRAFIKON VREMENSKE LINIJE

koristan za
identifikaciju
raspona datuma
gdje je došlo
do značajne
aktivnosti
obrisane
datoteke.
 Vrste prikaza rezultata pretrage
Granularnost skale PRIKAZ 4: GRAFIKON VREMENSKE LINIJE
može se podesiti
klikom na trakaste
grafikone da biste
uvećali ili dugme
'-' u gornjem
desnom uglu da
biste umanjili.
Desni klik na
odeljak trake
otvara sledeći
meni:
 Dodatni meni:
eksportuje
prikazuje samo one
rezultate u
datoteke koje
HTML format.
pripadaju odabranoj
vremenskoj traci.

Eskportuje Eskportuje
rezultate u rezultate u
tesktualni .csv format
format
Prikaz klastera (grupa) izbrisanih
datoteka
Prozor Prikaz klastera izbrisanih
datoteka (Deleted File Cluster View)
pruža grafički prikaz alokacije
izbrisanih grupa datoteka na
fizičkom disku.
Prikaz klastera (grupa) izbrisanih datoteka

Tabela prikazuje informacije o

fragmentaciji obrisane datoteke.
Prikaz klastera (grupa) izbrisanih datoteka

Karta pruža grafički prikaz lokacije

fragmenata u odnosu na fizički disk na kojem
se nalazi.