03.isključivanje računara
DESCRIPTION
PrezentacijaTRANSCRIPT
-
*Digitalna forenzika*
UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE-Master studije-DIGITALNA FORENZIKAIskljuivanje raunara
Prof. dr Gojko Grubor
Digitalna forenzika
-
*Digitalna forenzika*Komputerski korisnik
1 = Potpuna neznalica2 = Moe ukljuiti PC3 = Kuca sa obe ruke4 = Moe otvoriti PC i identifikovati komponente5 = Moe nadograditi PC6 = Dobar korisnik softverski paketa 7 = Moe sastaviti PC 8 = Moe napraviti i koristiti makroe 9 = Moe povezati 2 PC zajedno u mreu10 = Sistem administrator, programer i dizajner Microsoft proizvoda
Forenziki istraiva
1 = Potpuna neznalica 2 = Poznaje forenziki softver3 = Zaposlen u forenzikom timu4 = Korisnik forenzikog softvera5 = Pratrauje vie od slika i istrazi 6 = Moe dati izjavu o kompjuterski uskladitenom dokazu 7 = Moe svedoiti o kompjuterski uskladitenim dokazima pred sudom 8 = Moe napisati program ili kod da pomogne ispitivanju (analizi)9 =Moe napisati program za forenziki alat10 = Programira forenziki softver za proizvoaa
Digitalna forenzika
-
*Digitalna forenzika*ISKLJUIVANJE WINDOWS RAUNARACiljevi:Identifikovati nain na koji se Windows moe iskljuiti (shutdown) i uticaj koji moe imati na forenziko ispitivanjeDiskutovati nain na koji forenziar moe reagovati na datu situaciju iskljuivanja raunara i stanja ekranaOpisati principe najbolje prakse uprvljanja procesom iskljuivanja raunara
Digitalna forenzika
-
*Digitalna forenzika*Shutdown raunaraMetod dovoenja maine u poloaj u kojem vie ne funkcionie Korisniki aspekt:Namerava da ponovo ukljui raunar i sauva podatkeDa poisti sve vrsto nepovezane krajeve radnog (fajla)Forenziki aspekt iskljuivanja raunara se razlikuje:Forenziar je odgovoran za sistemeli brzi uvid u sistem kakav je zateen eli da zadri svaki mogui deo dokaza eli da se nita ne izmeni koliko je to mogueNe eli itati sadraj fajlova
Digitalna forenzika
-
*Digitalna forenzika*ta funkcija iskljuivanja ukljuuje?http://support.microsoft.comRegularni (normalni) Shutdown : (Start Shutdown Shutdown options)Iskljuiti sistem do take u kojoj je bezbedno iskljuiti napajanje.Svi baferi fajlova se prenose na disk i svi aktivni procesi se zaustavljaju.Prisilni Shutdown: Uklanjanjem napajanja na neki nainPrimorava procese da se zavre Kad se podesi flag za normalno iskljuivanjeWindows ne informie aktivne aplikacije da se OS iskljuuje Ovo moe izazvati da aplikacije izgube podatkeZbog toga ovi flegovi se mogu koristiti samo u nudi
Digitalna forenzika
-
*Digitalna forenzika*Forenziki naini iskljuivanja?1. Normalni Shutdown?2. Korisniki definisano iskljuivanje?3. Nasilno iskljuivanje?
Digitalna forenzika
-
*Digitalna forenzika*1. Normalni ShutdownKako inicirati normalno iskljuivanje?Start Shutdown ShutdownMaina se konano sama iskljui pod kontrolom OS ta se forenziki interesantno dogaa?Swap Filesse zatvori ili resetujeApplicationsse zatvoreUser Logon se izbriuRegistry bazase auriraTimes & Datesse menjajuTemporary Filesse izbriu
Digitalna forenzika
-
*Digitalna forenzika*2. Korisniki definisano Shutdownta je to?Korisnik odreuje neke akcije na i iznad procesa iskljuivanja OSAplikacijeBatch FajloviKonfiguracijaAntiforenzikiPrepisivanjeienje
Digitalna forenzika
-
*Digitalna forenzika*Primer: Korisniki defiisani dogaaji
Digitalna forenzika
-
*Digitalna forenzika*3. Nasilni ShutdownKako se izvrava nasilni shutdown?Ukloniti napajanje sa raunaraOdakle?Sa zadnje strane raunara izbegavati UPSPodaci na HD ostaju tamo Potencijalno se mogu koristiti:Virtuelna memorija (swap fajlovi)Neka podeavanja registra (promene nisu registrovane) Neki privremeni fajlovi Neki Internet ke i istorijski fajloviNe prepie se slack i.t.d.
Digitalna forenzika
-
*Digitalna forenzika*Efekti nasilnog ShutdownNa Windows sistemu:trebao bi biti u redupostavie flag ili dirty bitFajl sistem NTFS - $Bitmap fajl(izaziva CHKDSK/F da pokrene start-up)Fajl sistem FAT File Allocation Table(izaziva SCANDISK da pokrene start-up)Drugi sistemi kao to su Macintosh i Linux obino e preiveti Posebnu panju obratiti na servere i krajnje Unix sisteme Pozvati eksperta za OS!
Digitalna forenzika
-
*Digitalna forenzika*Stanja: Standby, Hibernate, Sleep?STANDBY
Stanje gde su monitor i HDD iskljueniKomjputer koristi manju snagu napajanja Kada korisnik eli ukljuiti raunar ponovo, raunar se brzo vraa i restaurira desktop u stanje u kojem je ostavljenStandby ne skladiti stanje desktopa na HD znai pad napona u toku Standby stanja moe izazvati gubitak nememorisanih informacija Treba ga koristitit za kratkotrajna odsustva Standby stanje se moe zatiti pasvordom
Digitalna forenzika
-
*Digitalna forenzika*Stanja: Standby, Hibernate, Sleep?HIBERNATEStanje u kojem se raunar iskljuuje da tedi energiju napajanjaPrvo skladiti sve iz memorije na HD Na restartu desktop se restaurira kao to je ostavljen Treba ga koristiti za due odsustvovanje od raunara Ovo stanje se moe zatiti pasvordomSLEEPManifestuje se kao termin koji definie zajedno stanja STANDBY & HIBERNATEOba se mogu izvesti manuelno ili korienjem POWER SCHEMES opcija
Digitalna forenzika
-
*Digitalna forenzika*Proveravati vitalne signale raunaraDa li je maina Ukljuen? Iskljuen? Sleeping?Traiti signale rada raunara: Power LED HDD LED um (ventilator, pristup disku)Kada znamo ta se dogaa, ta uraditi.??.
Digitalna forenzika
-
*Digitalna forenzika*ta govore signali monitora?ukljuen?iskljuen?sleeping!
Digitalna forenzika
-
*Digitalna forenzika*Aktivan Screen Saver?Pomeriti miaPassword Prompt? ta sada?
Digitalna forenzika
-
*Digitalna forenzika*Forenzika pretraga LaptopaRaditi sa njim kao sa PCAli prvo ukloniti baterijuZatim ukloniti kabl za napajanje
Digitalna forenzika
-
*Digitalna forenzika*Praktina vebaPogledajte tri prozora ekrana u paru Razmotrite koje akcije za svaki ekran treba da preduzmete za svaki ekran Notirajte zapaanja i spremite se za diskusiju
Digitalna forenzika
-
(c) CENTREX*
(c) CENTREX
-
*Digitalna forenzika*
Digitalna forenzika
-
*Digitalna forenzika*
Digitalna forenzika
-
*Digitalna forenzika*Odluke koje treba doneti!Koliko aktivnosti je doputeno forenziaru?ta se moe dogoditi kada forenziar donosi odluku?Svaki sluaj zasluuje panju za sebe:ivot ili smrtKidnapovanje/IznuivanjeOdravanje maine u raduPrincip 2 forenzikog ispitivanja raunaraUzimanje imida/preliminarni pregled (Previewing)ifrovanje/On-line skladitenje
Digitalna forenzika
-
*Digitalna forenzika*Kada postoji sumnja nasilno iskljuiti!Izvlaenjem kabla obino se sauva:Virtuelna memorija (swap fajlovi)Neka podeavanja registra Neki privremeni fajlovi Neki Internet ke i istorijski fajlovi i.t.d.Moe spreiti automatski shutdown program da prepie slack itd.
Digitalna forenzika
-
*Digitalna forenzika*Pregled sadrajaTipovi iskljuivanja Windows raunaraDogaaji mogu unititi podatke u toku normalnog iskljuivanja raunara Foprenzike posledicee razliitih metoda iskljuivanja raunara?
Digitalna forenzika
-
*Digitalna forenzika*Provera znanja Koji se dokazi mogu izgubiti u normalnom iskljuivanju?Swap fajl se zatvori ili resetujePrivremeni fajlovi se izbriuRegistar se auriraInformacje o korisnikom nalogu se izbriuPodaci o datumu i vremenu se menjaju
Digitalna forenzika
-
*Digitalna forenzika*Provera znanjata se moe dogoditi u sluaju korisniki definisanog iskljuivanja?Brisanje fajlova kao to su Outlook, Outlook ExpressAktiviranje nekog alata tree strane (trojanca) Softver za eliminaciju dokaza Evidence eleminator
Digitalna forenzika
-
*Digitalna forenzika*Provera znanjaKoji su glavni principi forenzike istrage?
Forenziar ne treba da nita izmeni
Forenziar moe izmeniti ako moe opravdati to i ako je kvalifikovan
Forenziar mora odravati kontrolni trag svog rada
Zvanini organ istrage je odgovoran za ceo tok istrage
Digitalna forenzika
-
*Digitalna forenzika*Provera znanjata znai dirty bit? Artefakt nasilnog iskljuivanja U toku normalnog shutdown, ovaj se bit resetuje na nulu (izbrie se) Skladiti se u $Bitmap fajlu ili FAT Aktivira program za proveru sistema u -start up - CHKDSK or SCANDISK
Digitalna forenzika
******************This needs to be updated to reflect the details of the screen captures*******