![Page 1: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/1.jpg)
UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE
-Master studije-
Privremeni fajloviTragivi sa Interneta
Prof. dr Gojko Grubor
18.04.23 Digitalna forenzika 1
![Page 2: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/2.jpg)
Ciljevi
– Identifikovati uobičajane tragove ostavljene na računaru posle
rada na iInternetu
– Obezbediti primere privremenih fajlova koje kreira računar i kako
se mogu koristiti za dokaze
– Opisati kako Windows OS-i koriste link & log fajlove za pomoć
korisniku
18.04.23 Digitalna forenzika 2
![Page 3: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/3.jpg)
Internet pretraživači
• Četiri glavne oblasti su:
– Temporary Internet Cache
– Internet History folder
– Internet Cookies
– Favourites
18.04.23 Digitalna forenzika 3
Privremeni Internet fajlovi
![Page 4: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/4.jpg)
Internet CacheZašto postoji Internet keš?
Lokacija:• Win9X & ME
– Bez korisničkog profila• C:\Windows
– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su podrazumevana podešavanja – mogu se nalaziti bilo gde
18.04.23 Digitalna forenzika 4
![Page 5: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/5.jpg)
Podešavanje Internet Cache-a
• Kontroliše se u meniju
Tools u toku
podešavanja
u IE.
• Korisnik može izbrisati
fajlove koje želi brisati
18.04.23 Digitalna forenzika 5
![Page 6: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/6.jpg)
Podešavanje Interent Cache-a
18.04.23 Digitalna forenzika 6
• Podrazumevana veličina keša je normalno oko 3% slobodnog prostora diska
• Minimum je 0%???
• Može biti velik koliko korisnik želi
• 0% nije normalna – treba videti zašto?
![Page 7: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/7.jpg)
Struktura Internet Cache-a
18.04.23 Digitalna forenzika 7
Zapazite kreiranu strukturu
fajla– slučajno imenovani
folderi
INDEX.DAT
fajl je zapis koji skuplja
sve informacije
![Page 8: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/8.jpg)
Sadržaj Internet Cache-a
18.04.23 Digitalna forenzika 8
Svi fajlovi koji čine
pogled na web
stranice su zadržane
![Page 9: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/9.jpg)
Šta je Internet Explorer istorija?
• Zapis računara o web sajtovima koje je posetio
korisnik, uključujući:
– Zaštićene servere
– FTP
– Newsgroups
• Kreirani da omoguće naknadnu navigaciju
korisnika kroz ove sajtove sa liste18.04.23 Digitalna forenzika 9
![Page 10: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/10.jpg)
Internet istorija
• Lokacija
• Win9X & ME– Bez korisničkih profila
• C:\Windows
– Sa korisničkim profilima• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su predefinisana podešavanja – može biti bilo gde
18.04.23 Digitalna forenzika 10
![Page 11: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/11.jpg)
Internet istorija – pogled na fajl
18.04.23 Digitalna forenzika 11
![Page 12: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/12.jpg)
Internet istorija• Može se videti
ime putanje i sadržaj
• Može videti sve u Windows formatu
18.04.23 Digitalna forenzika 12
![Page 13: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/13.jpg)
Internet istorija
18.04.23 Digitalna forenzika 13
Omogućava navigaciju kroz stranice gde su korisnici već bili
pomoću IE pretraživača
Na dnevnoj i nedeljnoj bazi
![Page 14: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/14.jpg)
Podešavanja
• Podešavanje Internet Cache i History može se izmeniti u pretraživaču
• Mogu biti važni za ispitivanje
• Podrazumevana istorija je 20 dana Ako nije, zašto?
Digitalna forenzika18.04.23 14
![Page 15: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/15.jpg)
Šta su Cookies (kolačići)?
• Tekstualni fajlovi deponovani na HD računara od strane pretraživača posle posete web lokacija koje ih koriste.
18.04.23 Digitalna forenzika 15
Variable Name
Variable Value
Domain & Path Data
Security Tag
Expiry Date & Time
Modification Date & Time
Record Separator
![Page 16: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/16.jpg)
Cookies• Lokacija
• Win9X & ME– Bez korisničkih profila
• C:\Windows
– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo su podrazumevane lokacije - mogu biti bilo gde
18.04.23 Digitalna forenzika 16
![Page 17: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/17.jpg)
Cookies – pogled na fajl
18.04.23 Digitalna forenzika 17
![Page 18: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/18.jpg)
Šta su Favourites
• Način na koji korisnik upravlja listom često
posećivanih (omiljenih) web lokacija
• Može biti organizovana u odvojene
foldere/kategorije
• Postoji kao URL fajl, koji sadrži tekst
• Imaju sličnosti sa LNK fajlovima
18.04.23 Digitalna forenzika 18
![Page 19: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/19.jpg)
Favourites• Lokacija
• Win9X & ME– Bez korisničkog profila
• C:\Windows
– Sa korisničkim profilom• C:\Windows\Profiles\{Profile Name}
• Windows 2000 & XP• C:\Documents and Settings\{User Name}
• Ovo je podrazumevana lokacija – može biti bilo gde
18.04.23 Digitalna forenzika 19
![Page 20: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/20.jpg)
Internet Explorer i Registry
• Održavanje danima
• Veličina keša
• Otkucani URL’s
• Startna stranica
• Zaštićeno skladištenje/Auto-kompletiranje
18.04.23 Digitalna forenzika 20
![Page 21: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/21.jpg)
Ostali Internet pretraživači
18.04.23 Digitalna forenzika 21
![Page 22: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/22.jpg)
Ostali Internet pretraživači
• Neki koriste IE tehnologiju – i imaju istu
strukturu fajla
• Neki imaju svoju strukturu neki ne
• IE je najviše korišćen
• Forenzičar možda treba istraživati neki
pretraživač i otkriti gde se nalaze dokazi
18.04.23 Digitalna forenzika 22
![Page 23: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/23.jpg)
Peer to Peer
18.04.23 Digitalna forenzika 23
![Page 24: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/24.jpg)
P2P tipovi
• FastTrack
• Gnutella
• Rade na različite načine i imaju različite pridružene skupove fajlova
18.04.23 Digitalna forenzika 24
![Page 25: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/25.jpg)
KaZaA
• Forenzički
– Skladišti termine pretraživanja (šifrovano)
– Skladišti blok liste (liste blokiranih sajtova)
– Skladišti .DAT fajlove (downloads – preuzimanja)
18.04.23 Digitalna forenzika 25
![Page 26: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/26.jpg)
KaZaA
• Forenzički (instaliran)– Skladišti termine pretraživanja (šifrovano)– Skladišti blok liste (liste blokiranih sajtova)– Skladišti .DAT fajlove (downloads – preuzimanja)– DATA{No}.DBB files
• 256, 1024,4096
• Kada se de-instalira– Očišćen je Registar
– Zajednički folder ostaje
– DBB folderi i sadržaji ostaju u korisničkom profilu (ako je primenljivo)
18.04.23 Digitalna forenzika 26
![Page 27: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/27.jpg)
Transfer fajlova (FTP)
• FTP (File Transfer Protocol)
– Log fajlovi su korisni i često se nalaze
– Sadrže vremena i datume aktivnosti
18.04.23 Digitalna forenzika 27
![Page 28: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/28.jpg)
18.04.23 Digitalna forenzika 28
![Page 29: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/29.jpg)
E-Mail baziran u aplikacijama • Outlook
• Outlook Express
• America Online (AOL) 9.0
• Outlook Exchange (PST)
• USENET Groups
• Eudora
• Netscape Messenger
• Pegasus Mail
• Pine
• The Bat!
• Forte Agent
• PocoMail
• Calypso
• FoxMail
• Juno 3.x
• EML message files
• Mozilla Mail
• Entourage
18.04.23 Digitalna forenzika 29
Uskladišteni su na ispitivanom računaru!
![Page 30: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/30.jpg)
E-Mail baziran na web lokacijiNeki primeri• Hotmail• MSN• Yahoo!• Lycos• Mail.com• Fastmail• Neomail• i mnogo drugih……….
Nisu uskladišteni na ispitivanom računaru nego na udaljenom web serveru.
18.04.23 Digitalna forenzika 30
![Page 31: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/31.jpg)
Outlook & Outlook Express
• Outlook
– .PST i .OST tipovi fajlova
• Outlook Express
– .DBX tip fajlova
• Generalno ih kopiraju i koriste forenzički alati
• Pitanja sa kompresijom i šifrovanim fajlovima18.04.23 Digitalna forenzika 31
![Page 32: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/32.jpg)
E-Mail baziran na web lokaciji
• Način rada sa Temp Internet Cache
• Mogu li se uvesti u aplikaciju
• Koristi iste fajlove za skladištenje kao drugi mail-ovi
Koriste iste fajlove za skladištenje18.04.23
Digitalna forenzika 32
![Page 33: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/33.jpg)
Ostaci e-mail-a• Obično se nalaze u nealociranom i Slack prostoru• Informacije hedera lako se nalaze i pretražuju
18.04.23 Digitalna forenzika 33
![Page 34: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/34.jpg)
Servis za ‘četovanje’ (Chat)
18.04.23 Digitalna forenzika 34
![Page 35: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/35.jpg)
Servisi za četovanje
• Yahoo Messenger
• MSN Messenger
• MIRC
• ICQ
• AIM (AOL Instant Messenger)
• Trillian
18.04.23 Digitalna forenzika 35
![Page 36: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/36.jpg)
Servisi za četovanje
• Većina klijenata ostavlja dobre zapise
• Većina ima podrazum-evano logovanje
18.04.23 Digitalna forenzika 36
![Page 37: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/37.jpg)
Servisi za četovanje• Log fajlovi mogu biti korisni sa datumom i
vremenom
• Kao i Registar
18.04.23 Digitalna forenzika 37
![Page 38: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/38.jpg)
Servisi za četovanje• Privremeni fajlovi kreirani u toku daunlodovanja mogu biti
korisni
18.04.23 Digitalna forenzika 38
![Page 39: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/39.jpg)
Servisi za četovanje• Fajl transfer može biti težak za rebutovanje ako su izmenjena
podrazumevana podešavanja korisnika
18.04.23 Digitalna forenzika 39
![Page 40: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/40.jpg)
Servisi za četovanjeLogovanje je korisno bilo da je četovanje tekstualno ili šifrovano (slabijom š.)
18.04.23 Digitalna forenzika 40
![Page 41: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/41.jpg)
Newsgroups
18.04.23 Digitalna forenzika 41
![Page 42: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/42.jpg)
Newsgroups
• Vrlo su slične e-pošti
• Koriste format hedera
• Čitači aplikacija kao što su Outlook Express
mogu se ispitivati na isti način kao za e-poštu
• Čitači tipa Forte Agent mogu se kompletno
kopirati i aktivirati
• Traženje adresa je kao u e-pošti
18.04.23 Digitalna forenzika 42
![Page 43: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/43.jpg)
Fajlovi
• Each screen name gets a set of files
18.04.23 Digitalna forenzika 43
![Page 44: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/44.jpg)
PFC
• Personalni Filing Cabinet
• Pogled na kopiju u forenzičkom alatu
18.04.23 Digitalna forenzika 44
![Page 45: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/45.jpg)
Fajlovi dokaznih informacija
• VERSION.INF – Broj poslednje verzije
• STATUS.INI – Status informacija o klijentu
• INSTALL.LOG –Informacije o instalaciji (vreme i
datum)
• UPDATE.INI – Ažuriranje aplikacije
• PH.PH – Poslednji aktivni fajl
• ERRORLOG.INI – Greške u AOL (vreme i
datum)
18.04.23 Digitalna forenzika 45
![Page 46: 19. Privremeni Fajlovi i Tragovi Sa Interneta](https://reader037.vdocuments.mx/reader037/viewer/2022102800/55cf8ffa550346703ba1e6b4/html5/thumbnails/46.jpg)
Pitanja?
18.04.23 Digitalna forenzika 46