Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzika_sustava_zasticenih_bitlockerom [2025/01/26 15:29]
Jakovina Filip [Forenzička analiza] 		racfor_wiki:seminari2024:forenzika_sustava_zasticenih_bitlockerom [2025/01/26 21:37] (trenutno)
Jakovina Filip [Forenzika sustava zaštićenih Bitlockerom]
Redak 1: Redak 1:
-===== Forenzika sustava zaštićenih Bitlockerom =====+====== Forenzika sustava zaštićenih Bitlockerom ======
  
 Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25.
  
 +[[https://ferhr-my.sharepoint.com/:v:/g/personal/fj53514_fer_hr/EQKKeSqCBi5Fv7WhUQBOtk8BEbANzlHecd3kRgaUNFEWwg?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=VzT81n|Video prezentacija]]
  
  
-==== Sažetak ==== 
  
 +===== Sažetak =====
  
-==== Uvod ====+Ovaj rad istražuje BitLocker tehnologiju, njezinu ulogu u šifriranju podataka i metode forenzičke analize sustava zaštićenih ovom tehnologijom. Opisuje ključne značajke BitLockera, izazove u pristupu šifriranim podacima, korake forenzičke analize te alate i tehnike koji omogućuju uspješno dešifriranje i obradu podataka. 
 + 
 +===== Uvod =====
  
 BitLocker je sigurnosna značajka sustava Windows koja omogućuje šifriranje cijelih particija, štiteći podatke od neovlaštenog pristupa u slučaju gubitka, krađe ili nepropisnog povlačenja uređaja iz upotrebe. BitLocker je sigurnosna značajka sustava Windows koja omogućuje šifriranje cijelih particija, štiteći podatke od neovlaštenog pristupa u slučaju gubitka, krađe ili nepropisnog povlačenja uređaja iz upotrebe.
Redak 14: Redak 17:
 Forenzička analiza sustava zaštićenih BitLockerom uključuje metode za pristup i analizu šifriranih podataka u svrhu prikupljanja digitalnih dokaza. Ova analiza može obuhvaćati prikupljanje ključeva za dešifriranje, analizu memorije te korištenje specijaliziranih alata za dešifriranje i ispitivanje podataka. Razumijevanje načina na koji BitLocker upravlja ključevima i šifriranjem ključno je za uspješnu forenzičku analizu ovakvih sustava. Forenzička analiza sustava zaštićenih BitLockerom uključuje metode za pristup i analizu šifriranih podataka u svrhu prikupljanja digitalnih dokaza. Ova analiza može obuhvaćati prikupljanje ključeva za dešifriranje, analizu memorije te korištenje specijaliziranih alata za dešifriranje i ispitivanje podataka. Razumijevanje načina na koji BitLocker upravlja ključevima i šifriranjem ključno je za uspješnu forenzičku analizu ovakvih sustava.
  
-==== Tehnologija Bitlockera ====+===== Tehnologija Bitlockera =====
  
 BitLocker je sigurnosna tehnologija ugrađena u operativni sustav Windows, namijenjena zaštiti podataka putem enkripcije cijelih particija. Ova značajka dizajnirana je kako bi spriječila neovlašteni pristup osjetljivim informacijama u slučaju gubitka, krađe ili kompromitacije uređaja. BitLocker je sigurnosna tehnologija ugrađena u operativni sustav Windows, namijenjena zaštiti podataka putem enkripcije cijelih particija. Ova značajka dizajnirana je kako bi spriječila neovlašteni pristup osjetljivim informacijama u slučaju gubitka, krađe ili kompromitacije uređaja.
Redak 22: Redak 25:
 Kako bi omogućio pristup šifriranim podacima, BitLocker koristi različite metode autentifikacije: Kako bi omogućio pristup šifriranim podacima, BitLocker koristi različite metode autentifikacije:
  
-  * TPM modul: Hardverski module koji sigurno pohranjuje ključeve za šifriranje i osigurava autentifikaciju platforme +  * **TPM modul:** Hardverski modul koji sigurno pohranjuje ključeve za šifriranje i osigurava autentifikaciju platforme 
-  * PIN ili lozinka: Korisnik unosi PIN ili lozinku prilikom pokretanja uređaja kako bi otključao šifrirane podatke +  * **PIN ili lozinka:** Korisnik unosi PIN ili lozinku prilikom pokretanja uređaja kako bi otključao šifrirane podatke 
-  * USB ključ: Fizički medij koji sadrži ključ za autentifikaciju +  * **USB ključ:** Fizički medij koji sadrži ključ za autentifikaciju 
-  * Ključ za oporavak: Rezervni ključ koji omogućava pristup u slučaju gubitka primarnih metoda autentifikacije+  * **Ključ za oporavak:** Rezervni ključ koji omogućava pristup u slučaju gubitka primarnih metoda autentifikacije
  
-Kombinacija TPM-a s PIN-om ili lozinkom značajno povećava sigurnost, dok USB ključevi pružaju dodatnu fleksibilnost za korisnike.+Kombinacija TPM-a s PIN-om ili lozinkom značajno povećava sigurnost, dok USB ključevi pružaju dodatnu fleksibilnost za korisnike. [1]
  
  
-==== Forenzička analiza ====+===== Forenzička analiza =====
  
 Forenzička analiza sustava zaštićenih BitLocker tehnologijom predstavlja izazov zbog visoke razine sigurnosti koju ovaj sustav nudi putem napredne enkripcije. Istraživači se moraju osloniti na specijalizirane alate i precizne metodologije kako bi pristupili podacima na zaštićenim diskovima. U ovom dokumentu su objašnjeni alati koji se koriste, kao i metodologije analize koje omogućuju uspješnu obradu podataka. [1] Forenzička analiza sustava zaštićenih BitLocker tehnologijom predstavlja izazov zbog visoke razine sigurnosti koju ovaj sustav nudi putem napredne enkripcije. Istraživači se moraju osloniti na specijalizirane alate i precizne metodologije kako bi pristupili podacima na zaštićenim diskovima. U ovom dokumentu su objašnjeni alati koji se koriste, kao i metodologije analize koje omogućuju uspješnu obradu podataka. [1]
  
-=== Tehnički izazovi u analizi ===+ 
 +==== Tehnički izazovi u analizi ====
 \\ \\
 BitLocker koristi AES algoritam za šifriranje podataka u kombinaciji s TPM modulima koji pohranjuju ključeve za autentifikaciju. Bez ključa za šifriranje, podaci ostaju nečitljivi, čak i ako su fizički dostupni na disku. Ovo otežava pristup često kritičnim informacijama koje mogu biti ključne u forenzičkoj istrazi. [1]\\ BitLocker koristi AES algoritam za šifriranje podataka u kombinaciji s TPM modulima koji pohranjuju ključeve za autentifikaciju. Bez ključa za šifriranje, podaci ostaju nečitljivi, čak i ako su fizički dostupni na disku. Ovo otežava pristup često kritičnim informacijama koje mogu biti ključne u forenzičkoj istrazi. [1]\\
Redak 42: Redak 46:
   - **Osiguranje integriteta podataka:** Sprječavanje oštećenja ili izmjene dokaza tijekom analize [1]   - **Osiguranje integriteta podataka:** Sprječavanje oštećenja ili izmjene dokaza tijekom analize [1]
  
-=== Metodologija analize ===+ 
 +==== Metodologija analize ====
 \\ \\
 Forenzička analiza sustava zaštićenih BitLocker tehnologijom uključuje niz jasno definiranih koraka koji osiguravaju pouzdane rezultate. U nastavku su detaljno opisane ključne faze analize.\\ Forenzička analiza sustava zaštićenih BitLocker tehnologijom uključuje niz jasno definiranih koraka koji osiguravaju pouzdane rezultate. U nastavku su detaljno opisane ključne faze analize.\\
  
-== Prikupljanje podataka ==+=== Prikupljanje podataka ===
 \\ \\
 Prvi korak analize je prikupljanje relevantnih podataka uz očuvanje integriteta dokaza. Prvi korak analize je prikupljanje relevantnih podataka uz očuvanje integriteta dokaza.
Redak 54: Redak 59:
   * **Sigurnosne kopije:** Ključevi za oporavak često su pohranjeni u mrežnim sustavima poput Active Directoryja, Azure AD-a ili čak u Microsoftovom računu korisnika. Prikupljanje ovih podataka zahtijeva odgovarajuće dozvole i pažljivo praćenje dokumentacije. [3]   * **Sigurnosne kopije:** Ključevi za oporavak često su pohranjeni u mrežnim sustavima poput Active Directoryja, Azure AD-a ili čak u Microsoftovom računu korisnika. Prikupljanje ovih podataka zahtijeva odgovarajuće dozvole i pažljivo praćenje dokumentacije. [3]
  
-== Identifikacija metode autentifikacije ==+=== Identifikacija metode autentifikacije ===
 \\ \\
 BitLocker omogućuje različite metode autentifikacije, uključujući: BitLocker omogućuje različite metode autentifikacije, uključujući:
Redak 66: Redak 71:
 Analiza konfiguracijskih datoteka, korisničkih bilješki ili e-mailova može otkriti zapisane PIN-ove ili lozinke. Osim toga, alati poput Passware Kit Forensic mogu pomoći u oporavku PIN-ova ili lozinki putem brute-force ili napada rječnikom. [2]\\ Analiza konfiguracijskih datoteka, korisničkih bilješki ili e-mailova može otkriti zapisane PIN-ove ili lozinke. Osim toga, alati poput Passware Kit Forensic mogu pomoći u oporavku PIN-ova ili lozinki putem brute-force ili napada rječnikom. [2]\\
  
-== Dešifriranje podataka ==+ 
 +=== Dešifriranje podataka ===
 \\ \\
 Kada su ključevi za dešifriranje dostupni, proces je relativno jednostavan. Koriste se alati poput Elcomsoft Forensic Disk Decryptora ili AccessData FTK-a za dešifriranje cijelih volumena uz pomoć pronađenih ključeva iz memorije (RAM-a), sigurnosnih kopija ili mrežnih direktorija poput Active Directoryja. [2, 4] Na primjer, ako se u RAM analizi pronađe FVEK, taj ključ se može iskoristiti za dešifriranje uz minimalan gubitak podataka. [2] Kada su ključevi za dešifriranje dostupni, proces je relativno jednostavan. Koriste se alati poput Elcomsoft Forensic Disk Decryptora ili AccessData FTK-a za dešifriranje cijelih volumena uz pomoć pronađenih ključeva iz memorije (RAM-a), sigurnosnih kopija ili mrežnih direktorija poput Active Directoryja. [2, 4] Na primjer, ako se u RAM analizi pronađe FVEK, taj ključ se može iskoristiti za dešifriranje uz minimalan gubitak podataka. [2]
Redak 77: Redak 83:
   * **Brute-force i napadi rječnikom:** Iako su vremenski intenzivni, ovi napadi mogu biti učinkoviti ako korisnik koristi jednostavne ili predvidljive lozinke. Alati poput Passware Kit Forensic mogu automatizirati ove procese i ubrzati rezultate korištenjem GPU-a za paralelnu obradu. [4]   * **Brute-force i napadi rječnikom:** Iako su vremenski intenzivni, ovi napadi mogu biti učinkoviti ako korisnik koristi jednostavne ili predvidljive lozinke. Alati poput Passware Kit Forensic mogu automatizirati ove procese i ubrzati rezultate korištenjem GPU-a za paralelnu obradu. [4]
  
-=== Korišteni alati ===+ 
 +==== Korišteni alati ====
 \\ \\
 Forenzičari se oslanjaju na različite alate prilagođene analizi šifriranih sustava. U nastavku su opisani najčešće korišteni alati i njihove mogućnosti. Forenzičari se oslanjaju na različite alate prilagođene analizi šifriranih sustava. U nastavku su opisani najčešće korišteni alati i njihove mogućnosti.
  
 == 1. Elcomsoft Forensic Disk Decryptor == == 1. Elcomsoft Forensic Disk Decryptor ==
 +\\
 Ovaj alat koristi slike memorije ili sigurnosne kopije za pronalaženje ključeva za dešifriranje. Ovaj alat koristi slike memorije ili sigurnosne kopije za pronalaženje ključeva za dešifriranje.
  
-Prednosti: Brza obrada i podrška za više formata [4].+**Prednosti:** Brza obrada i podrška za više formata [4].
  
-Primjena:+**Primjena:**
  
   * Analiza RAM slika za ekstrakciju FVEK-a.   * Analiza RAM slika za ekstrakciju FVEK-a.
Redak 95: Redak 102:
  
 == 2. AccessData FTK (Forensic Toolkit) == == 2. AccessData FTK (Forensic Toolkit) ==
 +\\
 FTK je višenamjenski alat za digitalnu forenziku koji uključuje mogućnosti prepoznavanja šifriranih particija i analize korisničkih aktivnosti. FTK je višenamjenski alat za digitalnu forenziku koji uključuje mogućnosti prepoznavanja šifriranih particija i analize korisničkih aktivnosti.
  
-Prednosti: Intuitivno korisničko sučelje i široka kompatibilnost [5].+**Prednosti:** Intuitivno korisničko sučelje i široka kompatibilnost [5].
  
-Primjena:+**Primjena:**
  
   * Automatska detekcija šifriranih diskova.   * Automatska detekcija šifriranih diskova.
Redak 107: Redak 114:
  
  
-**3. Magnet AXIOM** +== 3. Magnet AXIOM == 
 +\\
 Magnet AXIOM omogućuje istraživanje digitalnih artefakata povezanih s BitLockerom. Magnet AXIOM omogućuje istraživanje digitalnih artefakata povezanih s BitLockerom.
  
-Prednosti: Napredni alati za pretraživanje i filtriranje podataka [5].+**Prednosti:** Napredni alati za pretraživanje i filtriranje podataka [5].
  
-Primjena:+**Primjena:**
  
   * Identifikacija mrežnih zapisa vezanih za ključeve.   * Identifikacija mrežnih zapisa vezanih za ključeve.
Redak 122: Redak 129:
  
 == 4. Oxygen Forensic Detective == == 4. Oxygen Forensic Detective ==
 +\\
 Ovaj alat omogućuje analizu šifriranih particija i povezivanje s drugim forenzičkim podacima. Ovaj alat omogućuje analizu šifriranih particija i povezivanje s drugim forenzičkim podacima.
  
-Prednosti: Podrška za mobilne i stacionarne uređaje [3].+**Prednosti:** Podrška za mobilne i stacionarne uređaje [3].
  
-Primjena:+**Primjena:**
  
   * Pregled konfiguracijskih datoteka povezanih s BitLockerom.   * Pregled konfiguracijskih datoteka povezanih s BitLockerom.
Redak 135: Redak 142:
  
  
-==== Zaključak ==== +===== Zaključak =====
  
 +Forenzička analiza sustava zaštićenih BitLocker tehnologijom zahtijeva napredno tehničko znanje i upotrebu specijaliziranih alata. Iako je enkripcija dizajnirana da osigura maksimalnu zaštitu podataka, istražitelji mogu pronaći načine za pristup informacijama koristeći odgovarajuće metode i alate. Ključ uspješne analize leži u preciznoj pripremi i stručnosti forenzičkog tima.
  
-==== Popis literature ====+===== Popis literature =====
  
 [1] Microsoft Learn. "BitLocker Overview." Dostupno na: https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/  Pristupljeno: 26.1.2025. [1] Microsoft Learn. "BitLocker Overview." Dostupno na: https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/  Pristupljeno: 26.1.2025.
racfor_wiki/seminari2024/forenzika_sustava_zasticenih_bitlockerom.1737905372.txt.gz · Zadnja izmjena: 2025/01/26 15:29 od Jakovina Filip
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0