| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2022/01/06 17:59]
pcorluka [Forenzika diska] |
racfor_wiki:tor:forenzicka_analiza_tor_preglednika_na_windows_10 [2024/12/05 12:24] (trenutno)
|
| {{ :racfor_wiki:tor:torrc_notepad.png?400 | Slika 3: Lokacija Tor preglednika u datotečnom sustavu}} | {{ :racfor_wiki:tor:torrc_notepad.png?400 | Slika 3: Lokacija Tor preglednika u datotečnom sustavu}} |
| |
| Daljnom analizom utvrđeno je da web preglednik ostavlja razne vremenske oznake u datotečnom sustavu, no nisu pronađeni nikakvi podatci o povijesti pregledavanja. Nakon deinstalacije direktorij se briše sa datotečnog sustava. Detaljnija analiza i pronalazak tragova instalacije Tor preglednika može se pronaći u [1] gdje Aron Warrner //carvea// datoteke alatom [[http://www.x-ways.net/forensics/|X Ways Forensics]] te analizira podatke u heksadecimalnom zapisu. Takvi detalji nisu obuhvaćeni ovim radom. | Daljnom analizom utvrđeno je da web preglednik ostavlja razne vremenske oznake u datotečnom sustavu, no nisu pronađeni nikakvi podatci o povijesti pregledavanja. Nakon deinstalacije direktorij se briše s datotečnog sustava. Detaljnija analiza i pronalazak tragova instalacije Tor preglednika može se pronaći u [[#Literatura |[1] ]] gdje Aron Warrner //carvea// datoteke alatom [[http://www.x-ways.net/forensics/|X Ways Forensics]] te analizira podatke u heksadecimalnom zapisu. Takvi detalji nisu obuhvaćeni ovim radom. |
| ===== Forenzika radne memorije ===== | ===== Forenzika radne memorije ===== |
| | Tim koji se bavio forenzikom radne memorije u članku [[#Literatura |[2]]] otkrio je sljedeće tragove korištenja Tor preglednika: |
| | |
| | * putanje aplikacije |
| | * učitane EXE (firefox.exe i tor.exe) i DLL datoteke |
| | * SQLite datoteke: imena tablica i operacije nad bazom podataka izvršene od strane aplikacije |
| | * tragove resursa koje je aplikacija koristila |
| | * informacije o ruteru, uključujući IP adresu, nadimke, vremenske oznake posljednje dostupnosti i javne ključeve korištene od strane Tor Rutera |
| | * user-agent informacije (Mozilla/5.0) |
| | * blok liste, proširenja, ključeve registra i vrijednosti vezane za aplikaciju |
| | |
| | Osim toga navode da ako se Tor preglednik deinstalira neposredno nakon što se koristio moguće je pronaći i sljedeće tragove: |
| | |
| | * otvarane ili preusmjerene web adrese |
| | * komponente koje čine web stranicu kao što su JavaScript programski kod, CSS i slično |
| | * imena preuzetih datoteka i web adrese s kojih su preuzeti |
| | * adrese elektroničke pošte koje su korištene za prijavu u određeni sustav |
| | * vremenske oznake |
| | * id-ove sjednica i druge informacije vezane za pojedine sjednice |
| | * dijelove međuspremnika koji su vezani za operacije koje su obavljane unutar konteksta preglednika |
| | |
| | Osim toga koristeći alate [[https://mh-nexus.de/en/hxd/|HxD]] i [[https://belkasoft.com/x|Belkasoft Evidence Center X]] pronašli su ostatke povijesti pretraživanja, korisničkih imena i lozinki, emailova, uploadanih i preuzetih datoteka i brojnih drugih podataka. Budući da su gotovo jednaku količinu podataka pronašli u radnoj memoriji gledajući snimku memorije u trenutku korištenja Tor preglednika te u trenutku nakon što je preglednik zatvoren, može se zaključiti da Tor preglednik ne briše podatke o pregledavanju instantno nakon što ga korisnik prestane koristiti. |
| | |
| | |
| ===== Forenzika registra ===== | ===== Forenzika registra ===== |
| | Windows registar je značajan izvor informacija koji sadrži brojne podatke o događajima unutar sustava i vrlo često se pokaže kao pravo mjesto za početak forenzičkih istraga. Podatke sprema pod jedinstvenim ključevima, a oni su vrlo učinkoviti u povezivanju korisnika, vremenskog trenutka i aplikacije. Tim iz [[#Literatura |[2]]] koristio je alate [[https://sourceforge.net/projects/regshot/|Regshot]], [[https://www.nirsoft.net/utils/regscanner.html|RegScanner]], [[https://notepad-plus-plus.org/downloads/|Notepad++]] i [[https://winmerge.org/|WinMerge]] kako bi analizirao snimke registara. Analizom su otkrili da Tor preglednik dodaje osam ključeva registra nakon instalacije i tri dodatna ključa registra vezana za program za instalaciju Tor preglednika koje koristi za vrijeme instalacije. Svi ključevi se zadržavaju u registru i nakon deinstalacije aplikacije. Vrijednosti određenih ključeva mijenjaju se nakon svakog otvaranja i zatvaranja Tor preglednika, a iz njih se može otkriti je li Tor ikada bio instaliran na sustavu te koliko puta je bio pokrenut nakon instalacije. |
| ===== Zaključak ===== | ===== Zaključak ===== |
| | Tor preglednik znatno povećava anonimnost korisnika i vrlo dobro prikriva korisnikove aktivnosti, no i dalje nije potpuno anoniman. Iako su forenzičari iz radova [[#Literatura |[1]]], [[#Literatura |[2]]], [[#Literatura |[3]]] i [[#Literatura |[5]]] provodili istragu nad gotovo idealno tajmiranim snimkama sustava, što nije u skladu s realnim situacijama, uspjeli su pronaći brojne tragove koje Tor preglednik ostavlja na disku, u radnoj memoriji i u Windows registru. Ipak, tvrdnja Mike Peerya da Tor preglednik ne zapisuje nikakve podatke vezane za korisničku aktivnost na internetu u trajnu memoriju prema rezultatima ovih istraživanja se ispostavila istinitom. |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| |
| [4] [[https://cybernews.com/privacy/what-is-tor-and-how-does-it-work/|Jack Wherry. What is Tor and how does it work?. Cybernews, 2020.]] | [4] [[https://cybernews.com/privacy/what-is-tor-and-how-does-it-work/|Jack Wherry. What is Tor and how does it work?. Cybernews, 2020.]] |
| | |
| | [5] [[https://www.marshall.edu/forensics/files/WinklerDarcie_ResearchPaper_8-6-141.pdf|Winkler Darcie, Robert J. Boggs, John Sammons, Terry Fenger. Online Anonymity: Forensic Analysis of the Tor Browser Bundle. ]] |
