logo nasweb.sk Dnes je štvrtok, 25.Máj 2017, 03:26:40 hod.

Tvorba stránok

Potrebujete webovú stránku?
Prepadá sa Vám návštevnosť stránky?
Tvorca stránky sa neustále vyhovára, že nemá čas?
Máte aktuálnu a kompletnú analýzu konkurencie?

Vstupit

Servis počítačov

Napadol Váš počítač vírus?
Máte dostatočne zabezpečnú sieť?
Nekomunikuje externé zariadenie z počítačom?
Vymazali ste si dáta a potrebujete ich späť?

Vstupit

Počítačové školenia

Dodržiavate zásady správnej starostlivosti o počítač?
Potrebujete z počítača vyťažiť maximum?
Čo treba robiť, aby ste predišli napadnutiu vírusom?
Viete si správne nastaviť mailového klienta?

Vstupit

Kvalitné IT články

Ako zabrániť deťom prístup na zakázané stránky?
Forenzná analýza od A do Z.
Ako zistíte, prípadne odstránite vírus z počítača?
Operačný systém Windows. Horúce novinky a rady!

Vstupit
IT MAGAZÍN - Aktuálne články zo sveta počítačov

Ďakujeme Vám za hodnotenie článkov.


Aj týmto spôsobom prispievate k ich pravidelnej aktualizácii a zvyšovaniu kvality.

Hodnotenie kvality článku (Čím viac hviezd, tým lepšie hodnotený článok):
4 ***Celkové hodnotenie 4 z 6 hlasov.

Obsah článku: Forenzná analýza | Anti forenzná analýza | Ako zabezpecit ochranu osobych dat

 20.01.2015



Čo je to forenzná analýza?
Forenzná analýza je metóda obnovy a skúmania dát znalcami kybernetiky zameraná na počítačovú kriminalitu a bezpečnosť dát.
Forenznou analýzou sa vyšetruje priestupok prípadne trestný čin (preukazuje sa kto, ako a kedy zavinil skutok).
Doba zabaveného počítača pre potreby vyšetrovania pre potreby analýzy závisí od veľkosti disku. Spravidla do niekoľko týždňov.

V akých najčastejších prípadoch sa používa forenzná analýza?
• Zakázaná pornografia (neprimerané sexuálne aktivity)
• Extrémistické prejavy (nacionalisti, nacisti, sekty,...)
• Zneužití platobných a obchodných systémov (phishing, pharming)
• Porušovanie autorských práv (softwarové, audio, video pirátstvo)
• Ohováranie a diskreditácia osôb (rôzne nepravdivé a poplašné správy)

Aké údaje skúmajú znalci?
• Obsah databáz (napr. MS SQL, MySQL, ...)
• Funkciu software
• Kvalitu zdrojových kódov (napr. C#, Java, PHP, HTML, JavaScript, Perl, ...)
• Funkcie a obsah internetových stránok
• Výmenu dát (import/export)
• Konfiguračné súbory
• Log súbory
• Históriu webového obsahu
• Metadata dokumentov
• Dôveryhodnosť dát
• Certifikáty, elektronické podpisy
• Nastavenie a zabezpečenie sietí, vrátane WiFi
• Obnova a analýza zmazaných dát
• Počítačová korešpondencia a komunikácia cez E-mail, Skype, ICQ, Sociálne siete,...
• Porovnanie podobnosti softwaru, databáz, webov
• Komunikácia cez mobilní telefón - SMS, WhatsApp, Viber, Skype, Facebook, Gmail
• Zločiny v kyber priestore

Aké zariadenia skúmajú znalci?
• Počítače
• Servery
• Notebooky
• Tablety
• Mobilné telefóny
• Fotoaparáty
• Dátové úložiská, NAS
• Pevné disky, USB disky, pamäťové karty, CD, DVD, ...

Aké operačné systémy skúmajú znalci?
• OS Windows
• OS Linux
• OS Android
• Apple IOS a OS X

Sú vymazané dáta skutočne vymazané?
Zo systému je možné obnoviť veľkú časť informácií o tom ako bol počítač používaný, kedy prišlo k zmazaniu dát, informácie o navštívených www stránkach, identifikáciu osôb, miest, vecí a udalostí.
Mali by ste vedieť!
Formátovanie disku v skutočnosti veľa dát nezmaže.
Dáta zostávajú v systéme relatívne dlho aj po reštartoch systému.
Niektoré anti-forenzné a privacy nástroje sú mnohokrát neúčinné!

Základné fázy vykonávania forenznej analýzy
collection (zbieranie), examination (preverovanie, vyšetrovanie), analýza a reporting (prezentácia výsledkov).


Odkiaľ sa získavajú údaje?
• Z pevných diskov, USB, CD, DVD - Vytvorením bitového obrazu.
Klonovaním disku napr. s prístrojom Voom Hardcopy umožňuje vytvorenie obrazu o rýchlosti 7 GB / min.
Podpora: MD5 a SHA256 Porty: SATA, ATA, IDE, RS232 s podporou DB9

• Z operačnej pamäti (RAM) – Je potrebné mať zapnuté zariadenie.
• Z pamäte procesora
• Zo siete (Firewall)

Existuje ochrana voči forenznej metóde?
1. Zašifrujte disk
2. Reštartujte PC
3. Nahrajte na disk falošné informácie (fotky a dokumenty z internetu)
4. Zmeňte názvy dôležitých súborov spolu s koncovkami napr. fotka.jpg na iexplore.exe a skryte v systémových súboroch
5. Zašifrujte sieťové protokoly
Poznámka: Dáta sú nepoužiteľné pokiaľ sa nedešifrujú.

Ako vymazať históriu, dočasné internetové súbory, heslá a pamäť prehliadača?
U prehliadačov IE, Google Chrome a Firefox je možné použiť klávesovú skratku CTRL+SHIFT+DEL.

Poznámka: Nezabudnite vykonať kontrolu zložiek súborov.

Ako vymazať pamäť DNS?
V CMD zadáme príkaz ipconfig /flushdns


Ako prepísať voľné súbory (vymazané súbory po ktorých zostala stopa)?
Zotrite voľné miesto a v CMD zadajte príkaz: cipher /w:Q - nahradenie voľných súborov na celom disku
(písmeno F je písmeno jednotky na ktorej chcete prepísať voľné miesto)
cipher /w:Q:\test – nahradenie voľných súborov v určitom priečinku
(Q= písmeno jednotky, test = názov zložky)

Prepis súborov sa uskutoční v troch krokoch:
1. Prepis nulami 0x00
2. Prepis jednotkami 0xFF
3. Prepis náhodnými číslami

Ako vypnúť hibernáciu (režim spánku)?
Hybernáciou sa ukladá obsah našej pamäti RAM, na pevný disk do súboru hiberfil.sys
ŠTART / powercfg.cpl /
alebo
Ovládací panel\Všetky položky ovládacieho panela\Možnosti napájania\Upraviť nastavenia plánu

Vypnutie Hibernácie and vymazanie súboru hiberfil.sys
V CMD príkazom: powercfg -h off



Ako vypnúť ukladanie náhľadov (Thumbnail Caching )? Krok po kroku.
1. ŠTART / gpedit.msc
2. Politika Lokálny počítač
3. Konfigurácia používateľa
4. Administrative Templates
5. Windows Components
6. Windows Explorer
7. V pravom okne nájdeme
8. Turn off the caching of thumbnails in hidden thumbs.db files
9. Pravým tlačidlom Editovať
10. Označíme Enabled.


Ako zakázať vytváranie náhľadov?
V prípade ak nenájdete danú hodnotu v registroch, je potrebné ju vytvoriť.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoThumbnailCache"=dword: 1
"DisableThumbnailCache"=dword: 1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer]
"DisableThumbsDBOnNetworkFolders"=dword: 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoThumbnailCache"=dword: 1
"DisableThumbnailCache"=dword: 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"DisableThumbnailCache"=dword: 1
"NoThumbnailCache"=dword: 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"DisableThumbnailCache"=dword: 1
"NoThumbnailCache"=dword: 1

Ako vyčistiť pamäť procesora (CPU) a operačnú pamäť (RAM)?
Vytvorte odkaz pre 32bit / 64bit systém a spustite
%windir%\system32\rundll32.exe advapi32.dll
%windir%\SysWOW64\rundll32.exe advapi32.dll


Ako vymazať tieňové kópie (Shadow Copies) a body obnovenia?
Zobrazenie tieňových kópií CMD príkazom: vssadmin list shadowstorage


Vymazanie tieňovej kópie jednu po druhej

Príkaz: wmic
Príkaz: shadowcopy delete
Vymazať Y/N ?

Vymazanie konkrétnej tieňovej kópie
Príkaz: vssadmin Delete Shadows /shadow={Shadow Copy ID}

Vymazanie všetkých tieňových kópií

Príkaz: vssadmin Delete Shadows /For=C: /All
Vymazať Y/N ?

Ako vypnúť odkladací súbor virtuálnej pamäte Windows pagefile.sys
1. Ovládací panel\Všetky položky ovládacieho panela\Systém
2. Rozšírené systémové nastavenia / Záložka Spresnenie
3. Vo vlastnosti Výkon / Nastavenie / Spresnenie / Programov
4. V plánovaní procesora zaškrtneme Služieb na pozadí
5. Virtuálna pamäť Zmeniť
6. Označíme Nepoužívať stránkovací súbor
Upozornenie: Je potrebné disponovať s dostatočnou kapacitou RAM.
V prípade max. vyťaženia RAM sa môže zobraziť nasledovné hlásenie:


Ako vymazať dočasné a swapové súbory?
Jednoduchým vypnutím počítača sa stratia alebo zmenia.

Ako automaticky vymazať stránkovací súbor vždy, keď vypneme počítač?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control Spravovanie\Session Manager\Memory
Value Name: ClearPageFileAtShutdown
Value Type: REG_DWORD
Value Data: 1
Ak neexistuje hodnota ClearPageFileAtShutdown, vytvorte ju.

Slack space
Slack space je nevyužité miesto na konci predošlého klastra disku.
Príklad: Na disk zapíšeme 600 bajtový súbor. Veľkosť jedného klastra je však len 512 bajtov.
Súbor sa následne uloží do dvoch klastrov.
Teraz je jeden klaster plne zaplnený a druhý len z časti.
Akýkoľvek ďalší súbor bude zapísaný do ďalšieho (v našom prípade tretieho) klastra a nebude vypĺňať miesto v druhom.
Z tohto dôvodu, ak vymažeme súbor z prvého klastra, jeho časť zostáva v tom druhom.

Aby nebolo možné získať informácie z nevymazaných častí súborov použijeme nástroj napísaný v C ++ pomocou Microsoft Visual Studia 2012 od autora Diego Urquiza.
https://github.com/OpenSecurityResearch/slacker
Ako zabrániť zobrazeniu použitých príkazov v ŠTART / RUN?

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32]
"NoFileMru"=dword:00000001

Ako vymazať zoznam (z ponuky ŠTART) naposledy otvorených súborov a programov?

alebo

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value Name: ClearRecentDocsOnExit
Value Type: REG_DWORD
Value Data: 1

Ako odstrániť naposledy otvorené dokumenty z ponuky ŠTART?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value Name: NoRecentDocsMenu
Value Type: REG_DWORD
Value Data: 1

Ako vypnúť históriu naposledy otvorených dokumentov?
Ako zabrániť vytváraniu histórie posledných dokumentov?
User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Value Name: NoRecentDocsHistory
Value Type: REG_DWORD
Value Data: 1

Ako vymazať zoznam posledných dokumentov?
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value Name: ClearRecentDocsOnExit
Value Type: REG_DWORD
Value Data: 1

Ako zakázať automatické premapovanie sieťových skratiek
User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Value Name: LinkResolveIgnoreLinkInfo
Value Type: REG_DWORD
Value Data: 1 = enabled

Zoznam naposledy otvorených súborov
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Windows\Recent Items
alebo
%AppData%\Microsoft\Windows\Recent Items

Ako zabrániť vytváraniu zoznamu naposledy otvorených súborov?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nová hodnota:
Value Name: MaxRecentDocs
Value Type: REG_DWORD
Value Data: 0
Base: Decimal



Ako odstrániť adresár vrátane priečinkov a všetkých súborov?
Na starých operačných systémoch Windows NT, 98 sa používal príkaz:
deltree /y c:\
Na operačných systémoch od verzie Windows XP sa používa príkaz:
rmdir c:\Users\nazov_pc_alebo_meno_uzivatela\Desktop\nazov_adresara /s
alebo
rmdir c:\Users\nazov_pc_alebo_meno_uzivatela\Desktop\nazov_adresara /s/q
/q znamená, že sa vás nespýta či chcete zložku zmazať, ale rovno príkaz vykoná (tzv. tichý režim).
Odstránenie všetkých súborov z adresára
del /Q /S "C:\Users\nazov_pc_alebo_meno_uzivatela\Desktop\nazov_adresara\*.*" > nul
Trvalé odstránenie prázdneho adresára
pushd "c:\Users\nazov_pc_alebo_meno_uzivatela\Desktop\nazov_adresara" &&for /f "delims=" %a in ('dir /ad /b') do rd "%~fa" 2>nul

Ako vymazať logovanie súborov?
Windows + R / Eventvwr.exe

Ako vypnúť logovanie súborov?
Windows + R / services.msc
Windows Event Log
STARTUP TYPE: Disabled
Použiť / OK


Ako odstrániť Event logy?
V zložke
C:\Windows\System32\config
alebo v zložke
C:\Windows\System32\winevt\Logs
zobrazíme * EVT a * .evtx
Tie je možné vymazať po vypnutí zapisovania logov v services a následnom reštarte zariadenia.

Ako odstrániť záznamy všetkých spustených programov?
V zložke HKEY_CURRENT_USER / Software / Microsoft / Windows / Current Version / Explorer / UserAssist
Vymažeme všetky kľúče a vytvoríme nový s názvom Settings
V klúči Settings vytvoríme hodnotu NoLogs s hodnotou Value data 1



Ako zakázať funkciu Posledný prístup?
V registroch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSytem
si vytvoríme DWORD hodnotu s názvom NtfsDisableLastAccessUpdate a priradíme 1.


Ako zobraziť históriu všetkých príkazov uložených v pamäti?
V CMD zadáme príkaz: C:Doskey /history

Ako zmeniť veľkosť pamäti príkazového riadka
Spustíme CMD / V lište klikneme na Vlastnosti (Properties) / Možnosti / Zvolíme hodnoty histórie príkazu


Ako vymazať pamäť tlačiarne?
1. Najskôr vypnite v ŠTART / services.msc / Servis Print Spooler
2. V CMD zadajte príkaz: del /F /Q C:\Windows\System32\spool\PRINTERS\*
3. Zapnite v services Print Spooler


Ako dôkladne vymazať dáta?
Použitím formátovaním disku, následne prepisom disku nezmyselnými dátami a napokon Gutmannovou metódou

Ako zabezpečiť vysokú ochranu osobných dát?
Ukladajte dáta na šifrovaný externý disk s technológiou Zero-Footprint
Vlastnosti disku:
- ochrana FIPS 140-2 Level 3
- hardwarové šifrovanie AES 256-bit
- vstavaný Bluefly procesor
- prístupové heslo
- biometrické overovanie otlačkom prsta
- anti-Malware ochrana
- automatické vymazanie dát pri opakovanom neúspešnom overení
- technologia Zero-Footprint - nezanecháva žiadnu stopu (šifrovacie kľúče, software) v zariadeniach ku ktorým je disk pripojený

Ako navždy odstrániť dáta z HDD?
Skartujte disk.

Aké ďalšie informácie sa zisťujú za pomoci forenznej analýzy?
Adresáre s dočasnými súbormi napr.
C:\ Users\meno používateľa\AppData\Local\Temp

Informácie o spustených programoch
C:\Windows\Prefetch

Aké dáta boli vymazané z koša?
C:\$Recycle.Bin

Kto a kedy bol naposledy prihlásený na PC?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\

Kto naposledy upravil Registre?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

Výpis všetkých adresárov a o ich štruktúre formou stromu?
V CMD napíšeme príkaz: tree

Ako zobrazím všetky nainštalované programy?
V CMD spustite príkaz: wmic
následne zadajte príkaz:
/output:C:\Instalprogramy.txt product get name,version
Pre ukončenie wcim napíšte exit

Ako zobrazím všetky súbory obsahujúce v názve text?
dir / b *text* / ad> file.txt

Denník súborov, ktoré program Windows Resource Checker (Sfc.exe) generuje
C:\Windows\Logs\CBS\CBS.log
Pre zobrazenie v textovej forme je možné použiť v CMD nasledovný príkaz:
findstr / c: "[SR]"% windir% \ logs \ CBS \ CBS.log> sfcdetails.txt

Zoznam nainštalovaných USB zariadení
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
C:\windows\inf\setupapi.dev.log

Zoznam vložených USB zariadení
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Informácie z webového prehliadača (napr. zoznam navštívených stránok, heslá,...)
C:\Users\meno používateľa\AppData\Local\Microsoft\Windows\Temporary Internet Files
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\meno používateľa\AppData\Local\Microsoft\Windows\History
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

Obsahuje zostatkové súbory po prehliadaní internetu.
C:\Users\Default\AppData\Local\Temporary Internet Files\
C:\Users\AppData\Local\Microsoft\Windows\Temporary Internet Files\

Obsahuje informácie o navštívených stránkach (prihlasovacie mená,...).
C:\Users\meno používateľa\AppData\Google\Chrome\User Data\Default\Cookies\
C:\Users\Default\AppData\Local\Roaming\Microsoft\Windows\Cookies\
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Windows\Cookies\Low\

Obsahuje informácie o prehliadaní stránok.
C:\Users\Default\AppData\Local\History\
C:\Users\AppData\Local\Microsoft\Windows\History\
C:\Users\meno používateľa\AppData\Local\Microsoft\Windows\History\
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\

Obsahuje dočasné súbory systému Windows.
C:\temp\
C:\Windows\Temp\
C:\Users\AppData\Local\Temp\
C:\Users\Default\AppData\Local\Temp\
C:\Users\meno používateľa\AppData\Local\Temp\
C:\Users\meno používateľa\AppData\LocalLow\Temp\

Obsahuje informácie o spúšťaných programoch.
C:\Windows\Prefetch\

Obsahuje odkazy naposledy používaných súborov / dokumentov.
C:\Users\Default\Recent\
C:\Users\Default\AppData\Local\Roaming\Microsoft\Windows\Recent\
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Windows\Recent\
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Office\Recent\

Ako odhaliť uložené hesla v prehliadačoch Internet Explorer a Firefox?
http://www.nirsoft.net/utils/internet_explorer_password.html Naposledy otvorené súbory / dočasné súbory v aplikáciách...
OFFICE
C:\Users\meno používateľa\AppData\Roaming\Microsoft\Office\Recent
Windows Media Player
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList
Offline Outlook
C:\Users\ meno používateľa\AppData\Local\Microsoft\Outlook\outlook.ost
Dočasné súbory príloh Outlooku
C:\Users\meno používateľa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\\
Adobe flash player
C:\Users\meno používateľa\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\\

Na zverejnený článok sa vzťahuje autorské právo. Akékoľvek kopírovanie bez písomného súhlasu autora je zakázané! Článok nemusí korešpondovať s názormi čitateľov. Autor si vyhradzuje právo kedykoľvek, bez upozornenia a výlučne podľa vlastného uváženia zmeniť, alebo upraviť obsah článku, ako aj uskutočniť jeho zmazanie.   Autor tohto článku: © A.O.

Nahor stránky