5. Identyfikacja i analiza informacji w systemach operacyjnych

5.3. Analiza systemów opartych na systemie Linux

Cyfrowa kryminalistyka w systemach operacyjnych MS Windows, jest szeroko rozpowszechniona, zarówno poprzez kursy i artykuły naukowe, jak i poprzez nowe media, takie jak filmy. Cyfrowa kryminalistyka w systemach operacyjnych Linux, nie jest tak rozpowszechniona, głównie dlatego, że analiza tychże jest również znacznie mniejsza.

 

Systemy plików

Standardowym systemem plików w Linuksie jest obecnie Ext4, chociaż obsługuje on różne typy systemów plików


System plików Linux

Dane

Ext

1992

Oznacza "Extended file system", był to pierwszy system plików stworzony dla linuxa w 1992 roku

Ext2

1993

Obsługiwał dyski do 2 TB i nie obsługiwał journalingu. Ponieważ nie używa journalingu, może być używany na pamięciach USB.

Ext3

1999

To samo co Ext2, ale z przewagą journalingu.

Ext4

2006

Obecna wersja Ext. typy ma kilka korzystnych cech w porównaniu do swoich poprzedników, takich jak zmniejszenie fragmentacji systemu, pracuje z dużymi plikami i więcej. EXT4 obsługuje 1EB (1 Exabyte) maksymalny rozmiar systemu plików i 16TB maksymalny rozmiar pliku. Możliwe jest posiadanie nieograniczonej liczby podkatalogów

 

Uwagi ogólne

  1. Nie ma plików dziennika jak w systemie operacyjnym Windows
  2. Informacje powinny być zbierane w rozproszonych miejscach
  3. Różne struktury plików systemowych w różnych dystrybucjach

Strukturę plików i folderów w systemie Linux można podsumować w sposób przedstawiony na rysunku Rysunek 67.


Rysunek 67 - Struktura plików systemu Linux

Źródło: The Linux Foundation - https://linuxfoundation.org/blog/classic-sysadmin-the-linux-filesystem-explained/

 

5.3.1.  Punkty zainteresowania w systemach Linux

Analiza aktywności użytkowników w systemach Ubuntu Linux powinna przebiegać zgodnie z sekwencją walidacji i zbierania informacji, przedstawioną np. Rysunek 68.

 

Rysunek 68 - Propozycja gromadzenia informacji o systemie Linux

Autorun programów działających w systemie :

Należy pamiętać, że wiele programów jest skonfigurowanych do automatycznego uruchamiania przy starcie systemu. Informacje o programach, które powinny być uruchamiane przy starcie znajdują się w katalogu "/etc/rc.local".

 

Udostępnione dokumenty :

Egzaminator może wiedzieć, do których dokumentów miał ostatnio dostęp. Plik zawierający te informacje znajduje się w katalogu /home/user/.local/share/recently-used.xbel. Do przeglądania zawartości tego pliku można użyć polecenia cat. Plik .xbel zawiera szczegółowe informacje o plikach, do których użytkownik miał dostęp, takie jak czas dostępu i modyfikacji...

 

Zainstalowane aplikacje :

Informacje o aplikacjach znajdują się w folderze /usr/bin biblioteki potrzebne dla aplikacji znajdują się w folderze /usr/lib. Listę aplikacji można uzyskać za pomocą polecenia ls -l /usr/bin/. Można zrozumieć datę instalacji, uprawnienia, rozmiar itp.

 

Informacje o sieci:

Ubuntu przechowuje listę sieci podłączonych do systemu w: /etc/NetworkManager/system-connections

Plik /var/log/syslog podaje datę i godzinę nawiązania połączenia sieciowego.

 

Sprzęt podłączony:

Katalog /dev dostarcza informacji o sprzęcie podłączonym do systemu.

W pliku /var/log/syslog znajdują się również informacje o urządzeniach, które zostały podłączone do systemu.

 

Ostatnie logowanie i aktywność Użytkownika:

Informacje o ostatnim logowaniu można uzyskać w /var/log/lastlog

 

Aktywność w przeglądaniu Internetu:

Przedstawiamy lokalizację folderów wraz z informacjami nawigacyjnymi, w dwóch głównych przeglądarkach używanych w systemie operacyjnym Linux (Rysunek 69 oraz Rysunek 70). Po wyodrębnieniu tych treści, możliwa staje się ich analiza w taki sam sposób jak w systemie Windows .

Przeglądarka Firefox


Rysunek 69 - Lokalizacja informacji o przeglądarce Firefox

 

Google Chrome


Rysunek 70 - Lokalizacja informacji o przeglądarce Google Chrome