5. Identifikace a analýza informací v operačních systémech

5.3. Analýza systémů založených na Linuxu

Digitální kriminalistika v operačních systémech MS Windows je široce rozšířená, ať už prostřednictvím kurzů a vědeckých článků, nebo prostřednictvím nových médií, jako jsou videa. Digitální forenzní analýza v operačních systémech Linux není tak rozšířená, především proto, že je také mnohem méně rozsáhlá.

 

Souborové systémy

Standardním souborovým systémem v systému Linux je v současné době Ext4, i když podporuje různé typy souborových systémů.

Souborový
systém Linux

Data

Ext

1992

Znamená "rozšířený souborový systém" a byl to první souborový systém vytvořený pro Linux v roce 1992.

Ext2

1993

Podporoval disky s kapacitou až 2 TB a nepodporoval žurnálování. Protože nepoužívá žurnálování, lze jej používat na USB klíčenkách.

Ext3

1999

Stejně jako Ext2, ale s výhodou žurnálování.

Ext4

2006

Současná verze Ext. types má oproti svým předchůdcům několik výhodných vlastností, například menší fragmentaci systému, práci s velkými soubory a další. EXT4 podporuje maximální velikost souborového systému 1EB (1 Exabyte) a maximální velikost souboru 16 TB. Je možné mít neomezený počet podadresářů

 

Obecné úvahy

  1. Neexistují žádné soubory protokolu jako v operačním systému Windows
  2. Informace by měly být shromažďovány na rozptýlených místech
  3. Různé struktury systémových souborů v různých distribucích

Strukturu souborů a složek systému Linux lze shrnout takto Obrázek 67.


Obrázek 67 - Struktura systémových souborů Linuxu

Zdroj: The Linux Foundation - https://linuxfoundation.org/blog/classic-sysadmin-the-linux-filesystem-explained/

 

5.3.1.  Zajímavosti v systémech Linux

Analýza činnosti uživatelů v systémech Ubuntu Linux by měla probíhat podle posloupnosti ověřování a shromažďování informací, jak je uvedeno v části Obrázek 68.

 

Obrázek 68 - Návrh na shromažďování informací o systému Linux

Automatické spouštění programů spuštěných v systému :

Mějte na paměti, že mnoho programů je nakonfigurováno tak, aby se spouštěly automaticky při startu systému. Informace o programech, které se mají spouštět při startu, se nacházejí v adresáři "/etc/rc.local".

 

Přístup k dokumentům :

Zkoušející může zjistit, ke kterým dokumentům bylo v poslední době přistupováno. Soubor obsahující tyto informace se nachází v adresáři /home/user/.local/share/recently-used.xbel. K zobrazení obsahu souboru lze použít příkaz cat. Soubor .xbel poskytuje podrobné informace o souborech, ke kterým uživatel přistupoval, například čas přístupu a modifikace, a..

 

Nainstalované aplikace :

Informace o aplikacích jsou ve složce /usr/bin a knihovny potřebné pro aplikace jsou ve složce /usr/lib. Seznam aplikací lze získat příkazem ls -l /usr/bin/. Je možné zjistit datum instalace, oprávnění, velikost atd.

 

Informace o síti:

Ubuntu uchovává seznam sítí připojených k systému v: /etc/NetworkManager/system-connections

Soubor /var/log/syslog obsahuje datum a čas navázání síťového připojení.

 

Připojená zařízení:

Adresář /dev poskytuje informace o hardwaru připojeném k systému.

Soubor /var/log/syslog obsahuje také informace o zařízeních připojených k systému.

 

Poslední přihlášení a aktivita uživatele:

Informace o posledním přihlášení lze získat v /var/log/lastlog

 

Procházení internetu:

Uvádíme umístění složek s navigačními informacemi ve dvou hlavních prohlížečích používaných v operačním systému Linux (Obrázek 69 a Obrázek 70). Po extrakci těchto obsahů je možné je analyzovat stejným způsobem jako v systému Windows .

Prohlížeč Firefox


Obrázek 69 - Umístění informací prohlížeče Firefox

 

Google Chrome


Obrázek 70 - Umístění informací v prohlížeči Google Chrome