Použitie digitálnej forenznej analýzy vo firemnom prostredí

DSM 3/2023 Zobrazení: 310
Použitie digitálnej forenznej analýzy vo firemnom prostredí

Forenzná analýza evokuje pojmy ako súd, či súdne vyšetrovanie. Svoje miesto má aj vo firemnom prostredí, kde môže pomôcť pri pracovno-právnych alebo dodávateľských vzťahoch. Najbežnejšie pri vyšetrovaní incidentov. Práve pri riešení incidentov je dôležitá rýchlosť a teda nie je jasné, že tomu treba prispôsobiť aj fungovanie forenznej analýzy, ktorá nemôže byť ťažkopádna. Okrem nutnosti flexibilnejších procesov sa tiež potrebujeme vysporiadať s technologickými výzvami, ako je rozšírené používanie SSD, používanie inteligentných telefónov, cloudu, ale aj prechod z Windows 10 na Windows 11.

forenzná analýza                    firemné prostredie                motivácia                  technologické výzvy

Motivácia: Prečo je digitálna forenzná analýza zaujímavá pre firmy

Existujú dve formy motivácie pre použitie digitálnej forenznej analýzy vo firmách: externá a interná.

Externá motivácia v českom a slovenskom prostredí sa viaže najmä k platnej legislatíve, ktorá (nie len) v oboch štátoch vychádza z platnej európskej smernice NIS1 . Na Slovensku sa jedná o zákon 69/2018 o kybernetickej bezpečnosti2 , konkrétne §19, 6d – „v čase kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný prostriedok tak, aby mohol byť použitý v trestnom konaní“. V Českej republike najmä vyhláška 82/2018 Sb3 ., konkrétne: § 14, 1c – „definuje a aplikuje postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,“ Schválená smernica NIS24 neredukovala tieto povinnosti, tak je veľká pravdepodobnosť zachovania týchto povinností pri aktualizovaní legislatívy. Kým neexistovala táto forma externej motivácie, aj tak používali niektoré firmy forenznú analýzu pre podporu svojich biznis procesov. Táto interná motivácia sa týka najmä možností:

  • Zistenie príčiny incidentu.
  • Poskytovanie náležitej starostlivosti – najmä pri dodržiavaní súladu s platnými priemyselnými štandardmi (PCI DSS, ISO 27001, ...).
  • Ochrana spoločnosti – podpora disciplinárnych úkonov voči zamestnancom, dôkazná podpora pre súdne pojednávania (ochrana intelektuálneho vlastníctva, zverených osobných údajov) alebo porušenia zmluvných záväzkov.
  • Zachytenie dôkazov pre ďalšie úkony – únik osobných údajov, ohrozenie intelektuálneho vlastníctva spoločnosti.

V čom sú špecifiká firemného prostredia

Spoločnosti potrebujú poznať externé regulácie, ktoré sa ich týkajú5 . Vo firmách sa kladie dôraz na kontinuitu biznisu. Tomu sa musí podriaďovať aj forenzná analýza, najmä ak jej použitie vychádza len z internej motivácia firmy. Je potrebné nastaviť prostredníctvom politík vzťah medzi riešením incidentov a forenznou analýzou.

V klasickom ponímaní je pri výskyte incidentu hlavnou prioritou firmy minimalizovať dopad na biznis procesy a teda čo najrýchlejšie odstránenie incidentu. Na druhú stranu, forenzná analýza má hlavný cieľ vyšetrenie incidentu, kde potrebuje zachovanie dôkazu a pozorovanie útočníka. Teda ideálne preferuje dlhší čas pre analýzu incidentu. Je nutné vhodne nastaviť priority oboch procesov. Je zrejmé, že DDoS útok je potrebné vyriešiť iným spôsobom, ako odcudzenie intelektuálne vlastníctva firmy, či podozrenia z finančného podvodu. Treba si aj uvedomiť, že aj digitálna forenzná analýza v klasickom ponímaní, ako ju poznáme, bola vyvinutá pre potreby použitia pred súdom a teda na ňu môžu byť kladené iné nároky vo firemnom prostredí. [13]

Špecifikom firiem je nutná znalosť informácie, ktoré dôkazy je vlastne vôbec možné zbierať a za akých okolností. Ak externá regulácia určuje maximálnu dobu, počas ktorej je možné ukladať niektoré druhy dát, tak je jasné, že nemôže byť svojvoľne prekročená. Rôzne situácie tiež platia pri zbere dôkazov, ktoré sa týka zamestnancov spoločnosti na firemných zariadeniach, kde sú širšie možnosti. Iná situácia je pri zbere dôkazov, ktoré sa týkajú zákazníkov spoločnosti, kde analýzu ich správania a zbieranie osobných údajov reguluje smernica GDPR. Iný pohľad môže byť aj pri rozsahu vyšetrovania – vo firemnom prostredí pri zisťovaní príčiny incidentu alebo pre potreby zistenia jeho šírenia vo firemnej sieti môže byť potrebné vyšetriť desiatky až stovky operačných systémov. To kladie aj úplne iné požiadavky na samotné vyšetrovanie.

Z vyššie uvedeného vyplýva, že politiky, procesy, či procedúry týkajúce sa forenznej analýzy musia byť zosúladené s ostatnými politikami spoločnosti a jej cieľmi. Medzi dôležité kroky patria [1, 2, 3]:

  • Posúdenie rizík. Na základe nich identifikovať scenáre, v ktorých bude potrebné zaznamenať digitálne dôkazy (vymedzenie pôsobnosti použitia forenznej analýzy).
  • Vytvoriť maticu zodpovedností a definovať požiadavky na vyšetrovací tím (napr. zváženie outsourcingu).
  • Ako riešiť špecifické prípady (napríklad nájdenie detskej pornografie).
  • Príprava nástrojov a prostredia.
  • Pravidelné meranie efektivity procesov a reportovanie.Vyšetrovanie štandardne prebieha o forenznom laboratóriu. Tento pojem môže vo firemnom prostredí variovať [1]:
  • Od fyzického alebo virtuálneho zariadenia schopného realizovať len niektoré vybrané základné úkony. Napríklad: zachytenie a analýza časti sieťovej komunikácie, ktoré realizuje sieťový technik.
  • Po plnohodnotné laboratórium, schopného realizovať všetky úkony digitálneho vyšetrovania, ktoré je certifikované a plní normy6 a jeho súčasťou je viacero špecializovaných odborníkov. Jednoduchý spôsob zriadenia vyšetrovacej stanice ponúka SANS7 .

Aby boli výsledky ľubovoľného laboratória použiteľné musia spĺňať dve základné podmienky [1, 3]:

  1. Musia spĺňať test objektivity – hocijaký záver musí byť zreplikovateľný inou, nezávislou osobou alebo inštitúciou.
  2. Kontrola záznamov – musia chrániť získane dôkazy a garantovať ich integritu od procesu ich získania až po ich prezentovanie v záverečnej správe.

Pre účely kontroly záznamov a používa reťazec zodpovednosti (chain of custody), v ktorom je presne zdokumentovaná manipulácia s dôkazmi: kto k nim pristupoval, aké úkony realizoval (napr.: metódy zberu dôkazu, analýzy), dátum a čas realizácie, pôvodná lokalita dôkazu, dôvod pre zber dôkazu.

Ak je cieľom forenznej analýzy primárne pomôcť pri riešení kybernetických bezpečnostných incidentov, tak viaceré postupy sa dajú zjednodušiť, resp. odložiť pre ďalšiu fázu vyšetrovania. Veľmi dôležitým parametrom

je pri tomto rýchlosť detekcie a tomu sa podriaďujú jednotlivé procesy. Základom je zbieranie informácií (potenciálnych dôkazov) z rôznych zariadení na diaľku, na ktorými prebieha automatizovaná analýza – dajú sa na túto činnosť použiť nástroje SIEM. Vďaka tomu vieme pridávať k nášmu prípadu dôkazy z rôznych zariadení a rýchlo reagovať (napríklad aj informovaním príslušných úradov pre prebiehajúcom incidente, či nastavením priorít). Tam, kde je to potrebné sa vie pokračovať aj klasickým spôsobom: zhotoviť obraz operačnej pamäte a disku a tie podrobiť vyšetrovaniu. Výhodou použitia forenznej analýzy vo firemnom prostredí je aj jednoduchšie zlepšovanie tímov, ktoré majú na starosti kybernetickú bezpečnosť, keďže majú k dispozícií pozbierané dôkazy z vyšetrovania. [13]

Pištiek1

Výzvy dnešnej doby

Práca s pevnými diskami

Analýza pevných diskov patrí medzi základné prvky vyšetrovania kybernetického incidentu. Návodov, ako na to, existuje pomerne veľa (napr. [4]). Pri úkonoch vo forenznej analýze platí pravidlo, že takmer nikdy nevykonávame vyšetrovacie úkony nad dotknutým zariadením. Zhotovíme si jeho digitálny obraz, bez modifikácie samotného dôkazu a so zhotovením digitálnych odtlačkov dôkazu (hash hodnôt) a jeho digitálneho obrazu. Všetky analytické úkony sa sústreďujú až na vytvorený obraz.

Pri klasických „platňových“ pevných diskoch bol postup pomerne priamočiary a vytvorenie obrazu disku mohlo prebehnúť až takmer ľubovoľne, pokiaľ nedošlo k zmene na danom pevnom disku, čo sa zabezpečilo pomocou použitia tzv. write blockera. Zmena z klasických „platňových“ diskov na SSD spôsobila viacero zásahov, najmä [7, 8, 9]:

  • Na pozadí stále prebiehajú procesy, ktoré optimalizujú výkon SSD, čo spôsobuje zmeny umiestnenia súborov a ničenie záznamov zmazaných súborov. Z toho vyplýva nemožnosť vytvoriť odtlačok disku.
  • Reálna kapacita SSD diskov je približne o 25% väčšia, postupne sa nahrádzajú poškodené bunky. Rozdielne fyzické a logické adresovanie. K spomínaným 25% nie je možné pristupovať (jedine vybratím pamäťových čipov). Čo spôsobuje problém, keďže nevieme obnoviť dáta, ktoré sa tam nachádzajú. Na druhú stranu je však aj problém garantovať bezpečné zmazanie SSD disku.
  • Neustále prebiehajúci proces čistenia disku, kedy sú uvoľňované bunky, ktoré boli označené, ako zmazané. Reálnym dopadom je, že zmazané súbory po veľmi krátkej dobe naozaj zmiznú z disku a ich obsah už nie je možné obnoviť. V tom je zásadný rozdiel oproti „platňovým“ diskom, kde bola možná obnova až kým nedošlo k prepísaniu zmazaného obsahu.

Samostatnou výzvou sú kapacity dnešných pevných diskov, kde je bežnou aj niekoľko terabajtová kapacita. To je komplikácia aj pri analýze jedného disku, avšak vo firemnom prostredí, kde pri vyšetrovaní incidentu môže byť dôležité analyzovať viacero počítačov, či virtuálnych strojov to môže byť veľmi výrazné obmedzenie. Môže rýchlo dôjsť k vyčerpaniu voľných zdrojov pre vyšetrovanie. Pri vyšetrovaní reálne potrebujeme mať zachytené 1% najdôležitejších dát, ktoré sa viažu k samotnému systému (logy, niektoré registre, základné štruktúry súborového systému,...) alebo k správaniu používateľa (používateľské domovské adresáre, niektoré registre,...). Jedná sa najmä o:

  • Artefakty súborového systému: $MFT, $LogFile, $USN$J.
  • Záznamy, najmä: *.evtx súbory, ale aj záznamy z firewallu, ISS a iné.
  • Adresáre, najmä: Temp, Recent, AppData (v používateľských priečinkoch), Prefetch.
  • Súbory: pagefile.sys, hiberfil.sys
  • Registre: AmCache.hve, DEFAULT, NTUSER.DAT, SAM, SOFTWARE, SYSTEM, USRCLASS.DAT
  • Jumplisty a *.lnk súbory

Tieto artefakty patria medzi tie najčastejšie analyzované, na ich exportovanie sa dá použiť napríklad aj nástroj KAPE8 .

Súborové systémy

Analýzu pevných diskov komplikovať aj rôzne súborové systémy, či bezpečnostné prvky operačných systémov. Kým NTFS (OS Windows) je v tomto pomerne ústretový a vyšetrovanie vie byť pomerne jednoduché. Ak nie je použitý SSD disk, tak je možné pomerne jednoducho obnoviť aj zmazané súbory, pokiaľ neboli medzičasom prepísané novými dátami. Pri metadátach je situácia ešte lepšia, keďže položky v $MFT súbore zostávajú zachované, až do prepísania novšími dátami bez ohľadu na použitie SSD disku. OS Windows už bežne používa funkciu BitLocker, ktorá šifruje obsah disku. Jedná sa o dôležitú bezpečnostnú funkciu, ale z pohľadu forenznej analýzy komplikuje situáciu. Bez znalosti hesla nemá zmysel vytvárať obraz disku „post mortem“ (po vypnutí počítača). Riešením je vytvorenie obrazu disku, keď je prihlásený používateľ a teda dá sa pristupovať k dešifrovaným údajom.

Pri najpoužívanejšom súborovom systéme v OS Linux – EXT4 [4] dochádza pri zmazaní súboru k prerušeniu vzťahu medzi metadátami (a ich častým zmazaním) a uložením samotných dát na disku. Deje sa tak najmä zmazaním obsahu v hlavnej tzv. „inode“ štruktúre. Pozitívom je, že časť tzv. „Extent tree“ štruktúry nemusí byť zmazaná a môže byť obnovená napríklad zo žurnálu. [10] Vie to pomôcť dať dokopy aspoň časti súboru, inak sme odkázaní na špecifické dáta (tzv. „magic numbers“) v hlavičkách a pätičkách súborov, ktoré sa snažíme identifikovať v nealokovanom priestore a tým obnoviť zmazaný súbor.

Apple súborový systém (AppleFS)[5, 6] priniesol ideu plávajúcej veľkosti zväzkov, zdieľaného voľného priestoru medzi zväzkami a samostatného šifrovania každého zväzku. Kombinácia týchto vlastností výrazne komplikuje hľadanie a obnovovanie zmazaných súborov. V situácií, kedy na šifrovanom zväzku bol zmazaný súbor a táto časť zväzku sa tým pádom presunula do spoločného zdieľaného voľného priestoru, tak je komplikované obnoviť zmazané dáta (aj z dôvodu neznalosti, ku ktorému šifrovanému zväzku vlastne daná časť patrí a či nutnosť mať heslo). Výhodou z pohľadu vyšetrovateľa je zavedenie funkcie CoW (Copy-on-Write), kedy sa vlastne nevytvára nová kópia súboru, ale ukladajú sa len bloky, ktoré sú odlišné od originálu. Ak používateľ nezmazal všetky kópie súboru, tak daný súbor stále zostáva na disku. Zmiznú len rozdielové časti. Rovnako funkcia Snapshot vie pomôcť pri vyšetrovaní, ak používateľ mal nastavenú. Tá označí všetky bloky ako „read only“ a všetky zmeny sa ukladajú do nových blokov. Takto je možné obnoviť aj zmazané súbory na SSD disku ktoré by inak zanikli. Pri šifrovanom disku (zväzkov, či partícií) sa odporúča robiť obraz disku pri bežiacom operačnom systéme s prihláseným používateľom.

Inteligentné telefóny

Rozšírenie inteligentných telefónov prináša nové výzvy pre forenznú analýzu. Firemné dáta sa môžu ocitnúť na novej platforme a v dnešnej dobe môžu predstavovať mobilné zariadenia aj najdôležitejší zdroj dát. V závislosti od pracovnej pozície používateľa. Na prvý pohľad sa situácia príchodom inteligentných telefónov výrazne zjednodušila, pretože oproti klasickým sú prítomné len dva výrazne dominantné operačné systémy: Android a iOS. Nie je to však také priamočiare. Stále zostala vysoká hardvérová rozmanitosť medzi zariadeniami. Tie sa stávajú rýchlo zastaranými a dochádza k častejším zmenám (približne raz za dva roky). Podstatné však je, že pri Androide si každý výrobca upravuje tento operačný systém podľa svojich potrieb, čo vedie k iným prístupom k ich zariadeniam. Pre oba operačné systémy platí, že na trhu sa nachádza veľké množstvo rôz

nych verzií (aj Android aj iOS). Len pre Android má byť v roku 2023 podporovaných (pred ukončením podpory zo strany výrobcu) 6 verzií operačného systému9 . Medzi týmito verziami vie dochádzať aj k významným zmenám z pohľadu architektúry operačného systému. Kombináciou uvedených vlastností sa stáva každý typ zariadenia svojim spôsobom unikátne a je k nemu potrebné pristupovať osobitným spôsobom.

Cloudové systémy

V dnešnej dobe dochádza k čoraz väčšiemu presunu softvéru, platforiem, či celej infraštruktúry do cloudového prostredia, vrátane dát a záznamov o práci s nimi. Vyšetrovanie je závislé od platformy, ktorú spoločnosť využíva a servisného modelu. Podľa toho má priamo k dispozícií niektoré dáta potrebné pre vykonanie forenznej analýzy alebo si ich musí vyžiadať od svojho poskytovateľa služieb10. Tu môže nastať problém, ak zdieľané prostriedky používa viac používateľov, ako rozlíšiť práve tie, ktoré sa týkajú konkrétneho zákazníka.

Cloudové prostredie prináša viacero výziev11 do forenznej analýzy:

  • Nejasná jurisdikcia – môže spôsobiť problémy najmä pri kriminálnych činoch. Z pohľadu korporátneho vyšetrovania nemusí hrať zásadnú rolu.
  • Nestabilita – pri klasickej forenznej analýze je preferovaný vysoko stabilný stav, to však nie je možné dosiahnuť pri verejných poskytovateľoch cloudových služieb.
  • Fyzický prístup – niekedy dôležitý pri vyšetrovaní je takmer až nemožné dosiahnuť aj pre striktné limitácie vstupu neautorizovaného personálu.
  • Decentralizácia a fragmentácia – benefity pre zvýšenie bezpečnosti a dostupnosti dát sú z pohľadu vyšetrovania komplikáciou.
  • Nedostupnosť a zmazané dáta – rôzne podmienky pre ukladanie (množstvo a čas) záznamov a ich prípadná obnova patria medzi veľké výzvy pri cloudovej forenznej analýze.

Windows: aké možnosti poskytuje?

Jedným zo všeobecných cieľov operačných systémov je maximalizovať používateľský zážitok. Z toho vyplýva, že si potrebuje pamätať množstvo používateľských preferencií a nastavení, ale aj časť poslednej aktivity. Všetky tieto artefakty sú uložené na rôznych miestach a skúsený forenzný vyšetrovateľ ich vie nájsť a použiť pri vyšetrovaní. Napríklad organizácia SANS zverejnila dokument12 s najdôležitejšími Windows artefaktmi a ich umiestnením.

Príklad 1: Pomocou JumpList13 vieme zistiť aké dokumenty boli na danom počítači otvárané. Vieme z toho zistiť, že podľa názvu, jeden dokument pôsobí citlivo a bol otvorený z USB kľúča. Z Windows registrov vieme zistiť sériové číslo tohto USB kľúča. Vieme zistiť, že z toho USB kľúča boli otvárané aj ďalšie súbory. Aj keď USB kľúč nemáme k dispozícií, tak môžeme pomocou Thumbnails14 nájsť náhľad niektorých obrázkov, aj keď do počítača neboli nikdy skopírované.

Príklad 2: Pri infekcií zariadenia je možné cez event logy identifikovať bod v čase, v ktorom došlo k inštalovaniu podozrivej služby, tým vieme do nejakej miery určiť čas kompromitácie. Následne sa cez Prefetch15, Amcache16 alebo iné časti v registroch dajú zistiť aplikácie, ktoré boli spúšťané a kto ich spúšťal. Samozrejme podobne z viacerých zdrojov sa dá preveriť, ako si zabezpečil malware svoju perzistenciu v systéme.

Rozdiely medzi Windows 10 a Windows 11 z pohľadu forenznej analýzy

Windows 11 bol na trh uvedený koncom roka 202117. Napriek tomu, že sa v júni 2023 skončila podpora pre väčšinu verzií Windows 10, tak si stále udržiava táto verzia približne 70% podiel18 medzi operačnými systémami Windows. Je však otázkou času, kedy novšia verzia získa väčšinový podiel. Z tohto dôvodu je dobré poznať základné rozdiely medzi poslednými dvoma verziami. Vo všeobecnosti sú si tieto verzie podobné z pohľadu forenznej analýzy, ale drobné rozdiely tam sú [12]:

  • *.lnk súbory, Jumplisty, Metadáta k $Recycle_bin, AmCache, Prefetch súbory, Shellbags – doposiaľ bez zmeny
  • Registre – viac ako 35 000 zmien v kľúčoch a hodnotách, avšak žiadne významné z pohľadu forenznej analýzy.
  • Windows Timeline – odstránená vlastnosť z Windows 11, ale databáza (ActivitiesCache.db) stále existuje.
  • Záznamy udalostí (Event Logs) – viacero zmien aj z pohľadu zdrojov, ID udalostí aj správ v udalostiach.
  • Windows Search Index databáza – 598 stĺpcov zostalo totožných, ale došlo aj k menším zmenám. Windows 11 pracuje s novšou verziou.
  • ShimCache – funguje podobným spôsobom, ale v čase sa vyvíja, teda je tu predpoklad budúcej zmeny.

Uvedené rozdiely sa budú v čase zväčšovať, keďže niektoré artefakty sú známe svojimi zmenami v čase, napríklad aj obraz operačnej pamäte sa zvykne čiastočne meniť pri väčších aktualizáciách operačného systému.

Pištiek2

Záver

Forenzná analýza v dnešnej vie podporiť procesy vo firemnom prostredí. Pre jej použitie existuje aj iná, ako len externá motivácia. Najčastejšie je to snaha odhaliť príčinu a dôsledky incidentu s následným presahom do úpravy súčasného zabezpečenia firmy alebo ako podpora pre ďalšie kroky, napríklad pre disciplinárne opatrenia, súdne procesy.

Firmy, ktoré majú rozvinutú kybernetickú alebo informačnú bezpečnosť majú z procesného hľadiska jednoduchšiu cestu k zavedeniu používania forenznej analýzy, pretože majú identifikované aktíva, biznis procesy a k tomu rozvinutú sieť politík. Do takéhoto ekosystému nie je zložité vložiť ďalšiu politiku (existuje proces) a jej podriadené procesy a procedúry, najmä ak vychádzajú z podobných, napríklad ISO štandardov. Zároveň to umožňuje dobré definovanie, kedy vôbec má byť použitá forenzná analýza, aby sa maximalizovala jej využiteľnosť pre firmu. Treba pri tom zvážiť obmedzenie a príležitosti, ktoré ponúka existujúci hardvér a softvér.

Výhodou je, že existuje dobrý prekryv medzi forenznou analýzou a riešením incidentov a navzájom sa môžu dopĺňať. Existuje veľké množstvo aj bezplatných riešení, ktoré vedia pomáhať. Niekedy však môže byť prínosné použiť vlastné riešenie. Príkladom môže byť aj využitie AI prístupov, ktoré vedia detegovať rôzne typy anomálií a útokov. Anomália po analýze môže byť označená za incident (útok) a následne sa spúšťajú procesy pre odstránenie dopadu incidentu a zároveň hľadanie príčiny vzniku incidentu.

Pištiek3Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou: 

  1. Smernica NIS - https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=celex:32016L1148
  2. Zákon 69/2018 o kybernetickej bezpečnosti - https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/69/ 
  3. Vyhláška č. 82/2018 Sb. - https://www.zakonyprolidi.cz/cs/2018-82 
  4. Smernica NIS2 - https://eur-lex.europa.eu/eli/dir/2022/2555
  5. V našich podmienkach najmä zákony a súvisiaca legislatíva vychádzajúca z európskych smerníc NIS a NIS2.
  6. ISO 17020, 17025, 27001, 27037, 27041, NIST 800-86, RFC 2350
  7. SANS – Building a Low Cost Forensics Workstation (White paper) - https://sansorg.egnyte.com/dl/COOTEwS3rV
  8. https://ericzimmerman.github.io/KapeDocs/
  9. ttps://endoflife.date/android a https://en.wikipedia.org/wiki/Android_version_history
  10. https://resources.infosecinstitute.com/topic/overview-cloud-forensics/
  11. https://www.eccouncil.org/cybersecurity-exchange/computer-forensics/what-is-cloud-forensics/
  12.  https://www.sans.org/blog/updated-windows-forensic-analysis-poster/
  13. https://forensics.wiki/jump_lists/ 
  14. https://forensics.wiki/thumbnails/ 
  15. https://forensics.wiki/prefetch/
  16. https://andreafortuna.org/2017/10/16/amcache-and-shimcache-in-forensic-analysis/
  17. https://learn.microsoft.com/en-us/windows/release-health/windows11-release-information
  18. https://gs.statcounter.com/os-version-market-share/windows/desktop/worldwide/

Použité zdroje:

[ 1 ] OLEJAR, D., ANDRASKO, J., GONDOVA, L., HOCHMANN, J., HUDEC, L., JANACEK, J., OSTERAG, R., PISTEK, P., STANEK, M.: Základy kybernetickej a informačnej bezpečnosti, Univerzita Komenského v Bratislave, 2020, url: https://dspace.uniba.sk/handle/123456789/20
[ 2 ] ÅRNES, A.: Digital forensics. John Wiley & Sons, 2017.
[ 3 ] LIN, X.: Introductory Computer Forensics. Springer, 2018 [
4 ] CARRIER, B. D.: File System Forensic Analysis, Addison-Wesley Professional, 2005.
[ 5 ] PLUM, J.: APFS filesystem format. 2017 (accessed April 2023). url: https://blog.cugu.eu/post/apfs/
[ 6 ] DEWALD, A, AND PLUM, J.: ERNW White paper - Apfs internals for forensic analysis, 2018 (accessed April 2023). url: https://blog.cugu.eu/files/pub/2018_04_ernw_whitepaper_apfs.pdf
[ 7 ] WEI, M. Y. C. et al.: Reliably Erasing Data from Flash-Based Solid State Drives., In: FAST, pp. 8, 2011.
[ 8 ] GUBANOV, Y., AFONIN, O.: Why SSD Drives Destroy Court Evidence, and What Can Be Done About It. In: Forensics Focus, 2012.
[ 9 ] GUBANOV, Y., AFONIN, O.: Recovering Evidence from SSD Drives in 2014: Understanding TRIM, Garbage Collection and Exclusions, In: Forensics Focus, 2014.
[ 10 ] FAIRBANKS, K., D.: An analysis of Ext4 for digital forensics. In Digital Investigation, vol 9, pp. 118-130, 2012.
[ 11 ] FERNANDES, G. et al.: A comprehensive survey on network anomaly detection. In Telecommunication Systems, 70(3), pp. 447-489, 2019.
[ 12 ] Rathbun, A.: Windows 10 vs. Windows 11, What has changed? In SANS White paper, 2022. url: https://www.sans.org/white-papers/windows-10-vs-windows-11-what-has-changed/
[ 13 ] Forensics Focus: Traditions vs Reality in Modern DFIR. 2022 (accessed July 2023). url: https://www.forensicfocus.com/webinars/enterprise-forensics-traditions-vs-reality-in-modern-dfir/

Vytisknout