Oprogramowanie do analizy śledczej tworzone we współpracy z Katedrą Informatyki Stosowanej Politechniki Łódzkiej – SQLite, Torrent Analyzer, Konwerter Dźwięku

Z PRAKTYKI

Tomasz Pawlicki

Arkadiusz Bo/ewski

Paweł

Kubicz

Andrzej Romanowski

Oprogramowanie do ana

lizy

ś

ledczej

tworzone we

współpracy

z

Katedrą

Informatyki Stosowanej Politechniki

Łódzkiej

-- SQLite, Torrent Analyzer, Konwerter

Dźwięku

Wprowadzenie i cel pracy

Niniejsza publikacja jest kolejnym artykułem poświę­ conym zagadnieniom szeroko pojętej informatyki śled­ czej. Informatyka śledcza

(Computer Forensics)

wkracza tam, gdzie kryminalistyka styka sięz komputerami zarów-no w sensie sprzętu, jak i oprogramowania. Od kilku lat obszary jej zastosowania, poza komputerami, obejmują także szereg innych urządzeń technologii służących do przesyłania, przetwarzania i przechowywania informacji. W poniższym artykule poruszone zostały trzy wybrane, praktyczne aspekty związane z analizą dowodową infor-macji w postaci elektronicznej. Pierwszy z nich to wykorzy-stanie

w

praktyce kryminalistycznej właściwości iobsługi systemu bazodanowego SOLite naprzykładziearchiwum komunikatora internetowego Gadu-Gadu.Drugi prezentu-jemożliwości opracowanego oprogramowania do analizy plików konfiguracyjnych programów kliencklch sieci do wy -miany plików

(Peer-to-Peer -

P2P).Trzecim przedstawio-nym zagadnieniem jest projekt programu do konwersji pli-kówdżwiękowych ułatwiającywykorzystanie i odtworzenie materiałudowodowegopochodzącegogłówniezurządzeń przenośnych. Prezentowana problematyka jest przedmio-tembadań dotyczącychtworzenia nowoczesnychnarzędzi informatycznych wspierających pracę ekspertów krymi-nalistyki. Nad badaniami wspólnie pracują Laboratorium Kryminalistyczne Komendy WOjewódzkiej Policji w Łodzi i Katedra Informatyki Stosowanej PolitechnikiŁódzkiejprzy wsparciu Oddziału Łódzkiego Polskiego Towarzystwa In-formatycznego. Część wyników zamieszczona

w

niniej-szym artykule przedstawia elementy prac dyplomowych Arkadiusza Bolewskiego orazPawłaKubicza.

Odczyt danych z aplikacji opartych na silniku

bazodanowym SOLite na

przykładzie

nowe

j

wersji popularnego komunikatora

internetowe-go Gadu-Gadu

Nowe Gadu-Gadu może być dodatkowym żródłem informacji w różnych sprawach, w których dochodzi do komunikacji między użytkownikami. Często rozmowy za-wierają wiadomości na temat miejsc spotkań, transakcji.

40

Historia Gadu-Gadu,w skrócie GG,rozpoczęła sięw roku 2000, obecna wersja ma numer 10.Po roku 200B, wdro-żeniu biblioteki at i zastosowaniu kodowania Unicode UTF-B wydano wersję komunikatora pod nazwą Nowe Gadu-Gadu.

Niniejsza część artykułu przedstawia metody prze-glądania i analizy danych SOLite naprzykładzie właśnie Gadu-Gadu.Dokładniej, jest to analiza pliku

Archive.db

używanegoprzez komunikator.Pliki tesąkontenerami dla danych bazy SOLite w wersji v3.Poniżej zostały zapre-zentowane podstawowe informacjeumożliwiające pozna-nie struktury danych zastosowanych w Nowym GG,a tak-żemetodypozwalającena tzw.ręczną analizę informacji w niej zawartych. W tym miejscu należy wspomnieć, że istnieje dostępne oprogramowanie,np. adbT, za pomo-cąktóregomożna uzyskać danepochodzącez archiwów komunikatora,jednak w trakcie przeprowadzonych przez ekspertów kryminalistyki Pracowni Badań Komputero -wych LK KWP wŁodzi badaństwierdzono,iżgenerowane przez nie raporty zawierają błędy, cocałkowicie dyskwa-lifikujeto oprogramowanie jakonarzędzie do analiz typu

Computer Forensis.

SQLite - informacjepodstawowe

SOLite to zarazem silnik i systemzarządzania relacyj -ną baządanychobsługujący język zapytań SOL 1' .Jedną z podstawowych zalet tego rozwiązania jest możliwość implementacji bazy danych jako pojedynczego pliku (do 2 TB). Dzięki takiej architekturze w praktycznych imple-mentacjach nie jest konieczne łączenie się z serwerem bazodanowym, a tym samym uruchamianie odrębnego procesu RDBMS' tak, jak to ma miejsce przykładowo w rozwiązaniach klasycznych, np. MySOL. SOLite jest obecnie najpopularniejszym rozwiązaniem bazodanowym wybieranym dla systemów wbudowanych.Świadczyo tym choćbyjego obecnośćw dwóch najważniejszych płatfor­ mach Smartphone: iPhone OS oraz Android,co z kolei pozwalaprzewidywaćdalszy jego rozwóji wzrost znacze-nia.Początki projektu datuje sięna rok 2000, w którym to D. Richard HippstworzyłiudostępniłSOLite na zasadach licencjiPub lic Dornain-.

Podstawowe cec hy SoLite to: obsługa transakcji zgo dnych ze standardem ACID' . implementacja zgodna ze standardem SoL92,przechowywanie w pojedynczym plikukomp letnejbazy danych,możliwośćmigracjipomię­ dzy różnymi platformami Win32. Win64, WinCE. Linux, MacOSX. Ograniczeniem rozwiązania jest blokowanie

całego pliku pod czas dopisywania nowych danyc h oraz

brak prawdostępudobazydanych . Jednakw przypadku

analizy plików będących materiałe m dowodowym jest to znaczneułatwienie.

SOLite - zastosowanie

Baza danych SoLite jestwbudowanamiędzyinnymi wnastępująceaplikacje:MozillaFirefox - przeglądarka internetowa nalicencji open source(w bazachdanych przechowywanesąprofile użytkowników),Android- śro­ dowiskoprogramistycznedlaurządzeń przenośnych. za-projektowane prze z Google(doprzechowywaniadanych użytkowni ka),Apple iPhone- multimedialne urządzenie przenośne , Nowe GG- komunikator inte rnetowy (archi-wum połącze ń).

Studiumprzypadku

W celuprzedstawienia zastosowaniaopisywanego

na-rzędzia zaproponowano następujący przykład procedury

analizydanych (rozmów)pochodzącychzkomunikatorai n-temetowegoNoweGGzużytkownikiemonumerze 111275_•

Ważnym elementem pracy z plikiem bazodanowym

jest dokład ne poznani e jego struktury oraz poszczeg

ól-nych komórek determinujących prawidłowe rozp oznanie

użytkownika,cha rakte ru jeg orozmowy,treściitp.Baza da-nych komunikatorazawartajestwpliku:Archive.db w ka -talogu: IUsers!Nazwa Użytkownika! AppOa tal Roam ingl Gadu-Gadu tO\Nume r Profilu.Wprzyp adku niezaszyfro-wanego archiw um" można bezpośrednio uzyskaćdostęp do wiadomości, m.in.przezpodglądpliku.np. z użyciem

aplikacji wbudowanejw MS Windows- Notatnik.Jednak prowadzone w ten sposób badaniejest bardzo żmudne, a wygenerowanie rap ortu. w sposób umożliwiający jego

płynną analizę. jest bardzo czasochłonne. Standa rdowa

treść wiadomości zawartajest

w

znacznikach: Data/czas «spen style="color:#OOOOOO;font-family:'MSShellOlg 2';

tom-size.eot: »{tresćwied omoscitc/spen».

p."g._-_..._...-ł_ . _ .~_ ł111 Z1

,.

-..

s

Ayc.1.Główneokno programuSingularSOLileExplorer

Fig.1.Main window ot SOLi teExplorer

Źródło(ryc,1-18):autorzy

I

F;e fd<lv,~ .l.(t,o~. o,t,...

U . !:2 ~ ", ~ x ~ 8 ~ '6" '"

01-0....0- ~..""'s- E _ E...a....,""->ONlOolIIł...h!> o -T" 8_ Cooorol Rcit

~"':;"m:--

t

,...:,'.,f,I.,.,_,:".-:-.-:-,".",

-;;

"",::,-;;,",,

_,

;;

.

";;,,;;~,c;:;.--~

•JICl:ll

••..J...JcłllltlCOI'\'WI'IUII ~__l •.J'nle rloollots • .J, ,_wQtlence

Ryc.2.GłówneoknokreatorazapytańSQL Fig.2.Main windowot SQL query builder

-

_.

1

=....

_--

-

_-

o

~

~

..I _.'f'

-i

::::-"'"

._...110__ ~

-...

_~.

I

.

=W=

• ___110__

_

.

,

-.

-

=-

---'

..

-

" . ,

.

-

-

.

-- --

..

,

'H:~::.~:c,t

"

C""","",",:,co'

,

::'r.o: ...<I ~~e::.<I _I

.

.

:.,.u.:oc',;t

.

'.',.• o:.d :I",.o:uo e: C·. U .

.

:I'.': n o" 0;,.,'::'.' W celu analizy pliku można posfużyć się dostępny­

mi rozwiązan iami typu MenagerSOLite.W omawianym przypadku użyto prog ramu Sqlite3Explore r, dostępnego

na stronach http://www.singular.grlsqlite/. Poniżej przed-stawio no jego opis ,zważywszyjednak na nadrzędny cel artykułu ograniczono się jedynie do opisu funkcji umoż l i­

wiającychuzyskan ie danychz kontene raSOLi te .

Okno programu (ryc. 1)dzielisię na trzypodstawowe

elementy:widokschematyczny tabeli (podglądtabeli p rzy-pominastruktu rę fold erów zna nych z MS Windows), pole

zapytań (pole umożliwiające ręczne wpisywanie zapyta ń SOL),polewyniku (pole,w którymprzedstawiony jest wynik

zapytania).Dodatkowym eleme nte mwspomagającym kon-strukcjezapytańSOL jestQuel}'Buliderdostępnywgórnym paskunarzędziowym(ryc.2).Za pomocą kreatora moż na stworzyćorazprzetestowaćzapyta nie SOL.Dostępnywidok przypominaopcjętworzenia kwerendznaną z MS Access. Dodatkowe opcje sortowaniadostępnew dolnejczęści programu pozwalająna doprecyzowaniezapytania. Trady-cyjny podgląd można uzyskać przez naciśnięcie pola Sql

umieszczonegow górnym paskunarzędziowym(ryc.3).

NatomiastpoleSample pokazujeprzykładowe działa­

nie zapyta nia.

Tak utworzonezapytanie można skopiować (Ctrl

+

C)

iprzenieśćdoPolazapytańdostępnegowgłównym

pane-luprogr amu .W celuutworz eni anowego zapytanianal eży

wyświetlić dostępne tabele, anastę pn ie połączyć je w lo -giczną całość,przeci ąg ającposzcz ególne komórki.

Sqlite3Explorer- menadżerbazodanowy

Z PRA}"'YKI

Po uruchomieniu programu:Sqlite3Explorer izałado­ waniu pliku Arcnive.db wyświetlana jest jego struktura,

Baza danychskłada sięz trzech podstawowych tabel za-wierającychodpowiednio:chats - rozmowy,c ommunica-tion_ilems- treściwiadomości ,interlocutors- użytkowni­

cy,z którymiprzeprowad zonezostałyrozmowy .

Tabela

cha

ts

Strukturatabeli chatszostałaprzedstawiona narycinie 6.

Tabela składa się z pięciu podstawowych eleme

n-tów:

c

haUd

-

numer identyfikacyjny przeprowadzonej rozmowy,

imettocutorid -

numer identyfikacyjny uż yt

-kown ika,zktórymprzeprowadzona była rozmowa(prz e-prowadzone rozmowyzapisanesą

w

tabeliinterlocutors),

is_inilialized_by_user- znacznik,czy rozmowa została rozpoczętaprzez"m ającegoarchiwum"(1=tak,O=nie),

stertoete

-

dataiczas rozpoczęciarozmowy,

tirstcom-municat

ion

_item_id

-

numer identyfikacyjny pierwszej

wiado mości należącejdo tej rozmowy (z tabeli

co

mmu

-nica lion_ilems).

Tabela

communication

_i

tems

Struktura tabeli communication_itemsprzedstawiona

zostałana rycinie7. .".,

- - -

-łiiiI

~

iii!

"

X

W

.

11

Updale Load Save Seve as.., Cle.. Oplions

~

Sql

~ Sample

V

CheckSJ'I1łaK

5E:~ cr C2.c~at_id, Il. l~t e ~loc~tc =_i d.C:. ~~te=l c c~ tc = id F:;O~1 chet.s Cl,ccrm.::.:.::.:. cat:.c::_l. :'~ C2,l.::t.e =lccuto = ~ 11

h~E :; E C2 .c::at .:.d=: :. c~at :.d ~lD

I

: .

.:.::te=l o c~t c= .:.d= C ~

.

.:.::t e =l o c~t c= ~d

Ryc.3.ZapytaniaSQLwformacie nieprzetworzonym Fig. 3.SQLsrarementsinbasicform

.

:=

SampleData

I

=

I

@]I

cae't Jod

Ryc.4. Pola wynikowe zapytania Fig.4.Sample data

7 _ _ J

'rtle-"<lol>"/><imgslyle-"wl(lth'18px:helght'18px"src="%n-G-, NSTALLATiOt'CDIRECTORY%/emolsnol gir alt-"<101>"II' [INSTALLATiON_DIRECTORY%/emots/lol gIT'alt="<101>"lItIe="<101>"/><img style="width:18px:height18px"srC ="%GG-1

t><img style="wid1h 18px:height'18px"src="%GG-'NSTALLATION_DIRECTORY%/emot s/lol gir alt="<lol>"title="<lol>"/

IINSTALLATl or~_Di RECTO RY%/emots/loLgira~="<101>"trtle="<101>"/><img style="wrd1h:18px:heiqht:18px"src="%GG-'

I~ '2 sN 3 D?~ 2010-05-21T21 08 30<s an st le="color:#OOOOOO:font-famil 'MSSheliDl

2'

:

font-size9 t: ">'

3

: C

I I I 1;1 t. Ił l " t I . . . Ił I . , • • . •• • ~

I<span style="color:#OOOOOO,font-family'MS Sheli Dlg2':font-size.Bpt:">takwczesnre</span>takwcz esnie 'sl ,

-

I

3_

:

_W.Jo

2010

=

0

5

,

21I21JlL01.5soaQ

slvlE:

col

orJ10

00000Joo

tłamill

L'M

s..S.b.

eJLDJ.a..ZJ

onHi

ze

.

9cL2nie

_

bo

_si

o

s

tr

awoiJ

RyC.5.Fragmentplikutekstowego archiwumGG

Fig.5.FragmentolGGarchivetex' file

Rvc.6.Dane zawartewtabelicbats Fig.6.Chats table data

.. js_~ed_by_U$ef 1 O 1 • st"'U iale 2010-o2·15T091l.49 201 O·02·15T10:15:42 2010,04,26T1 52 328 • fif st_comrl'llXlico/l'lOn_~em_id T

-44

1

4

5

1091 . Iioo' ~ cM.oM. ...a>u...1 ł.-.... -..... ... .~__btl__ • __lU'"_ _~ ...

....-.~1' 3IlJl.QZ-1So <_ - . ."",*,1OXIJlI~ w..SłIoI (\lg 2',łonI-_ ~_"'>ao(""'<UIO a>.._ - . g 8 1' 2lllD«'-15o <_ """~a>b -:oxm, ""'ł ws.S/lel OIII 2'.IorIl,_ ~, ·)u.l .At a> _"-" 45918 201002·15II

<

_

..,....

...

IOXIJlI....ł 'WSS!'ooIOIII 2'._ 'lrpt")ftOueI..Ju,~

46618 2ll1()o(l2·15li <_-..·o::blOXlJll.lcrił ,'WS S/ld OI!.l2'; kri ...'!lIl.·)u ...At<hpaol)

'---_-"'-m ~~_ _~"""'-"-' ~_~bftlllnn:lbt~ ! . b o I ~ z . ~ ~....~_~ - J

Ryc.7. Dane zawartewtabelicommunication_items

Fig.7.Communicalion_items tabledata

~

identflCatior

~

21551

111

27'

22582C

7464:;

47 O

I

16

O

:. interlocu~ identificałion_l)'pe

7 O

-~====-:---=

O

Na podstawieuzyskanegowyniku stwierdzono,że po-szukiwanemu numerowi

w

bazie danych odpowiada ide n-tyfikator rozmówcy(interlocutoUd) 45.Następniewtabeli

chats sprawdzono numery identyfikacyjne

przeprowadzo-nych rozmów (chaUd) dla użytkownika (interlocutoUd)

45. W Polu Zapytań wpisano więc setect • trom chats

WHERE interlocutoUd=45, otrzymując dane

przedsta-wione na rycinie 10.

Kolejnym krokiem jest sprawdzenie w tabeli commu-nicetion poszczególnych rozmowów (chacid) użytkowni­ ka o numerze 45.W celu sprawdzenia rozmowy nr 252,

w PoluZapytań wpisano select .. trom communication_

items WHERE chaUd=252 (kolejne rozmowy można

przeglądać analogicznie, zmieniając jedynie ich numer

porządkowyz kolumny chaUd).Następnie,aby dokonać

eksportu wynikównależy wybrać z menuFileopcjęSave

Result set as XMLizapisaćplikw wybranej lokal izacji na

dysku.Tak wyeks po rtowanyplikmożna póżn iej otworzyć, np.programem MS Excel, jakotabelęXML(ryc. 11).

Przeg lądan ie wynikowego zbioru XML z użyciemMS

Excel dajedodatkową możliwośćsortowan iawyników,co

zostałoprzedstawionena rycinie12.

Mającna uwadzenadrzędnycel przeprowadze nia b a-dań, czyli spo rządzenie raportu rozmów prowadzonych przez komunikator Nowe GG z użytkowniki em o nu

me-rze 11127, należało skonstruować odpowie dnie za pyta-nie SQL. Jak wynika z wcześni ejszej analizy użytkown ik o wskazanym numerze widnieje w bazie danych jako

12536

.

1455,

16

'

Tabelaskłada sięzsześciupodstawowychelementów:

communication

_ite

m

_id-

identyfikatorwiadomości,

cnet

;

id - numer identyfikacyjny przeprowadzonej rozmowy

w

ta-beli chets,is_senCby_user - wiadomość wysłana przez "użytkown i kaarchiwum"(1

=

tak,O

=

nie),start_date-data

i czas rozpoczęciarozmowy,

contenttyp

e

-

typ wiadomo-ści(O=tekstowa (ewentualniez obrazkiem),1=SMS, 2= plik).

eontent

-

wiadmość wraz z formatowaniem tekstu.

Tabelainterlocutors

StrukturatabeliinterJocutorsprzedstawionazostała

na rycinie8.

Tabelaskłada sięz trzech podstawowych elementów:

cinterlocu tor_id- identyfikator rozmówcy

w

bazie,

iderui-fication_type- rodzaj danych(O

=

numer GG,1

=

numer

telefonu),idenli fication- nume rGGlubtelefonu(zgodnie

z polemidentification_type),w poluidentificalionznajdują sięrównieżużytkown icy widniejący

w

komu nikato rzeGG jako"spoza listy".

Z akt sprawy wynikało, że inte resujące, z punktu

wi-dzenia śledztwa, wiado mości pochodzą od użyt kown ika

o numerze GG:11127. W tabeliinterlocutorssprawdzono kont aktywPoluZapytań,wpisan o:select•fromi

nterlocu-tors,otrzym ującdanena temat zdefiniowanyc h w progr

a-mienum erówkont akt ów (ryc.9).

~ identification

+4850283

+485090L__

10364

'

Ryc. 8.Dane zawartewtabel iśrtenocuro rs

Fig.8.Inter1OCutorslabIe data

RyC.9. DaneonumerachGG poszukiwanychrozm ów ców Fig.9.Output data- GGidnumbers

o,

requested interlocu rors

10022

10527

10707

10865

[

~903 rosi communicałioo_~em_id ~

9704

9834

9842

9860

9897

2010-07·1 0T13

:

48

:

52

'

2010-07-14T11

:57:24

2010

-07

-28T16:2928

I

201 0·08-09T12:46

:45

~ starł date ~

201 0-D6-28T21

:

23:51

2010-06-29T14

:1O:41

2010-D6-29T19

:22:32

201 0-06·29T21

:

47:15

I

257

145

:

0

25

345

,

O

25445

O

26045

O

:. chaU d -!.JIinłerlocułorjd ~ isjnitialized_by_u ser

45 'O

I

Ryc.10.Da nedotycząceczatówprowad zony chprzezużyt kowni kaonumerze identy fikac yjn ym 45 Fig.10.Dala related to chatsconductedbyuserid #45

Z PRAKTYKI

numer 45,wzwiązku z tym w PoluZapytańwpisano na

-stępującezapytanie: SELECT'

FROMcommunication_ilemsC1,interlocutors lI,chatsC2 WHERE Cl.chaUd=C2.chaUd AND 11.interlocutoU d=45

W tym miejscu należy zaznaczyć, że skład nia SQL

daje ogromne możliwości sortowania oraz odnajdowania

konkretnych, poszuk iwanychdanych.Trzebarównieżp

od-kreś l ić, żewcelu budowyzapytań SQL-owychbardzo

po-mocne jest wspo mniane wcześniej narzędzie Query

BuN-der.Przykładowezapytaniamogąwyg lądaćnastępująco: Podgląd całegoarchiwum:

SELECT'

FROM communication_items Cl,interlocutorsl1,chats C2 WHEREC1.chaLid=C2.chaLidANDll.interlocutor_id =C2.-interlocutocid

Podglądrozmówużytkownikówzuwzględnien iempól:

rozmowy(contenti,data (start_date) ,numerGG r

oz-mówcy(identification):

SELECT

C

l.content,C2.start_date,11.identilication

FROM communication_ilemsCl,inter/ocutors

lt.

cnets

C2 WHEREC

t

.cneiidece.cneiia

AND /1,inter/ocutoUd=C2.

imettocutor

k:

Podsumowan ie

Autorzy wykazali,że możl iwy jestdostęp do pliku

Ar-chivekomunikatara Nowe GG.Zapom ocąnarzędzi aS qli-te3Explorer dokonan otegoitego,co pozwala na toina to. Dzięki możliwościwykorzystaniajęzykaSQLmożliwejest praktycznie nieograniczone uzyskiwanie dowolnychinlo

r-macji z archiwum rozmów dotyczących np. wysyłanych

plików (czyzostałyodebrane).

Ryc.11.Otwieranie plikuXML zużyc iemprogramuMSExcel Fig.11.XMLfile opendialog window inMS Excelapp/ication

Podglądrozmów jednegoużytkownika,wrozpa

trywa-nym przypad kuużyt kowni k45:

SELECT'

FROMcommunicatio n_itemsCl,inter/ocutors 11,chatsC2

WHERE Cl.chaUd=C2.chaUd AND 11.interlocutor_ id=45

W

ybi

erz sposób

,

w

Ja

ki

chcesz

otworzyć

tenpl

ik:

Ci

ij~j(iij~j;~iix.;~.1

'.=-'

Jako

~oro

szyt

tyłko

do

odczytu

'.=}

~żyj

okienka

z

adań

Źródło

XML

[

OK

I

I

AnulUj

II-

p

om

-

_oc

-

_

-Otwierani e

p

li

ku

XML

[

lf

Z praktyki

-

program TorrenI Analyzer

Kolejna część artykułu zawiera opis moż liwości

wy

-korzystania opracowanego na rzędzi a Torrent Analyzer

w procedur ach analizy plików konfiguracyjnych klientów

sieciwymiany plików w Internecie.Wprowadzonych po

-stępowaniac hczęstozachodzikoniecznośćustalenia,czy dane pliki udostępnionoszerszemu gronu użytkowników .

Autorskiprogrampozwal anapraktycznąiwygodnąa

nali-zęplików konfiguracyjnyc hwybranyc h program ówk

lienc-kichsieciP2Pposług ujących się proto kołemwymiany B it-Torrent, a efektem końcowym działaniaprogramumoże

byćwygenerowani e przejrzystegoraport u.

Sieci typu

peet-to

-peer

networking

cieszą się

niema-lejącą popularnościąodczasów Napstera'.BitTorrent jest

protokolem wymiany plików w sieciach P2P de

dykowa-nym do rozprowadzania dużych ilości danych. Protokół

zostal opracow any przez Brama Cohena i opublikowany

w lipcu 2009 roku. Szacuje się, że obecnie wykorzystuje

go od 25%do 55%transmisji(wzal eżn ościod lokalizacji

L M N

1

[§iiiit..

..

ltW;g,li."'t4gl

..

t\ffli1fj;'

..

14·l.ittii,tgiJ

o

..

P

.

.

O

<span style='masznowegg;P

O

<span style='niecałyczas to samo

O

<span style='??

O

<span styIe='nie rozumtem

O<sl'.an~tyle='pytałaś

czy

mamn~~"gg O 2010-06-2821:23 l 2010-06-2822:36 O 2010-06-2822:36

O

2010-06-282236 1 2010-06-282236 - - -.~-- - - ---- - ~ 252 252 252 252 252 2

3

4

5

6 7

8

9

10 11 12 13

Ryc.12.Arkuszz danymi XMLotwarty wprogramie MS Excel

Fig .12.XML data ooeneaas MSExcel spreadsheet

geograficznej)'wIntemecie.Niesąznanedokładnedane

dotyczącetego,ile z tych dystrybuowanychtreścijest n ie-legalnych (łamanie autorskich praw majątkowych , praw

własności intelektualnej,pornografiazudziałem osóbpo -niżejpiętnastegorokużyciaitp.).

W praktyce kryminalistycznej kluczowa dla sprawy jest przede wszystkim analiza plików konfiguracyjnych programu klienckiego obsługującego rzeczony protokół. Wzwiązkuz tymzostałoopracowaneodpowiednieo

pro-gram owan ieprzeznac zone do ana lizy programówk

lienc-kichobsługujących protokół BitTorrent.Wybraneprogr

a-my klienckie,któreobsługuje opracowanaaplikacja, np. Torrent Analyzer,opisana w niniejszymartykuleto uTor -rent, BitComet oraz Vuze (dawniej Azureus). Program skupiasię na analizie najistotniejszych plikówkonfigura

-cyjnych,jakimi są plikizawierające informacje na temat ilościpobranychdanych,ilości wysłanychdanych,nazwie

dokumentu orazpierwotnejści eżcezapisu.

ProgramIlTorrent-pods taw ow einformacje Wprzypadkuprogramuu'Forrent informacjedotyczące aktualniepobieranychiwysyłanych dokumentówznajdują się w pliku resume.datbezwzględu na to,czy aplikacja

byłainstalowana

w

systemie czy uruchomiona jako wersja

portable (czyli nieinstalowalna). Dla ułatwienia lokalizacji poszukiwanego plikuprzyjętooznaczenieścieżki do folde-ru,w którym aplikacjeumieszczają najczęściej swoje pliki jako%AppPath%.Przykładowow systemach:

@ IJTorrent2.2 - •

Pik Opcje Pomoc

p

Znajdźzawartość EJ~~Torrenty(l) ...Pobierene (O) . ;lJ<ończone(1) ~AI<lywne(O) t'oIeal<tywne(1) ~ ~ EtyI<jety (1) :: Kanały(O)

•

•

Rozmiar status

9.3 1f'II) . . .iI8I1K1 Udostępriarje

p

.

0(104:

L

RyC. 13.Główneoknoprogramuurorrentv2.2

Fig.13.

ur

onem

v2.2mainwindow

Sposób kodowaniaposzczególnychtypów danych używanyw kodowaniu Bencode

Bencodeencoding lorvarious types ot data

Tabela 1

Typdanych Wzór Przy kłady

Tekstowy <długość

tekstu

>

:

<wartość> 7:poIJcja->policja

Liczbowycałkowity i<wartość>e i42e->42

Usta

t

-aekoaowene

wartośc;>e f7,poIJcja3,p2pe->(policja,p2p)

Słown ik d<zakodowanawartość><zakodowany d2:ja4:moje2:ty5:twojee -c-Ua-moje;

klucz>e ty-twoje}

Z PRAKTYKI

dI0:.tiIeguard40:29E41A7DFED 14D039Dl0370FCC5A082721BB9D4B38:Mozilla

Firefo x4.0 [ B eta4_2].torrentd8:added_o ni1292039997e9:antivi rusIIiOeiOeee9:app_ow nerO:6:blocksle9:block siz eiI 6384e6:cachediOe7:caption30:Mozilla Fi refo x 4.0 [Beta

4_2]5:codeciOe12:completed_oni

I

292040043e7:corruptiOe3:dhli13e12:download_urlO:10:dow nloaded i976462 4e9:dow nspeedi Oe7:ep isodeiOe1O:episode_to iOe8:feed_urlO:9:hashfailsiOe4:have19:··· ·· ·· 4:info20:FF

O

·

·

Er.-C

Tń

A

:\i

"

bnż

,

R

18:1astseencompletei1292042514e

II

:Iast_activei2270e3:lsdi8e5:movediI e5:orderiI e21:overrid e_seedsellingsi0e4:path86 :C:\D ocum entsandSellingslarek\Mojedokumenty\Downloads\MozillaFirefox 4.0 [B eta4_2]6:peers63438:4 :prio:5 :prio2i I e7:qualityiOe8:rss_nameO:7:runtimei2352e9:scramblediOe6:seasoniOe8:seedt imei2307e7:start ed i2e9:superseediOe19:supersL'ed_curyieceiOe4:timei I 292042527e 11:trackerrnodei3e8:trackersll44

:udp://tracker.openb illorr enl. com: 80/announce45:http ://tracker.openbittorrenl. com :80/announceel39:hllp :// tracker.pu bl icbl.com:80/announce38:udp ://tracker.publ

icbt.com:

80/announcee41 :udp ://denis.stalker.h3q.com:6969/announce4 2:htlp://denis .stalker.h3q.com :6969/announcee7:ulslotsiOe8:uploaded i

1

6384e7:upspeediOe7:use_utpi I e5:validiI e7:v i

s

ibleiI

el2:wanted ratioi 1500e15:wanted seedtimei0e5:wastei237807e8:webseedsleee

Ryc.14. Usting-przykładowazawartośćplikuresume.dat Fig.14.Listing- example conlenlot resume.dat fife

Tabela2 Analiza wybranych fragmentów pliku resume.dat

Analysis olse/ected partsol resum e.datliIe

Własność Fragment Wartość

4:path86:C:\Documents and Settmgslarekl Ścieżka: C:\Oocumenfs and Settingslarek\

Ścieżkazapisu znazwąpliku Moje dokumentylOownloadslMozilfa Firefox Moje dokumentylDownloads\

4.0[Beta4_2] Nazwa pliku:Mozllla Fire/ox 4.0 [Beta4_2]

Data dodania 8:added_onit292039997e 1292039997

Ile danych pobrano? 10:downloadedl9764624e 9764624B

Ile danych wysIano? 8:up/oadedit6364e 16364 B

WindowsXPfolderemtym jest C:IDocumentsand S et-tingskuzytko wnik>IDane aplikacjl1,

Windows Vista C:IUserskużytkownik>\AppDataIRo­

amingl,

Windows7C:IUserskużytkownik>\AppData IRoamingl,

gdzie

C

:I

jest oznaczeniem dysku - partycji systemowej.

Zgodnie zzałożeniami domyślnieplik konfiguracyjnyz in-formacjami o aktualnie pobieranych/wysyłanychplikach

można odnależćw %AppPath%\uTorrentlresume.dat. Plik ten jest zakodowany systemem Bencode'.Sposób

kodo-wania poszczególnych typów danych w tym systemie

przedstawionyjest w tabeli 1.Przykładowa zawartośćpli -ku resume.datprzedstawionajest na rycinie14.Dokładna

analiza wybranych fragmentów przedstawionajestw ta-beli

2

.

Wartośćczasuodpowiadająca temu,kiedy plikzo -stałdodany zapisana jest

w

formacieuniksowyrn".

Klient BitComet - podstawowe informacje

Wodróżnieniuod klienta~Torrent,program BitComet (ryc.15) zawiera interesujące, z punktu widzen ia analizy kryminalistycznej, informacje na temat aktualnie

pobiera-nych/wysyłanych plików w bardziej uniwersalnym, przej-rzystym formacie (zarówno jeśli chodzi o podgląd, jak

46

Iewentualną póżniejszą obrób kędanych),jakimjest plik formatu XML. Nazwaszukanegopliku to Dawn/oads.xm l,

a domyś ln ie można go odnale źć w następującej lokali

-zacji: %App Path%IBil CometIDown/oads.xml. W związku

z formatem XML nie ma dodatkowych utrudnień wynika-jących z kodowania pliku konfiguracyjnego, więc można bezpośrednio przejść do zawartości, a jej przykład jest przedstawiony na rycinie 16.

Jak można zauważyć na rycinie 16, w przypadku klienta BitComet,wszystkie informacje sąprzedstawione w prostej,czytelnej formie,a analizę można

przeprowa-dzić nawet bez użycia specjalistycznego oproqrarnowa

-nia. Dokładną analizę wybranych fragmentów przedsta-wionowtabeli3.

Program Vuze/Azureus - podstawowe informacje Program Vuze(ryc.17)jestnastępcąklientaBitTorrent o nazwieAzureus;obecnie spotykanesąjeszcze obydwie wersjeprogramu,ale stopniowo nowsza wersjawypiera

poprzednika.

W przypadku programu Vuze pliki konfiguracyjne, po-dobnie jak w przypadku ~Torrent,zakodowanesąw sys -temie Bencode. Poszukiwany plik nosinazwędown/oads.

BitComet1.18 . iog.s=: 4 KB W

'

I

'8

1t

~

:

J

'I

o

Opcje $tro," domOWI Filmy Oprog rolmow.antt Gry Fo r. Z. końa:

Pod... Rozmiar Post ęp ~ P... P.•. Pez••• S«d/P...

Phk WIdok Ccm tt PISSpo rt N.r:td:i,l Oprogramowanie Pomo c

N

~

l

~

n

I

UIU

b~..II

0

J

Co'....Torrmt"" .. C] ~M

l

lakł.dk. Nazw. Wszystkie pcblfr,-::-t .. Pobieran ie ~ Ukcncac nc

I

.. Wysyła n ie ;: ił> l.gi~Idlń -... Histori.Tcrreete Wymian. torrent .. Udostę pniol'l)

... I(olelcjete-re

TcrfenlSites ...loment

Tophst of To r Stron a

rt.rtO

""

~

~ki

!

T orrentRoom '---'~-~

TorrentBar ToH~nl

mininovll

i

Comet

ThePitlteBllv

-!I F1...Lo,"u'

Video Sollw dle prcunes en rec cn

""'"

Ryc.15.GłówneoknoprogramuBitComelvl. 18

Fig.15.BitCometv1.18main window

<

?

xml

v

ersion

=

" I

.

O" enc

oding=" UTF-8 " s

tandalone= "yes"?

>

<

B

i

t

C

omet Auth

or="Rn ySmile"

Ve

rsion

=

"O

.I">

<T

o

rr

e

nts>

<

T

o

rrent InfoHa

shH ex

=

"46467fa845b

l t74

38dfl

O

a5ee

I69a 1

6

26ebf82cO"

T

orrent

="Mo

zilla F

irefox 4

.0

[Bet

a

4 2].torrent"

CreateDate

=

"2010-12-11

06

:36:37.89514 7"

Fin

ishDate

="20

1

0

-12

-

11

06

:37

:

38.261950"

SaveDirectory="

C

:\

Download

s"

SaveName

=

"Mozi

lla

Firefox

4

.0 [Beta 4

_2]"

Description

="Torrent

downloaded from

http

:

/

/thepirateba

y.org''

Si

ze

="9764624"

SelectedSi

ze

="9764624"

Left

="O"

DataUp

load

="O"

DataDownload

="

l O15

78

40" Dat

aDiscard

="

196608" PreviewSt

ate="O"

FileOrderList

=

"O"

T

orrentFile

="

Torrents\Mozilla

Firefo

x

4

.0

[Beta 4 2

]

.torrent

"

S

aveLocation="C :\Downloads\Mo zilla Fi

refox 4

.0

[Beta 4_

2]"

Sh

ow Name

="

Mozilla

F

irefox

4.0 [Beta 4

_2]"

Aut

oRun

="true"

SnapSent

="true"

Tag

s="Programy"

l>

<

/

Torr

ents>

</

Bit

C

omet>

Ryc.16.lisIing-przy kładowazawa rtośćpliku Oown/0.9 ds.xm/programu BilComet Fig.16.Lis/ing -example conlenlot Downloads.xmf Me

Tabela3

Analiza wybranych fragmentówpliku Downloads.xml

Ana/ysisolsetecteapartsolDown/oads.xm/li/e

Własność Fragment Wartość

Nazwa pliku SaveName="MozillaFitetox4.0[Beta4_2]" MozillaFirelox4.0[Bela 4_2J

Data dodania CreateDate="2010-12-1/ 06:36:37.895147" 201().12-1/06:36:37.895147

Ścieżkazapisu SaveDireclory=-C:IDown/oads" C:IDown/oads

Iledanych wysiano? DataUp/oad="O"

O

[

BJ

Ile danych pobrano? DalaDown/oad="1015 7840" 10157840

IBl

Z PRAKTYKI

)

I

Pob•• z Odt rz .. d::en •• u.ud>om Go.. DOł Un.oo;;.... om Z.trzymaj U uń

x o Rems~olNItinrcJlo downIoad (Q.F1Iter

X Nazwa ... RoznW

I

Fłes

I

Postsp

+

4-

VuzePlus

Moła~telca

Nt. Wó* 5pJec::nlOśł NarzędzIa Ołno Pomoc

• szukaj ... O RDZp(J(ZTOj

-

a

~SiećVuzeHO 6"i1lames "

EJ

_

:li

SUbsIaypcje

o

y • Urządzenia Nt• .N rr~

..

OYD...

+

Creal:eNewD'.u

"

RyC.17.Główneoknoprogramu Vuze v4.S.1.0 Fig.17.Vuze v4.S.f.Omain window

conlig. Jego lokalizacjato %App Path% lAz ureusl

down/o-ads. config.a jego przykładowa zawartośćzostala

przed-stawiona na rycinie 18. Dokładną analizę wybranych

fragmentów pliku konfiguracyjnego klienta Vuze z

apre-zentowanowtabeli4. Informacjadotyczącadaty dodania

zostałazapisanaw identycznym tormaciejak w przyp

ad-ku programuu'Iorrent(tzw. uniksowy format czasu).

d9:down1oadsld9:allocatedi l e9:completedi l OOOe

12

:creation

Timei

12920491 696

1

g

e9 :discarde

d

i851968e

IO:downloadedi l 0729731 e

) 5

:file

""prioritiesli-l ee ""prioritiesli-l O

:forceStartiOe

I3 :hashfailbytesiOc5

:maxdliOe5:maxuIiOe

l O:per

sistenti

)c8

:positioni

l c

8

:

sa

ve

_

dir60

:C :\Documents

and Settings

\arek\Moje

dokumenty

\

Vuze

Down

loads9

:save_fi

le30:Mozilla

Firefox 4

.0

[

Beta

4_2]

18:secondsDownloadingi84e ) 8:secondsOnlySeedingi848e5:statei75e7

:torrent130:C:

\Doc

uments and Settings

\arek\Dane

aplikacji\Azureus

\torrents\MozilJa

_

Firefox

_

4_0_Beta

_

4

_

2

_

Faster

_Safer_Smarter_Better.

t

orrentl2:torrent

hash20

:FF

O

"E±+Ctń

"

ai

v

_bnż,R

_{8 :up}

_l

_{o-;;dedi I78}

4e7

:

up loadsi4eeee

Ryc.18. Listing - Przykładowa zawartośćpliku downloads.config Fig.18.Listing- Examplecontentetdownloads.con fig file

Tabela 4

Analiza wybranych fragmentów plikudo wnloads.eonlig

Ana/ysisolse/ected partsoldown/oads.conligfile

Własność Fragment Wartość

ŚCieżkazapisu 8:save_dir60:C:IDocumentsand Settingsl C:IDocumentsand Settings lareklMoje

arekIMoje dokumentylVuze Down/oads dokumentylVuzeDown/oads

Nazwa pliku 9:save_fi/e30:MozillaFirelox 4.0{Beta4_2J Mozilla Firelox4.0{Bela 4_2J

Data dodania creationTimei129204916961ge 1292049169619

Ile danychpobrano? I O:down/oaded il 072973 I e 10729731 [BI

Ile danych wysIano 8:up/oadediI 784e 1784 (BI

Fun kcjonaln ośćprogramu Torren t Analyzer Program powstał w roku2009 pod kierunkiem drinż.

Andrzeja Romanowskiego i mgrinż.Tomasza Pawlickiego wramach przedmiotu Projekt Kompetencyjn ywykładane­ go na studiach stacjonarnych Istopnia,na kierunkuInf

or-matyka,na Wydz iale Elektrotechniki,Elektron iki,Informa

-tyki iAuto matyk iPolitechn ikiŁódzkiej . Jużpierw sza wersja

autorstwa Arkadiusz Bolewskiego, Tomasza Marciniaka , Michała Dubla oraz Kamila Sobańskiego zaowocowafa

w pełni funkcjona lnymprogramem do analizy plików kon

-figuracyjnych wybranych programów klienckich sieci Bit

-Torrent o nazwie Torrent Analyzer (intertejs przedstawiono

na rycinie 19).Program zostałprzetestowany w następu­ jących systemach operacyjny ch:Windows XP, Windows

Vista, Windows7. Ze względu na to,żezostafnapisany

z użyciem technologii.NET C#firmy Microsoft konieczne jest zainstalowanie.NET Framework

w

wersji3.5,cozk

o-lei wymaga minimumplatformyWindowsXP SP3.

gJ lorrent AMlyzrr

St"rt lnfo Zakończ

uT...

Jednym zpodstawo wych za/ożeńprogramu jest

bar-dzo intuicyjna iprosta obsługa, która ogranicza się do

wyszukania plików konfiguracyjnych (automatyczn ie lub

ręcznie)oraz wyboruścieżkizapisu raportui jego formatu.

Najbardziej istotnym mechanizmem jest proces wyszu

-kiwania. Analiza , czy dany program kliencki P2P został

zainstalowa ny

w

syste mie, odbywa się przez s

prawdze-nie wybranych kluczyrejestru systemuoraz ichwartości

przedstawio nych w tabeli5.

Decyzjao sprawdzan iuwartościkluczy reje stru (przed

-stawionych

w

tabeli5)zostałaopartana analiziewstecznej wersjiprogramów klienckich.Autorzysą św i ad om iniedo -skonałościtej metody,ale przeszukiwaniecałegorejestru systemowego pod kątem wystąpienia sfów kluczowych

byfoby wysoce nieefektywne.Ze względu na wspom

nia-ną niedoskonałość,oprócz automatycznego sprawdzania,

czy dany programzostałzainstalowanywsystemie,z

aim-plementowanotakże możliwośćręcznegowskazaniapliku

do analizydlakażdegozprog ramówklienckich BitTorrent.

.... _ x

."-

---~ p..zureu:r/Vuze

I

WyszU<or

m

i

GdZIeZapISaĆ?

-

-D

D

D

D

Ryc.19.Glówne okno programuTorrentAnalyzer

Fig.19.Main windowot TorrentAnalyzer

Kluczerejestruiodpowiadająceimwartości użytew procesiewyszukiwania

Registrykeys and corresponding va/ues used in the search process

Tabela5

Program Klucz rejestru Wartość

utorrent HKEY_LOCAL-MACHINE\SOFTWAAE\M'crosoft\W'ndowsICurrentVers'onIUnlnstal~ uTorrent HKEY_CUAAENT_USEAISOFTWAAE\M,crosoftIWindowsICurrentVersionIUninstalll

B'fComet HKEY_LOCAL_MACH I N E\SOFTWAAE\M,crosoftIW.ndowsICurrentVersionIUmnstal~ BltComet

HKEY_CUAAENT_USEAISOFTWAAE\Mlcrosoft\W'ndowsICurrentVersionIUnlnstal~

Vuze HKEY_LOCAL_MACHINEISOFTWA AEI Azureus

HKEY_CUAAENT_USEAISOFTWAAEI

Z PRAKTYKI

W związku z tym,jeże l i w przyszło ści wpisy do rejes tru

omawianych programów kliencklch będą się zn aj dować

w

innych miejscach, nie będzie to oznaczało a

utoma-tycznego zmniejszeniafunkcjonalności programuTorrent Analyzer . Doświadczona osoba,która wie jakich wpisów Iplików należy szukać, bez problemu poradzi sobie bez

st uprocentowo automatycznego wyszukiwan ia.

Raport końcowy z przeprowadzonej analizy można zap i sać w trzech formatach: POF,HTML, RTF. Przykła­

dowy wynik pracy programu Torrent Analyzer pokazano

na rycinie 20.Rezultat analizy przedstawiony jest w for

-mis czytelnej tabeli,

w

której uwzględniono najważniejsze

informacjetakie jak: data iczas wygenerowania raportu,

data dodania torrenta,nazwa pliku iścieżkazapisu,ilość

pobranych danych,uość wysłanychdanych.

Kierunki dal szego rozwoju aplikacji

TorrentAnalyzer

Pomimo silnej konkurencji ze strony serwisów

ofe-rujących możliwość pobierania praktycznie dowolnych

treści z serwerów (w tym również danych chronionych

przez Ustawę o prawach autorskich i prawach pokrew-nych), sieci P2P ciągle mają bardzo szeroką rzeszę

użytkown i ków . W opinii autorów popularność zjawiska

polegającego na dzieleniu się (udostępnianiu) zasobami,

w

tym pirackimi,nie pozwolisieciom P2P szybkozniknąć

z Internet u.Wzwiązku ztym trwa rozbudowafunkcjo

nal-ności programu Torrent Analyzer,który w swojej finalnej

wersji będzie obej mował nie tyiko protokół BitTorren t, aleteż inne popularne sieci P2P, m.in. eoonkey, Gn utel-la,FastTrack.Projektaplikacji pow staje w ramach pracy

inżyni e rs ki ej Arkadiusza Bolewskiego pod kierunkiem

drinż.Andrz ejaRomanowskiegooraz wewspółpracy me-rytorycznejz mgr inż. Tomaszem Pawlick im.Planowane

jest w opracowywanej aplika cji udoskona lenie procesów przeszukiwania oraz wzbogacenia programu o funkcje

umożliające przetwarzania plików najpopularniejszych programówklienckichsieci P2P.

Z praktyki - KonwerterDźwięku

W niniejszej, ostatniej części artykułu opisany jest opracowanyprogram do konwersji zapisów dźwiękowych

- KonwerterDźwięku.

Problem konwersji różnych formatów zapisu dźwięku

występuje często przy analizie dowodów pochodzących

z komputerów,ale coraz częściej takżez telefonówkomór

-kowych czy dyktafonów. Jednym z popularnych formatów zapisu wurządzeniachmobiinychjest format The Adaptive

Multi-Rate - AMR". Format zapisu plików dżwiękowych

The AdaptiveMulti-Ratejest powszechnieużywanydo ko

-dowania mowy,często można się spotkaćzjegoużyciem

w dyktafonach telefonów komórkowych rejestrujących

Torrent

An

alyzer

- R

a

port wygen

erowan

y

:

2

0 1

0-

12- 11

16

:

21

:

2

1

UŻY\\'3ny

p

r

o gram

:

BitComet

:'\;łZW3 Data Xazwa pod _{Opis Rozmiarw Wvslano Pobrano} Scieżca T3~1

torrenta utworzenia ~:~,r~ze stal _bajtach (wbajtac h) (w bajtach) Z3pI.,U

Z3asanv

~Iozilh

c

ero.n.n

~Io=illa Torre nt 976-ł62 " O 10 1Y7S-ł0 C:

no...

-aload Progumy

Fuefe:\:"O 06:36:37 895 Flfefo:\:"O dowalcaded s~!ozilla

[Beta U"7 [Beta -ł_.2] from Firetcc .!.O -ł_~ l tonent hnp:"thepirat [Beta-ł_::: ]

ebavcrr

Używany

progra

m:

Azureus

Data utwo rzen ia ~~~fod którązom! Po br an o(wbaj tach) Wy ...Iano(wbajtach) Ścieżkazapisu

IIgrudnia:::010 ~bZl ll aFue rcx-łO[Beta 10 ';':::9731 :::70S.!9 C.Docume utsand .._.2] Seranas arek~!oje

dok .tmentv\\:.ze Dovnload:

UŻ)'\\'3ny

prog

ram

:

uTorren

t

Data utworzenia ~~~rdl:tC'qZO$l1\1 Pob ran o(wbaj tac h) Wy ...lauo(w bajtac h) ŚcieżkaZ.J.plSU

11grudnia:::010 ~I~z:.lbFuefcx-IO [Beta 9"7 6-ł6 :::-I 16 3 S~ c-Dccument s and

-1_:::] Sertul~arek )'lo;C' doknnea tvDownloads~f

ozil.aFirefcx-1.0[Beu

-I~l

Ryc.20.Przykładowyraportwygenerowa ny przezprogramTorrent Analyzer , zapisanywformacie POF

Fig.20. A sample report generatedusing Torrent Ana/yzer in PDFformat

mowę. Stąd też często jest wykorzystywany w labora

to-riach kryminalistycznych.Groszadań,jakiesąwykonywane

zmateriałem dowodowymwtym formacie,sprowadzasię

do jegokonwersji na format Waveform Audio- WAV",co

stosowa ne jest choćby w celu umożliwienia prezentacji

takiego materiału na różnych komputerach, także takich

niewyposaionych

w

specjalistyczne oprogramowanie do

odczytu plikówAMR. Sytuacjata bardzoczęstozdarzasię np.wsądach ,gdzie komputerynie majązainstalowanych bibliotekdo odtwarzaniaplikówAMR.

Obecnie na rynku dostępnych jest wiele programów

służącychdo konwersjidżwięku. Sąto aplikacjemniej lub

bardziejzłożoneoferujące konwersjedonajróżniejszych

formatów,najczęściejdopopularnegoformatu MP3,przy czym większość z nich to drogie aplikacje mające sze -reg zaawansowanychopcji,które niesąwykorzystywane przez przeci ętneg o użytkownika. Dlatego też prezen

to-wane oprogramowanie jest wyspecjalizowane do pracy

w

laboratoriumkrym inalistycznym z konkretnym formatem

dżwiękowym- AMR.Format AdaptiveMulti·Ratecechuje

sięwysokim stopniemkompresji, niską przepu stowośc i ą,

a co za tym idzieprostotą sygnału orazzwykleniższą ja-kością dźwięku,co znacznieutrudnia uzyskaniedobrych

rezultatów wkonwersji doinnych formatówaudiooferują­

cychwyższąjakość.

OpisProgramu

Opracowany program Konwerter Dżwi ęku jestaplika

-cją służącądo konwersji plików audioformatu TheAdapt i-ve Multi-Rate (AMR) do plików audio formatu Waveform

Audio File Format (WAV).Interfejs programu,p

rzedsta-wianyna rycinie21,zostałzaprojektowanyzzałożeniem

maksymalnej prostotyobsługi. Funkcjonalnośćinterfejsu

Konwertera Dźwięku wzorowana była na interfejsie pro

-gramu NCH Switch Audio File Converter". Program ten oferuje użytkownikowiprzejrzystyinterfejs, aobsługaapli

-kacji jestwręczinstynktowna,dziękiczemujest wyznacz

-nikiemwśródpodobnych aplikacji.

Procedura konwersjiplikówdżwiękowych odbywa się

wtrzech etapach.Najpierw użytkownik dodaje plik/pliki,

tudzież folder z plikami przeznaczonymi do konwersji.

Dodane plikisą wyświetlanew oknie aplikacji w czterech

F.. Kan~erDźwięku

Pliki.. Kcnwmj..... pcmc c...

kolumnach,tj.nazwa pliku,formatpliku,rozmiarplikuil o-kalizacja pliku.Kolejnym krokiem jest możliwość zmiany folderu docelowego,w którym zapisane zostaną plikipo

konwersji, a także możliwość zmiany opcji używanego kodeka WAV,tj.próbkowania,formatu.Ostatnią czynno-ściąjest przeprowadzeniesamejkonwersjipliku.W

wyni-ku konwersjiotrzymywanyjest plik

w

formacie Waveform

Audio File Format". Pliki WAV mogą być zapisywane

z użyciem kodeków, możl iwe jest także zastosowanie

nieskompresowanego formatu Pulse Code Modulation -PCM.PCM to metoda reprezentacji sygnału cyfrowego,

która polega na przedstawieniu wartości chwilowej sy

-gnału wokreślonych odstępach czasu,czylizokreśloną

częstością".WadąformatuWAVjest z jednejstronyduży

rozmiartworzonych plików,a z drugiej ograniczenie jego

maksymalnego rozmiaru (maksymalniedo 4 GB),pomimo

to format tennadajesiędoskonale do edycjidźwięków.Po udanej konwersi!generowany jesttakże raportjako plik

tekstowy.Zawieraon dane natemat nazwy,formatu, roz-miaru ilokalizacji plikówwejściowego orazwynikowego.

W raporciepodanesątakżedokładnedata i czas

przepro-wadzonejkonwersji.

Aspektytechniczneaplikacji

Program Konwerter Dźwięków jest tworzony przez

PawłaKubiczawramachjegopracyinżyni erskiejna pod

-stawietechnologii .NET Framwork ijęzykaprogramowania

C++/ClI. Aplikacja działa w środowisku Windows .NET

Framework. Obecna wersja programu 1.00 została

na-pisana z użyciem na rzędzia Microsoft Visual CH 2008

ExpressEdition oraz.NETFramework w wersji3.5.CHI

CLI,który jest nowymjęzykiem programowania opartym na CHijako jedyny zjęzyków.NETpozwala na je

dnocze-sneużywaniezarównokodunatywnego,jakizarządzane­

go.Ponadto ma wygodny dlaprogramisty finalizator- jest

tospecjalnyniedeterministycznydestruktor,który jesturu -chamiany,gdy obiekt mabyć usuniętywramachdziałania

Garbage Collection (Zbieranie Nieużytków)". Konwerter Dżwięków wcałości jest oparty na kodzie zarządzanym. Wykorzystanie .NETFramework przejawiasię w każdym

aspekcie aplikacji,zaczynając odinterfejsu,przez zarzą­

dzanie plikamii folderami, a kończąc na zapisie plików

wynikowych. Kolejnym ważnym aspektem technicznym

KonwerteraDżwiękujest konwersjaplików audio.Obecnie

~

~

-UstapikÓ'l\'do konwer""'" hJOo_20_11_2009

o

Rozmi~r(MB) Lok~HzZlqa

0.34 C:\Usef$\admin\Oesktop\AudiO_20_11_2De9Z1mf

j

RVc.21.Główneokno programu Konwerte rDźwi ę ku Fig. 21.KonwerterDźwiękumain window

Z PRAKTYKI

zaimplementowanyjest form atAdaptiveMulti-RateNarr ow-band,alew przyszłości KonwerterDźwięku będzie także

obsługiwał nowszyformat Adaptive Multi-Rate Wideband wyko rzystyw any w sieciach UMTS.Obydwa formaty AMR i AWB są kodekami mowykompresjistratnej uźywanymi

w

trzeciej generacji telefonówkomórkowych izdefiniowa -nymiprzez 3rd Generation Partnership Project (3GPP)".

Róźn i ą sięoneprzepustowością,dla plikuw formacieAMR jest to12,2 kbit/s,a dlapliku wformacieAWB 23,85 kbit/s. W samym procesie konwersji wykorzysta ne są biblioteki edytora dźwięku Sound eXchange (SoX)" dostępne na licencji

ope

n

source.Wyko rzystany kodek to 3GPP Ada

-ptiveMulti-Rate Floating-point(AMR) SpeechCodec ,który

zostałopracowanyw ramac hprojektu 3GPP".

Po d s um o w a n ie

Artykuł prezentuje wycine kprac badawczych pro wa-dzonychw LK KWPwŁodziwewspółpracyzPolitechniką

Łódzką. Przedstawione zagadnienia zostały podzielone natrzyczęści.Wpierwszej częściautorzywskazali proce

-duręodtwarzania wybranych danychdotyczących działal­ ności użytkowni ków systemu komput erowego, tj.czatów internetowych prowadzonych za pośredn i ctwe m komuni -katora intemełowego Gadu-Gadu. Dane takie mogą być

dodatkowym źródłe m informacji o istotnych faktach do

ty-czących prowadzonego postępowania. Codzienna praca

ekspertów krym i nalistykilbiegłychto równieź konieczność

analizyprogramów klien ckich sieci P2P.W sieci istn ieje wielewersjioprogramo wan iadowymianyiudostęp niania

plików P2P,cowiąźe się zdużąilościąi rodzaj em plików

konfigu racyj nyc h. Jak zauwaźono na łamach niniej sze j

publikac jiw przypadku programówuTorrent i Vuze wpisy

generowanesązapomocąmetodykodowania (Bencode), ainny program- BitComet wykorzystujeformatXML. Jed-nakta samainformacja,

w

zależnościod użytego klienta,

różni sięod siebiesłowamikluczowymi. Warto

w

tym mi ej-scupodkreślić, źe nieistniejeźaden stan dard opis ujący,

w jakiej formiedanemająbyćzapisywa ne do plikówk onfi-guracyjnych(wyjątekstanowikodowan ie poszczeg ól nych plików). W tym wypadku determinującym elementem je st

wyłączniekreatywnośćprogramistów,dlategoabyułatwić iskrócićczas na wykonanie badania wydaje się

zasad-ne korzystanie z proponowanego, wyspecjalizowanego

oprogramowania. Takim programem ułatwiającym pracę

ekspertów jest równieź Konwerter Dźwięku. Aplikacja ta

opraco wana jestw techn ologiiC++/CLI .NET framework

i przeznaczona jest dla środowiska Windows. Program

konwertujedźwięk z formatu The AdaptiveMulti-Ratedo format u Waveform Audio File Format, który nadaje się

doskonale do dalszej obróbki i edycji audio. Prócz samej konwersjiprogr am umożliwiatakżegenerowanie raportów

dotyczących każdegoprzep rowadz oneg o zadania,co jest

niezbęd n edlapotr zebkryminalistycznych.

52

Streszczenie

Ninicjszyartykułprezentujekilkaisłotnych,zpunktutridzeniain

-formatykistedcze],zngadnicńpraktycznych,którewsiałypcdziekm eIW lrzyczęści.Częśćpienos za zawiera opismożliwościanalizyillfomll/cji przechowywallychwbazachdanyc1/ SQLite.Naprzykłodzieodtua

rza-nialillllyc11dotyczącychczatmIlprawa,izonyc1lzapomocąKomunikatora

internetotoego Cadu-Gadu przcdsunoiono procedurę IIzyskizl'llllia in

-formacjizkontenera bazodanouxgo.SQUlc jest obecnie jednymzIIlIj

-poplllomiejszyc!1rozwiązań bazodanowyc!l,szczególniedla systemów

wblldowtll/yd/ i jest/lżywal/Y przez wielepop/llamych programów;

tnin,Skypc, Firefoxczyteżomawiany kolt/ullikatorGG. Kolrjtlcdwa zagadnienial'rzedstawiajączęśćwYllik6wpmcbadawczyc11dolyczących

opracowywaniaII0 W« Zf'SIl YC1lnarzędziillformalycznyc1l /la potrzeby

krymillalistyki1"00l'tldw llyc1Jux:wSJJÓłJ1racyzLKKWPŁódźoraz

Po-lileclmiką iódxką . Pienos zuZopisallyc1l Jlrojcktów loTorrent A"aly-zer,który jestaplikacjąpozwalającąIIaanalizęplikówkOl/figuracyjllycll

llajpopltlarnicjszyc1t klientóto sieciBirTorrent: utorrent.BitColt/el ara:: VI/ze (dawniejAZllrells). WYllikiemdziałaniaprogramujest ll'ygene

-rewan ie raJlOrtlIIJwzględlliającegonajważniejsze,zpunktu widzenia eksperta,informacje takiejak:l1azU'apliku,ścieżkazapisu,dala doda

-nio,ilośćdallycll wysianychil'0vral/yc1l. Kolejny projekt loKonux rtcr Dźwięku,którysłużydo konwersji plik6wdźwiękowych.Dokonywalla

jestOl/azforll/atll AdaptiveM/llti-Raft' (AM R) do[orsnatuAudioWa

-,'cform(WAV).Format AMRjestczęstospotykanyUJanaliziellllgrmi pochodzących zdyktafol/ówcyfrowychi telefonów komórkowych. W procesic kOlIwersjiurykorzystywll1l1ljest bibliotecaOpen Source SoX.

Prezentowane cprograntousanicdziałapodkontrafąsystemówzrodziny Wi"doll'S (XP,Vista,7).

Sło wakluczowe:SQLite,Gadu-Gadu,komunikatoriJlteTlletowy, P2P,BitIorrent,klient Bit'Torrent,torrent.J,TorreJlt, BitCol/let,V/lze,

AZllrells,AMR,A WB,~VAVITheAdal'tiveM IIlli-Rate,3GPP,SoX,.NET

Abstrac t

TI,isartide presentstltreccompulerjorcllsicsproblems.Thcfirsl

part isdeiotedtoanaly sis oj SQLitecontained databasefile.SQLite is

ClIrreJltlyelllJ1loycd bymanypopularprogramssuctias Skype,Firefcxor Gadu GaduinstantmcsscIIger.T1Jclatter one is ueedas anexamplejor

propoeed dataretrieoingprocedute.Otller problellls includc vesuueof

reecarctsOl/computer[areneicstools canductcdinccopemticnbcttocen LodzVOiI10dsllipPoliceForensicLaIJomtary and Tcchnicai UlliIlcrsity oj Lodz.Tltepaperpreeentetwo softwareprojretsdeteioped to support

forcneic expcrte.Thefirstone is"TorrentAnalyzer" - filI application for(/If(/Iysisof eonfiguranonfiles ofthcmoslpopularBit'Iorrentclients:

}ITorrf'llt, BilComelandVIJU (former/y AZl/rel/s).Programgencratcsoj allalysisreport , as welt. Report inctudee SI/ch informationas:filenallle,

SllI't'path,creation time and aate,ali/allilt ofuploaded and downtoaded data.Ano/haproiect,"KonwerterDźwięku"is alIapptication dedicated

lo audiofiles jormatconoereion."KonwerterDźuuęku "courertsAda

-plil'l.' Mufti-Ralefi1t's (A MR) toAudio~Vat'Cjorm(WA V)for mat,Open

ScurceSoX libraryisemployedistheprocess of contereion. Preeented eofnoareTl/llSunderWindOlt'SOSfomi/y(XP,Vista,7).

Key wo rd s:SQLile,P2P,BilTorTelltts, }lTorrenl, BitColI/et,VI/ze,

AZlIrI'IIS,AMR, AWB,WAV,3GPP,SoX,

PRZYP

I

SY

1 SOL(Structured QueryLanguage)- strukturalnyję­ zykzapytań.

2ADBMS(Re/a riona /Database ManagementSystem)

- system zarządzania relacyjną bazą danychto zestaw

programówsłużącychdokorzystaniaz bazydanycho

par-tej namodelurelacyjnym .

3Licencja Public Domain oznacza dobra,dla których

wygaslyju żprawa autorskie,bądź takie,które odsamego

powstanianiebyl yobjętetakimprawem.Dziękiczemu"pr

o-dukt"jestdostępnydlakażdego,do wszystkichzastosowa ń.

4 Atomicity,Consis tency, Iso/arion,Durab ility - atom

0-waść, spójność, izolacja,trwałość - oznacza to,iżzbiór operacji nabaziedanych jestnierozerwalną całościąiz

o-stająwykonane wszystkiebądź żad na.

5Podanynumer GG przykladowy(niezwiązanyz pro

-wadzonymi badaniami)

Wynikiprzedstawione w niniejszymartykuleopierają

sięna analizie danych niezaszyfrowanych.

6 Pierwsza popularna sieć wymiany i udostępniania plików; działalność serwisu w latach 1999-2001 zapo

-czątkowała dyskusję dotyczącą lamania praw własności

intelektualnejw sieci Internet.

7 Dane szacunkowena luty2009r.

8Fo nsecaJ.,Reza B_,FjeldstedL.:BitTorrentPr

oto-co/ version1.0.Oepartmentot ComputerScience,Univ

er-sityotCopenhagen,April 2005.

9 W tymformacie zapisuczasu podawana jest l

icz-basekund,która upłynęłaod 1 stycznia 1970 roku godz. 00:00:00czasu UTC.

103GPP,3GPP TS 26.090- MandatarySpeech C o-dec speech processing functions; Adaptive Multi-Aate (AMA) speech

code

c:

Transcodingfunctions.

11 IBM Corporatio nand Microsoft Corporation,Mu lti-media Program mingInterface and Data Specitications1.0

(S ierpień 1991).

12 Dodatkowe informacje na stronie:http://www .nch.

com.au/switch/index.html.

13Jest to tormatplikówdźwiękowychstworzony przez firmy Microsofti IBM.

14 Dodatkowe intormacje na stronie:http://en.wikipe

-dia.org/wikiJPulse-code_modulation.

PROBL EMYKRYMINALI STYKI275(1)2012

15 Fraser Stephen A.G.,Pro VisualCHICLI and the .NET 3.5 Platform(2008).

16AFC 4867- ATP Payload Formatand File Storage

Format forthe Adaptive Multi-Aate (AM A) and Adaptive

Multi-Aate Wideband (AM A-WB)Audio Codecs.

17Dodatkowe informac jenastronie:http://sox .so

urce-torge.neV.

18Dodatkowe informacjena stronie:http://www .3gpp. orglft p/Specs/html-into/26104.htm.

BIBLI

OGRAFI A

1.Ow ents M.:The DefinitiveGuidetoSOLite, C opyri-ght (C) by MichaelOwents (2006).

2.Fo nsec a

J

.,

Reza B., Fjeld sted L.:BitTorrent

Pro-tocol version 1.0.Department of Computer Science,Uni

-versity of Copenhagen,April (2005).

3.Wai-Sing Lo o A.:Peer-to-Peer Computing,Copyr

i-ght(e)AlfredWai-SingLoo (2007).

4. Marku sHofmann, Leland R.Beaumont.:Content

networking:architectu re,protocols,and practice

Copyri-ght(e) by LucentTechnologyand LelandA.Beaumont. (2005).

5.FraserStephen A.G., Pro VisualCHICLI and the .NET 3.5Platform(2008).

6.Hogenson G.:Fundations otCHICLICopyright(e)

GordonHogenson (2008).

7. USCEAT 2006, http://www .us-cert.gov/reading_ room/torensics.pdf,dostępne2010.

8.Wong LW, Forensics analysis of the windows re-gistry (2007), dostępne online http://www.fore nsictocus.

com/forensic-analys is-windows-registry,dostępne2010.

Autorzy pragną podziękować kierownikowi Katedry

InformatykiStosow anejPl,prof.dr.hab.inż.Dominikow i

Sankowskiemu-PrezesowiOddziałuŁódzkiegoP'Il,zamoż­

liwośćpodjęciainieustanne wsparciebadań dotyczących in-formatykiśledczej.Specjalnepodziękowaniakierujemytakże do NaczelnikaLaboratorium Krymi nalistycznegoKWP wŁo­

dzi,mł.insp.RyszardaZiemeckicgo.