MANDA, D. Forenzní analýza v operačních systémech Windows [online]. Brno: Vysoké učení technické v Brně. Ústav soudního inženýrství. 2016.
Celkově působí práce nedokončeně. jednotlivé body zadání nejsou splněny. Student práci s vedoucím vůbec nekonzultoval, takže vedoucí páce neměl ani možnost její výsledek ovlivnit. Celkově práci hodnotím jako velice podprůměrnou, nedosahující úrovně diplomové práce. Proto ji v žádném případě nedoporučuji k obhajobě.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Splnění cíle a rozsahu zadání | F | Hodnocená práce pojednává o forenzní analýze v operačním systému Windows. Student však téma prošel velice povrchně a tak nejsou podle mého názoru jednotlivé body zadání splněny. Již v bodě 1 se měl student seznámit s bezpečnostními vlastnostmi uvedeného systému, avšak zmiňuje pouze analýzu souborových systémů FAT a NTFS. Neuvádí však možnosti další, například analýzu uregistrů systému, specifických souborů systémů apod. Pokud se jedná o bod 2, tak student se měl zaměřit především na volně dostupné nástroje. U zmíněných nástrojů však student ani neuvádí, jakou mají licenci. Nicméně některé volně dostupné nástroje zjišťující např. informace o běžících procesech nejsou vůbec zmíněny. Bod 3 zadání není splněn, když přiložené demonstrační úlohy nejsou ve výuce či v praxi v žádném případě použitelné. Vlastní návrh aplikace je také zcela nedostatečný. Body 4 také není splněn, žádná vlastní aplikace nebyla implementována. Bod 5 také považuji za nedostatečně řešený. Žádná další rozšíření aplikace nejsou diskutována. Tento bod navazuje na implementaci aplikace, proto zřejmě řádně splněn být ani nemohl. Mám za to, že zadání diplomové práce nebylo studentem v několika bodech splněno. | |
| Úroveň zpracování teoretické části tj. poznatky získané studiem | E | Teoretická část nebyla řádně zpracována, když chybí mimo analýzu souborových systémů chybí další aspekty forenzní analýzy operačního systému Windows. | |
| Úroveň zpracování analytické části tj. zpracování podkladů a vstupních dat, použité metody | F | Student měl provést důkladnou analýzu forenzních vlastností operačního systému Windows a následně navrhnout a implementovat vlastní aplikaci. Analytická část nebyla dostatečně zpracována. Aplikace neexistuje a proto nemohla být vstupní data touto aplikací zpracována. | |
| Odborná úroveň diplomové práce | E | Student zpracoval práci velice povrchně, odborná úroveň práce je velice nízká. | |
| Přínos pro praktické i teoretické využití | F | Práce může sloužit jako velice povrchní úvod do problematiky forenzní analýzy. Konkrétních postupů či výstupů se však čtenář vůbec nedočká. Proto považuji využití práce za nulové. | |
| Práce s literaturou (citace), přehled literatury dle normy ČSN ISO 690 a 690-2 | C | Student správně zvolil odbornou literaturu, avšak očekával bych její důkladnější zpracování. Hlubší zpracování jednotlivých částí práce na základě vhodně zvolené literatury by jistě následně vedlo k mnohem lepším výsledkům. | |
| Formální uspořádání a úprava (text, grafy, tabulky) a odborná jazyková úroveň | D | Práce obsahuje několik jazykových nedostatků, za všechny pouze výběr: "Zkoumané data" místo "Zkomaná data" (str. 9), "Mohou" místo "můžou" (str. 11) apod. Po formální stránce je práce jinak průměrná. |
Nesplněné body zadání a nízká míra technického detailu nedosahují požadované úrovně diplomové práce. Z tohoto důvodu nedoporučuji tuto práci k obhajobě.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Úplnost vypracování | F | Cílem této diplomové práce bylo prostudovat postupy a metody forenzní analýzy v operačních systémech MS Windows. Předložená diplomová práce obsahuje nedostatky týkající se splnění bodů zadání. Např. bod 1 zadání - práce se zaměřuje jen na souborové systémy FAT a NFTS. U souborového systému NFTS není jasné, jestli MTF jedna pro celý disk nebo pro každý diskový oddíl (partition). Není uvedená návaznost na MBR a není vůbec zmíněný formát GTP, který nahrazuje MBR a je kompatibilní s UEFI. Dále pak práce vůbec neobsahuje analýzu systémového nebo uživatelského registru OS Windows, který obsahuje většinu nastavení OS, aplikací a metadat. Bod 2 - očekával jsem srovnání nástrojů, ukázky analýzy každého z nich na referenčním vzorku a komentář k vygenerovaným výstupům. Předložená práce obsahuje přehled aplikací a popis, co dělají. Bod 3 - nepovažuji za splněno. Návrh (kapitola 5) obsahuje jen jeden diagram případu užití. Zbytek textu se týká analýzy, tzn. co se od aplikace očekává. V této kapitole bych očekával, v čem bude aplikace implementována, jaký framework student použije, jak se budou zpracovávat data a kam se ukládat apod. Bod 4 - přiložené CD ani textová část práce neobsahuje nic, co by týkalo vlastní implementace. Bod 5 - nesplněn, nebyla provedena vlastní implementace. | |
| Zvolený přístup k řešení cíle diplomové práce | F | Přístup řešení této diplomé práce nepovažuji za systematický a vhodný, protože nevedl ke splnění zadání. Kapitola "Hrozby a útoky ve Windows" podle mého názoru nesouvisí s tématem práce. Tato kapitola měla být spíše věnována slabinám systému Windows ve smyslu eskalace oprávnění, získání hesel v textové podobě z NTLM hash pomocí Rainbow tables, šifrovaní pomocí technologie Bitlocker a odeslání privátního šifrovacího klíče na servery Microsoft ve výchozím stavu apod. | |
| Úroveň zpracování diplomové práce tj. originalita řešení, způsob zpracování podkladů, vstupních dat, použité metody | F | Odevzdaná práce má rešeršní charakter a nezachází do detailu tak, jak se od běžné diplomové práce očekává. | |
| Obtížnost a správnost řešení | F | K výše uvedenému není co by se dalo hodnotit. | |
| Přínos pro praktické i teoretické využití | E | Přínos práce je minimální. | |
| Odborná jazyková úroveň | C | Jazyková úroveň práce je standardní. | |
| Písemná a grafická úprava tj. text, grafy, tabulky | C | Písemná a grafická úprava je na standardní úrovni. |
eVSKP id 72322