Adli Bilişime Giriş

Hüseyin

Hüseyin

Üye
Katılım
21 Ocak 2024
Mesajlar
44
Tepkime puanı
19
Puanları
8
Adli bilisim muhendisligi


Adli Incelemeye Giriş

Dijital Adli Soruşturmanın ilk adımı bir güvenlik olayının tespit edilmesidir. İlk Müdahale Ekipleri bir olayın gerçekleştiğini doğrular. Daha sonra görevleri arasında Dijital Kanıtın Tespit Edilmesi, Dijital Kanıtın elde edilmesi, muhafaza edilmesi ve DFIR ekibine iletilmesi yer alır.

Bu süreçteki ilk fiziksel adım Elektronik Cihazlardan Dijital Delillerin Elde Edilmesidir. Fiziksel delillerin aksine, dijital delillerin elde edilmesi ve korunması çok hassas bir iştir. Dijital cihazlarda bulunan veriler son derece değişkendir ve küçük bir dikkatsizlikle bile kaybolabilir. Dijital Delillerin elde edilmesi gerektiğinde İlk Müdahale Ekiplerinin işi son derece kritik hale gelir. Bu tür verileri elde etmek için Adli Görüntüleme yapılmalıdır.
Adli Görüntüleme, elektronik cihazlardan mahkemede usulüne uygun olarak kabul edilebilir dijital kanıtlar elde etmek için evrensel olarak kabul edilebilir yöntemlerden oluşur. Adli imaj, dijital kanıtın hem fiziksel hem de mantıksal olarak gerçek kanıta benzeyen ve kanıt cihazında bulunan hem tahsis edilmiş hem de tahsis edilmemiş verilerden oluşan bir bit akışı kopyasından oluşur.Bu, veri bütünlüğünü korumak ve orijinal verilerin kasıtlı veya kasıtsız bir şekilde değiştirilmediğini doğrulamak için yapılır. Bu bütünlüğü daha da doğrulamak için orijinal kanıt dosyasının ve oluşturduğumuz adli bit akışı kopyasının hash'ini hesaplarız.

Veri bütünlüğünü korumak için elde etme işlemi her zaman bir profesyonel tarafından yapılmalı ve orijinal kanıt asla soruşturmada kullanılmamalıdır.

Gerçek Adli Soruşturmalarda, profesyoneller görüntüleme işlemi yapılırken herhangi bir verinin yazılmasını engelleyen donanım yazma engelleyicisi kullanırlar. Bizim derdimiz öğrenmek olduğu ve adli olarak sağlam bir soruşturma yürütmek olmadığı için, dijital kanıt elde ederken yazma engelleyici kullanmayacağız. Hazırsanız adli imaj alma işlemine geçelim.

Cihazların Tanımlanması

İlk adım, dijital cihazın görüntünün alınacağı sisteme bağlanmasını içerir. Kanıt cihazı sisteme bağlanırken, görüntüleme işlemi sırasında yazma işlemlerini önlemek için bir yazma engelleyici kullanılmalıdır. Ancak bu yazıda bu konuyu ele almayacağız. Bu eğitim için 4GB Kingston Data Traveller Disk kullanıyoruz. Takip etmek için USB belleğinizi sisteminize bağlayın. Kanıt aygıtını taktıktan sonra, onu sistemde tanımlamalıyız. Bu Linux fdisk komutu ile yapılabilir.

sudo fdisk -l
Genişletmek için tıkla ...

Usb imaging

  • /dev, Linux tarafından tanınan, okunabilen veya yazılabilen tüm aygıtların ve sürücülerin yoludur.
  • sda: Sürücü 0 ya da tanınan ilk sürücü
  • sdb: İkinci sürücü.
Artık sistemdeki delil cihazımızın kimliğini tanıdığımıza göre, bir sonraki görevimiz cihazın hash'ini hesaplamaktır.

Görüntü Dosyasının Hash'i

Veri bütünlüğünü korumak ve orijinal kanıt aygıtının görünür ya da görünmeyen herhangi bir şekilde kurcalanmadığını kanıtlamak için hash işlemi yapılmalıdır. Linux'ta dosyalar ve hatta cihazlar için hash'leri kolayca hesaplayabiliriz. Bu işlem terminalde aşağıdaki komutlarla kolayca yapılabilir:

md5sum <file> #file depolama ortamının konumudur
sha1sum <file> #diğer hash'ler de aynı şekilde kullanılabilir
Genişletmek için tıkla ...
Usb hashing2


Dijital kanıt elde ederken iyi bir hash algoritması kullanmanın da gerekli olduğunu unutmamak önemlidir. Genellikle md5 ve sha1 evrensel olarak kabul edilebilir algoritmalar olduğu için kullanılır. Lütfen disk görüntülerinin hash'ini hesaplamanın zaman alan bir işlem olduğunu unutmayın, eğer takılırsa terminali kapatmayın. Disk görüntülerinin hash'ini üretmek ciddi miktarda zaman alır.

Hash hesaplandıktan sonra, bütünlüğü korumak ve gerektiğinde ileride başvurmak için bir çıktı dosyasına kaydedilmelidir.

dc3dd ile Adli Görüntü Elde Etme

dc3dd, elektronik cihazlardan adli olarak sağlıklı görüntüler elde etmek için yaygın olarak kullanılan popüler GNU aracı "dd "nin yamalı bir sürümüdür. İşte bir cihazdan adli görüntü elde etmek için sözdizimi:

dc3dd if=input_file hash=hash_format of=output_file.dd log=logfile

Syntax Dağılımı:

  • if: Girdi dosyası. Bu, bir görüntü dosyası oluşturmak için girdiyi okumak istediğimiz cihazdır.
  • hash: Kullanmak istediğimiz hash algoritması. Bu, daha önce bilgisayarda kullandığımız hash ile aynı olmalıdır.
  • log: Varsa hatalar da dahil olmak üzere günlük çıktısının kaydedileceği günlük dosyası.
  • of: dc3dd tarafından oluşturulan adli görüntünün çıktı dosya adı. Bu örnekte .dd görüntü dosyası türü belirtilmiş olsa da, .img dahil olmak üzere diğer biçimler de dc3dd tarafından tanınır
Dc3dd


Görüntü Dosyalarını Bölme

Az önce dc3dd'nin dijital kanıtların bit akış kopyalarını oluşturmak için nasıl kullanılabileceğinin hızlı bir gösterimini gördük. Gerçek olaylarda, dijital kanıt cihazı çok daha büyük bir depolama alanına sahiptir. Delilin yönetilebilirliği ve taşınabilirliği göz önünde bulundurulduğunda tek bir görüntü dosyası oluşturmak uygun değildir. İşte bu noktada dc3dd'nin gücü devreye girer. dc3dd görüntü dosyalarını oluştururken onları bölebilir. Görüntü dosyasını bölmek için gerekli komut dizimi aşağıdaki gibidir:
dc3dd if=input_file hash=hash_format ofsz=1G ofs=output.dd.000 log=logile
Genişletmek için tıkla ...

Syntax Dağılımı:
  • ofsz: Her bir çıktı dosyasının boyutunu belirtir.
  • ofs: Çıktı dosyalarını, tipik olarak .000, .001, .002 ve benzeri sayısal dosya uzantılarıyla belirtir.
Dc3dd2


Bu örnekte, ofsz değerini 1G, yani 1 Gigabayt olarak belirledik. Çıktı dosyası 1 GB'lık 4 parçaya bölünmüştür:
Dc3dd3


Bu bölünmüş görüntülerin tek hash'i aşağıdaki komutla doğrulanabilir:

cat split.dd.* | sha1sum
cat split.dd.* | md5sum
Genişletmek için tıkla ...

Dc3dd4
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst