- Katılım
- 21 Ocak 2024
- Mesajlar
- 59
- Tepkime puanı
- 32
- Puanları
- 18
Dosya Sistemi Analizi ve Kurtarma
Dosya sistemi ve kurtarma, adli bilişim soruşturmalarında kritik önemi haiz konulardır. Dosya sistemlerini, bunların yapılarını ve silinen veya hasar gören dosya/verileri içerir. Dosya sistemlerini anlamak, soruşturmalara fazlasıyla katkı sağlayacaktır zira dereyi görmeden paçayı sıvarsanız ya üşürsünüz ya da terlersiniz
testdisk Kullanımı
TestDisk, dosya sistemlerini onarmak ve veri kurtarma için kullanılan etkili bir araçtır. Farklı dosya sistemi formatlarını destekler ve silinen verileri kurtarabilir, boot kısmını onarabilir ve dosya sistemi yapılarını tekrardan ayaklandırabilir. sudo testdisk /dev/sdb
enter'ladıktan sonra şuna ulaşıyoruz:
tekrar enter'lıyoruz:
Farklı seçeneklere erişiyoruz ve 1. seçenekle devam ediyoruz.
Görüyoruz ki silinen herhangi bir part yok ve 1 numaralı parta sahibiz.
Scalpel Kullanımı
Scalpel, disk imajlarından veya cihazlardan silinen veya hasar gören dosyaların tekrar kurtarılmasını sağlayan bir araçtır. "carving signatures" olarak bilinen header ve footerda barınan spesifik dosya türlerini ayıklamak için tasarlanmıştır.Kurulum
sudo apt install scalpel
Yapılandırma
- "scalpel.conf" olarak isimlendirilen yapılandırma dosyasını konumlandırın.
- Scalpel ile ayıklamak istediğiniz dosya tiplerini text editör kullanarak yapılandırma dosyasına yazın.
- Kurtarmak istediğiniz dosya tipleri için eklemeler yapın veya # sembolünü kaldırın. Her girdi dosya imzası ve dosya uzantısını içerir.
- İhtiyacınıza göre çıktı dizinini, carving yönteminizi veya header/footer ayarlarını düzenleyebilirsiniz.
scalpel -c scalpel.conf -o output_directory input_file
- "scalpel.conf"u kendi yapılandırma dosya adınızla değiştirin.
- "output_directory"'i de çıktıyı nerede görmek istiyorsanız orayla değiştirebilirsiniz.
- "input_file"ı disk imajı veya raw dosyası neredeyse onun diziniyle değiştirmeyi unutmayın.
Kali'de yapılandırma dosyası şuradan barınır: /etc/scalpel/scalpel.conf
Bellek Dökümü Analizi
Bellek dökümü analizi, değerli verileri ve kanıtların almak için bilgisayarın geçici belleği olan RAM'in analizini almamıza yarar. Ayrıca bellek dökümü analizi, ağ bağlantıları, açılan dosyalar ve çalışan veya çalıştırılmış işlemler ve hatta şifrelenmemiş verileri dahi bize sağlar.
Using Volatility
Volatility, bellekten döküm almaya yarayan popüler bir bellek dökümü aracıdır. Farklı işletim sistemlerinde çalıştırabilir ve çeşitli pluginlerle farklı farklı dökümler alabilirsiniz.
Kurulum
git clone https://github.com/volatilityfoundation/volatility3.gitcd volatility3pip3 install -r requirements.txtpython3 setup.py build python3 setup.py install
Volatility3 sayesinde farklı pluginlerle hedef sisteme ait çeşitli taramalar yapabilirsiniz.
Windows sistemler için kullanılabilir olan pluginler:
Process Taraması
process scanda kendisini gizlemeye çalışan processleri de gösterir.
Process Tree Yapısı
Windows Servisleri
Kernal Taraması
Özet olarak, Linux adli bilişim yapmanıza yarayacak çok fazla opsiyonu bünyesinde barınmaktadır. Konuda bahsi geçen araçlar buz dağının görünmeyen kısmıdır da diyebiliriz. Bellek dökümü analizinden resim dökümü ve disk dökümü almaya kadar birçok opsiyon sunar.
Bu 2 konuyu giriş olarak sayalım, ilerleyen konularda leak edilmiş şirketlere ait sistemlerdeki bellek dökümlerini analiz edip birebir örneklerle göstermeye çalışacağım, sistemi inceleyen threat hunter gözünden bu senaryoları sizlere göstermeye çalışacağım. Unutmayın, her temas iz bırakır. Yeter ki doğru yöntemi ve araçları kullanın.
Okuduğunuz için teşekkür ederim.
d'h0