Linux For Hackers - Linux'ta Adli Bilişim #2

  • Konbuyu başlatan Konbuyu başlatan İlker
  • Başlangıç tarihi Başlangıç tarihi

İlker

Community Leader
Admin
Katılım
21 Ocak 2024
Mesajlar
59
Tepkime puanı
32
Puanları
18

🐧
Dosya Sistemi Analizi ve Kurtarma​

Dosya sistemi ve kurtarma, adli bilişim soruşturmalarında kritik önemi haiz konulardır. Dosya sistemlerini, bunların yapılarını ve silinen veya hasar gören dosya/verileri içerir. Dosya sistemlerini anlamak, soruşturmalara fazlasıyla katkı sağlayacaktır zira dereyi görmeden paçayı sıvarsanız ya üşürsünüz ya da terlersiniz :D

📌
testdisk Kullanımı​

TestDisk, dosya sistemlerini onarmak ve veri kurtarma için kullanılan etkili bir araçtır. Farklı dosya sistemi formatlarını destekler ve silinen verileri kurtarabilir, boot kısmını onarabilir ve dosya sistemi yapılarını tekrardan ayaklandırabilir.

sudo testdisk /dev/sdb

1.png


enter'ladıktan sonra şuna ulaşıyoruz:

2.png


tekrar enter'lıyoruz:

3.png


Farklı seçeneklere erişiyoruz ve 1. seçenekle devam ediyoruz.

4.png


Görüyoruz ki silinen herhangi bir part yok ve 1 numaralı parta sahibiz.

Scalpel Kullanımı​

Scalpel, disk imajlarından veya cihazlardan silinen veya hasar gören dosyaların tekrar kurtarılmasını sağlayan bir araçtır. "carving signatures" olarak bilinen header ve footerda barınan spesifik dosya türlerini ayıklamak için tasarlanmıştır.

Kurulum

sudo apt install scalpel

Yapılandırma
  • "scalpel.conf" olarak isimlendirilen yapılandırma dosyasını konumlandırın.
  • Scalpel ile ayıklamak istediğiniz dosya tiplerini text editör kullanarak yapılandırma dosyasına yazın.
  • Kurtarmak istediğiniz dosya tipleri için eklemeler yapın veya # sembolünü kaldırın. Her girdi dosya imzası ve dosya uzantısını içerir.
  • İhtiyacınıza göre çıktı dizinini, carving yönteminizi veya header/footer ayarlarını düzenleyebilirsiniz.
scalpel -c scalpel.conf -o output_directory input_file
  • "scalpel.conf"u kendi yapılandırma dosya adınızla değiştirin.
  • "output_directory"'i de çıktıyı nerede görmek istiyorsanız orayla değiştirebilirsiniz.
  • "input_file"ı disk imajı veya raw dosyası neredeyse onun diziniyle değiştirmeyi unutmayın.
Kali'de yapılandırma dosyası şuradan barınır: /etc/scalpel/scalpel.conf

🐧
Bellek Dökümü Analizi​

Bellek dökümü analizi, değerli verileri ve kanıtların almak için bilgisayarın geçici belleği olan RAM'in analizini almamıza yarar. Ayrıca bellek dökümü analizi, ağ bağlantıları, açılan dosyalar ve çalışan veya çalıştırılmış işlemler ve hatta şifrelenmemiş verileri dahi bize sağlar.

📌
Using Volatility​


Volatility, bellekten döküm almaya yarayan popüler bir bellek dökümü aracıdır. Farklı işletim sistemlerinde çalıştırabilir ve çeşitli pluginlerle farklı farklı dökümler alabilirsiniz.

Kurulum

git clone https://github.com/volatilityfoundation/volatility3.gitcd volatility3pip3 install -r requirements.txtpython3 setup.py build python3 setup.py install​


Volatility3 sayesinde farklı pluginlerle hedef sisteme ait çeşitli taramalar yapabilirsiniz.

Windows sistemler için kullanılabilir olan pluginler:

5.png

6.png

7.png


Process Taraması

8.png


process scanda kendisini gizlemeye çalışan processleri de gösterir.

Process Tree Yapısı

9.png


Windows Servisleri

10.png


Kernal Taraması

11.png



Özet olarak, Linux adli bilişim yapmanıza yarayacak çok fazla opsiyonu bünyesinde barınmaktadır. Konuda bahsi geçen araçlar buz dağının görünmeyen kısmıdır da diyebiliriz. Bellek dökümü analizinden resim dökümü ve disk dökümü almaya kadar birçok opsiyon sunar.

Bu 2 konuyu giriş olarak sayalım, ilerleyen konularda leak edilmiş şirketlere ait sistemlerdeki bellek dökümlerini analiz edip birebir örneklerle göstermeye çalışacağım, sistemi inceleyen threat hunter gözünden bu senaryoları sizlere göstermeye çalışacağım. Unutmayın, her temas iz bırakır. Yeter ki doğru yöntemi ve araçları kullanın.

Okuduğunuz için teşekkür ederim.


d'h0
 
Geri
Üst