Windows Adli Bilişim: Araştırma Sanatı

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Dijital Adli Bilişim Nedir?

Dijital adli bilişim, genellikle bilgisayar suçlarıyla ilgili olarak dijital cihazlarda bulunan materyallerin kurtarılması ve araştırılmasına odaklanan adli bilim dalıdır. Bu, elektronik verilerin korunması, toplanması, incelenmesi, analizi ve bir mahkemede delil olarak kabul edilebilir bir şekilde sunulmasını içerir.
İşletim Sistemi Adli Bilişimi Nedir?

İşletim sistemi adli bilimi, bilgisayar işletim sistemlerinin ve ürettikleri eserlerin incelenmesine odaklanan dijital adli bilimin bir alt alanıdır. Suç faaliyeti, kötü niyetli faaliyet veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için bir işletim sistemi içindeki temel veri yapılarının, dosyaların ve sistem günlüklerinin incelenmesini içerir. Bu, altta yatan işletim sistemi ve davranışının yanı sıra verileri toplamak ve analiz etmek için kullanılan araç ve tekniklerin kapsamlı bir şekilde anlaşılmasını gerektirir. İşletim sistemi adli bilişiminin amacı, dijital olayların kanıtlarını mahkemede kabul edilebilir bir şekilde tanımlamak ve korumaktır.

Veri türleri.

Dijital adli bilişimde verileri Uçucu yapılarına göre iki türe ayırırız, Bunlar:

  • Uçucu Veriler
  • Uçucu Olmayan Veri

Uçucu Veriler

Uçucu veriler, bilgisayarın belleğinde (RAM) geçici olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolan bilgileri ifade eder. Uçucu veri örnekleri arasında sistem durum bilgileri, çalışan işlemler, açık ağ bağlantıları ve bellek eşlemeli dosyaların içerikleri yer alır. Uçucu veriler, hangi işlemlerin yapıldığı ve hangi programların çalıştığı gibi bilgiler de dahil olmak üzere bir bilgisayar sisteminin belirli bir zamandaki durumu hakkında değerli bilgiler sağlayabildiğinden dijital adli tıp soruşturmalarında önemli kabul edilir. Ancak uçucu verilerin toplanması ve muhafaza edilmesi zor olabilir çünkü bu veriler geçicidir ve genellikle sistem kapatıldığında ya da yeniden başlatıldığında kaybolur.

Uçucu Olmayan Veriler

Uçucu olmayan veriler, bir bilgisayarın depolama ortamında (sabit sürücü veya katı hal sürücüsü gibi) kalıcı veya yarı kalıcı olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolmayan bilgileri ifade eder. Uçucu olmayan verilere örnek olarak dosyalar, sistem yapılandırmaları ve veri tabanlarında depolanan veriler verilebilir. Uçucu olmayan veriler dijital adli tıp soruşturmalarında önemli kabul edilir çünkü bir bilgisayar sistemindeki faaliyetin geçmiş kaydını sağlayabilir ve geçmişte meydana gelen olayları yeniden yapılandırmak için kullanılabilir. Uçucu olmayan verilerin toplanması ve korunması genellikle uçucu verilere göre daha kolaydır ve faaliyet kalıplarını ortaya çıkarmak ve suç faaliyeti, kötü niyetli aktivite veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için analiz edilebilir.

Windows Adli Bilişim Metodolojisi

  • Uçucu Verilerin Toplanması
  • Uçucu Olmayan Verilerin Toplanması
  • Windows Bellek Analizi
  • Windows Kayıt Defteri Analizi
  • Önbellek, Çerez ve Geçmiş Analizi
  • Olay günlüğü analizi
  • Meta Veri Araştırması
  • Windows Dosya Analizi
Uçucu Verilerin Toplanması

Uçucu veriler şunları içerir:-

  • Sistem zamanı
  • Oturum açmış kullanıcılar
  • Ağ Bilgileri
  • Dosyaları açın
  • Ağ Bağlantıları
  • Ağ Durumu
  • Süreç Bilgileri
  • Süreç-Port Eşleştirmesi
  • İşlem Belleği
  • Eşlenen Sürücüler
  • Paylaşımlar
  • Pano İçeriği
  • Servis/Sürücü Bilgileri
  • Komut Geçmişi

Sistem Zamanını Toplama

date /t & time /t
Get-TimeZone

sistemzamanı1.png

sistemzamanı2.png


Oturum Açmış Kullanıcıları Toplama

PsLoggedOn
net sessions
LogonSessions.exe

PsLoggedOn.png


PsLoggedOn2.png


PsLoggedOn3.png


Açık/Paylaşılan Dosyaları Toplama


Shared Files.png


Ağ Bilgilerinin Toplanması

nbtstat -c (Netbios name table cache)

Network Information.png


Ağ Bağlantıları hakkında bilgi toplama

netstat -ano (TCP and UDP Network Connections)
netstat -r (Routing Table)

information about Network Connections1.png


information about Network Connections2.png


Süreç Bilgileri
Potansiyel olarak tehlikeye atılmış bir sistemde çalışan süreci araştırın ve bilgileri toplayın.
  • Task Manager
  • tasklist
  • pslist
  • listdlls
Process1.png


Process2.png


Process3.png


Ağ Durumunu Toplama


Network Status.png


Pano İçeriği

Clipboard Viewer

Servis ve Sürücü Bilgileri

wmic service list brief | more

Service and Driver.png


Komut Geçmişi


Command History.png


Yerel Olarak Paylaşılan Kaynaklar


Shared Resources.png
 
Geri
Üst