- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Dijital Adli Bilişim Nedir?
Dijital adli bilişim, genellikle bilgisayar suçlarıyla ilgili olarak dijital cihazlarda bulunan materyallerin kurtarılması ve araştırılmasına odaklanan adli bilim dalıdır. Bu, elektronik verilerin korunması, toplanması, incelenmesi, analizi ve bir mahkemede delil olarak kabul edilebilir bir şekilde sunulmasını içerir.
İşletim Sistemi Adli Bilişimi Nedir?
İşletim sistemi adli bilimi, bilgisayar işletim sistemlerinin ve ürettikleri eserlerin incelenmesine odaklanan dijital adli bilimin bir alt alanıdır. Suç faaliyeti, kötü niyetli faaliyet veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için bir işletim sistemi içindeki temel veri yapılarının, dosyaların ve sistem günlüklerinin incelenmesini içerir. Bu, altta yatan işletim sistemi ve davranışının yanı sıra verileri toplamak ve analiz etmek için kullanılan araç ve tekniklerin kapsamlı bir şekilde anlaşılmasını gerektirir. İşletim sistemi adli bilişiminin amacı, dijital olayların kanıtlarını mahkemede kabul edilebilir bir şekilde tanımlamak ve korumaktır.
Veri türleri.
Dijital adli bilişimde verileri Uçucu yapılarına göre iki türe ayırırız, Bunlar:
Uçucu Veriler
Uçucu veriler, bilgisayarın belleğinde (RAM) geçici olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolan bilgileri ifade eder. Uçucu veri örnekleri arasında sistem durum bilgileri, çalışan işlemler, açık ağ bağlantıları ve bellek eşlemeli dosyaların içerikleri yer alır. Uçucu veriler, hangi işlemlerin yapıldığı ve hangi programların çalıştığı gibi bilgiler de dahil olmak üzere bir bilgisayar sisteminin belirli bir zamandaki durumu hakkında değerli bilgiler sağlayabildiğinden dijital adli tıp soruşturmalarında önemli kabul edilir. Ancak uçucu verilerin toplanması ve muhafaza edilmesi zor olabilir çünkü bu veriler geçicidir ve genellikle sistem kapatıldığında ya da yeniden başlatıldığında kaybolur.
Uçucu Olmayan Veriler
Uçucu olmayan veriler, bir bilgisayarın depolama ortamında (sabit sürücü veya katı hal sürücüsü gibi) kalıcı veya yarı kalıcı olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolmayan bilgileri ifade eder. Uçucu olmayan verilere örnek olarak dosyalar, sistem yapılandırmaları ve veri tabanlarında depolanan veriler verilebilir. Uçucu olmayan veriler dijital adli tıp soruşturmalarında önemli kabul edilir çünkü bir bilgisayar sistemindeki faaliyetin geçmiş kaydını sağlayabilir ve geçmişte meydana gelen olayları yeniden yapılandırmak için kullanılabilir. Uçucu olmayan verilerin toplanması ve korunması genellikle uçucu verilere göre daha kolaydır ve faaliyet kalıplarını ortaya çıkarmak ve suç faaliyeti, kötü niyetli aktivite veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için analiz edilebilir.
Windows Adli Bilişim Metodolojisi
Uçucu veriler şunları içerir:-
Sistem Zamanını Toplama
Oturum Açmış Kullanıcıları Toplama
Açık/Paylaşılan Dosyaları Toplama
Ağ Bilgilerinin Toplanması
Ağ Bağlantıları hakkında bilgi toplama
Süreç Bilgileri
Potansiyel olarak tehlikeye atılmış bir sistemde çalışan süreci araştırın ve bilgileri toplayın.
Ağ Durumunu Toplama
Pano İçeriği
Clipboard Viewer
Servis ve Sürücü Bilgileri
Komut Geçmişi
Yerel Olarak Paylaşılan Kaynaklar
Dijital adli bilişim, genellikle bilgisayar suçlarıyla ilgili olarak dijital cihazlarda bulunan materyallerin kurtarılması ve araştırılmasına odaklanan adli bilim dalıdır. Bu, elektronik verilerin korunması, toplanması, incelenmesi, analizi ve bir mahkemede delil olarak kabul edilebilir bir şekilde sunulmasını içerir.
İşletim Sistemi Adli Bilişimi Nedir?
İşletim sistemi adli bilimi, bilgisayar işletim sistemlerinin ve ürettikleri eserlerin incelenmesine odaklanan dijital adli bilimin bir alt alanıdır. Suç faaliyeti, kötü niyetli faaliyet veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için bir işletim sistemi içindeki temel veri yapılarının, dosyaların ve sistem günlüklerinin incelenmesini içerir. Bu, altta yatan işletim sistemi ve davranışının yanı sıra verileri toplamak ve analiz etmek için kullanılan araç ve tekniklerin kapsamlı bir şekilde anlaşılmasını gerektirir. İşletim sistemi adli bilişiminin amacı, dijital olayların kanıtlarını mahkemede kabul edilebilir bir şekilde tanımlamak ve korumaktır.
Veri türleri.
Dijital adli bilişimde verileri Uçucu yapılarına göre iki türe ayırırız, Bunlar:
- Uçucu Veriler
- Uçucu Olmayan Veri
Uçucu Veriler
Uçucu veriler, bilgisayarın belleğinde (RAM) geçici olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolan bilgileri ifade eder. Uçucu veri örnekleri arasında sistem durum bilgileri, çalışan işlemler, açık ağ bağlantıları ve bellek eşlemeli dosyaların içerikleri yer alır. Uçucu veriler, hangi işlemlerin yapıldığı ve hangi programların çalıştığı gibi bilgiler de dahil olmak üzere bir bilgisayar sisteminin belirli bir zamandaki durumu hakkında değerli bilgiler sağlayabildiğinden dijital adli tıp soruşturmalarında önemli kabul edilir. Ancak uçucu verilerin toplanması ve muhafaza edilmesi zor olabilir çünkü bu veriler geçicidir ve genellikle sistem kapatıldığında ya da yeniden başlatıldığında kaybolur.
Uçucu Olmayan Veriler
Uçucu olmayan veriler, bir bilgisayarın depolama ortamında (sabit sürücü veya katı hal sürücüsü gibi) kalıcı veya yarı kalıcı olarak depolanan ve güç kapatıldığında veya sistem yeniden başlatıldığında kaybolmayan bilgileri ifade eder. Uçucu olmayan verilere örnek olarak dosyalar, sistem yapılandırmaları ve veri tabanlarında depolanan veriler verilebilir. Uçucu olmayan veriler dijital adli tıp soruşturmalarında önemli kabul edilir çünkü bir bilgisayar sistemindeki faaliyetin geçmiş kaydını sağlayabilir ve geçmişte meydana gelen olayları yeniden yapılandırmak için kullanılabilir. Uçucu olmayan verilerin toplanması ve korunması genellikle uçucu verilere göre daha kolaydır ve faaliyet kalıplarını ortaya çıkarmak ve suç faaliyeti, kötü niyetli aktivite veya diğer ilgi çekici olayların kanıtlarını ortaya çıkarmak için analiz edilebilir.
Windows Adli Bilişim Metodolojisi
- Uçucu Verilerin Toplanması
- Uçucu Olmayan Verilerin Toplanması
- Windows Bellek Analizi
- Windows Kayıt Defteri Analizi
- Önbellek, Çerez ve Geçmiş Analizi
- Olay günlüğü analizi
- Meta Veri Araştırması
- Windows Dosya Analizi
Uçucu veriler şunları içerir:-
- Sistem zamanı
- Oturum açmış kullanıcılar
- Ağ Bilgileri
- Dosyaları açın
- Ağ Bağlantıları
- Ağ Durumu
- Süreç Bilgileri
- Süreç-Port Eşleştirmesi
- İşlem Belleği
- Eşlenen Sürücüler
- Paylaşımlar
- Pano İçeriği
- Servis/Sürücü Bilgileri
- Komut Geçmişi
Sistem Zamanını Toplama
date /t & time /t
Get-TimeZone
Oturum Açmış Kullanıcıları Toplama
PsLoggedOn
net sessions
LogonSessions.exe
Açık/Paylaşılan Dosyaları Toplama
net file
Ağ Bilgilerinin Toplanması
nbtstat -c (Netbios name table cache)
Ağ Bağlantıları hakkında bilgi toplama
netstat -ano (TCP and UDP Network Connections)
netstat -r (Routing Table)
Süreç Bilgileri
Potansiyel olarak tehlikeye atılmış bir sistemde çalışan süreci araştırın ve bilgileri toplayın.
- Task Manager
- tasklist
- pslist
- listdlls
Ağ Durumunu Toplama
ipconfig /all
Pano İçeriği
Clipboard Viewer
Servis ve Sürücü Bilgileri
wmic service list brief | more
Komut Geçmişi
doskey /history
Yerel Olarak Paylaşılan Kaynaklar
net Share