27/3/2012. Sayın Av. Ali Sezenoğlu,

Transkript

1 27/3/2012 Sayın Av. Ali Sezenoğlu, 12/03/2012 tarihli inceleme taleplerinize ilişkin, söz konusu davaya delil olan 5 numaralı sabit disk imajı üzerinde bilimsel inceleme tüm ayrıntılarıyla yapılmış ve ekteki raporda bilgilerinize sunulmuştur. Adli Bilirkişi Tevfik Koray Peksayar Mak. Müh. Lis. - Bilgi Tekn. Y. Lis. İTÜ Diploma No: Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 1 (Toplam sayfa: 38)

2 Bilimsel İnceleme ve Bilirkişi Görüşü 1 - İnceleme Yapılan Kütük Bilgileri İnceleme 1 adet sabit disk (5 numaralı sabit disk) imaj dosyası üzerinde yapılmıştır. Adli emanetten gelen imaj dosyası 1.9 GB'lık IMAGE.001 ila IMAGE.041 dosya adlı 41 parça halinde olduğundan önce bu parçalar birleştirilip esas imaj dosyası elde edilmiştir. Imaj tek dosya haline getirildikten sonra MD5 sayısal imzası alınmıştır. MD5 sayısal imzasının cb063b2c013a53cab2c8ed2afe091ff0 olduğu görülmüştür. Bu imza ımajın adli emanet tarafından teslim edilen günlük dosyası ( D2F.LOG) içindeki sayısal imzayla kıyaslanıp ımajın geçerliliği doğrulanmıştır. 2- Uygulama Yazılımları Tarafından Oluşturulan Belgeler ve Dosya Tipleri 2.1- Bilgisayar Ortamındaki Dosyaların Belge Nitelikleri Bilgisayar bilimlerinin en önemli temellerinden biri verinin her zaman anlamlı bilgi olmadığı olgusudur. Sayısal verinin bilgi niteliği taşıyabilmesi için bulunduğu ortamdaki diğer benzer veriyle tutarlı bir bütün oluşturması gereklidir. Bir sayısal kütüğün aynı zamanda bir veritabanı olduğu düşünülürse, bu veritabanına belirli şartlarla ve kurallarla erişildiği varsayıldığında anlamlı bilgi içerdiğinden emin olunabilir. Veritabanı üzerinde kayıt tutan bir muhasebe yazılımını örnek verirsek veritabanındaki alacak verileri tek başlarına borç verileriyle kıyaslandıklarında sadece incelenen dönemdeki alacak borç dengesi hesaplanabilir. Bu veriler ancak müşteri verileriyle ilişkilendirildiğinde anlamlı borç-alacak bilgisine ulaşılabilir. Veritabanındaki müşteri kayıtlarında sadece müşteri numaraları da hiçbir anlamlı bilgi içermemekte, bir dış veriyle yorumlandığında anlamlı bilgiye erişilmektedir. Veritabanındaki bir işlemin iki kere yapılmış olması veri bütünlüğünü bozacak olduğu için anlamlı bilgiye ulaşılmasında sorun oluşturur. Muhasebe kayıtlarındaki bir işlemin kimin tarafından yapıldığının belli olmaması durumu da yine anlamsal bilgi bütünlüğünün bozulmasına sebep olur. Bir muhasebe kaydının hangi kullanıcı tarafından girildiği bilgisi olmadığında bu kayıt ve tüm ilgili kayıtlar da geçersiz olacaktır ve sistemin bütününde kararsılık oluşacağı için anlamlı bilgi de bu durumdan etkilenmiş olacaktır. Dolayısıyla, verinin anlamlı bilgi olarak kabul edilebilmesi için aynı ortamda bulunan diğer benzer veriyle tutarlılık oluşturması, kararlı çalışan, güvenliği sağlanmış olan bir sistemde depolanması, bu sisteme belirli kurallar ve şartlarla erişimin sağlanıyor olması gereklidir. Sayısal ortamdaki veriler herhangi bir sistem kullanılarak, herhangi bir kişi tarafından, herhangi bir zamanı gösterecek şekilde oluşturulabilir. Bu verinin doğruluğu ve geçerliliği günümüz şartlarında sayısal imzalar kullanılarak sağlanır. Dolayısıyla, verinin anlam kazanması için elde edilen verinin, gazetecelik mesleğinde de bilinen, 5N1K sorularını (Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?) cevaplayabiliyor olması Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 2 (Toplam sayfa: 38)

3 gereklidir. Diğer bir deyişle, hangi veri, ne zaman, hangi sistemde ve veri depolama ortamında, ne şekilde ve tipte, hangi veriyle İlişki kuracak şekilde, kim tarafından oluşturulmuştur olarak açıklanabiliyor olması gereklidir Microsoft Office Uygulama Yazılımları Sabit disk imajı üzerinde yapılan incelemede 5 ana dosya tipine rastlanmıştır. Bunların hepsi Microsoft firmasının çıkarttığı ofis uygulama yazılımları grubu Microsoft Office dosya tipleri olan Word kelime işlemcisi şablonu (dot uzantılı), Word kelime işlemcisi (doc uzantılı), Excel hesap tablosu şablonu (xlt uzantılı), Excel hesap tablosu (xls uzantılı) ve Power Point sunum (ppt uzantılı) dosyalarıdır. Microsoft Office uygulamaları ailesi 2006 yılına kadar Microsoft'a özgü ikili (İngilizce: binary) dosya biçeminde (tipinde) (İngilizce: format) çıktı vermekteydiler. Bu dosya tipleri diğer belgelerden bilgi kopyalama, Microsoft OLE ile diğer belgelere bağlantı ve diğer belgeleri başka belgeler içine ekleme imkanı sunmaktaydı. Bu dosya tiplerinin diğer dosya tiplerine çevrilmesi ve diğer uygulama yazılımları tarafından yorumlanmalarındaki zorluklar ve bu işlemlerin yapılması için gerekli programlama ortamı yazılımlarının Microsoft tarafından lisanslanması çeşitli teknik sıkıntılar yaratmıştır. Bu sıkıntıların, yardımcı uygulama geliştirici firmalar ve çeşitli ülkelerin hükümet organlarınca Microsoft'a iletilmesiyle Microsoft yeni bir dosya tipi arayışına girmiştir. Microsoft Office 2003 sürümünde varsayılan dosya tipi olarak XML dosyalarını önerse de bu durum eski Office kullanıcıları tarafından rağbet görmemiştir yılında dosya tipleri yeni bir Microsoft standardı olan Office Open XML (kısaca OOXML) ile yeniden tanımlanmıştır. OOXML dosyaları zip dosya sistemini kullanır ve tüm bileşenler ayrı ayrı dosyalardan oluşan bir zip dosyası içinde tutulur. Bu sayede grafik ve video gibi içerik OOXML ile yaratılmış dosyaların içine eklenebilir. Bu dosyalar içlerinde bulunan öğelerin biçimlendirilmesinde kullanılan (şekil, renk, yazıtipi gibi) öğelere referanslar içerir. OOXML ile daha eski dosya tiplerindeki Microsoft OLE öğelerinin dosya içlerinde kullanılması terk edilmiştir Microsoft Office Sürümleri ve Eski Sürümlerle Geri Uyumluluk Microsoft Office 2007 ve sonraki sürümleri, daha eski sürümlerle uyumlu olarak çalışabilecek şekilde daha eski sürümlerin dosya tiplerinde dosya kaydı yapabilir. Hatta Office 2007 ve sonraki sürüm programlarının varsayılan dosya kayıt tipi Office 97/2000/XP olarak seçilebilir. Eski dosya tipiyle dosya oluşturulduğunda, Office uygulamaları OOXML tanımlamalarını eski tip OLE nesnelerine çevirerek kaydeder. Ancak bu kayıt işlemi sırasında bazı sorunlar olduğu kullanıcılar tarafından raporlanmaktadır. Bunlardan en belirgin olanı dosya durağan alanında OOXML tanımlamalarının bırakılmasıdır. Varsayılan dosya tipi OOXML olan Word, Excel ve Power Point uygulamaları daha eski sürümlerle uyumlu dosya oluşturabilir. Ancak oluşturulan dosyalarda OOXML ile tanımlanan biçimlendirme öğeleri tanımlı olarak durması çok sık karşılaşılan bir durumdur. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 3 (Toplam sayfa: 38)

4 Bu şekilde kaydedilen bir dosya içinde varolan OOXML tipindeki tanımlamaların, dosyanın eski sürüm bir Office uygulamasıyla çok kez değişiklik yapılıp kaydedildiğinde kaybolduğu da gözlemlenmiş bir olgudur. Ancak çoğunlukla dosya içinde kullanılması elzem olmayan durağan alanlara (İngilizce slack space ) yazılmadığı için bu tanımlamalar dosyalardaki varlıklarını korur. Buna benzer bir durum daha eski Office sürümlerinde de vardır. Oluşturulan bir dosya üzerinde çok miktarda içerik ekleme ve silme işlemi gerçekleştirildiğinde dosya boyutu içerdiği içerikten daha fazla alan kaplar. Çıkarılan bazı içeriğe dosyanın son halinde geçersiz referanslar yer alır. Bu boş yere dolan alan çoğu zaman yeni bir dosya oluşturulup, tüm içeriğin kopyalanıp bu yeni dosyaya yapıştırılmasıyla bertaraf edilebilir. Office 2007 öncesi ve sonrası sürümler arasında diğer bir belirgin fark ise dil ve alfabe konusudur. Office 2007 öncesi belgeler içlerinde belgenin hangi alfabe ile yazıldığını, kod sayfası bilgisini, ole:codepage meta-data girdisiyle bulundururlar. Office 2007 ve sonraki sürümlerde kod sayfaları kullanımı yerine evrensel utf-8 (unicode) kodlamasına geçilmiştir. Office 2007 ve sonrası sürümlerle uyumluluk kipinde kaydedilen dosyalar Office belgeleriyle ilgili bilgi sağlayan programlarla incelendiklerinde çoğunlukla kod sayfası OLE bilgisinin yanlış olduğu görülmektedir. Bu programlara en önemii örnek oldukça olgun ve güvenilir bir Linux uygulaması olan wvsummary'dir. wvsummary ile incelenen Office 2007 ve sonrası sürümlerle uyumluluk kipinde kaydedilen dosyalarda OLE kod sayfası bilgisinin Türkçe'yi tanımlayan 1254 yerine -535 olarak kaydedildiği gözlemlenmektedir. Buna rağmen böyle dosyalar hem Office 2007 öncesi hem de Office 2007 ve sonrası sürümlerle rahatlıkla açılarak istenilen değişiklik yapılarak kaydedilebilmektedir. Söz konusu dosya tipleri ve uygulama yazılımlarının ticari metalar olduklarını, üreticinin kullanıcıya yeni sürümün edinilmesini tavsiye ettiğini, son kullanıcı lisans sözleşmelerinde sağlıklı çalışma özellikleri konusunda üretici tarafından sınırsız garanti verilmediğini ve geçmişte de aynı üreticinin ürünlerinde birçok hata bulunduğunu hatırlatmakta fayda vardır. Söz konusu üreticinin yazılımlarının kodları içinde düzeltilmesi unutulmuş veya kasten geride bırakılmış birçok hataya sahip oldukları uzmanlarca bilienen bir gerçektir. Dolayısıyla yukarıda anlatılanlara benzer hatalar, nadir durumlar dışında, uygulama yazılımı sürümlerinin ve tiplerinin tespitinde aydınlatıcı ipuçları verebilmektedir Tüm Microsoft Office Sürümlerinin Dosya Oluşturma ve Yazdırma Bilgileriyle İlgili Davranışı Bazı Office dosyalarında baskı tarih bilgisi oluşturuldukları tarih bilgisinden eski olabilir. Bazı dosyalar oluşturulmadan önce çıktıları alınmış şeklinde veri içeriyor olabilir. adresindeki Microsoft'un resmi bilgisine göre: Soru: Tarih istatistikleri sekmesinde baskı tarihi oluşturma tarihinden daha eski bir tarih nasıl olabilir?: Cevap: Daha önce basılmış bir belge kopyalanmış ya da başka bir yere yeniden kaydedilmiş olabilir. Ayrıca, daha önce basılmış olan bir belge ana (özgün) belge olarak aynı yerde üzerine yazılmış olabilir. Bu durumdaki yeni kopyalanan veya üzerine yazılan belgenin 'baskı' tarihinden daha yeni 'oluşturulma' tarihi vardır. Özgün 'baskı' tarihi yeni kopyalanan veya üzerine yazılan belgeye taşınır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 4 (Toplam sayfa: 38)

5 Bu bilgiye göre baskı tarihi oluşturulma tarihinden eski olan belgelerin disk üzerinde bir yerden bir yere taşındıkları veya farklı kaydet seçeneğiyle aynı dosyanın kendisinin üstüne yazıldığı anlaşılmaktadır. Bu durumda disk üzerinde ilk oluşturulma tarihleri yok olmuş, oluşturulma tarihine en yakın tarih son baskı tarihi halini almış ve son taşıma ya da farklı kaydetme işlem tarihi oluşturulma tarihi yerine geçmiş olur Durağan Alan (İng: slack space) Durağan alanın oluşması ve dosya sisteminde kalması teknik olarak şu şekilde açıklanır: Gerekli olan bellek ya da depolama alanı işletim sistemi tarafından kullanılması gerekli olan alandan daha büyük olarak hesaplanabilir. Bu durumda kullanılan alan dışında kalan alan fazladan ayrılmış alan olarak harcanır. Bunun sebepleri: 1. Alan ayırma hesaplarını gerçekleştiren algoritmalar 2. Uygulama yazılımın işletim sisteminden kullanacağından daha fazla alan istemesi şeklinde sıralanabnilir. Her iki durumda kullanılmayan alan da ayrılması istenen alan içinde kalır. Bahsedilen alan bir dosya ise, kullanılan alan dışında kalan fazla alan da dosya içinde yer alır. Sayısal veriler ikili sayı düzeninde tanımlanırlar. Bu yüzden çoğu temel alan ayırma kuralında tanımlanan varsayılan davranış 2'nin katları şeklinde artan alanlar ayırmaktır. Her yazı karakterinin ASCII standardıyla tanımlanan 8 bit uzunluğunda olması gerekliliği dolayısıyla metin içeren dosyalar için alan ayrılmasında 8 ve katlarının kullanılması olağan bir durumdur. Bu durumda, bir istemci (uygulama yazılımı) 23 baytlık alan istediğinde ayrılan alan aslında 24 bayt ve hatta çift sayı olarak daha büyük katları olacaktır. Birçok dosya sisteminde her dosya öbekler halinde depolanır ve her dosyanın başlangıç kaydı bir öbeğin başlangıcına denk gelir. Fakat her dosya sığabilecekleri öbek sayısına eşit alan kaplamaz. Örneğin bir öbek boyutu 8 kilobayt ise ve dosya boyutu 33 kilobayt ise bu dosya dosya sistemi üzerinde 40 kilobayt yer kaplar. Böylece dosyanın esas boyutunun kapladığı alan ile dosya sistemindeki bir sonraki dosya kaydının başlangıcı arasında arta kalan alan oluşur. Bu alana durağan alan denir. Bu alanda, dosya oluşturulduktan sonra yapılan değişiklikler, kaydedilmesinden vazgeçilen veriler ve hatta bellekte arta kalan bilgiler bulunabilir. 3 - Yapılan İnceleme İnceleme Yöntemi Sabit disk imajında derin dosya sistemi incelemesi,, virüs denetimi, işletim sistemi sürümü ve bilgileri uygulama yazılımı (özellikle Microsoft Office) sürümü ve bilgileri, ve bulunan dosya tipi tespiti odaklı inceleme yapılmıştır. İnceleme için R-Studio disk inceleme yazılımı, Ubuntu Linux işletim sistemi ve yardımcı yazılımları kullanılmıştır. İçerik incelemesi, tüm dosyalar ham metin dosyaları olarak ele alınarak içlerinde kelime araması yapılmıştır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 5 (Toplam sayfa: 38)

6 Böylece dosyaların başlık ve biçimlendirme tanımlamalarına herhangi bir uygulama yazılımı tarafından yorumlanmadan tam olarak erişilebilmiştir. Kelime araması yapılırken dosyaların durağan alanlarında bulunması olası olan veri de incelenmiştir. Aramada şablonları ifade edebilecek dot, uygulama sürüm bilgisine ulaştırabileck Word, programlanmış makrolara ulaştırabilecek macro ve makro dış bağlantılı öğeleri tanımlayan OLE ve OLB, yeni tip belgelerde bulunan XML kelimeleri kullanılarak dosya içlerindeki programlama makroları, dış öğelere referanslar, dosya oluşturulmasına taban olan şablonlara referanslar, dosya sonlarında bulunan sürüm notları ve yeni sürümlere özgü niteliklerin tespiti amaçlanmıştır. Yapılan inceleme sonucunda aşağıda listelenen hususlar tespit edilmiştir Sabit Disk Bilgileri Donanım Bilgisi Adli Emanet imaj bilgisine göre disk donanımı bilgileri Markası: Samsung Modeli: SP0802N Seri numarası: 0637J2FWA19210 Bu diskin seri numarasına göre üretim tarihi 2003 (W) yılının Ekim (A) ayı olduğu belirlenmiştir. [1] Dosya Sistemi Bilgisi Disk üzerinde 2 bölüm bulunmuştur. 1. Bölüm Etiketi: SISTEM Dosya sistemi: NTFS Boyut: 20 GB Kurulu işletim sistemi: Windows XP 2. Bölüm Etiketi: DATA Dosya sistemi: NTFS Boyut: GB Kurulu işletim sistemi: Yok (veri depolama alanı) Tüm derin disk incelemeleri R-Studio ile, imajlar üzerinde hiçbir yazma işlemi yapılmadan gerçekleştirilmiştir. İçerik incelemesi ise bölümlerin R-Studio ile ayrı ayrı imajları alınıp bu imajların Linux işletim sistemine salt-okunur kütükler olarak bağlanarak yapılmıştır. Sistem kayıt defteri dosyaları da inceleme için ayrıştırılmıştır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 6 (Toplam sayfa: 38)

7 3.2.2 Silinmiş Bölümler Resimde Recognized0 dışında görülen girdiler silinmiş bölümlere işaret etmektedir. Bu bölümlerin incelenmesi silinmiş olduklarından dolayı uzun zaman alacağından inceleme yapılmamıştır. Gerekli olduğu takdirde derin inceleme yapılması mümkündür Bölümün İncelenmesi 1. İşletim sistemi: Bu bölümde Windows XP işletim sisteminin kurulu olduğu tespit edilmiştir. 2. Kurulum tarihi: Kurulum günlük dosyasına (WINDOWS/setuplog.txt) göre işletim sistemi kurulum tarihi 9/4/ :52:14 olarak tespit edilmiştir. Söz konusu günlük tarih biçimi ay/gün/yıl saat:dakika:saniye tipindedir. Linux stat komutu çıktısı da tarihi doğrulamaktadır: File: `setuplog.txt' Access: :21: Modify: :52: Change: :52: Ancak kurulum günlük dosyasına göre kurulum başlangıç saati 1/1/ :22:50 olarak görülmektedir. Kurulum günlüğündeki kayıtlara göre ağ kurulumu başlangıcında sistem saati otomatik olarak güncellenmekte olduğu görülmektedir. Bu durum da sistemin internet bağlantısına sahip olduğu izlenimini doğurmaktadır. 3. Sistemin en son kapatıldığı tarih: Disk belleği (pagefile.sys) dosyasına göre sistemin en son kapatıldığı tarih 28/7/ :03:23 olarak belirlenmiştir. Linux stat komutu çıktısı: File: `pagefile.sys' Access: :03: Modify: :03: Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 7 (Toplam sayfa: 38)

8 Change: :03: Kurulu Microsoft Office sürümü: Kurulu Microsoft Office uygulaması sürümünün Office 9 (Office 2000) olduğu tespit edilmiştir. 5.Anti-virüs yazılımı: Kurulu anti-virüs yazılımının McAfee VirusScan Enterprise 8.5i sürümü olduğu tespit edilmiştir. 6.Ağ bağlantısı: Sisteme IP adresinin atandığı ve makine isminin ikk olduğu tespit edilmiştir. Bu yapılandırmadan sistemin TCP/IP uyumlu bir intranet sisteminde kullanıldığı, daha önce tespit edilen kurulum sırasında otomatik saat ve tarih güncellenmesi yapılmasından sistemin internet çıkışı yapabildiği tespit edilmiştir. 7.Disk üzerinde silinen bilgiler: Disk üzerinde yapılan incelemede silinen bilgilere rastlanmıştır Bölümdeki Silinmiş Dosyaların İncelemesi Disk üzerinde çok miktarda silinmiş dosya kaydı bulunmuştur. Bunlardan en önemlileri WINDOWS ve Program Files klasörleridir. WINDOWS klasöründe en eski oluşturulmuş kayıt system32 klasörüdür. Bu klasörün oluşturulma tarihi 30/10/ :24:01, değişiklik tarihi 30/3/ :52:12 ve erişim tarihi 9/4/ :08:10'dur Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 8 (Toplam sayfa: 38)

9 WINDOWS klasöründe en yeni oluşturulmuş kayıt $NTUninstallKB946026$ klasörüdür. Bu klasörün oluşturulma tarihi 7/3/ :25:01, değişiklik tarihi 7/3/ :25:01 ve erişim tarihi 9/4/ :40:20'dir. Program Files klasöründe en eski oluşturulmuş kayıt Common Files klasörüdür. Bu klasörün oluşturulma tarihi 30/10/ :26:56, değişiklik tarihi 17/9/ :29:31 ve erişim tarihi 9/4/ :08:10'dur. Program Files klasöründe en yeni oluşturulmuş kayıt DIFX klasörüdür. Bu klasörün oluşturulma tarihi 6/1/ :48:45, değişiklik tarihi 6/1/ :48:45 ve erişim tarihi 9/4/ :40:12'dir. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 9 (Toplam sayfa: 38)

10 Program Files klasöründe 24/3/2004 9:29:09 oluşturulma, 17/9/2007 9:39:34 değişiklik ve 9/4/ :08:10 erişim tarihli Microsoft Office klasörü görülmüştür. Bu klasörün Microsoft Office 11 sürümünü (Office 2003) kurulumu içerdiği tespit edilmiştir. Bu tespitler ve bulunan dosya tarihlerine göre kurulu Windows XP işletim sistemi ve uygulama yazılımı programlarını içeren Program Files klasörleri 9/4/2008 tarihinde 10:40 sularında silinmiştir. Silinme işleminin formatlama tabir edilen şekilde diskin sıfırlanmasıyla değil, dosya sistemindeki klasörlerin silinmesiyle yapıldığı tahmin edilmektedir. Silme işlemi sistem dosyalarını kapsadığı ve bu işlem kurulu işletim sistemi bilgisayar üzerinde çalışırken yapılamayacağı için, sabit diskin dosya sistemindeki değişikliğin, diskin çıkarılıp başka bir bilgisayara takılarak yapıldığı izlenimini doğurmaktadır. Silme işleminden sonra 9/4/ :52:14'te tekrar işletim sistemi kurulmuştur Bölümünden Silinen Windows Klasöründeki Kurulum Günlükleri Silinen klasördeki kurulum günlüğü kurtarılamamıştır. Ancak aygıt sürücülerinin kurulum bilgilerini içeren setupapi.log dosyası kurtarılabilmiştir. Bu günlük dosyasının bir bölümü bozuktur. Ancak bozuk olmayan bölümlere göre: 1. 7/2/ :18:09 tarihindeki "C:\Program Files\PC Connectivity Solution\NclInstaller.exe" komut satırı ile işleniyor: kaydına göre sisteme Nokia telefon aygıtı bağlanmış olduğu, 2. 7/2/2008 6:54:54 tarhinde sisteme bir dış USB veri depolama cihazı bağlanmış olduğu, bu diskin büyük ihtimalle bir SD/MMC kart okuyucu olduğu, 3. 10/3/ :00:17 tarihinde sistemin monitörünün değiştirildiği, 4. 27/3/ :14:41 tarihinde sisteme Kingston Data Traveler USB dış disk bağlandığı görülmektedir Bölüm Üzerinde Virüs Taraması Sistem üzerinde yukarıda anlatılan işlemlerin yapılmış olduğunun tespiti, sistemde bir takım istem dışı değişiklikler yapılabileceği düşüncesini doğurduğu için dosyalarda ClamAV anti-virüs yazılımının 23/3/2012'de son güncellenen virüs veritabanı ile kapsamlı virüs taraması yapılmıştır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 10 (Toplam sayfa: 38)

11 Tarama sonucunda taranan dosyanın 276 tanesinde çeşitli virüslere rastlanmıştır: Dosya Bulunan Virüs autorun.inf AB }/RP247/A inf AB }/RP247/A inf AB }/RP248/A inf AB }/RP248/A inf AB }/RP249/A inf AB }/RP249/A inf AB }/RP250/A inf AB }/RP250/A inf AB }/RP251/A inf AB }/RP274/A inf AB }/RP275/A inf AB }/RP276/A inf AB }/RP277/A inf AB }/RP277/A inf AB }/RP278/A inf AB }/RP278/A inf AB }/RP279/A inf AB }/RP279/A inf AB }/RP280/A inf AB }/RP280/A inf AB }/RP280/A inf Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 11 (Toplam sayfa: 38)

12 AB }/RP281/A inf AB }/RP281/A inf AB }/RP281/A inf AB }/RP281/A inf AB }/RP282/A inf AB }/RP282/A inf AB }/RP283/A inf AB }/RP283/A inf AB }/RP283/A inf AB }/RP284/A inf AB }/RP284/A inf AB }/RP285/A inf AB }/RP285/A inf AB }/RP286/A inf AB }/RP286/A inf AB }/RP287/A inf AB }/RP287/A inf AB }/RP288/A inf AB }/RP288/A inf AB }/RP289/A inf AB }/RP289/A inf AB }/RP290/A inf AB }/RP290/A inf AB }/RP291/A inf Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 12 (Toplam sayfa: 38)

13 AB }/RP291/A inf AB }/RP292/A inf AB }/RP293/A inf AB }/RP293/A inf AB }/RP294/A inf AB }/RP295/A inf AB }/RP295/A inf AB }/RP296/A inf AB }/RP296/A inf AB }/RP297/A inf AB }/RP297/A inf AB }/RP298/A inf AB }/RP299/A inf AB }/RP299/A inf AB }/RP300/A inf AB }/RP301/A inf AB }/RP302/A inf AB }/RP303/A inf AB }/RP303/A inf AB }/RP303/A inf AB }/RP253/A inf AB }/RP253/A inf AB }/RP254/A inf Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 13 (Toplam sayfa: 38)

14 AB }/RP254/A inf AB }/RP255/A inf AB }/RP255/A inf AB }/RP256/A inf AB }/RP256/A inf AB }/RP257/A inf AB }/RP257/A inf AB }/RP258/A inf AB }/RP258/A inf AB }/RP259/A inf AB }/RP259/A inf AB }/RP260/A inf AB }/RP261/A inf AB }/RP261/A inf AB }/RP262/A inf AB }/RP262/A inf AB }/RP263/A inf AB }/RP264/A inf AB }/RP265/A inf AB }/RP265/A inf AB }/RP266/A inf AB }/RP267/A inf AB }/RP267/A inf AB }/RP267/A inf Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 14 (Toplam sayfa: 38)

15 AB }/RP268/A inf AB }/RP268/A inf AB }/RP269/A inf AB }/RP269/A inf AB }/RP270/A inf AB }/RP270/A inf AB }/RP271/A inf AB }/RP271/A inf AB }/RP272/A inf AB }/RP272/A inf AB }/RP252/A inf AB }/RP252/A inf AB }/RP273/A inf AB }/RP273/A inf AB }/RP247/A dll AB }/RP248/A dll AB }/RP249/A dll AB }/RP250/A dll AB }/RP277/A dll AB }/RP278/A dll AB }/RP279/A dll AB }/RP280/A dll AB }/RP280/A dll Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 15 (Toplam sayfa: 38)

16 AB }/RP281/A dll AB }/RP281/A dll AB }/RP281/A dll AB }/RP282/A dll AB }/RP283/A dll AB }/RP283/A dll AB }/RP284/A dll AB }/RP285/A dll AB }/RP286/A dll AB }/RP287/A dll AB }/RP288/A dll AB }/RP289/A dll AB }/RP290/A dll AB }/RP291/A dll AB }/RP293/A dll AB }/RP295/A dll AB }/RP295/A dll AB }/RP296/A dll AB }/RP297/A dll AB }/RP298/A dll AB }/RP299/A dll AB }/RP303/A dll AB }/RP303/A dll AB }/RP303/A dll Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 16 (Toplam sayfa: 38)

17 AB }/RP253/A dll AB }/RP254/A dll AB }/RP255/A dll AB }/RP256/A dll AB }/RP257/A dll AB }/RP258/A dll AB }/RP258/A dll AB }/RP259/A dll AB }/RP261/A dll AB }/RP262/A dll AB }/RP264/A dll AB }/RP265/A dll AB }/RP265/A dll AB }/RP267/A dll AB }/RP267/A dll AB }/RP267/A dll AB }/RP268/A dll AB }/RP269/A dll AB }/RP270/A dll AB }/RP271/A dll AB }/RP272/A dll AB }/RP252/A dll AB }/RP273/A dll WINDOWS/system32/amvo0.dll Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 17 (Toplam sayfa: 38)

18 r6r.exe AB }/RP247/A exe AB }/RP247/A exe AB }/RP248/A exe AB }/RP248/A exe AB }/RP249/A exe AB }/RP249/A exe AB }/RP250/A exe AB }/RP250/A exe AB }/RP251/A exe AB }/RP274/A exe AB }/RP275/A exe AB }/RP276/A exe AB }/RP277/A exe AB }/RP277/A exe AB }/RP278/A exe AB }/RP278/A exe AB }/RP279/A exe AB }/RP279/A exe AB }/RP280/A exe AB }/RP280/A exe AB }/RP280/A exe AB }/RP281/A exe AB }/RP281/A exe Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 18 (Toplam sayfa: 38)

19 AB }/RP281/A exe AB }/RP281/A exe AB }/RP282/A exe AB }/RP282/A exe AB }/RP283/A exe AB }/RP283/A exe AB }/RP283/A exe AB }/RP284/A exe AB }/RP284/A exe AB }/RP285/A exe AB }/RP285/A exe AB }/RP286/A exe AB }/RP286/A exe AB }/RP287/A exe AB }/RP287/A exe AB }/RP288/A exe AB }/RP288/A exe AB }/RP289/A exe AB }/RP289/A exe AB }/RP290/A exe AB }/RP290/A exe AB }/RP291/A exe AB }/RP291/A exe Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 19 (Toplam sayfa: 38)

20 AB }/RP292/A exe AB }/RP293/A exe AB }/RP293/A exe AB }/RP294/A exe AB }/RP295/A exe AB }/RP295/A exe AB }/RP296/A exe AB }/RP296/A exe AB }/RP297/A exe AB }/RP297/A exe AB }/RP298/A exe AB }/RP299/A exe AB }/RP299/A exe AB }/RP300/A exe AB }/RP301/A exe AB }/RP302/A exe AB }/RP303/A exe AB }/RP303/A exe AB }/RP303/A exe AB }/RP253/A exe AB }/RP253/A exe AB }/RP254/A exe AB }/RP254/A exe AB }/RP255/A exe Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 20 (Toplam sayfa: 38)

21 AB }/RP255/A exe AB }/RP256/A exe AB }/RP256/A exe AB }/RP257/A exe AB }/RP257/A exe AB }/RP258/A exe AB }/RP258/A exe AB }/RP258/A exe AB }/RP259/A exe AB }/RP259/A exe AB }/RP260/A exe AB }/RP261/A exe AB }/RP261/A exe AB }/RP262/A exe AB }/RP262/A exe AB }/RP263/A exe AB }/RP264/A exe AB }/RP265/A exe AB }/RP265/A exe AB }/RP266/A exe AB }/RP267/A exe AB }/RP267/A exe AB }/RP267/A exe Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 21 (Toplam sayfa: 38)

22 AB }/RP268/A exe AB }/RP268/A exe AB }/RP269/A exe AB }/RP269/A exe AB }/RP270/A exe AB }/RP270/A exe AB }/RP271/A exe AB }/RP271/A exe AB }/RP272/A exe AB }/RP272/A exe AB }/RP252/A exe AB }/RP252/A exe AB }/RP273/A exe AB }/RP273/A exe WINDOWS/system32/amvo.exe Documents and Settings/ikk/Local Settings/Temp/2.dll Trojan.Spy WINDOWS/EXPL0RER.exe Worm.Autorun-853 WINDOWS/iexplore.exe Worm.Autorun-853 Bu dosyalardan System Volume Information klasörünün alt klasörleri olan _restore ile başlayan klasörlerde başlayan girdiler diğer girdilerin Windows XP'nin otomatik sistem kurtarma özelliğince yedeği alınmış halleridir. Bulaşma olan dosyaların bu klasörde defalarca yedeklenmiş olması bulaşan virüslerin anti-virüs programını da etkileyerek kendilerini bulamaması için etkisiz haline getirmiş olduğuna işaret etmektedir. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 22 (Toplam sayfa: 38)

23 Esas bulaşma olan dosyalar: Dosya Virüs autorun.inf r6r.exe WINDOWS/system32/amvo0.dll WINDOWS/system32/amvo.exe Documents and Settings/ikk/Local Settings/Temp/2.dll Trojan.Spy WINDOWS/EXPL0RER.exe Worm.Autorun-853 WINDOWS/iexplore.exe Worm.Autorun-853 Bu dosyaların Linux stat komutuyla tarih bilgileri alınmıştır: File: `r6r.exe' Access: :09: Modify: :54: Change: :00: File: `autorun.inf' Access: :09: Modify: :09: Change: :09: File: `WINDOWS/system32/amvo0.dll' Access: :04: Modify: :04: Change: :04: File: `WINDOWS/system32/amvo.exe' Access: :03: Modify: :54: Change: :20: File: `Documents and Settings/ikk/Local Settings/Temp/2.dll' Access: :07: Modify: :07: Change: :07: File: `WINDOWS/EXPL0RER.exe' Access: :48: Modify: :53: Change: :08: File: `WINDOWS/iexplore.exe' Access: :03: Modify: :52: Change: :08: Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 23 (Toplam sayfa: 38)

24 Bu bulgulara göre: 1. Sisteme ilk bulaşma 11/5/ :54:36 tarihinde r6r.exe ile olmuştur. İlk bulaşan virüs Truva Atı dır. Sistem kayıt defterine göre r6r.exe program dosyası sisteme bir CD takılarak çalışmıştır. 2. WINDOWS/system32/amvo.exe ile ilk bulaşan r6r.exe aynı Truva Atı dır. 3. Bu ilk bulaşmanın diğer bulaşmalara yardımcı olduğu, diğer virüslerin sisteme bulaşmasını sağladığı düşünülmektedir. 4. Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde rdr.exe'ye referanslara rastlanmıştır: Bu kayıtlara göre her dosya açıldığında ve her klasöre girildiğinde rdr.exe otomatik olarak çalışmaktadır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 24 (Toplam sayfa: 38)

25 5. Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde amvo.exe'ye referanslara rastlanmıştır: Bu kayıtlara göre amvo.exe her kullanıcı girişinde otomatik olarak çalışmaktadır 6. WINDOWS/EXPL0RER.exe ve WINDOWS/iexplore.exe aynı solucan olan Worm.Autorun- 853'ü içermektedir. Her iki dosya da 28/12/2007 tarihinde oluşturulmuş virüslerdir. Bu iki dosyadan WINDOWS/EXPL0RER.exe diğerinin solucan tarafından otomatik olarak alınan yedeğidir. EXPL0RER kelimesinde O harfi 0 rakamıdır. Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde WINDOWS/iexplore.exe'ye referanslara rastlanmıştır: Bu kayda göre bu dosya daha önce sadece sisteme kendiliğinden bulaşmamış, sistemde çalıştırılmıştır. Defalarca otomatik olarak çalıştırıldıkları tespit edilen bu virüsler sistemin kapanış tarihine kadar etkin olarak çalışmışlardır. 7. Bulaşma olan bütün dosyalara devamlı erişim yapılmış, virüs taşıyan program dosyaları 11/05/2008'den sistemin son kullanıldığı tarih olan 28/7/2009'a kadar sürekli çalışmışlardır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 25 (Toplam sayfa: 38)

26 8. Disk üzerinde yapılan inceleme de bunu doğrulamakta, r6r.exe ve autorun.inf dosyaları sürekli bulaşmakta, sürekli silinip sürekli kendilerini yeniden diske yazmaktadırlar. Bulunan bu virüslerin sistem üzerinde yapabilecekleri işlemler ve davranışları şunlardır: 1. r6r.exe ve amvo.exe: PrevX şirketi tarafından işletilen Webroot güvenlik web sitesine göre: [2][3] Gizlenmiş kötü amaçlı yazılımdır. Sisteme zarar veren yazılımdır. Bir yazılım paketleme işlemi ile sistem üzerinde çalışan süreçleri şifrelidir. Makine üzerinde yeni bir arka plan servisi oluşturabilir. Sistem üzerinde çalışan süreçleri şekil değiştirebilir. Sistem üzerinde çalışan süreçleri diskte süreçler oluşturabilir. Sisteme yazılım sürücüleri yükler ve çalıştırır. Çalışan diğer süreçleri diskten siler. Dosya kopyalar. Sisteme bir DLL dosyası kaydeder. Başka süreç çalıştırır. Diğer süreçlere kodunu yerleştirir. Sistemde yeni klasörler oluşturur. Güvenlik ürünleriyle tespite direnir. Açılışta çalışmak üzere sistem kayıt defterine eklenir. Bellek alanı diğer programlar tarafindan erişilebilir ve değiştirilebilir. Sistemde birden fazla depolama birimine kopyalanır. r6r.exe ThreatExpert.com'a göre yüksek önemlilikte tehdit tir. [4] amvo.exe ThreatExpert.com'a göre düşük önemlilikte tehdit tir. [5] Her iki dosya da McAfee tarafindan PWS-Gamania.gen.a olarak isimlendirilen Truva Atı'dır ve davranışları şöyle sıralanır [6] : Bazı online oyunlara odaklı parola ve kullanıcı bilgileri çalmaya odaklanan Truva Atı'dır. Bu parola çalmaya odaklı programın karakteristikleri, hangi parolaları çalacağı, hangi sitelere erişim kuracağı bu programı bulaştıran saldırganın programı nasıl yapılandırdığına bağlıdır. Bu program kendisini bir autorun.inf dosyasıyla birlikte taşınabilir disk ya da CD gibi depolama birimleriyle kendisini kopyalayarak çoğaltabilir. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 26 (Toplam sayfa: 38)

27 Bulaşma programın elle çalıştırılması veya autorun.inf dosyasını içeren klasöre girildiğinde otomatik olarak başlar. Bu program elle de yayılabilir. Yararlı bir program olduğu sanılıp e-posta ve diğer ağ bağlantıları ile de dağıtılabilir. Sistem diskinde autorun.inf ana dizinde yer aldığından ilk bulaşma buraya autorun.inf'in kopyalanmasıyla olduğu anlaşılmaktadır. 2. expl0rer.exe PrevX şirketi tarafından işletilen Webroot güvenlik web sitesine göre: [7] Saklanmış kötü amaçlı yazılımdır. Sisteme zarar veren yazılımdır. Bir yazılım paketleme işlemi ile sistem üzerinde çalışan süreçleri şifrelidir. Başka program süreçleri çalıştırabilir. Sisteme bir DLL dosyası kaydeder. Sistem üzerinde çalışan süreçleri diskte diğer süreçler oluşturabilir. Çalışan diğer süreçleri diskten siler. Sistemde klasörler oluşturur. Güvenli kiple açılışı engeller. Diğer süreçlere kodunu yerleştirir. Sistem politikalarını değiştirip sistem kullanımını limitleyebilir. Programları sistem açışında çalışmak üzere kayıt defterine yazar. Başka bir sürecin bellek alanına yazabilir. WININET.DLL işlevlerini dinleyerek http ve https web sayfası içeriklerini ve oturum bilgilerini kıopyalar veya okur. Windows Dosya Koruma sistemini devre dışı bırakır. Güvenlik ürünleriyle tespite direnir. Windows Güvenlik Merkezi uyarılarını devre dışı bırakır. Görev yöneticisi uygulamasının çalışmasını engeller. Windows Kayıt Defteri uygulamasına erişimi engeller. Windows Güvenlik Politikalarını değiştirerek makinede yapılabilecek işlemlerin ve çalıştırılabilecek programlar izinlerini kısıtlar veya kısıtlamaları kaldırır. Güvenlik duvarı ayaralarını değiştirerek kendisinin ve diğer programların internet erişimini sağlar. Kayıt defterine programlar ekler. Geçici klasörlerde depolanan program süreçlerini çalıştırır. İnternet üzerindeki diğer makinelerle iletişim kurar. Başlat menüsüne link yazar. E-posta adreslerini ve adres defteri kayıtlarını okur. Javascript kodu çalıştırır. Kullanıcı farketmeksizin web sitelerini ziyaret eder. Çeşitli sistem mesajları gösterir. Kullanıcı girişinde çalışacak programları ayarlar. Autexec.bat dosyasının içeriğini görüntüler. Birçok güvenlik uygulamalarına arka kapılar açar. Çıkarılabilir disklere autorun.inf dosyaları kopyalayıp kendisini otomatik olarak bulaştırır. Dosya oluşturma özellikleriyle güvenlik yazılımlarını test eder. Sohbet odalarına bağlantıo kurar. BOTNET BOT yazılımlarına benzer işlevler taşır. Internet Explorer tarafindan çalıştırılabilir. Diğer kötü amaçlı yazılımlar tarafindan kod yerleştirilebilir. Bir arka plan hizmeti olarak çalışabilir. expl0rer.exe ThreatExpert.com'a göre yüksek önemlilikte tehdit tir. [8] expl0rer.exe McAfee tarafindan BackDoor-CMI olarak isimlendirilen Truva Atı'dır ve davranışları Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 27 (Toplam sayfa: 38)

28 şöyle sıralanır [9] : Bu Truva Atı, diğerleri gibi, otomatik olarak bulaşmaz. Sistem ya da güvenlik istismarı ile ve içeriğini bilmeyen kullanıcıların çalıştırması ile bulaşır.yararlı bir program olduğu sanılıp e-posta ve diğer ağ bağlantıları ile de dağıtılabilir. Backdoor-CMI uzaktan erişim sağlayan bir Truva Atı'dır. Bir sunucu bileşeni, uzaktan erişim istemcisi bileşeni ve sunucu düzenleme bileşeninden oluşur. Bu Truva Atı'nın dosya adı ve kullandığı port numaraları gibi detaylar saldırganın programı nasıl yapılandırdığına bağlıdır. Sunucu bileşeni çalıştırıldığında Truva Atı kendisini sistem klasörüne kopyalar. Dosyanın sistem ve gizli özellikleri etkinleştirilerek saklanmaya çalışır. Sunucu bileşeni çalıştırıldığında daha önce ayarlanan TCP portunu açarak saldırganın istemci bileşenini kullanarak bağlantı kurması için bekler. Bu port numarasının çoğunlukla 8000 olarak ayarlandığı bilinmektedir. Birden fazla yönetemle çalışmakta olduğunu saldırgana bildirir. Bu bildiride sistemin IP adresi, dinlenilen port numarası, sunucu parolası, kullanıcı adı, girilecek makine adı ve tarih bilgileri gönderilebilir. Bu bildiriyi alan saldırgan istemci yazılımını çalıştırarak makineye bağlantı kurar. Saldırganın bu istemciyle yapabileceği işlemler şunlardır: Çalışan programları listeleme, sonlandırma. Dosya yönetimi ile dosya, klasör yaratma, yükleme, indirme silme. Kayıt defterine tam erişim. Pencerelere müdahale etme. Sistem hakkında bilgi alma. Makine parolalarını bulma. Klavyede basılan tuşları kaydetme. Kopyalanan metinleri panodan okuma ve değiştirme. Sistemin ekran görüntüsünü kaydetme. Kullancıyı şaşırtabilecek işlemler yapma (masaüstü simgelerini gizleme, görev çubuğunu gizleme, CD-ROM tepsisini açma ve kapama gibi) Oturumu kapatma, makineyi kapatma veya yeniden başlatma. FTP ve telnet sunucusu olarak bağlanma. Dosya sistemlerini formatlama. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 28 (Toplam sayfa: 38)

29 Sunucu düzenleme bileşeni, bulaştırılacak sunucu bileşenini oluşturmak için kullanılır. Sunucu bileşeni Pif, Exe, Bat, Com ve Scr uzantılarıyla oluşturulabiir. Sunucu bileşeninin simgesi kullanılmakta olan, bilinen bir programın simgesi olarak ayarlanabilir. Sunucu bileşeni başka bir programın içine yerleştirilebilir. FTP, e-posta, MSN gibi bildirim yöntemleri için ayarlanabilir. Bağlantı kurulacak port numarası ayarlanabilir. expl0rer.exe Microsoft tarafindan da Worm:Win32/Ahkarun.A olarak isimlendirilmektedir. [10] expl0rer.exe dosyasıyla bulaştığı tespit edilen Truva Atı'nın varyant olarak tabir edilen ve sayılan özelliklerden başka özelliklere sahip olan hallerinin de olduğu yapılan araştırma ile bulunmuştur. Bu Truva Atı'nın olası bir varyantı McAfee tarafından Generic.Downloader olarak tanınmaktadır. [11] Bu varyant sayılan özelliklerine ek olarak belirli bir kaynaktan otomatik olarak dosya indirmesiyle tanınmaktadır. Bu bulgulara ve virüslerin davranışları hakkında yapılan incelemeye göre; söz konusu sistemin 11/5/2008 olarak tespit edilen ilk bulaşma tarihinden son kullanıldığı tarih olan 28/7/2009'a kadar, yaklaşık 15 ay boyunca, tespit edilemeyen, büyük olasılıkla dışarıdaki herhangi bir sistemden idare edildiği, sistemin kullanıcı adı, parola ve kullanıcının klavyeden girdiği bilgilerin dışarı aktarıldığı, dışarıdaki bu sistemden kötü amaçlı yazılımlarla dosya indirildiği olasılıkları tespit edilmiştir. Sistemin hizmet verdiği kurumun güvenlik duvarı ile korunduğu varsayıldığında, bu virüsün dışarıya ulaşabilmesini sağlayan yöntem olan güvenlik duvarı delme (İng. firewall piercing) tekniğini kullandığı ve ters saldırı (İng. inside-out attack) ile sistem üzerindeki etkisini kazandığı düşünülmektedir.[12][13] Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 29 (Toplam sayfa: 38)

30 Bu teknik şu şekilde açıklanabilir: Bir güvenlik duvarı dışarıdan (internetten) gelen saldırılara karşı iç kullanım sistemlerini korur. Bir güvenlik duvarı genellikle kendisini iç kullancılardan korumaz. Kullanıcının internet üzerinde kurduğu bir bağlantının zararsız ve güvenilir bir hizmete yapıldığı varsayılır. Örneğin TCP bağlantı noktası 53 üzerinden DNS sunucusuna bağlantı, 80 üzerinden bir web sitesine bağlantı ya da rastgele açılmış olan dışarı giden başka bir bağlantı noktasından bir bağlantı kurulduğu gözlemlenir. İşletim sistemleri bu bağlantıların kullanımını bağlantı bitişinden sonra hemen kapatmazlar. Bu sırada açık kalan bağlantıyı sistem üzerinde çalışmakta olan herhangi bir süreç kullanmak isteyebilir. Bu isteği, işletim sistemi değerlendirerek sürece devredebilir. Bu noktadan sonra bu süreç dışarı yapılan bağlantıyı devralarak ters çevirir ve içeri gelen bağlantı halinde kullanmaya devam edebilir. Bağlantıyı devralan süreç kötü amaçlı bir yazılımsa sistem artık dışarıdan veri alıp veren bir sistem haline gelmiş olur. Bu yapılan bağlantıların paket boyutlarının değişken oldukları ve genellikle oıluşturdukları paketlerin oluşturulma tarih damgalarının bozuk oldukları karşılaşılan bir durumdur. Bunun sebebi, kötü amaçlı yazılımların sistemin başarımını etkilememek için bazı sistem işlevlerini tam olarak kullanmamalarıdır. Değişken paket boyutları paket parçalanmasına (İng. fragmentation) sebep olabilir.[14] Paket parçalanması bu bağlantıyı dinleyen ve işleyen güvenlik yazılımları gibi süreçlerin kilitlenmesine ve hatta sistemdeki çalışmalarının sonlanmasına sebep olabilir. Bazı güvenlik duvarı cihazları bu durumun sağlıklı çalışmalarını etkilememesi için sadece ilk gelen paketleri inceleyip daha sonra gelen parçalanan paketlere hiçbir müdahelede bulunmadıkları gözlenmiştir.[15][16] Paketlerin tarih damgalarının yanlış olması da güvenlik duvarı ve güvenlik yazılımlarının aşılmasında kullanıldığı bilinen bir tekniktir.[17] Bu anlatılan teknikleri kullanan bir kötü amaçlı yazılımla ele geçirilen bir sistemde her türlü işlemin yapılması çok kolaydır. Böyle bir sistemde kararlı veri tutulması mümkün olmamakla birlikte, istenilen kullanıcı ya da kullanıcı gruplarının sistem üzerinde oluşturulması, sistem parola ve kulllanıcılarının değiştirlmesi, başka yazılımların kurulması, her tür dosya işlemi yapılması ve dosya tarihlerinin değiştirilmesi yüksek olasılıktadır. Tespit edilen kötü amaçlı yazılımın bu özellikleri dolayısıyla sistem ve veri disklerindeki her tür veri ve dosyanın geçerliliğinin olmadığı söylenebilir Bölümün İncelenmesi Diskin 2. bölümünün incelenmesinde 1. bölümdekiyle aynı tarih özelliklerini ve aynı virüs özelliklerini taşıyan r6r.exe ve autorun.inf dosyalarına rastlanmıştır. Ayrıca disk üzerindeki incelemede bu bölümün \\IKK\DATA (D) yol adıyla ağda paylaşılmış olduğu görülmüştür. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 30 (Toplam sayfa: 38)

31 4. Dosya İncelemesi Bölümdeki Dosyaların İncelenmesi 1. bölümdeki dosyalarda göze çarpan tutarsızlıklara rastlanmamıştır. İstenildiği takdirde ayrıntılı çalışma sunulabilir Bölümdeki Dosyaların İncelenmesi Word Dosyaları Bu bölüm üzerinde yapılan incelemede 1258 adet Word dosyası bulunmuştur. Bunlardan 1220 tanesi Word Document 8 ile bitmektedir. Word dosyalarının 811 tanesinde durağan alanda Word 9 ibaresi bulunmuştur Word dosyalarının 288 dosyada durağan alanda Word 10 ibaresi bulunmuştur. Bu Woırd dosyalarının 8 tanesinin aslında RTF dosyaları oldukları tespit edilmiştir. Bu Word dosyalarının 41 tanesinde XML ibaresi bulunmuştur. Disk imajı üzerinde yapılan incelemede Calibri yazıtipine referans gösteren 3 adet dosya tespit edilmiştir. Calibri yazıtipi, Microsoft Office 2007 ile varsayılan yazıtipi haline gelmiş ve 2005 yılında ilk kez kullanıma sürülmüştür. Aşağıdaki listede dosya tarihi-yazıtipi sürüm tarihi çelişkisi içeren dosyalar listelenmiştir. 1. İKK/2004/YEDEK/Çalışma/BILGI NOTU/BİLGİ NOTU.doc Erişim: :35: Son değişiklik: :55: Oluşturulma: :35: İKK/2004/YEDEK/Çalışma/BILGI NOTU/EK-A.doc Erişim: :35: Son değişiklik: :53: Oluşturulma: :35: İKK/2004/YEDEK/Çalışma/BILGI NOTU/EK-B.doc Erişim: :35: Son değişiklik: :47: Oluşturulma: :35: Power Point Dosyaları Bu partisyon üzerinde yapılan incelemede 92 adet Power Point dosyası bulunmuştur. 33 adet Power Point dosyasında XML girdisine referans belirlenmiştir: 1. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/2.ppt 2. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/4.ppt 3. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-mit.ppt 4. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-TIB.ppt 5. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/internet-izleme-sistemi-sunu.ppt 6. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/2105.ppt 7. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/6.ppt Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 31 (Toplam sayfa: 38)

32 8. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/ky.ppt 9. İKK/2004/YEDEK/Gelenler/sonuçlar.ppt 10. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/16. slayt%20 Belediye desteği.ppt 11. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/Brifingi 18 nisan.ppt 12. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/İRTİCAİ UNSURLARIN TASNİFİ.ppt 13. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/HARİTA (Point Sunusu).ppt 14. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/Kocaeli haritası eski ve yeni%20 ilçeler.ppt 15. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/Kocaeli Jandarma ve polis sorumluluk sahaları (yeni taslak).ppt 16. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/156/İSTH. BRİFİNGİ.ppt 17. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Düzenlenmiş Ekler/EK- C.ppt 18. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Düzenlenmiş Ekler/EK- İ.ppt 19. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Marmara Bölge ve İst. Haritası.ppt 20. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/kh.etüd.takdi/tez.Brf ppt 21. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/28 EkimTAKDİM METNİ VE YANSILARI/28 EkimTAKDİM YANSILARI ppt 22. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/karargah ETÜDÜ/Ekler/EK-Ç.ppt 23. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/karargah ETÜDÜ/Ekler/EK--K.ppt 24. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/200809_DEMOGRAFİK YAPI HASSAS BÖLGE.ppt 25. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ ppt [Kurtarılan].ppt 26. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ TASLAK.ppt 27. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt 28. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_MASABAŞI.ppt 29. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ ppt 30. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ K.ppt 31. İKK/Gizlilik disiplini ve Sır saklama ppt 32. İKK/İKK Güv filo dersi ppt.ppt 33. İKK/menzil.ppt 23 dosyada OOXML dosya tipinden iz kaldığı tahmin edilen XML girdileri tespit edilmiştir: 1. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-mit.ppt 6 yerde 2. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-TIB.ppt 6 yerde 3. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/internet-izleme-sistemi-sunu.ppt 6 yerde 4. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/2105.ppt 185 yerde 5. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/ky.ppt 228 yerde Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 32 (Toplam sayfa: 38)

33 6. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/6.ppt 2 yerde 7. İKK/İKK Güv filo dersi ppt.ppt 6 yerde 8. İKK/menzil.ppt 3 yerde 9. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt 8 yerde 10. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ ppt 7 yerde XML 11. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_MASABAŞI.ppt 6 yerde 12. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt 9 yerde 13. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ TASLAK.ppt 6 yerde 14. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ ppt [Kurtarılan].ppt 6 yerde 15. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/200809_DEMOGRAFİK YAPI HASSAS BÖLGE.ppt 16 yerde 16. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI, Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/28 EkimTAKDİM METNİ VE YANSILARI/28 EkimTAKDİM YANSILARI ppt 21 yerde 17. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/156/İSTH. BRİFİNGİ.ppt 21 yerde 18. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/Kocaeli Jandarma ve polis sorumluluk sahaları (yeni taslak).ppt 5 yerde 19. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/Kocaeli haritası eski ve yeni ilçeler.ppt 4 yerde 20. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER) Bilgi Dosyası Jandarma-Polis sahaları/diğer BİLGİLER DOSYASI/HARİTA/HARİTA (Point Sunusu).ppt 5 yerde 21. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/İRTİCAİ UNSURLARIN TASNİFİ.ppt 3 yerde 22. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/Brifingi 18 nisan.ppt 3 yerde 23. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/16. slayt Belediye desteği.ppt 8 yerde XML ibaresi yer almaktadır. 2 dosyada durağan alanda OOXML'e özgü değişikliğe uğramadan tamamen aynen kalan izler tespit edilmiştir. Ancak bu dosyaların OOXML dosya özelliklerini kaybettikleri ve Office 2007'den daha eski bir sürümle kaydedildikleri tespit edilmiştir. 1. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/2105.ppt Erişim: :18: Değişiklik: :06: Oluşturulma: :18: GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/ky.ppt Erişim: :18: Değişiklik: :03: Oluşturulma: :18: Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 33 (Toplam sayfa: 38)

34 4.3- Dosya Sistemindeki Tarih Tutarsızlıkları NTFS bilgilerine göre değişiklik tarihi diskin üretim tarihi olan Ekim 2003'ten eski, oluşturulma ve son değişiklik tarihi olan masaüstü/yasemin.ppt adlı 1 adet dosya kaydı tespit edilmiştir. R-Studio ekran görüntüsü aşağıda sunulmuştur. Ancak Linux bash komutu stat ile dosya bilgisi alındığında aşağıdaki bilgi dökümü alınmıştır. Buna göre: Erişim: :39: Değişiklik: :00: Oluşturulma: :39: Dosya iç bilgisine göre: Oluşturulma: , 14:27:34, ikk Değişiklik: , 10:00:26, ikk Bu durum NTFS dosya sisteminde tarih değişikliği yapıldığına işaret etmektedir. Ayrıca bu dosyanın içerdiği resimlerdeki makbuz da 2008 tarihini göstermektedir. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 34 (Toplam sayfa: 38)

35 Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 35 (Toplam sayfa: 38)

36 Disk üzerinde yapılan incelemede sistem dosyaları dışında kalan en eski dosya kayıtlarının 2004 yılına ait olduğu görülmüştür. Fakat oluşturulma tarihi 2004, 2005 ve 2007 yılına ait 163 dosyanın değişiklik tarihi kaydın disk üzerinde oluşturulma tarihinden eskidir. Bu durum, bu dosyaların diskte oluşturulmadığı ve başka bir kaynaktan kopyalandıklarına işaret etmektedir. Yapılan inceleme sonucunda bu kopyalama işleminin yapıldığı görülmüştür. İnceleme sonucunda bu kopyalanan dosyalarının son değişiklik tarihlerinin 2004 ila 2009 yılları arasında olduğu, sistem tarih ve saati değiştirilmiş başka bir kaynaktan kopyalandığı anlaşılmıştır. Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 36 (Toplam sayfa: 38)