Adli Analiz İşlemlerine Başlamak



Benzer belgeler
Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

18/09/2013. Sayın Av. Kemal Yener SARAÇOĞLU,

AVUKATLAR İÇİN ADLİ BİLİŞİM EĞİTİMİ

TachoMobile Server Uygulaması Kullanım Kılavuzu

Linux altında komut satırında...

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

Kets DocPlace LOGO Entegrasyonu

Güncel Versiyon İle E-Defter Oluşturulması ve Gönderilmesi

Linux Kurulumu. Bilgisayar Mühendisliği. 11 Mayıs 2011

Fstab Rehberi. Ceren Çalıcı. Nisan, 2012

Clonezilla Server ile Ağ Üzerinden Çoklu İmaj Yükleme

NTEMLERİ, LLERİN N TOPLANMASI ve SUÇLULARIN TESPİTİ

EK 1 Sayısal Verilerin Özel İncelemesi - Dosya İncelemesi

Temel Linux Eğitimi 1., 2. ve 3. Bölümler

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

30 Mayıs ETASQLMNG Programına giriş

qmail ile üniversite mail sistemi yönetimi Devrim Sipahi Dokuz Eylül Üniversitesi

Bay.t Destek. İnternetten Uzak Erişim. Kullanım Klavuzu

Windows 2000 veya XP kurarken dosya sistemini seçmeniz gerekir. Ya FAT32 dosya sistemini kullanırsınız ya da NTFS.

ENF 100 Temel Bilgi Teknolojileri Kullanımı Ders Notları 5. Hafta. Öğr. Gör. Dr. Barış Doğru

Kurtarma Ortamını Oluşturma

Internet Programming II. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı

İçindekiler Hitit Sayım Cihazı Kurulum ve Kullanım Kılavuzu... 2 Sayım Cihazı Kurulum İşlemleri... 2 Hitit Kurulum işlemleri...

ÇOK ÖNEMLİ GÜVENLİK VE YEDEKLEME UYARISI

Linux ta komutlar hakkında yardım almak için aşağıdaki komutlar kullanılır : - man - info - whatis - apropos

Linux Ubuntu Kurulumu

LİNUX. Dosyalar ve dizinler

Donanım Bağımsız Kurtarma

BLGM 343 DENEY 8 * TCP İLE VERİ İLETİŞİMİ

Gidilen sayfadan bir önceki sayfaya geçilir. Şekil Git İşlemi diyalog kutusu

Komut Penceresi ile Çalışmaya Başlamak

BIND ile DNS Sunucu Kurulumu

R J F M Programlarında Kurulumda dikkat edilmesi gereken alanlar

NB Ekran Seri Port Üzerinden Veri Okuma/Yazma. Genel Bilgi Protokol Oluşturma Veri Okuma Veri Yazma

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

DESTEK DOKÜMANI. Ürün : Tiger Enterprise/ Tiger Plus/ Go Plus/Go Bölüm : Kurulum İşlemleri

AHTAPOT Firewall Builder Kurulumu

NOT: BU BELGEYİ OKUMADAN LÜTFEN YAZILIMI YÜKLEMEYE ÇALIŞMAYIN.

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

KATES Yazılım Güncelleme Dokümanı

Nmap Sonuçlarının Yorumlanması

Parametre stick yöneticisi ACS432. AGU2.56 parametre sticklerin programlanması için PC yazılımı. Kurlum ve çalıştırma talimatları

Aşağıda listelenen temel linux komutları bilgisayarınızın komut satırında çalıtırılacaktır.

Doküman Kontrol. İyi Dokümantasyonun Temelleri ve Doküman Kontrol Sistemleri

BÖLÜM 1 GİRİŞ 1.1 GİRİŞ

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

BU DERSİN SONUNDA BUNLARI ÖĞRENECEKSİNİZ;

V1000-CP1E MODBUS HABERLEŞMESİ

Git Sürüm Kontrol Sistemi

Trickbot Zararlı Yazılımı İnceleme Raporu

11.DERS Yazılım Testi

man komut man ls (ls komutu hakkında bilgi verir.) man pwd (pwd komutu hakkında bilgi verir.)

TABLO ve HÜCRE SEÇİMİ

Sun Solaris Jumpstart Sistemi

qmail ile üniversite mail sistemi yönetimi Devrim Sipahi Dokuz Eylül Üniversitesi

Doğru Adaptor soket kutuplaması.

Outlook ve benzeri programların Ayarları

Personel Programında Bordro Zarfı İçin Dizayn Desteği

Bilin tarafından verilen Kullanıcı Adı ve Şifresini bu alanlara giriniz. Bilin Yazılım ve Bilişim Danışmanlığı Ltd. Şti.

Linux Dosya ve Dizin Yapısı

PostgreSQL'de Uygulamalı. (Streaming Replication. Standby)

BQ352 Modbus Röle Cihazı 24 Kanal. Kullanım Kılavuzu. Doküman Versiyon: BQTEK

VISUAL BASIC DE İŞLETİM SİSTEMİ DENETİM KOMUTLARI VE FONKSİYONLARI

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Kabuk Programlama (Bash)

Hızlı Kurulum ve Yapılandırma Kılavuzu

Web Servis-Web Sitesi Bağlantısı

ÖĞRENME FAALİYETİ 1 ÖĞRENME FAALİYETİ 1

BQ Modbus Analog Giriş Kartı 6 Kanal 4 20mA. Kullanım Kılavuzu. Doküman Versiyon: BQTEK

Yedekleme ve Kurtarma

NFS (Network File System) & NIS (Network Information System) H. Coşkun Gündüz cgunduz@cs.bilgi.edu.tr

BEUN VPN Hizmeti. VPN Nedir?

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

SIMAN KULLANIM KILAVUZU

MİKROBİLGİSAYAR LABORATUVARI DENEY RAPORU

Regular Expressions Version 0.1

BLGM 344 DENEY 3 * AĞ PROGRAMLAMAYA GİRİŞ

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

Yedekleme ve Kurtarma Kullanıcı Kılavuzu

F159 Kalibrasyon Ayarlarının Yapılması. Neden Kalibrasyon Yapılmalı? Kalibrasyon Nasıl Yapılır?

İnternet. Küçük düzeyli ağ. Ağ üzerinden çok kullanıcılı kilit modeli. İnternet üzerinden çok kullanıcılı kilit modeli

3. DOSYA SİSTEMİ VE ÇALIŞMA MANTIĞI

MERSİN HALK EĞİTİMİ MERKEZİ VE AKŞAM SANAT OKULU MÜDÜRLÜĞÜ USTA ÖĞRETİCİ BAŞVURU KLAVUZU

Sabit ve Taşınabilir Diskler BÖLÜM-2 Pata Diskler İçin Master-Slave Ayarları Disk Biçimlendirme Harici Diskler Olası Sabit Disk Arızaları RAID

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Söz konusu hata, ayrıntısı incelenen İKK ve İKK/GENKURBSKTAKDİMİ dizinleriyle ilgili bulguda yapılmıştır.

Subversion Sürüm Kontrol Sistemi Kurulumu ve Apache Yapılandırması. Çağrı Emer

BackupAssist Kullanım Kılavuzu

2018 YENİ YIL İŞLEMLERİ

Bo lu m 7: Hesap Tabloları

Ekrana gelen diyalog penceresinden Typical radyo düğmesi seçilir ve Next düğmesine basılır.

Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir.

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

ETA:MOBİL KURULUM TALİMATI

18 Ekim Programlarımız ile Uyumlu Olan Yazar Kasa Modelleri. Profilo VX 680 E-1 Profilo YK-8200 Farex FR-8300 Telestar TLS-8100

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

AKINSOFT. Eofis NetworkAdmin. AKINSOFT EOfis NetworkAdmin Kurulumu Bilgi Notu. Doküman Versiyon : Tarih : Copyright 2008 AKINSOFT

EBA Dosya Uygulaması Kullanıcı Kılavuzu ( W eb)

Transkript:

Adli Analiz İşlemlerine Başlamak Bu belge Harun ŞEKER tarafından adli analiz işlemlerine hazırlık konusunda yazılmıştır. Yazarın ismine sadık kalınmak şartı ile izinsiz olarak kopyalanabilir veya yayımlanabilir ve belgenin güncel haline www.cehturkiye.com adresinden ulaşılabilir... Her hangi bir bilişim suçunun işlenmesinin ardından, şüpheli bilgisayar sistemlerindeki kanıtların toplanması için, bu sistemlerin diskleri üzerinde inceleme yapılır. Ancak bu inceleme sırasında elde edilen kanıtların geçerli olabilmesi için incelenen sabit diskin zarar görmemesi veya değişmemiş olması gerekmektedir. Bu nedenle ilk olarak kanıt diskin MD5 veya SHA1 gibi mesaj özeti (Message Digest) fonksiyonları ile bir özeti alınmalıdır. Bu özet analiz işlemi sırasında diskin değişip değişmediğini kanıtlayacak önemli bir veridir. Disk üzerinde bulunan kanıtların inceleme sırasında disk üzerine yazıldığı bu nedenle geçerli deliller olmadıkları iddia edilebilir. Bu nedenle daha analiz işlemi başlamadan uygun araçlarla kanıt diskin bir özetini almak bu tür iddiaları geçersiz kılacaktır. Çünkü kanıt disk üzerinde tek bir bit bile değişmiş olursa diskin yeni özeti analiz işleminden önceki özetinden farklı olacaktır. Bu nedenle analiz işleminden önce mutlaka kanıt diskin bir özeti alınmalı ve güvenli bir ortamda değiştirilemeyecek şekilde saklanmalıdır. Kanıt diskin MD5 veya SHA1 gibi fonksiyonlarla özetinin alınmasının ardından kanıt diskin bire bir kopyası çıkartılmalı ve kanıt diskin aynısı olan bu kopya üzerinde inceleme işlemi yapılmalıdır. Zira inceleme işlemi sırasında ters giden bir şeyler olursa, önemli kanıtların zayi olması veya geçersiz kabul edilmesi bu yöntemle engellenebilir. En kötü durumda bile orijinal kanıt disk korunuyor olduğundan tüm inceleme işlemi yeni bir kopya üzerinde en baştan yapılabilir. MD5 algoritmasında ortaya çıkan çakışmalar

nedeniyle MD5 yerine SHA1 algoritması tercih edilmelidir. SHA1 kullanarak kanıt diskin özetini (hash) almak için aşağıdaki gibi bir komut kullanılabilir. harun@mordor:~# sha1sum /dev/hda > sha.kanitdisk Bu komut diskin SHA1 özetini alacak ve sha.kanitdisk dosyası içerisine yazacaktır. Bundan sonra yapılan işlemler sırasında kanıt disk üzerinde değişiklik meydana gelip gelmediği veya analiz için kanıt diskten alınan kopyanın kanıt disk ile aynı olup olmadığı SHA1 çıktıları kontrol edilerek kolayca tespit edilebilecektir. Bu aşamadan sonra; kanıt disk sisteme bağlanmadan (mount edilmeden) ve aktif olarak kullanılabilir hale gelmeden kopyalanmalıdır. Sisteme kullanılabilir olarak bağlanan kanıt diske yanlışlık sonucu bir şeyler yazmak veya bir uygulamanın disk üzerinde işlem yapması çok önemli kanıtların yok olması anlamına gelebilir. Bu nedenle kanıt diski kopyalamak için bir Linux dağıtımı kullanılabilir. Linux dağıtımlarında standart olarak gelen dd komutu, kanıt disk üzerindeki boş alanda dâhil olmak üzere tüm veriyi bire bir başka bir diske yazabilir veya imaj olarak kayıt edebilir. Bu komut kanıt sabit disk üzerinde yer alan her bir bit i okuyacak ve boş olarak işaretlenmiş alanda kurtarılmayı bekleyen dosyalarda dahil olmak üzere her şeyi bir kopyalayacaktır. Kanıt disk bir başka diske kopyalanarak üzerinde analiz yapılabilir. Elimizdeki kanıt diskin, /dev/hda olarak görünen Primary Master olarak sisteme bağlı bir IDE disk olduğunu düşünelim ve bu diski aynı kapasitede bir başka IDE diske kopyalamak istediğimizi var sayalım. Bu aşamada ilk olarak hedef diskte daha önceden kalan verilerin temizlenmesi, hedef diskin sıfırlanarak kopyalama işlemi için hazırlanması gereklidir. Şimdi; hedef disk olarak /dev/hdc olarak görünen secondary slave olarak bağlı IDE disk kullandığımızı var sayalım. Aşağıdaki komutla hedef disk sıfırlar ile doldurulabilir ve daha önceden yer alan tüm veriler yok edilebilir. harun@mordor:~# dd if=/dev/zero of=/dev/hdc bs=4096

Bu işlemin ardından hedef disk, kanıt diskin kopyalanması için hazırdır. Sistemde /dev/hda olarak görünen kanıt diski, /dev/hdc olarak görünen hedef diske kopyalamak için aşağıdaki komut kullanılabilir. harun@mordor:~# dd if=/dev/hda of=/dev/hdc Bu komutun ardından kanıt disk bire bir hedef diske kopyalanmış olacaktır. Şimdi kanıt diskin bire bir kopyalanıp kopyalanmadığını anlamak için hedef diskin SHA1 özeti çıkartılarak, kanıt diskin SHA1 özeti ile karşılaştırılmalıdır. Bunun için aşağıdaki komut yeterli olacaktır. harun@mordor:~# sha1sum /dev/hdc > sha.hedefdisk SHA1 toplamlarının kanıt disk ve hedef disk için aynı olması gerekmektedir. SHA1 toplamları aynı ise her hangi bir sorun olmaksızın kanıt disk, hedef diske kopyalanmış demektir ve hedef disk üzerindeki kopyada inceleme yapılabilir. Bazı durumlarda kanıt diskin bir başka diske bire bir kopyalanması istenmeyebilir veya mümkün olmayabilir. Bu durumda kanıt diskin bir imajı her hangi bir saklama ortamına alınabilir. Bunun için yine dd komutu aşağıdaki gibi bir imaj dosyası kayıt edecek şekilde kullanılabilir. harun@mordor:~# dd if=/dev/hda of=/mnt/yedek/kanitdisk.img Yukarıdaki komut /dev/hda olarak bilinen kanıt diskin /mnt/yedek dizine bağlı olan harici bir saklama ortamına kanitdisk.img adı ile yazılmasını sağlayacaktır. İmaj oluşturma işlemi bittikten sonra yine sha1sum komutu ile SHA1 toplamı almak ve kanıt disk ile aynı olup olmadığı kontrol edilmelidir. harun@mordor:~# sha1sum /mnt/yedek/kanitdisk.img > sha.kanitdisk SHA1 toplamlarında bir farklılık yoksa imaj alma işlemi başarılı olmuş demektir. Bu aşamadan sonra saklama ortamındaki imaj dosyasının dosya izinlerini salt okunur olarak değiştirmek faydalı olacaktır. Linux ortamında chmod komutu ile dosya izinleri aşağıdaki gibi salt okunur olarak değiştirilebilir.

harun@mordor:~# chmod 400 kanitdisk.img Yukarıdaki komut dosyanın yalnızca sahibi tarafından okunabilmesini sağlayacak şekilde dosya izinlerini ayarlayacaktır. Kanıt diskin bir kopyasını almak için harici bir saklama ortamının kullanılamadığı ve şüpheli sistemin bir ağ ortamına dahil olduğu durumlar için kanıt diskin bir kopyası ağ üzerindeki bir başka bilgisayara alınabilir. Bunun için dd komutuna ek olarak Linux un efsanevi araçlarından netcat komutunu kullanabiliriz. Ağ üzerinden imaj alma işleminde, hedef bilgisayar netcat komutu ile seçtiğimiz bir TCP portunu dinleyecek ve kendisine gönderilen verileri bir dosyaya yazacaktır. Bunun için aşağıdaki gibi bir komutla hedef bilgisayar dinleme konumuna geçirilebilir. harun@gondor:~# nc -lvp 8080 dd of=/mnt/yedek/kanitdisk.img Yukarıdaki komut 8080 numaralı TCP portunu dinleyecek ve bu porta gelen verileri dd komutuna aktararak kanitdisk.img olarak kayıt edilmesini sağlayacaktır. Bu aşamadan sonra kanıt diskin bulunduğu bilgisayardan aşağıdaki komutla hedef bilgisayara kanıt diskin aktarılması sağlanabilir. harun@mordor:~# dd if=/dev/hda nc 192.168.0.26 8080 Yukarıdaki komut dd aracı ile kanıt disk olan /dev/hda diskini okuyacak ve hedef sistemin 192.168.0.26 şeklindeki IP adresine 8080 numaralı TCP portundan bağlı olan nc komutuna aktaracaktır. Ağ üzerinden imaj alma işlemi tamamlandıktan sonra hedef bilgisayarda alınmış olan imajın SHA1 toplamı kontrol edilmelidir. harun@gondor:~# sha1sum /mnt/yedek/kanitdisk.img > sha.kanitdisk Kanıt disk ve ağ üzerinden alınan imajın sha1 toplamlarının aynı olması gerekmektedir. Bir fark söz konusu ise bir şeyler yanlış gitmiş demektir. Yukarıda bahsedilen yöntemlerin her hangi birisi ile bir kanıt diskin bire bir kopyasını çıkardınız veya bire bir imajını aldığınızı düşünelim. Bu

aşamadan sonra yapmanız gereken diskin içerisinde işinize yarayabilecek olan bilgileri bulmak olacaktır. Ancak bu bilgileri sadece bulmanız yeterli olmayacaktır. Yine diskin kendisinde olduğu gibi her bir dosyanın değişmediğini kanıtlamak için MD5 veya SHA1 ile özetini çıkartmanız gerekmektedir. Biz bir imaj dosyası üzerinde çalıştığımızı var sayarak devam edelim. İlk olarak imaj dosyasını inceleyebilmek için sisteme bağlamak (mount) etmek zorundayız. Bunu aşağıdaki gibi bir komutla yapabiliriz. harun@gondor:~# mount -t vfat -o ro,noexec,loop kanitdisk.img /mnt/kanit Yukarıdaki komut vfat dosya sistemine sahip olan kanıt disk imajımızı /mnt/kanit dizini içerisine bağlayacaktır. Bundan sonra /mnt/kanit dizini içerisine girilerek var olan tüm dosyaların özeti çıkartılmalıdır. harun@gondor:~# cd /mnt/kanit harun@gondor:~# find. -type f -exec sha1sum {} \; > ~/harun/sha.dosyalar Yukarıdaki komutlar sırası ile kanıt disk imajının bağlandığı klasöre geçmemizi ve bu disk içerisinde yet alan tüm dosyaları bularak SHA1 toplamlarını hesaplayarak, /home/harun kullanıcısının ev dizinine sha.dosyalar adında bir dosya olarak kayıt etmesini sağlayacaktır. Bu aşamadan sonra kanıt disk imajı üzerindeki dosyalar delil toplamak amacı ile araştırılabilir ve incelenebilir. Böylece kanıt disk üzerinde yer alan delillere zarar vermeksizin dosya kurtarma işlemleri ve analiz yapılarak kanıtlar toplanabilir.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim