ADLİ BİLİŞİM İNCELEMELERİNDE RAM BELLEKLERİN ÖNEMİ VE İNCELEME TEKNİKLERİ



Benzer belgeler
BİLGİSAYAR KULLANMA KURSU

Doğu Akdeniz Üniversitesi Bilgisayar ve Teknoloji Yüksek Okulu Bilgi teknolojileri ve Programcılığı Bölümü DERS 1 - BİLGİSAYAR VE ÇEVRE ÜNİTELERİ

Bilişim Teknolojilerine Giriş

BELLEKLER. Kelime anlamı olarak RAM Random Access Memory yani Rastgele Erişilebilir Bellek cümlesinin kısaltılması ile oluşmuş bir tanımdır.

İşletim Sistemi. BTEP205 - İşletim Sistemleri

CUMHURİYET MESLEKİ VE TEKNİK ANADOLU LİSESİ BİLİŞİM TEKNOLOJİLERİNİN TEMELLERİ DERSİ DERS NOTLARI BELLEKLER

Bil101 Bilgisayar Yazılımı I. M. Erdem ÇORAPÇIOĞLU Bilgisayar Yüksek Mühendisi

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

Temel Kavramlar-2. Aşağıda depolama aygıtlarının kapasitelerini inceleyebilirsiniz.

Düşünelim? Günlük hayatta bilgisayar hangi alanlarda kullanılmaktadır? Bilgisayarın farklı tip ve özellikte olmasının sebepleri neler olabilir?

KONU 1 BİLGİSAYAR VE ÇEVRE ÜNİTELERİ

BİLGİSAYAR DONANIMI KONU: ANAKART RAM-ROM ADI: KÜBRA SOYADI: ŞAHİN NO: SINIFI:1/B ADI: SELMA SOYADI: ÇELİK NO: SINIFI:1/B

BİLGİ TEKNOLOJİLERİ SMO103

BİLGİ TEKNOLOJİSİNİN TEMEL KAVRAMLARI. 1-Bilgisayar, donanım ve yazılım kavramları 2-Bilgisayar çeşitleri 3-Bilgisayarlar arsındaki farklılıklar

DONANIM KURULUMU. Öğr. Gör. Murat YAZICI. 1. Hafta.

Bilgi ve iletişim teknolojileri

ADLİ BİLGİSAYAR İNCELEME UZMANLIĞI PROGRAMI

Bilgisayar Temel kavramlar - Donanım -Yazılım Ufuk ÇAKIOĞLU

Örnek mobil işletim sistemleri : IOS, Android, Windows Mobile, Symbian

Hızlı ve Güvenli Vale Hizmeti

DONANIM VE YAZILIM. Bilişim Teknolojileri ve Yazılım Dersi

1. PS/2 klavye fare 2. Optik S/PDIF çıkışı 3. HDMI Giriş 4. USB 3.0 Port 5. USB 2.0 Port 6. 6 kanal ses giriş/çıkış 7. VGA giriş 8.

Bilgisayar Donanımı. Temel Birimler ve Çevre Birimler. Öğr.Gör.Günay TEMÜR / KAYNAŞLI MESLEK YÜKSEOKULU

Temel Bilgisayar (Basic Computer) Yazılım (Software)

Sistem Nasıl Çalışıyor: Araç İzleme ve Filo Yönetim Sistemi

Hazırlayan: Cihan Aygül BT Rehber ÖĞRETMENİ

PORTLAR Bilgisayar: VERİ:

Hızlı ve Güvenli Vale Hizmeti

İşletim Sistemleri (Operating Systems)

DONANIM. 1-Sitem birimi (kasa ) ve iç donanım bileşenleri 2-Çevre birimleri ve tanımlamaları 3-Giriş ve çıkış donanım birimleri

BİLİŞİM TEKNOLOJİLERİNİN TEMELLERİ

Yazılım/Donanım Farkı

ANAKART. Çıkış Birimleri. Giriş Birimleri. İşlem Birimi. Depolama Birimleri. İletişim. Birimleri. Bellek. Birimleri

İşletim Sistemleri. Discovering Computers Living in a Digital World

Donanım Nedir? Bir bilgisayar sisteminde bulunan fiziksel aygıtların tümü

Temel Bilgi Teknolojileri -1

Bilgisayar Donanımı Dersi BİLGİSAYARIN MİMARI YAPISI VE ÇALIŞMA MANTIĞI

Bilgisayar donanım ve yazılım olmak üzere iki bölümden oluşur. Bilgisayarın çalışabilmesi için, ikisi de gereklidir.

Temel Bilgisayar Bilgisi

EKLER EK 12UY0106-5/A4-1:

Optik Sürücüler CD/CD-ROM DVD HD-DVD/BLU-RAY DİSK Disket Monitör LCD LED Projeksiyon Klavye Mouse Mikrofon Tarayıcı

2. hafta Bulut Bilişime Giriş

Bilişim Teknolojileri

DONANIM Bahar Dönemi TEMEL BİLİŞİM TEKNOLOJİLERİ

Zeyilname. Zeyilname No:1

BİLGİ TEKNOLOJİLERİNE GİRİŞ

İŞLETİM SİSTEMLERİ. (Operating Systems)

Giriş Çıkış Birimleri:

BÖLÜM II BİLGİSAYAR DONANIMI VE İŞLETİM SİSTEMLERİ

Masaüstü Bilgisayarlar

EYLÜL 2012 İŞLETİM SİSTEMLERİ. Enformatik Bölümü

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

TEMEL BİLGİ TEKNOLOJİSİ KULLANIMI. Enformatik Bölümü

Bilgi ve İletişim Teknolojileri

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Bilgisayar Kavramına Giriş, Bilgisayar Kullanımı ile İlgili Temel Kavramlar

GAZİ ÜNİVERSİTESİ. Bilişim Enstitüsü - Adli Bilişim Anabilim Dalı. Bilgi Güvenliği Dersi. Konu: Memory Dump (Ram imajı) İncelemesi MÜMİN BAKIR

İçindekiler Önsöz ix Giriş xi 1) Adli Bilimler ve Adli Bilişim 1 2) Adli Bilişimin Aşamaları 17

Merkezi İşlem Birimi (CPU)

Donanım&Yazılım

İşletim Sistemlerine Giriş

1.Baskı Çözümleri: 2. Bilgisayar Bileşenleri: 1.Baskı Ürünleri Faks Cihazları Fotokopi Cihazları Tarayıcılar. 1.4.

reedera8i Kullanım Kılavuzu

Masaüstü Bilgisayarlar

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

ANAKART (MOTHERBOARD)

BİLİŞİM İLE TANIŞIYORUM BİLİŞİM TEKNOLOJİLERİNİN KULLANILDIĞI ALANLAR

DONANIM VE YAZILIM. Ahmet SOYARSLAN biltek.info

SORULAR (37-66) Aşağıdakilerden hangisi günümüz anakartlarının en çok kullanılan veriyoludur?

T E M E L K AV R A M L A R. Öğr.Gör. Günay TEMÜR / Teknoloji F. / Bilgisayar Müh.

-Bilgisayarı oluşturan iki temel unsurdan diğeri ise YAZILIM dır.

İşletim Sistemleri; İÇERİK. Yazılım BİLGİ TEKNOLOJİLERİ VE UYGULAMALARI Yazılım Türleri

5. HAFTA KBT104 BİLGİSAYAR DONANIMI. KBUZEM Karabük Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi

BİLİŞİM TEKNOLOJİLERİ VE YAZILIM

İŞLEMCİLER (CPU) İşlemciler bir cihazdaki tüm girdilerin tabii tutulduğu ve çıkış bilgilerinin üretildiği bölümdür.

2000 li yıllardan itibaren teknolojinin hızlı gelişiminden belki de en büyük payı alan akıllı telefon ve tabletler gibi kablosuz iletişim olanağı

ENFORMATİK Dersin Amacı

Bilgisayar İşletim Sistemleri BLG 312

NTEMLERİ, LLERİN N TOPLANMASI ve SUÇLULARIN TESPİTİ

Hoş Geldiniz! Yandex.Disk aracılığıyla neler yapabileceğiniz konusunda açıklamaları bu dosyada bulabilirsiniz:

Bellekler. Bellek Nedir? Hafıza Aygıtları. Belleğin Görevi

Kurulum ve Sistem Gereklilikleri 1

TEMEL BİLGİ TEKNOLOJİSİ KULLANIMI. Bilgi Teknolojisi Temel Kavramları

ANAKARTLAR. Anakartın Bileşenleri

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

Dersin Konusu ve Amaçları: Ders P lanı: Bölüm 1: Bilgi Teknolojilerinde Temel Kavramlar

İşletim Sistemi Nedir?

Efe Çiftci Çankaya Üniversitesi Bilgisayar Mühendisliği Bölümü Kasım 2012 CENG 191 Computer Engineering Orientation Özel Sunumu

Bilgisayarınızda bulunan dosyalara dilediğiniz her yerden erişin ve bu dosyaları istediğiniz yerde paylaşın

C) 19 inçlik CRT ile LCD monitörün görünebilir alanı farklıdır. D) Dijital sinyali, analog sinyale çevirmek için DAC kullanılır.

7/24 destek hattı AirTouch. Üç yıl garanti. Üç yıl garanti. YM.AP.4410.UM.TR.D01REV

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Bilgisayar Programcılığı Ön Lisans Programı BİLGİSAYAR DONANIMI. Öğr. Gör. Rıza ALTUNAY

BİT İN TEMEL KAVRAMLARI. 1-BİT ÜRÜNLERİ 2-BİT ÇEŞİTLERİ 3-DONANIM ve YAZILIM TEKNOLOJİLERİ

-Bilgi ve İletişim (Bilişim) Teknolojileri -Bilgisayar -Elde Taşınan Dijital Cihazlar -Donanım -Yazılım

Güvenli Doküman Senkronizasyonu

ENF 100 Temel Bilgi Teknolojileri Kullanımı Ders Notları 2. Hafta. Öğr. Gör. Dr. Barış Doğru

Transkript:

ADLİ BİLİŞİM İNCELEMELERİNDE RAM BELLEKLERİN ÖNEMİ VE İNCELEME TEKNİKLERİ TÜRK HAVA KURUMU ÜNİVERSİTESİ BİLİŞİM TEKNOLOJİLERİ YÜKSEK LİSANS BİL 503 ADLİ BİLİŞİM FİNAL PROJESİ MERT SAKARYA ÖĞRENCİ NO: 1403660044 1

KISALTMALAR RAM : SRAM : Statik RAM DRRAM : Dinamik RAM SDRAM : Eş Zamanlı Dinamik RAM DDSDRAM : Çift Veri Hızı Eş Zamanlı Dinamik RAM : 2

İÇİNDEKİLER 1. GİRİŞ... 4 2. RAM NEDİR?... 4 3. MODERN SİSTEMLERDE RAM BELLEK ÇALIŞMA SİSTEMLERİ... 5 4. ADLİ BİLİŞİM İNCELEMELERİNDE RAM BELLEKLERİN ÖNEMİ... 6 5. RAM incelemelerinde ELDE EDİLEBİLECEK BULGULAR... 6 6. RAM BELLEK ADLİ KOPYA ALMA TEKNİKLERİ... 7 7. ANALİZ YÖNTEMLERİ... 8 8. TARTIŞMA VE SONUÇ... 9 3

1. GİRİŞ Adli bilişim; elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür. [1] Adli bilişimde elektronik ortamda bulunan bilgilerin uygun yazılımlar ve donanımlarla delile dönüştürme süreci, hukuki boyuttan daha çok teknik ve uzmanlık isteyen zahmetli bir iştir. Sürekli gelişen sistemler, yeni donanımlar, yazılımlar ve sosyal medya araçları, artan kullanıcı sayısı yüzünden sabit disklerin kopyalarını almak önemli bulguların sonuca ulaşmasında yeterli olmayabilmektedir. Bu nedenden dolayı diğer bir hafıza birimi olan RAM, bellek kullanan elektronik cihazların açılışından kapanışına kadar depolanan bilgilerin kopyalanması, incelenmesi ve kayıt altına alınması bakımından adli bilişim için önemli bir araçtır. Adli bilişimde kısa süre önce wipe ve deep freze gibi yazılımlardan dolayı açık olan bilgisayarın güç kaynağından kapatılıp delillerin zarar görmemesi hedefleniyordu. Gelişen RAM teknolojileri ile bu durum değişmek zorunda kaldı. Anahtar kelimeler: Adli Bilişim, RAM, RAM analizi, RAM Kopyalama 2. RAM NEDİR? İlk zamanlar yaygın yazılabilir RAM, 1949-1952 yılları arasında geliştirildi. Manyetik çekirdek bellek olarak birçok bilgisayarda kullanıldı. Daha sonra 1960'ların sonu ve 1970'lerin başında statik ve dinamik entegre devreler geliştirildi. [2] Günümüz bilgisayarlarında hem okunabilen hem de yazılabilen RAM (Read Acces Memory Rastgele Erişimli Hafıza) lar kullanılır. RAM, "Random Access Memory" (Rasgele Erişimli Bellek) kelimelerinin baş harflerinden oluşan bir kısaltmadır. RAM, bilgilerin geçici olarak depolandığı bir hafıza türüdür. Bilgisayarlar genellikle o an üzerinde çalıştıkları programlar ve işlemlerle ilgili bilgileri RAM denen bu hafıza parçasında tutmaktadır. RAM ve sabit sürücü temel olarak aynı bilgileri saklamaktadır. Yani RAM bir nevi arada bir köprü durumunda olmakta, ancak bir köprünün yapacağından çok daha fazla işi yerine getirmektedir. Bilgisayarlardaki CD-ROM, disket, sürücü veya sabit disk gibi depolama birimlerinden daha hızlı çalışmaktadır.. Belleklerin sabit disk gibi sürekli kayıt özellikleri bulunmamaktadır Bilgisayar çalıştığı sürece RAM faaliyetini devam ettirmekte, bilgisayar kapandığı zaman, RAM'da bulunan veriler silinmektedir. 4

RAM lar birbirinden tamamen bağımsız hücrelerden oluşmaktadır. Bu hücrelerin herbirinin kendine ait sayısal bir adresi bulunmaktadır. Her hücrenin çift yönlü bir çıkışı bulunmakta, bu çıkış veri yolunda (Data Bus) mikroişlemciye bağlı olmaktadır. Bu adresleme yöntemiyle RAM daki herhangi bir bellek hücresine istenildiği anda, diğerlerinden tamamen bağımsız olarak erişilebilmektedir.. rastgele erişimli bellek adı da buradan gelmektedir. RAM da istenen kayda ya da hücreye kapasitesine göre anında erişilebilmektedir. 3. MODERN SİSTEMLERDE RAM BELLEK ÇALIŞMA SİSTEMLERİ Bilgisayar özellikleri sıralanınca ilk olarak işlemciye bakılsa da aradaki iletişimi sağlayan donanım RAM bellekleridir. Teknik açıdan işlemci ile RAM bellekler arasındaki yakınlığı ve işbirliğini görmemek zordur. RAM belleklerin görevi, en hızlı şekilde işlemciyle bilgi alışverişi sağlamaktır. Bu işlemi yapmak için gereken şey bellek yongalarıdır. Bu yongaların her biri belli bir depolama kapasitesine sahip olmaktadır.. Aynı devre üzerindeki bu yongaların toplam kapasitesi RAM belleğin kapasitesini vermektedir. RAM bellekler de çok sayıda transistör ve kapasitörden oluşmaktadır. Transistörlerin görevi, istenen verilerin kontrolünü sağlayıp aç-kapa yaparak veri geçişini sağlamaktır. Kapasitörse depolama gerçekleştirmekte ama depolama süreleri kısıtlı olmaktadır.. Bundan dolayı okuma yazma hızı saniyeler içinde birçok kez tekrarlanmaktadır. Düzenli bir iletişim olması için 0 (yok) 1 (var) sistemi çalışmaktadır. Bellek içinde iki eksenli düzlemde dizili bit adı verilen depolama birimleri yer almaktadır. Sıra ve sütunlar sayesinde bit lerin yerleri adres haline dönüştürülmektedir. Adresin tanımlaması sıra ve sütun bilgisinden ibaret olmaktadır. Yazma ve okuma işlemleri sırasında bu adresler önemli rol oynamaktadır. RAM yapısında belirli bir kolona gönderilen sinyalden sonra bu sütundaki tüm hücreler aktifleşmektedir. Satır bilgisi de devreye girince değişiklik gerçekleşmektedir. Eğer kapasitör şarj durumu %50 nin üstündeyse 1, altındaysa 0 mesajı alınmaktadır. Saniyenin milyarda birinde gerçekleşen okuma ve yazma işlemleri son derece hızlı olmaktadır. Eski nesil anakartlarda statik RAM bütünleşik olarak gelmekteydi, ancak zamanla RAM yuvaları ortaya çıktı. Bu yuvalara yerleştirilen bellek modüllerinin merkezini oluşturan genelde yeşil renkli olan baskı devrenin görevi, ara bağlantıyı sağlamaktır. 3.1 RAM TİPLERİ SRAM (STATİK RAM): Ön bellek olarak kullanılırdı, günümüzde kullanılmamaktadır. DRRAM (DİNAMİK RAM): Transistör ve kapasitör birlikte çalışmaktadır. Transistör ve kapasitörlerin çalışma sistemlerine göre sürekli yenilenmesi gerekmekte, bu yüzden dinamik RAM denmektedir. Günümüz belleklerinde bu yöntem kullanılmaktadır. 5

SDRAM (EŞ ZAMANILI DİNAMİK RAM): Dinamik belleklerin üst teknolojisidir. Daha fazla enerji harcamakta, yüksek hızlarda sinyal hatalarını önlemekte, hızlı ve verimli çalışmaktadır. DDRSDRAM (ÇİFT VERİ HIZI EŞ ZAMANLI DİNAMİK RAM): İsminden anlaşıldığı gibi eş zamanlı dinamik belleklerden hızı ve bant genişliği olarak iki kat hızlı olmaktadır., Günümüzde en yaygın olarak kullanılan RAM türüdür. 4. ADLİ BİLİŞİM İNCELEMELERİNDE RAM BELLEKLERİN ÖNEMİ Geçmiş yıllarda adli bilişim vakalarında RAM bellek kopyalaması kuralı bulunmamaktaydı. İncelenmesi gereken bilgisayarların, direk güç kaynağından kapatıldıktan sonra üzerinde çalışma kuralı geçerli olmaktaydı. Bu durum, RAM belleklerde bulunan değerli bilgilere erişilmesini imkansız hale getirmekteydi. Hızla gelişen işlemci teknolojilerine göre sabit disklerin hızının yetersiz kalması, RAM belleklerin bilgisayarların veri işleyişi açısından önemli bir role sahip oldu. Teknoloji ve kapasiteler arttıkça RAM belleklerin içinde bulunan kaydedilmemiş dosyalar, şifreler, kullanıcı bilgileri gibi veriler adli bilişim adına önem taşıdığından olay yeri ekipleri, bilgisayarın güç kablosunu çekmek bir yana, çalışır halde bulunan bir bilgisayarın ilk önce RAM bellek kopyasının alınmasının bir zorunluluk olduğunu bilmektedir. RAM bellek incelemeleri, adli vakalardaki asıl delillerin bulunması veya asıl delilere ulaşmaya yardım etmesi ve vakaların hızlı şekilde sonuçlanmasında kritik rol oynamaktadır. Sadece sabit disklerin incelenmesi kesin sonuç bulmak için yeterli olmamaktadır. RAM içerisinde erişilebilecek tüm veriler, aslında işlemci tarafından işlenen tüm veriler olmaktadır. En önemli soru ise, bu verilerin zarar verilmeden hangi yöntemle kopyalanacağı, nasıl bir analiz programı kullanılacağı ve bu analiz sonucunda nelere ulaşılabileceği hususudur. 5. RAM İNCELEMELERİNDE ELDE EDİLEBİLECEK BULGULAR Gizli programlar, Aktif Network bağlantıların durumu, Kullanıcı şifreleri, Encryption anahtarları, Kaydedilmemiş dokümanlar, Çalışan prosesler ve hizmetlere ait bilgiler, Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler, sistem bilgileri (Örn: En son kapanmadan bu yana geçen zaman), Sisteme oturum açan kullanıcılara ait bilgiler, kayıt defteri bilgileri, Açık ağ bağlantıları ve ARP önbellek, Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları, 6

Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri, Web e-posta üzerinden yapılan en son işlemler, Bulut sistemlerine ait teknik bilgi ve veriler, Kriptolu disk alanlarına ait anahtarlar, En son bakılan fotoğraflar, Sistemde çalışan kötü niyetli yazılımlar. 6. RAM BELLEK ADLİ KOPYA ALMA TEKNİKLERİ Basit modellerin aksine (belki ortak inanç) modern SDRAM modülleri, içeriğini bilgisayar kapatılmadan hemen kaybetmemektedir. Bu süreç, oda sıcaklığında birkaç saniye sürmekte; ancak düşük sıcaklıklarda dakika kadar uzatılabilmektedir. Bu nedenle, normal çalışma belleğinde saklanan tüm verileri kurtarmak mümkün olmaktadır (SDRAM modülleri gibi). Bu durum, bir soğuk çizme saldırısı ya da buz adam saldırısı olarak da adlandırılımaktadır 6 FTK Imager; AccessData firması tarafından üretilmiş bir yazılımdır. Depolama birimlerinin içeriğini göstermek ya da kopya almak için kullanılmaktadır. RAM belleklerin birebir kopyası alınabilmektedir. Alınan kopyalar Windows Explorer üzerinden açılarak sabit disk sürücüsü gibi işlem görmesini sağlanmaktadır. Güncel versiyonlarını ücretsiz kullanıma izin vermektedir. www.accessdata.com 6 Belkasoft Live RAM Capturer, Hata düzeltme sistemi bulunan, güvenilir şekilde RAM kopyasını ve canlı analizini yapabilen bir adli araçtır. Küçük ve ücretsiz bir programdır. XP, Vista, Windows 7 ve 8, 2003 ve 2008 Server Windows işletim sistemleriyle uyumludur. www.belkasoft.com 6 Encase v7 Guidance Software firmasının ürünü olan Encase v7 ile de RAM imajı alınabilmektedir. Encase v7 ücretli bir yazılım olup imaj alma özelliği ücretsiz olarak kullanılabilmektedir. Sistem üzerinde kurulum yapılarak kullanılacağı için RAM bellek üzerinde çok fazla proses kullanarak RAM üzerindeki verilere kalıcı zarar verebilmektedir. [3] 7

7. ANALİZ YÖNTEMLERİ Volatility Windows, Linux, Mac OSX ve Android telefonlara uyumludur. Canlı RAM analizi yapamaz. Volatility programı ile öğrenebilecek bilgiler aşağıda yer almaktadır: İmajın alındığı zaman bilgileri, Çalışan uygulamalar, Açık network(ağ) portları(soketleri), Her bir uygulama yada proses tarafından açılan dosyalar, Her bir uygulama yada proses tarafından açılan registry anahtarı, İşletim sisteminin Kernel (Çekirdek) modülleri. Belkasoft Evidence Center İOS, Blackberry, Android ve Windows için RAM analizi yapar. Ücretli yazılımdır. Elde edilen tüm kanıtlar canlı analiz edebilmektedir. Belkasoft Evidence Center programı ile aşağıda yer alan analizler yapılmaktadır: Skype, Msn, Icq Ve 80 Farklı Anlık Yazıma Programının Analizi, Facebook ve Twitter vb. Sosyal Ağ Analizi İnternet Tarayıcısı(Browser) Analizi, Email Analizi, Sabit Disk veya RAM Üzerinde Silinmiş Alandan Veri Kurtararak Çıkan Verilerin Analizi, Canlı RAM Analizi, Ofis Belgeleri. Internet Evidence Finder JADsoftware firması tarafından geliştirilmiş olan internet evidence finder, sabit disk üzerinde bulunan verilerin analizini yapmaya yarayan özel bir yazılımdır. Sabit disk üzerinde pagefile.sys ve hiberfile.sys dosyalarını da tespit ederek sadece onlar üzerinde de analiz yapmaya yarayan ücretli bir yazılım olup hem sabit disk hem de RAM ve bunların imajları üzerinde kullanılabilmektedir. Açılış paneli üzerinde seçim yapma özelliği ile kullanışlı bir yazılımdır. [3] Internet Evidence Finder programı ile aşağıda yer alan analizler yapılmaktadır: Skype, Msn, Icq Ve 80 Farklı Anlık Yazışma Programının Analizi, Facebook Ve Twitter vb Sosyal Ağ Analizi, Bire bir (Peer to Peer) Bağlantıların Analizi, 8

Gdrive, Skydrive vb Bulut Sistemlerin Analizi [3]. X-Ways Capture Linux da, sadece Windows altında çalışmaktadır. Fiziksel RAM ve tüm çalışan işlemler sanal bellek dökümünü almaktadır. Ayrıca kullanıcı etkileşimi olmadan otomatik olarak önceden adımları çalıştırmaktadır. Otomatik olarak çeşitli şifreleme şemaları / şifre korumasını tespit etmektedir. Bilinen ya da bilinmeyen şifreleme yazılımlarınıfarklı yöntemler ile aramakta ve bunları bildirmektedir. Tüm bulgular ve eylemlerin yer aldığı ayrıntılı bir günlük oluşturmaktadır. 8. TARTIŞMA VE SONUÇ RAM teknolojisinin geçmişten günümüze bilgisayar üzerindeki etkisi, nasıl çalıştığı, işlemci ve sabit diskler ile ortak çalışmasının bilgisayarlar için faydaları. RAM belleklerin bilgisayarın açılışından kapanışına kadar olan bilgilerin bir kaydını tutuğu ve RAM belleklerin çalışma kuralına göre güç kaynağı kesildiği zaman bu bilgilerin silinmesi durumu mevcuttur. Bu kopyaların içinde adli vakalarda kullanılacak önemli bilgilerin bulunmasına yardımcı olması bakımından RAM kopyasının alınması mecburi duruma gelmiştir. RAM imajlarından alınan kopyanın incelenmesi RAM belleklerin en zor kısımlarından biridir ve uzmanlık ister. RAM belleklerde hiyerarşik yapının bulunmaması analiz programlarının önemini artırmıştır. 9

KAYNAKLAR [1] İnternet: Vikipedi Özgür Ansiklopedi, 2012 http://tr.wikipedia.org/wiki/adli_bili%c5%9fim/, 10 Ekim 2012 [2] http://tr.wikipedia.org/wiki/ram [3] https://omererturk.wordpress.com/ http://tr.wikipedia.org/wiki/ddr2_sdram http://www.bilgisayarogren.com/ddr.htm http://pckoloji.com.tr/ram-nasil-calisir/ 10

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim