Adli bilişim üzerine yazılı bir konu olacak. Konu içerisinde imaj alma geri yükleme, silinen verileri geri getirme delil toplama, exif bilgileri, windows registry, gerçek zamanlı log izleme uygulamaları şeklinde olacak.
Adli Bilişim Nedir?
Adli bilişim kısa açıklamasıyla bilişime yönelik delilerin toplanmasıdır. Adli bilişim bilişim cihazları üzerinden işlenmiş suçların ön görülmesinde, tespitinde ve analizinde rol oynar. Adli bilişim djital verilerin elde edilmesi, saklanması, incelenmesi ve analiz edilmesi, raporlanması, sunum halinde aşamalarla ilerlemektedir. Adli bilişim djital veriler ile gerçekleştirilen eylem arasındaki neden sonuç ilişkisinin kurulmasını sağlar. Günümüz teknolojileri ile yapılabilen siber suç faaliyetlerinden dolayı adli bilişime ihtiyaç duyulmasının sebebi.
Djital Delil Nedir?
Dijital delil, bilişim sistemleri üzerinde bulunan depolama aygıtlarında yapılan incelemeler sonucunda elde edilen adli delillere denir. Veri depolama alanları, silinen veriler, USB bellekler, GPS verileri,geri dönüşüm kutusu üzerinden elde edilen kayıtlar,windows kayıt defteri verileri, ağ ve internet ve daha fazlası djital delil elde etmemize yarayabilmekte.
Adli Bilişim Türleri
Bilgisayar Adli Bilişimi ( Computer Forensic )
Adli bilişim türlerinden olan Computer Forensic. Amaç bilgisayarlar üzerinden delil elde etmektir. Suçun işlendiği bilgisayar veya suçun işlenildiği düşünülen bilgisayardan fiziksel veya dışarıdan bir şekilde djital delil ele etmeye çalışılır. Genellikle bir bilişim suçuna ilişkin en büyük deliller suçun işlendiği bilgisayar üzerinden elde edildiği için adli bilişim türlerinde en sık kullanılandır. Bilgisayarlar kendilerine ait her türlü veriyi kayıtlar ve bir yerde bu bilgileri tutar. Delil elde etmek için ise bu bilgilerin tutulduğu alanlara erişmek gerekir. Çoğu bilgisayar kullanıcısının bu verilerin tutulduğundan haberi olmamaktadır ve tutulduğu yerleri de bilmemektedirler.
Ağ Adli Bilişimi ( Network Forensic )
Ağ adli bilişimi belirli bir yerel ortamın, local bir ağın analiz edilmesi denebilir. Ağın olduğu ortamda ağı izleme, ağa ait bilgiler edinme, bilgilerin analizleri ve raporlanması olarak tanımlanabilir. Adli bilişim alanında network bilgisine ihtiyaç duyulur. Bu alanda gelişmek isteyenler network forensic konusunda kendilerini geliştirmeleri gerekmekte.
Mobil Adli Bilişim ( Cellphone Forensic )
Tıpkı bilgisayarlar gibi mobil cihazlar da içinde dönen olayları veriler halinde kayıt etmektedir. Özellikle mobil cihazlar resim ve video çekme, ses kaydı alabilme vb. gibi özellikleriyle delil elde etmek için oldukça güçlü oluyor. Bu verileri her cihazda olduğu gibi kullanıcı kendisi silebilir ama bu silinen verilerin geri getirilmesinin de mümkün olmadığını unutmamak gerek.
GPS Adli Bilişimi ( GPS Forensic )
GPS kimse farkında olmasa bile günümüzde her alanda fazlasıyla kullanılan bir durum. GPS teknolojisi delil elde etmekte çok işe yarayacağı gibi siber suçlarda da işe yarayabilmektedir. Çünkü GPS verileri sizin bir konuma hangi saatlerde girip çıktığınız, en çok nerelere gittiğini, hangi saatlerde nerede olduğunu vb. tüm bunları tutar. Bunlara bilişim işlemleriyle erişebilen bir suçlu fiziksel olarak suçlar işleyebilir. Bu GPS verilerini arabalar dahil tutmaktadır. Adli bilişimde şüpheli kişinin GPS tutan her türlü cihazı incelenerek GPS bilgileri ile delil elde edilebilir.
Sosyal Ağ Adli Bilişimi ( Social Network Forensic )
Sosyal medya bunu istemeseniz bile sizin verilerinizi kayıt altında tutar. , sosyal ağlar üzerindeki bu verilerin incelenmesi, analiz edilmesi ve delil teşkil etmek üzere adli makamlara sunulması ile ilgilenmektedir. Kişiye ait çokça bilgi sosyal medya verileri üzerinden elde edilebilir. Kişiler sosyal medyada paylaştığı resimler, biyografisi, takip takipçi, kullanıcı adı, dm mesajları vb. daha çokça durumlar ile delil elde edilebilir. Ve sadece o anki değil önceden kullanmış olduğunuz kullanıcı adı, biyografi, sosyal medyadan sildiğiniz resimler dahil erişilebilmektedir.
İmaj Almak Ve İmaj Yüklemek
İmaj alma ve imaj geri yükleme işlemine bakacağız. Öncelikle İmaj almak nedir? İmaj almak bir bilgisayarın imajı alınırken ki zamanın tüm C sürücüsü ve diğer sürücülerin kopyalanmasıdır. İmaj geri yükleme ise yedeği alınan imajın istenilen yere tekrar yüklenmesidir. İmaj ile bir sürücünün içindeki özel bir dosyanın klasörün vb. yedeğini de aynı şekilde alınabilir. İmaj almanın yararları çokça örneklendirilebilir. Bir şirketin bir program, sürücü vb. indirmesi gerekiyordur tüm bilgisayarlara, imaj alma işlemi ile tüm bilgisayarlara bu program yükletilebilir. Bir bilgisayar bozulunca eğer imajı alınmışsa eski haline getirilebilir. Bunlar imaj almanın faydalarından. Şimdi imaj nasıl alınacağına geçelim.
Gerekli durumlar;
>> Boş bir USB bellek
>> BootCD Programı
>> Rufus Programı
Bizim ihtiyaçlarımız.
Rufus indirmek için;
Rufus - Önyüklemeli USB sürücü oluşturmanın en kolay yolu
Kendi web sitesinden indirebilirsiniz. İNDİR yazan bölümün altındaki Rufus 3.14(sürüm değişebilir) tıklayın.
Bu yol ile bilgisayınıza indirilmeniz sağlanacak. Direkt olarak bu yolu alıp URL'ye yapıştırarak indirebilirsiniz. Kurulum yok indirildikten sonra direkt olarak inen exe yoluna tıkladığınızda açılacaktır.
BootCD programını indirmek için;
Bu yolu kopyalayın ve URL olarak yapıştırın indirilmesi sağlanacaktır.
Download | Hiren's BootCD PE
Kendi web sitesi. Eğer burdan indirmek isterseniz aynı yola çıkar, en alt bölümde ;
İmaj alma ve imaj geri yükleme işlemine bakacağız. Öncelikle İmaj almak nedir? İmaj almak bir bilgisayarın imajı alınırken ki zamanın tüm C sürücüsü ve diğer sürücülerin kopyalanmasıdır. İmaj geri yükleme ise yedeği alınan imajın istenilen yere tekrar yüklenmesidir. İmaj ile bir sürücünün içindeki özel bir dosyanın klasörün vb. yedeğini de aynı şekilde alınabilir. İmaj almanın yararları çokça örneklendirilebilir. Bir şirketin bir program, sürücü vb. indirmesi gerekiyordur tüm bilgisayarlara, imaj alma işlemi ile tüm bilgisayarlara bu program yükletilebilir. Bir bilgisayar bozulunca eğer imajı alınmışsa eski haline getirilebilir. Bunlar imaj almanın faydalarından. Şimdi imaj nasıl alınacağına geçelim.
Gerekli durumlar;
>> Boş bir USB bellek
>> BootCD Programı
>> Rufus Programı
Bizim ihtiyaçlarımız.
Rufus indirmek için;
Rufus - Önyüklemeli USB sürücü oluşturmanın en kolay yolu
Kendi web sitesinden indirebilirsiniz. İNDİR yazan bölümün altındaki Rufus 3.14(sürüm değişebilir) tıklayın.
Bu yol ile bilgisayınıza indirilmeniz sağlanacak. Direkt olarak bu yolu alıp URL'ye yapıştırarak indirebilirsiniz. Kurulum yok indirildikten sonra direkt olarak inen exe yoluna tıkladığınızda açılacaktır.
BootCD programını indirmek için;
Bu yolu kopyalayın ve URL olarak yapıştırın indirilmesi sağlanacaktır.
Download | Hiren's BootCD PE
Kendi web sitesi. Eğer burdan indirmek isterseniz aynı yola çıkar, en alt bölümde ;
Filename | HBCD_PE_x64.iso(Thanks to all our Supporters for providing fast and reliable mirror servers) |
Bu bölümü bulmanız gerekiyor. HBCD_PE_x64.iso buna tıklayın indirilecek. Herhangi bir kurulum işlemi yok direkt olarak iso halinde indiriliyor.
İndirme işlemleri bittikten sonra yapacağımız ilk durum indirdiğimiz iso dosyasını rufus programı yardımıyla USB belleğine yazdırmak. Boş USB belleği bilgisayara takıldıktan sonra rufus programını açmak gerekir. Rufus programını açınca USB bellek seçili olacaktır. Önyükleme seçimi bölümündeki seç kısmına tıkladıktan sonra iso dosyasını seçmeniz gerek. Ve diğer durumlar varsayılan olarak kalacak ama yine de resim ekliyorum.
Bu şekilde ayarlandıktan sonra başlat seçeneğine tıklayın. Bir uyarı çıkacak. Uyarıya tamam seçeneğine tıklayıp devam edilebilir. Uyarıda söylenen şey USB bellek içinde veri varsa bunların hepsini silinecektir. Bu yazdırma işlemi çok kısa işlem. Bittikten sonra çıktı şekli:
Hazır görüldüğünde kapatılabilir program. Artık imaj almak için bu usb belleği kullanılabilir. Yapılması gereken bu usb belleğini imajı alınacak olan bilgisayara takmak. Tabi bunu yaparken BIOS kısmından boot menüden USB belleği seçmeniz gerek.
İmaj Almak İçin Takip Etmeniz Gereken Adımlar
>> boot menuden USB belleği seçmeniz gerek.
>> Sistem açıldıktan sonra sol altda bulunan windows simgesine tıklayın.
>> Tıkladıktan sonra all programs seçeneğine tıklanır.
>> Dosyalar çıkacak buradan Hard Disk Tools tıklanır.
>> Açılan yerden İmaging tıklanır.
>> AOMEI Backupper tıkalnır.
Bir uygulama başlatılacak. İmaj alma imaj yükleme işlemleri bu programdan yapılacak.
Backup bölümü İmaj almak için, Restore bölümü ise alınan imajı geri yüklemek için olan bölümler. Clone bölümü yeni bir disk aldıysanız bu diske tüm verilerinizi klonlamak kopyalamak içindir.
>> Backup bölümüne tıklanır.
File backup seçeneği özel bir klasörün imajını almak için kullanılıyor. Partition backup seçeneği istenen sürücünün imajını almak için kullanılır. Disk backup ise tüm diskin imajını almak için. System backup ise işletim sisteminin yüklü olduğu C sürücüsünün imajını almak içindir. İstenilene göre seçenek seçilir. C diskinin imajını almak yani system backup yapmak bilgisayar bozulduğunda vb. tekrar eski haline getirmek için kullanılabilir.
>> Step 2 yazan bölümden imajın kayıt edileceği yer seçilir. Step 2 yazısına tıklanarak bu işlem yapılır.
>> Start bakcup tıklandığında imaj alınma işlemi başlar.
Ana işletim sistemine geçildikten sonra imajın kayıt edilmesi istenen bölüme kayıt edildiği görülür.
İmaj Geri Yükleme
Bilgisayar yeniden başlatılıp boot menüden USB bellek seçilir. Ve imaj alma programı açılır. Restore bölümünde Path seçeneğine tıklanır This PC bölümünden imajın olduğu bölümden imaj bulunur ve çift tıklanır. Next seçeneğine tıklandıktan sonra start restore edilir. Alınan imajın geri yüklenme işlemi yapılır. Bu işlem silinen verileri geri getirmek içinde kullanılabilir ama belirli bir zamandaki verileri getirecektir. Bu durumdan dolayı farklı bir programdan yararlanılır.
Silinen Verileri Geri Getirme
Delil elde etmek için kullanılan yöntemlerdendir. Bilgisayarda silinen resimleri, klasörleri, programları bulmak için kullanılır. Bu işlem için RecoverMyFiles programı kullanılacak.
TIKLA
Bu web sitesinden programın setup dosyasını indirebilirsiniz. Kurulum next next şeklinde. Setup işlemini tamamladıktan sonra programı açınca gelecek çıktı da bize iki seçenek veriyor. Driver veya klasör taraması. Driver direkt olarak bir sürücünün taranması, klasör taraması ise özel bir klasörün taranmasıdır. Driver taraması klasör taramasına göre uzun sürer ve bilgisayarı kastırabilir. Herhangi bir seçenek seçilir. Ben files seçeneğini seçtim.
Bu bölümde hangi disk üzerindeki klasörleri taramak istiyorsunuz bunu seçin ve Next butonuna tıklayın. Start butonuna tıklanınca tarama yapılır ve sol bölüme bir bar gelir. Bu bardan istediğiniz klasöre erişeceksiniz ve silinen dosyaların çıktısını almak için Save file yazan bölümün yanındaki küçük ok simgesine tıklayıp save ass butonuna tıklayacaksınız.
Silinen dosyaları kurtarmak için online seçilmeli ama key gerekiyor bu yüzden offline seçeneği seçilip devam edildikten sonra gelen yerden Export seçeneğine tıklanır. Kayıt edilecek yer seçilir.
Exif Bilgileri
Exif bilgileri görüntü üzerinden bilgi toplama işlemidir. Bu işlem bazen görüntünün çekildiği yeri bize verebilir. Sosyal platformlarda atılan görüntülerin exif bilgileri silinir. Bir bilgisayardan bulunan resimin exif bilgileri silinmediyse resim hakkında detaylı bilgiler verebilir. Fotoğraf çekerken cihazınızın fotoğraf üzerine bazı bilgiler aktarıyor. Bu bilgilere exif database ( exif veritabanı ) deniyor. Exif değişebilir görüntü dosyası biçimi anlamına geliyor. Exif bilgileri amaca göre işe yarar bilgiler olabiliyor. Konu da Exif bilgilerinin ne olduğundan, nasıl öğrenilebildiğinden, nasıl exif bilgilerini temizleyebiliriz bunlardan bahsedeceğim.
Exif Bilgilerine Ulaşma Yöntemleri
1- Fotoğraf Ayrıntıları
Bize verebileceği exif bilgileri;
* Fotoğraf formatı
* Çekildiği Tarih
* Boyutlar Genişlik vb.
* Yükseklik, renk ve çözünürlük vb.
Gibi bilgiler fotoğraf ayrıntılarından öğrenilebilir. Ama exif bilgilerini öğrenmek için çoğu zaman işe yaramayabilir çünkü fotoğraf da bazen bu bilgiler ayrıntılarda olmayabiliyor bu da fotoğrafı çeken kişinin exif bilgilerini editlemiş olmasına bağlı. İlgili resim dosyasına sağ tık yapıp ayrıntılara basmanız bu bilgileri görmek için yeterli olacaktır.
2- Exif Tool
Exif bilgilerine ulaşmak için toollar var. Bu konuda önerilen 2 tool'dan bahsedeceğim. İkiside aynı görevi görüyor. Biri Windows diğeri Linux sistemleri üzerinden.
exiftool.org web sitesinden sürüme göre tool'u indirebilirsiniz. Tool rar halinde iniyor. Eğer windows'unuzda winrar yoksa gezginler web sitesinden winrar indirebilirsiniz. Dosya indikten sonra yapmanız gereken önce zip'i ayıklamak daha sonrasında görsel dosyasını ilgili tool'un üzerine sürükleyip bırakmak. CMD penceresi açılacak ve bazı exif bilgilerini bize verecek. Linux sistemlerinden ise exiftool bulunmakta. İndirmek için sudo apt-get install exiftool yapabilirsiniz. Daha sonra yapmanız gereken exiftool yazıp exif bilgilerini öğrenmek istediğiniz resmin yerini belirtmek.
Exif Bilgileri Nasıl Kaldırılır?
Exif bilgilerini kaldırmak için exif bilgilerini editlemelisiniz. Windows için aktarılmış durumdaki fotoğraf seçilir, sağ tıklandığında Özellikler ve ardından da Ayrıntılar sekmeleri takip edilir. Ayrıntılar sekmesi, EXIF Bilgisi kısmının bulunduğu bölümdür ve burada .Kaldır şeklinde bir seçenekle karşılaşılır. Burası tıklandığı taktirde EXIF Bilgisi kaldırılmıştır.
Exif bilgileri görüntü üzerinden bilgi toplama işlemidir. Bu işlem bazen görüntünün çekildiği yeri bize verebilir. Sosyal platformlarda atılan görüntülerin exif bilgileri silinir. Bir bilgisayardan bulunan resimin exif bilgileri silinmediyse resim hakkında detaylı bilgiler verebilir. Fotoğraf çekerken cihazınızın fotoğraf üzerine bazı bilgiler aktarıyor. Bu bilgilere exif database ( exif veritabanı ) deniyor. Exif değişebilir görüntü dosyası biçimi anlamına geliyor. Exif bilgileri amaca göre işe yarar bilgiler olabiliyor. Konu da Exif bilgilerinin ne olduğundan, nasıl öğrenilebildiğinden, nasıl exif bilgilerini temizleyebiliriz bunlardan bahsedeceğim.
Exif Bilgilerine Ulaşma Yöntemleri
1- Fotoğraf Ayrıntıları
Bize verebileceği exif bilgileri;
* Fotoğraf formatı
* Çekildiği Tarih
* Boyutlar Genişlik vb.
* Yükseklik, renk ve çözünürlük vb.
Gibi bilgiler fotoğraf ayrıntılarından öğrenilebilir. Ama exif bilgilerini öğrenmek için çoğu zaman işe yaramayabilir çünkü fotoğraf da bazen bu bilgiler ayrıntılarda olmayabiliyor bu da fotoğrafı çeken kişinin exif bilgilerini editlemiş olmasına bağlı. İlgili resim dosyasına sağ tık yapıp ayrıntılara basmanız bu bilgileri görmek için yeterli olacaktır.
2- Exif Tool
Exif bilgilerine ulaşmak için toollar var. Bu konuda önerilen 2 tool'dan bahsedeceğim. İkiside aynı görevi görüyor. Biri Windows diğeri Linux sistemleri üzerinden.
exiftool.org web sitesinden sürüme göre tool'u indirebilirsiniz. Tool rar halinde iniyor. Eğer windows'unuzda winrar yoksa gezginler web sitesinden winrar indirebilirsiniz. Dosya indikten sonra yapmanız gereken önce zip'i ayıklamak daha sonrasında görsel dosyasını ilgili tool'un üzerine sürükleyip bırakmak. CMD penceresi açılacak ve bazı exif bilgilerini bize verecek. Linux sistemlerinden ise exiftool bulunmakta. İndirmek için sudo apt-get install exiftool yapabilirsiniz. Daha sonra yapmanız gereken exiftool yazıp exif bilgilerini öğrenmek istediğiniz resmin yerini belirtmek.
Exif Bilgileri Nasıl Kaldırılır?
Exif bilgilerini kaldırmak için exif bilgilerini editlemelisiniz. Windows için aktarılmış durumdaki fotoğraf seçilir, sağ tıklandığında Özellikler ve ardından da Ayrıntılar sekmeleri takip edilir. Ayrıntılar sekmesi, EXIF Bilgisi kısmının bulunduğu bölümdür ve burada .Kaldır şeklinde bir seçenekle karşılaşılır. Burası tıklandığı taktirde EXIF Bilgisi kaldırılmıştır.