- 24 Haz 2015
- 2,336
- 190
- 112
Adli bilişim analizlerinde yalnızca yerel diskte mevcut dosyalar üzerinden dosya oyma işlemi gerçekleştirilmemektedir.
Bazı müdahalelerde yakalanmış ağ verileri üstünden (pcap dosyaları içinde) de gönderilmiş ya da alınmış olan dosyalarda çıkartma işlemi yapmak durumunda kalınabilir.
Bu müdahalelerde bizlere tcpxtract yardımcı olacak.
Peki hocam nedir bu tcpxtract?
Ağ üstünde akış sağlamakta olan trafiğin içerisinden bilinen klasörlerin türlerine göre başlık ve son verilerini kullanarak dosya çıkartmamıza yardımcı olan bir kittir diyebiliriz tcpxtract'a.
Kitin güncel versiyonuna vereceğim link üzerinden erişim sağlayabilirsiniz.
Tanılama işlemi gerçekleştirebilmek için dosyaların header ve footer bölümlerini kullanmaktadır.
Varsayılanı ile 20 ve 20 üzeri dosya ile ilgili işlem yapılabilmektedir.
Tcpxtract, elde edilen paketler içerisinden dosya türlerini hangi değerlere göre ayıracağına bakar iken belli bir config dosyası kullanmaktadır.
Kullanmış olduğu config dosyası Foremost config ile benzerdir.
Tcpxtract Config Dosyası
Yazılım, kullanacak olduğu config dosyalarını, dosyalar halinde kategorilere ayırmıştır.
(Misal, MP4 video, .avi vb.)
Tüm dosya türleri için dosya uzantılarının yanında parantez açarak dosyanın boyutunu, başlığını ve az önce söylediğim footer bilgisini gösterir.
Yalnızca özellikleri farklı bir dosya türü aranıyor ise tanımların başına # (hashtag) konulur.
İşlem anında satırlar açıklama satırı olarak belirlenir.
Örnek bir ekran alıntısı bırakacağım.
Yazılımı başlatmak için aşağıya bırakacağım komutlar yeterlidir.
-C değişkeni ile birlikte kullanılacak config dosyası belirlenirken, -F değişkeni ile pcap dosyasının iletişimi belirlenir.
Diyelim ki biz dosya kurtarımı gerçekleştirdik(olay müdahalesi dediğimiz şey bu) ve bu kurtardığımız dosyaları yazılımın belirlediği yer haricinde bir bölüme kaydedecek isek -O değişkenini kullanarak yer belirleyebiliriz.
Bunun haricinde vereceğim ekran alıntısında tcpxtract yazılımının yürütülmesi ile ilgili durumu görebilirsiniz.
Ekran alıntısında kurtarılmış dosyalar mevcut ve bu dosyaların hangi oturum içerisinden elde edildiğinin bilgisi(IP şeklinde) komut satırında bulunmaktadır.
Bazı müdahalelerde yakalanmış ağ verileri üstünden (pcap dosyaları içinde) de gönderilmiş ya da alınmış olan dosyalarda çıkartma işlemi yapmak durumunda kalınabilir.
Bu müdahalelerde bizlere tcpxtract yardımcı olacak.
Peki hocam nedir bu tcpxtract?
Ağ üstünde akış sağlamakta olan trafiğin içerisinden bilinen klasörlerin türlerine göre başlık ve son verilerini kullanarak dosya çıkartmamıza yardımcı olan bir kittir diyebiliriz tcpxtract'a.
Kitin güncel versiyonuna vereceğim link üzerinden erişim sağlayabilirsiniz.
Dosya sistemleri üstünden data kurtarımı amacıyla kullanılmakta olan Foremost yazılımı ile birebir mantık ile çalışmaktadır tcpxtract kiti de.
Tanılama işlemi gerçekleştirebilmek için dosyaların header ve footer bölümlerini kullanmaktadır.
Varsayılanı ile 20 ve 20 üzeri dosya ile ilgili işlem yapılabilmektedir.
Tcpxtract, elde edilen paketler içerisinden dosya türlerini hangi değerlere göre ayıracağına bakar iken belli bir config dosyası kullanmaktadır.
Kullanmış olduğu config dosyası Foremost config ile benzerdir.
Tcpxtract Config Dosyası
Yazılım, kullanacak olduğu config dosyalarını, dosyalar halinde kategorilere ayırmıştır.
(Misal, MP4 video, .avi vb.)
Tüm dosya türleri için dosya uzantılarının yanında parantez açarak dosyanın boyutunu, başlığını ve az önce söylediğim footer bilgisini gösterir.
Yalnızca özellikleri farklı bir dosya türü aranıyor ise tanımların başına # (hashtag) konulur.
İşlem anında satırlar açıklama satırı olarak belirlenir.
Örnek bir ekran alıntısı bırakacağım.
Yazılımı başlatmak için aşağıya bırakacağım komutlar yeterlidir.
-C değişkeni ile birlikte kullanılacak config dosyası belirlenirken, -F değişkeni ile pcap dosyasının iletişimi belirlenir.
Diyelim ki biz dosya kurtarımı gerçekleştirdik(olay müdahalesi dediğimiz şey bu) ve bu kurtardığımız dosyaları yazılımın belirlediği yer haricinde bir bölüme kaydedecek isek -O değişkenini kullanarak yer belirleyebiliriz.
Bunun haricinde vereceğim ekran alıntısında tcpxtract yazılımının yürütülmesi ile ilgili durumu görebilirsiniz.
Ekran alıntısında kurtarılmış dosyalar mevcut ve bu dosyaların hangi oturum içerisinden elde edildiğinin bilgisi(IP şeklinde) komut satırında bulunmaktadır.
