Merhaba değerli THT üyeleri, bugün Adli Bilişim'de kanıt toplamaya devam edeceğiz. Sıradan bir kullanıcı, illegal bir faaliyete karıştıktan sonra tüm delilleri silmek ister, format atılsa dahi bir takım veriler kurtarılabilir ancak kullanıcı sadece kullandığı dosya ve programları silerse, o zaman hedef hakkında oldukça fazla bilgi toplamak mümkün. Hem de bunu Windows'un kendi imkanlarıyla da yapabilirsiniz. Bu gün sizlere farklı araçlar tanıtacağım ve ne işe yaradıklarını da aynı zamanda öğrenmiş olacağız.
Açtıktan sonra test.ss'in barındırdığı dosyaları görüyoruz ve ok ile işaretli yerlerde de bir takım bilgileri görmek mümkün. "Düzenleme, oluşturulma tarihi vs."
Structured Storage Viewer.:
- Bu aracımız, Recovery Store dosyalarının içeriği okumamıza yarar. Recovery Store dosyası, Microsoft'un OLE structured storage container formatındaki bir dosyasıdır. İsmi de kendi kadar bir hayli karışık ancak "Microsoft OLE structured storage container nedir ?" diye bir bakalım.
- OLE, nesne bağlama olarak da geçen, nesnelerin birbirleriyle iletişimini sağlayan ve aynı zamanda developer (geliştirici)ler için de özel bir arayüz tasarlayan bir teknolojidir. Geliştiriciler için bu özel arayüzü kullanmaları ve geliştirmeleri için OCX adında sistem de piyasaya sürülmüştür. Açılımı da OLE Control Extension (OLE Kontrol Uzantısı)'dır.
- SSV programı ise bu formattaki dosyaları okumamıza yarıyor. "http://mitec.cz/ssv.html" adresinden indirdikten sonra RAR'dan çıkarıyoruz. Aracı açtıktan sonra sol üstte 'yeni, aç' gibi seçenekler çıkıyor. Biz burada bir dosyayı açacağız. Bunun için 'OPEN' seçeneğine tıklıyorum ve SSV aracımızı RAR'dan çıkarttığımız dizine gidiyorum. Orada 'test.ss' uzantılı bir dosya var, ona tıklıyorum ve açılıyor.
Açtıktan sonra test.ss'in barındırdığı dosyaları görüyoruz ve ok ile işaretli yerlerde de bir takım bilgileri görmek mümkün. "Düzenleme, oluşturulma tarihi vs."
- Ben örnek olarak 'Pictures' dosyasındaki resimleri inceleyeceğim. 'JPEG' isimli dosyayı seçtikten sonra sol alt kısımda dosyanın adı, dizin yolu ve boyutunu gösteren bir kısım var. Onun haricinde ana ekranda HEX şifrelemesi, text, rtf ve html şeklinde seçenekler var. Bu seçeneklerde dosya analizini kolaylaştırmış oluyor. Mesela ben burada resim seçtiğim için 'As picture' seçeneği var. Oraya tıkladığımda da resmi görüyorum. Diğer seçeneklerde şifrelenmiş halleri bulunuyor, onları da şu şekilde gösterebiliriz.
- HEX şifrelemesi türünde;
- Text şeklinde;
- Test.ss dosyası aslında bize buradaki seçenekleri kullanmamız için de imkan tanımış. docu ments klasörü altında rtf, html ve txt formatında dosyalar var. Bunları da aynı şekilde inceleyebilirsiniz.
Chrome Cache.:
- Chrome'un önbelleğinde depolanan verileri çekmek de bizi hedefe bir adım yakınlaştıracaktır. Bunun için de 'ChromeCacheView' isimli uygulamayı kullanacağız. "https://www.nirsoft.net/utils/chrome_cache_view.html" adresinden indirdikten sonra RAR'dan çıkartıyoruz ve çalıştırmamızla birlikte tüm verileri görebiliyoruz ve son erişilme tarihleri gibi verileri de görmek mümkün.
Chrome Password Decryptor.:
- Bu araç, chrome'daki kayıtlı şifreleri bize verir. "C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default" yolundaki "Login Data" klasörünün içindeki verileri çekerek bu verileri bize vermektedir. "https://securityxploded.com/chromepassworddecryptor.php" adresinden indirebilirsiniz. Kurduktan sonra show passwords demeniz durumunda şifreleri gösterecektir.
Registry'den veri çekmek.:
- 'Windows Kayıt Defteri' olarak da geçen, kullanıcıların çeşit işlemler yaptığında onları depolayan, hiyerarşik bir sistemdir. Windows çalıştığı andan itibaren registry'da çalışır ve verileri saniye saniyesine işler, aynı zamanda sadece pc ile alakalı değil, kullanıcının yaptığı işlemleri de deposuna dahil eder ve saklar.
- Windows çalışırken registry'dan sadece şu depolara ulaşabilirsiniz;
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_USERS
- HKEY_CURRENT_CONFIG
Registry Araçları.:
- regedit.exe.:
- Windows sistemlerde kurulu olarak gelmektedir.
- Sadece 1 kullanıcı için işlem yapabilirsiniz.
- Çalıştır'a 'regedit' yazıp erişebilirsiniz.
REG.:
- Windows sistemlerde kurulu olarak gelmektedir. Komut istemine 'REG' yazılarak çalıştırılır. Registry için ekleme, düzenleme ve verileri okumaya yarar.
REG komutları.:
- REG/? : Bir nevi help menüsüdür ve kullanılacak komutlar hakkında bilgi verir.
- REG QUERY /? : Sorgu yapılırken kullanılır, 'Query'nin Türkçe karşılığı sorgudur. Bu komutu direkt yazarsanız size yönerge verir ve kullanılabilecek örnek kodları listeler.
- REG QUERY HKLM\Software\Microsoft\ > Şu şekilde sorgu ile Microsoft'un dizininin altındaki dosyaları görmüş olacağız. 'REG QUERY /?' yazdıktan sonra örnek listesindeki kodları da deneyebilirsiniz.
- REG ADD /? : Ekleme işlemi yapar. 'add'in Türkçe karşılığı eklemektir. 'REG ADD /?' komutunu yazdıktan sonra yönergeleri bize sunmaktadır.
- "REG ADD KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f]" aynı terimler diğer kodlarda da geçtiği için buradaki terimlerin anlamlarını açıklayacağım.
- Keyname: İşlem yapılacak anahtar adıdır, tam ismi girilmelidir. Geçerli anahtarlar 'HKLM', 'HKCU', 'HKCR', 'HKU' ve 'HKCC'dir. Bunların nedenine ise son kısımda değineceğim.
- Valuename: Değer adı olarak geçmektedir, anahtarın altında seçilebilir.
- /ve: Anahtar için boş bir değer atamaya yarar.
- /t Type: Reg anahtar türlerinin seçilmesini sağlar. Kullanılabilir reg anahtar türleri ise şunlardır;
- REG_SZ
- REG_MULTI_SZ
- REG_EXPAND_SZ
- REG_DWORD
- REG_QWORD
- REG_BINARY
- REG_NONE
- /s Separator: 'Separator' Türkçe olarak ayırıcı anlamına gelir. Verilerin ayrılmasında rol oynar.
- /d Data: Değer ismine (Valuename) eklenecek veridir.
- /f: Komut istemi olmadan kayıt defterinde düzenlemeler yapılması zorunlu kılan komuttur.
- Örnek olarak bu kodu inceleyebiliriz. Adım adım anlatılmış, ilk başta anahtar ekleniyor, sonrasında değer ve yukarıdaki komutlara istinaden eklemelerde bulunuluyor. En son komut çalıştırıldığında ise başarılı oluyor.
REG'in olumsuz yönleri.:
- Canlı analiz harici 'çevrimdışı analiz' yapılamıyor.
- Uzak sistemlere bağlanınca sadece 'HKEY_LOCAL_MACHINE' ve 'HKEY_USERS' üzerinde işlem yapılabiliyor.
- Anahtarlar o dosyanın ne zaman düzenlendiğine dair 'lastwritetime' bilgisi vermiyor.
- Aynı anda sadece tek bir sistemde inceleme yapabiliyor.
Registry Analizi.:
- Registry'da "HKEY_LOCAL_MACHINE"e bağlı, SYSTEM, SOFTWARE ve SECURITY" üzerinden analiz yapacağız. Bu 3 depodan çekebileceğimiz bilgiler şunlardır;
- Bilgisayarın işletim sistemi
- Bilgisayarın ismi
- Dosyaların son erişimin zamanının tutulup tutulmadığı
- Ağ arayüzleri
- Geçmişte bağlanılan kablosuz ağlara ait bilgiler
- Bilgisayardaki paylaşılmış klasörler
- Bilgisayar açıldığında çalışan uygulama-hizmetlerin listesi
- Bilgisayarın kaç kere kapatıldığı
- En son ne zaman kapatıldığı
İşletim sistemi versiyonun tespiti.:
- Analizin başında ilk işlem olarak işletim sistem tespiti yapılması işleri kolaylaştıracağı için bu adıma öncelik verilir.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion kısmına gittikten sonra 'CurrentVersion'a bir kere tıklamanız yeterli olacaktır, pc versiyonu, pc işletim sistemi, sistemin kurulu olduğu dizin ve lisans anahtarı gibi bilgileri görmek mümkün.
İncelenen kullanıcının adının tespit edilmesi.:
- Analizlerde doğru kullanıcı adı tespitinin yapılması daima avantaj olacaktır.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName dizinine gittikten sonra 'ComputerName'e bir kere tıklamanız yeterli olacaktır ve kullanıcı adını öğrenmiş oluyoruz.
Dosyaların son erişimin zamanının tutulup tutulmadığı.:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem dizinine gittikten sonra 'FileSystem'a bir kere tıklamanız yeterli olacaktır ve kullanıcı adını öğrenmiş oluyoruz. Buradaki değerin '1' yapılması sistem performansını arttırır ve aynı zamanda inceleme yapan kişiye de zorluk çıkartır zira 1 yapılınca son erişim zamanının kaydı tutulmamaktadır.
Ağ tipi tespiti.:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Signatures dizinindeki unmanaged dosyasına tıklandığı zaman oradaki anahtar kablosuz ağ mı yoksa kablosuz ağ mı kullanıyor hakkında bilgi verir.
- 0x47 > Kablosuz Ağ
- 0x06 > Kablolu Ağ
- 0x17 > 3G Ağ
Sistemin en son ne zaman kapatıldığının bilgisinin tespit edilmesi.:
- Bilgisayar\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows dizinine gittikten sonra 'ShutdownTime' isimli dosyanın yanındaki değer bize bu bilgiyi veriyor ancak bu şifreli bir veridir, bu kırmak için DCode uygulamasını kullanacağız. "https://www.digital-detective.net/dcode/" adresinden indirdikten sonra 'ShutdownTime'ın yanındaki değeri Value to decode kısmına elle yazıyoruz ve hash'i kırıp bilgi veriyor.
En son çalıştırılan kodların tespiti.:
- Bilgisayar\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU dizinindeki dosyadan yapılabilmektedir.
- RepRipper aracının 'runmru' eklentisi ile de tespit edilebilir. "https://github.com/keydet89/RegRipper2.8" adresinden indirdikten sonra 'rip -r NTUSER.DAT -p runmru' komutu kullanabilirsiniz.
Son düzenleme:
