- 13 Ocak 2018
- 3,227
- 29
Merhaba değerli THT üyeleri,
Bu konumda sizlere E-mail forensics'ten bahsedecek ve en anlaşılır şekilde bildiklerimi sizinle paylaşacağım. Hazırsanız buyrun arkanıza yaslanın, 'blackcoder geliyor...
E-MAIL FORENSICS NEDİR ?
E-mail forensics bir e-posta'nın kim tarafından gönderildiği, ne zaman ve nereden, ne gönderildiği hakkında bilgi toplamak için yapılan bir adli bilişim incelemesidir. E-Maillerde takvime eklenen görevler, kişiler vs. de analiz edilerek bilgi toplanabilmektedir. Biz de bu konumuzda e-mail forensics'in nasıl yapıldığına ve hangi platformlar üzerinde yapıldığına dair bilgi edineceğiz.
E-mail analizi esnasında 3 farklı kısma bakılır. Bu kısımlar e-posta başlığı, içeriği ve dosya ekleridir.
E-POSTA BAŞLIKLARI ÜZERİNDE ANALİZ
Received : Gönderilen bir e-posta'nın alıcıya ulaşana kadar uğradığı tüm sunucular hakkında bilgi veren kısımdır. Göndericinin IP bilgilerini ve uğranan sunucuların IP bilgilerini kapsar.
From : E-posta göndericisini işaret eder
To : E-posta alıcısını işaret eder.
Message-ID : Uygun olduğunda göndericinin işletim sistemi hakkında bilgi veren kısmıdır. Mailin oluşturulduğu mail sunucusu tarafından atanan değerdir. Sunucu üzerinde arama yapılarak detaylara ulaşılabilir.
X-Mailer : E-Posta'nın oluşturulduğu sunucu hakkında bilgi verir. Opsiyoneldir
X-Originating : E-Posta'nın gönderildiği IP adresini gösterir. Her e-posta başlığında bulunmaz.(Firmalara göre değişiklik göstermektedir)
Mıme-Version : Göndericinin işletim sistemi hakkında bilgi verebilir. Aynı zamanda gönderilen dosyanın göndericide şifrelenerek alıcıda deşifre edilmesini sağlamaktadır. E-mail içeriğinin formatını genişletir.
E-POSTA GÖVDESİ ÜZERİNDE ANALİZ
Göndericinin oluşturduğu kısımdır. E-postanın içeriğini oluşturur. Araç kullanmadan mauel olarak analiz edilebilir.
MESAJ EKLERİ ÜZERİNDE ANALİZ
Göndericinin alıcıya gönderdiği metin dışında eklenen dosyalara "ek" adını veriyoruz. Bu dosyalar encode edilmiş şekilde alıcıya gönderildiğinde analiz edecek kişi ekleri düzgün şekilde decode etmeli ve içeriği görüntüleyebilmelidir.
WEB TABANLI E-POSTALAR ÜZERİNDE ADLİ İNCELEME
Bu tür e-postalar kullanıcı e-posta servislerine tarayıcı yardımıyla bağlanarak giriş yaptığı için bilgisayarlarda offline olarak barındırılmazlar bu nedenle adli bilişim analizi zorlaşmaktadır. Web tabanlı e-posta servisleri kullanarak kullanıcının elde ettiği verilere, veri kurtarma ve disk imajı üzerinden karakter arama gibi tekniklerle Adli bilişim uzmanı tarafından erişim sağlanabilir. Kullanıcının tarayıcı geçmişinden kullandığı web tabanlı e-posta servisi öğrenilebilir. Ardından e-posta adreslerine erişim sağladığı IP adresi gibi bilgiler servis sağlayıcısından istenebilir, elde edilebilir.
HOST TABANLI E-MAİL SUNUCULARI
Host tabanlı mailler gönderildiğinde istemci yerine disklerde şifrelenmiş ya da şifrelenmemiş olarak bulunabilir. Gerekli aramalar yapılarak dosyaların konumuna erişilebilir. Örnek olarak Microsoft Outlook, Windows Mail ve Mozilla Thunderbird bu uygulamalara dahil edilebilir.
HOST TABANLI E-MAİL SUNUCULARI ÜZERİNDE ADLİ İNCELEME
Microsoft Outlook : Microsoft tarafından yaratılan ücretsiz mail uygulamasıdır. Bu uygulamda elektronik postalar pst uzantılı dosyalarda bulunur. Bu pst dosyalarına erişim sağlayarak takvim içeriği, ekler ve mail içerisindeki tüm dosyalar keşfedilebilir. pst dosyaları kişisel bir şifre ile korunabilmektedir. Çeşitli araçlar ile bu şifrelere erişilebilir.
Windows Mail : Windows tarafından geliştirilen ücretsiz bir yazılımdır. Bütün postalar birbirinden farklı olmak üzere .eml uzantılı dosyalarda depolanır. Bu uzantıya sahip dosyalar metin biçiminde ve silindiği zaman erişim imkanı verebilmektedir. Aynı zamanda başlık bilgilerini de içerisinde barındırmaktadır. index ve klasör bilgileri .eml uzantılı dosyalar yerine .fol uzantılı dosyalarda depolanır.
Yukarıda verdiğim uygulamalar gibi pek çok mail uygulaması bulunmaktadır. Örnekler arttırılabilir
E-MAİL FORENSİCS YAZILIMLARI
Varolan tüm forensics yazılımları e-postalar üzerinde çeşitli analizler yapabilme özelliğine sahiptir. Bu yazılımların kullanım ücretleri yazılımın kullanışlığına, barındırdığı özelliklere bağlı olarak değişiklik göstermektedir. Bunlara en güzel örnek ProDiscover yazılımıdır.
ProDiscover yazılımı aşağıdaki özelliklerin tamamına hatta daha fazlasına sahiptir
E-posta görüntüleme ve süzme
Sabit disk görüntüleme
Diskteki korunmuş alanlara erişme ve analiz etme
Adli kopya alma
Adli kopya dosyalarını bölme ya da bir araya getirme
Klasör ve dosyaları adli kopyanın dışarına kopyalama
Detaylı arama işlemi yapabilme
Grafik öngörünüm dosyalarını tespit ve görüntüleme
Internet geçmişini görüntüleme
Registry analizi yapabilme
Olay günlüğü analizi yapabilme
E-POSTA SUNUCULARI
E-postalar istemcide ya da sunucu üzerinde ayrıca her ikisinde de aynı anda barındırılabilmektedir. Aşağıda bazı e-posta sunucularına yer verecek ve bunlar hakkında çeşitli bilgiler paylaşacağım,
Microsoft Exchange Server
Hemen hemen herkesin bildiği ve yaygın şekilde kullanılan kurumsal mail sunucusudur. Bu sunucuda edb ve stm uzantılı dosyalar barındırılmaktadır. edb uzantılı dosyalar mailleri, adres defterlerini vs. içerisinde barındırırken stm uzantılı dosyalar ekleri içerisinde barındırır. Exchange sunucusuna bağlanmadan erişim sağlanabilen offline dosyalar da ost uzantılı olarak depolanır. E-Mail analizinde oldukça önemli bir yere sahiptir. Silinen veriler 14 ila 30 gün aralığında veritabanından tamamen silinmektedir.
Bu sunucuda verilere erişim offline ve online olarak sağlanabilmektedir. Offline erişimler edb ve stm uzantılı dosyaların veri alış-verişlerinin kesintiye uğraması esnasında sunucu çalışmaz durumdayken kopyalanarak sağlanır. Online erişimler ise exchange server çalışır durumda iken gerçekleştirilen erişimlerdir. Offline erişime göre daha güvenli ve erişimi daha uzun sürer.
Lotus Notes
Veritabanı dosyalarını hem sunucuda hemde istemcide saklayan e-posta istemcisidir. Takvim, adres defteri, iletişimler özetleyecek olursak kullanıcının görebildiği her şeyi .nsf uzantılı veritabanında saklar.Exchange yazılımından sonra en çok tercih edilen e-posta servisidir.
Konuma burada nokta koyuyorum , teşekkür eder iyi forumlar dilerim
Son düzenleme:
