- 24 Haz 2015
- 2,336
- 190
- 112
Konumuza geçmeden önce Adli Bilişimi de içinde bulunduran Adli Bilimlerin ne olduğuna açıklık getireceğiz.
Adli Bilimler neredeyse bütün alanı kapsayacak şekilde tıp alanından fen ve sosyal bilimler alanına kadar adli konuların çözülmesi amacıyla adalete yardım için var olan bir bilim dalıdır.
Adli bilimler; adli bilişim, adli tıp, adli kimya, adli toksikoloji, adli eczalık, adli sosyoloji tarzında birden fazla alanı bünyesinde bulundurur.
Bilişim; verinin ulaştırılması, düzenlenmesi, gizlenmesi, yeniden elde edilmesi, değerlendirilmesi ve dağıtım için gerekli teknik ve kuramdır.
Bilişim yönetimde 3 adet işlem bulunur bunlar; input dediğimiz girdi, yöntem ve son olarak çıktıdır.
TDK; Bilişimi",
Bu da demektir ki bilişim teknolojisi, bilişimde kullanılan tüm ekipmanların oluşturduğu sistemdir.
Bilişim sistemi; veri toplamak, veri sınıflandırmak, toplanan veriyi açıklamak ve bunları şahıslara iletmek için kullanılır.
Sleuth Kit(Komut Satırı Yazılımı) İle Dosyalar Arası Adli Bilişim
Bu konumuzda dosya sistemleri baz alınarak adli bilişim incelemeleri nasıl gerçekleştirilir ona bakacağız.
Hareket tarzımıza uygun olacağını düşündüğüm mevcut ayrıntı uygulaması olan The Sleuth Kit'i ve yine bu yazılımın ayrıntılarını ele alacağız.
Bu uygulama adli bilişim analizlerinde kullanılan, konsol istemcisi uygulamalarını barındıran bir kittir.
Kitin güncel versiyonuna orijinal web sitesi üzerinden erişebilirsiniz.
Windows, Linux, Solaris ve daha bir çok işletim sisteminde çalışmaktadır.
Kitin bünyesinde barındırmış olduğu uygulamalar farklı kategorilere ayrılmıştır.
Diğer Aygıtlar
İmaj Dosyaları ve Aygıtları
Volume Aygıtları
Disk Aygıtları
Dosya ve Sistem Aygıtları
Uygulama ortamında komut satırı işlemleri dosya kaynaklarında işlem yaparken işletim sistemlerinden bağımsız olduklarından dolayı saklanan yada silinen dosyaları basit bir şekilde bulabilir.
Bilirkişi tarafından Windows ve diğer işletim sistemi dosyaları disk imajlarını analizlemek amacıyla girdi olarak TSK uygulamalarında kullanılmaktadır.
TSK'nın barındırdığı işlemler Incident Response(müdahale) sırasında canlı Windows yada Linux işletimlerinde de çalışmaktadır.
Bu şekilde rootkitler aracılığıyla saklanan dosya ve disk tespiti kolaylaştırılır.
Ve bu araçlar ile yapılan analiz işlemleri, dosyaların erişim zamanlarında herhangi bir güncellemeye sebebiyet vermez.
TSK bünyesindeki komut satırı işlemlerinin ilk harfleri ilgili uygulamanın hangi katmanda çalışacak düzeyde kodlandığını temsil eder.
TSKnın yazılımcılarının belirlemiş olduğu liste aşağıda yer almaktadır.
Dosya Sistemi : Burada yürütülen dizinlerin ismi f ile başlamaktadır. Mesela fsstat .
Veri : Burada yürütülen dizinlerin ismi b ile başlamaktadır. Mesela blkcat .
Me-ta Veri: Burada yürütülen dizinlerin ismi i ile başlamaktadır. Mesela ils .
Dosya Adı : Burada yürütülen dizinlerin ismi yine f ile başlar. Mesela fls .
Journal : Burada yürütülen dizinlerin ismi j ile başlarmaktadır. Mesela jcat.
Medya Yönetimi: Burada yürütülen dizinlerin ismi m ile başlamaktadır. Mesela mmls .
Disk (Yalnızca Linux işletim sistemleri için geçerli): Burada yürütülen dizinlerin ismi direkt olarak disk ile başlamaktadır. Mesela disk_stat .
Üst tarafta belirtmiş olduğum işlemler dışında TSK yazılımının barındırdığı farklı araçlar da mevcuttur.
Lokal dizinlerin aşamasını bir raw formatlı disk ile kıyas yapmak amacı ile kullanılmaktadır.
Ancak genel olarak rootkit tespitinde kullanılır.
İmaj içinde bulunan dosyaların me-ta verilerini ayıklamak sureti ile kullanılır.
İşlemin çıktısı bir BODY filedir girdi işlemi için mactime yapılır.
İşlemin yürütülmesi i fls'nin "-m" değişkeni ile sağlanır.
Bu işlem imaj, volume ve dosyalarla ilgili me-ta verilerin bilgilerini bir SQLite veritabanında loglar.
Veritabanını dilendiğinde başka uygulamalar ile de açılabilir.
Diskin barındırdığı unallocated yada allocated(tahsisli alan) dosyaları yerel dizine taşır.
Şimdi bu kitin barındırdığı uygulamalar adli bilişim çözümlemelerinde nasıl kullanılır ona bakacağız.
Her bir uygulama için farklı birer konu hazırlamayı düşünüyorum.
Bu konuda sadece temel anlamda hangi amaç ile kullanılabileceklerinden söz edeceğiz.
Dosya Sistemi Araçları
Dosya sistemi ile ilgili ayrıntıları gösterir.
Dosya İsmi Araçları
Özüne parametre şeklinde işlenen inode yada cluster numaralı allocated veya unallocated dosyaların adını verir..
Özüne parametre şeklinde işlenen bir inode yada cluster numaralı dosya veya dizin loglarını verir.
Me-ta Veri Araçları
Disk içindeki bir dosyanın kavramını STDOUT'a atar.
Belki bilenler vardır Unix işletimlerde cat bulunur.
Cat ile aynı görevi yapar diyebiliriz.
Ancak parametre olarak dosyanın ismini değil, dosyaya ilişkin me-ta veri adresini (inode tarzı) alır.
Me-ta veri adresleri ile block ya da cluster tarzı veri birimlerinin eşleştirmelerini çözer.
Yine bu işlem sırasında dosya adı girdi şeklinde alınabilir.
Özüne girdi şeklinde verilmiş dosya ismi yada block veya cluster sayılarına bakarak bunlara eşit olan me-ta verilerin adreslerini alır.(mesela inode sayıları.)
Özüne girdi şeklinde verilmiş imaj dosyalarında bulunan me-ta veri içeriklerini ekrana yansıtır.
İşlem çıktısı farklı yazılımlarda girdi şeklinde de kullanılabilir.
Özüne girdi şeklinde verilmiş me-ta veri adreslerini ve beraberinde bununla ilgili detaylı bilgileri okunaklı şekilde gösterir.
Veri Birimi Araçları
Yine bu işlemde özüne girdi şeklinde verilmiş veri ünitelerinin kavramlarını STDOUT'a atar.
Veri üniteleri ile ilgili ayrıntıları liste haline getirir.
Yine dosya sisteminde bulunan unallocated bölümleri extract haline getirmek amaçlı da kullanılabilir.
Özüne girdi şeklinde verilmiş veri üniteleriyle ilgili bilgileri verir.
Elde edilen dosyalarda bulunan verinin orjinal imaj şeklinin konumunu bulmayı sağlar.
Journal Araçlar
Bu işlemler önceden belirli dosya sistemlerinde bulunan journallar ile ilgili uygulama gerçekleştirir.
Me-ta veri üstünde yahut içerik üstünde oynanmış ise işte burada journal kayıt tutar.
İşlem silinen verilerin geri getirilmesinde etkilidir. Bu yüzden de Adli bilişim uygulamasında kullanılmaktadır.
Tayin edilen journal bütününün ayrıntılarını verir.
Dosya sistemindeki journallerin loglarını listeler.
Volume Araçları
Bu işlem sırasında diskin bölüm şekilleri incelenir.
Diskin mimarisi ile ilgili bilinenleri gösterir.
Volume sistemi ile ilgili bilinenleri ayrıntılı bir şekilde gösterir
Tamlanan özel volume'ün kavramlarını konumundan sökerek STDOUT'a atar.
İmaj Araçları
İmaj kategorisinde ayıracağımız kodlar imaj biçimleri hakkında işlemlerde bulunmamızı sağlayan uygulamalar bütünüdür diyebiliriz.
Yine girdi şeklinde özüne verilmiş imaj dosya biçimlerini çıktı şeklinde verir.
Özüne girdi şeklinde verilmiş imaj dosyasının başlandığı ve sonlandığı dilimlerin raw kavramını verir.
Disk Araçları
Burada ayıracağımız işlemler harddiskte Ana bilgisayar korumalı alan (HPA)'nın mevcudiyetini bulmamıza ve mevcut ise HPA'yı devre dışı bırakmamıza yardımcı olur.
Bu işlemleri yalnızca Linux işletimli sistemlerde gerçekleştiriyoruz.
İşlem diskte mevcut Ana bilgisayar korumalı alanı geçiçi süreliğine devre dışı bırakır.
Disk güçten kesildiğinde ya da baştan başlatıldığında HPA otomatik aktifleşir bu yüzden geçici devre dışı bırakır diyoruz.
Bu işlemi diskte mevcut bir HPA olup olmadığına bakmak için kullanıyoruz.
Diğer Araçlar
Hash veri tabanlarında bulunan hash ölçülerinin listesini verir.
ils işlem çıktısını, girdi şeklinde gösterir.
İsteğe dosya hareketliliğini de listeler.
Çeşitlerine bakarak dosyaları belirli bölümlere göre dizen hatta isteğe göre veritabanı kontrolü sağlar.
Özüne girdi şeklinde verilmiş çift değerleri tekrar özüne girdi şeklinde verilmiş offsetten başlayarak(mesafe gösteren tamsayı) ayrıntılı arama verir.
Adli Bilimler neredeyse bütün alanı kapsayacak şekilde tıp alanından fen ve sosyal bilimler alanına kadar adli konuların çözülmesi amacıyla adalete yardım için var olan bir bilim dalıdır.
Adli bilimler; adli bilişim, adli tıp, adli kimya, adli toksikoloji, adli eczalık, adli sosyoloji tarzında birden fazla alanı bünyesinde bulundurur.
Bilişim; verinin ulaştırılması, düzenlenmesi, gizlenmesi, yeniden elde edilmesi, değerlendirilmesi ve dağıtım için gerekli teknik ve kuramdır.
Bilişim yönetimde 3 adet işlem bulunur bunlar; input dediğimiz girdi, yöntem ve son olarak çıktıdır.
TDK; Bilişimi",
Bu da demektir ki bilişim teknolojisi, bilişimde kullanılan tüm ekipmanların oluşturduğu sistemdir.
Bilişim sistemi; veri toplamak, veri sınıflandırmak, toplanan veriyi açıklamak ve bunları şahıslara iletmek için kullanılır.
Sleuth Kit(Komut Satırı Yazılımı) İle Dosyalar Arası Adli Bilişim
Bu konumuzda dosya sistemleri baz alınarak adli bilişim incelemeleri nasıl gerçekleştirilir ona bakacağız.
Hareket tarzımıza uygun olacağını düşündüğüm mevcut ayrıntı uygulaması olan The Sleuth Kit'i ve yine bu yazılımın ayrıntılarını ele alacağız.
Bu uygulama adli bilişim analizlerinde kullanılan, konsol istemcisi uygulamalarını barındıran bir kittir.
Kitin güncel versiyonuna orijinal web sitesi üzerinden erişebilirsiniz.
Windows, Linux, Solaris ve daha bir çok işletim sisteminde çalışmaktadır.
Kitin bünyesinde barındırmış olduğu uygulamalar farklı kategorilere ayrılmıştır.
Diğer Aygıtlar
İmaj Dosyaları ve Aygıtları
Volume Aygıtları
Disk Aygıtları
Dosya ve Sistem Aygıtları
Uygulama ortamında komut satırı işlemleri dosya kaynaklarında işlem yaparken işletim sistemlerinden bağımsız olduklarından dolayı saklanan yada silinen dosyaları basit bir şekilde bulabilir.
Bilirkişi tarafından Windows ve diğer işletim sistemi dosyaları disk imajlarını analizlemek amacıyla girdi olarak TSK uygulamalarında kullanılmaktadır.
TSK'nın barındırdığı işlemler Incident Response(müdahale) sırasında canlı Windows yada Linux işletimlerinde de çalışmaktadır.
Bu şekilde rootkitler aracılığıyla saklanan dosya ve disk tespiti kolaylaştırılır.
Ve bu araçlar ile yapılan analiz işlemleri, dosyaların erişim zamanlarında herhangi bir güncellemeye sebebiyet vermez.
TSK bünyesindeki komut satırı işlemlerinin ilk harfleri ilgili uygulamanın hangi katmanda çalışacak düzeyde kodlandığını temsil eder.
TSKnın yazılımcılarının belirlemiş olduğu liste aşağıda yer almaktadır.
Dosya Sistemi : Burada yürütülen dizinlerin ismi f ile başlamaktadır. Mesela fsstat .
Veri : Burada yürütülen dizinlerin ismi b ile başlamaktadır. Mesela blkcat .
Me-ta Veri: Burada yürütülen dizinlerin ismi i ile başlamaktadır. Mesela ils .
Dosya Adı : Burada yürütülen dizinlerin ismi yine f ile başlar. Mesela fls .
Journal : Burada yürütülen dizinlerin ismi j ile başlarmaktadır. Mesela jcat.
Medya Yönetimi: Burada yürütülen dizinlerin ismi m ile başlamaktadır. Mesela mmls .
Disk (Yalnızca Linux işletim sistemleri için geçerli): Burada yürütülen dizinlerin ismi direkt olarak disk ile başlamaktadır. Mesela disk_stat .
Üst tarafta belirtmiş olduğum işlemler dışında TSK yazılımının barındırdığı farklı araçlar da mevcuttur.
Lokal dizinlerin aşamasını bir raw formatlı disk ile kıyas yapmak amacı ile kullanılmaktadır.
Ancak genel olarak rootkit tespitinde kullanılır.
İmaj içinde bulunan dosyaların me-ta verilerini ayıklamak sureti ile kullanılır.
İşlemin çıktısı bir BODY filedir girdi işlemi için mactime yapılır.
İşlemin yürütülmesi i fls'nin "-m" değişkeni ile sağlanır.
Bu işlem imaj, volume ve dosyalarla ilgili me-ta verilerin bilgilerini bir SQLite veritabanında loglar.
Veritabanını dilendiğinde başka uygulamalar ile de açılabilir.
Diskin barındırdığı unallocated yada allocated(tahsisli alan) dosyaları yerel dizine taşır.
Şimdi bu kitin barındırdığı uygulamalar adli bilişim çözümlemelerinde nasıl kullanılır ona bakacağız.
Her bir uygulama için farklı birer konu hazırlamayı düşünüyorum.
Bu konuda sadece temel anlamda hangi amaç ile kullanılabileceklerinden söz edeceğiz.
Dosya Sistemi Araçları
Dosya sistemi ile ilgili ayrıntıları gösterir.
Dosya İsmi Araçları
Özüne parametre şeklinde işlenen inode yada cluster numaralı allocated veya unallocated dosyaların adını verir..
Özüne parametre şeklinde işlenen bir inode yada cluster numaralı dosya veya dizin loglarını verir.
Me-ta Veri Araçları
Disk içindeki bir dosyanın kavramını STDOUT'a atar.
Belki bilenler vardır Unix işletimlerde cat bulunur.
Cat ile aynı görevi yapar diyebiliriz.
Ancak parametre olarak dosyanın ismini değil, dosyaya ilişkin me-ta veri adresini (inode tarzı) alır.
Me-ta veri adresleri ile block ya da cluster tarzı veri birimlerinin eşleştirmelerini çözer.
Yine bu işlem sırasında dosya adı girdi şeklinde alınabilir.
Özüne girdi şeklinde verilmiş dosya ismi yada block veya cluster sayılarına bakarak bunlara eşit olan me-ta verilerin adreslerini alır.(mesela inode sayıları.)
Özüne girdi şeklinde verilmiş imaj dosyalarında bulunan me-ta veri içeriklerini ekrana yansıtır.
İşlem çıktısı farklı yazılımlarda girdi şeklinde de kullanılabilir.
Özüne girdi şeklinde verilmiş me-ta veri adreslerini ve beraberinde bununla ilgili detaylı bilgileri okunaklı şekilde gösterir.
Veri Birimi Araçları
Yine bu işlemde özüne girdi şeklinde verilmiş veri ünitelerinin kavramlarını STDOUT'a atar.
Veri üniteleri ile ilgili ayrıntıları liste haline getirir.
Yine dosya sisteminde bulunan unallocated bölümleri extract haline getirmek amaçlı da kullanılabilir.
Özüne girdi şeklinde verilmiş veri üniteleriyle ilgili bilgileri verir.
Elde edilen dosyalarda bulunan verinin orjinal imaj şeklinin konumunu bulmayı sağlar.
Journal Araçlar
Bu işlemler önceden belirli dosya sistemlerinde bulunan journallar ile ilgili uygulama gerçekleştirir.
Me-ta veri üstünde yahut içerik üstünde oynanmış ise işte burada journal kayıt tutar.
İşlem silinen verilerin geri getirilmesinde etkilidir. Bu yüzden de Adli bilişim uygulamasında kullanılmaktadır.
Tayin edilen journal bütününün ayrıntılarını verir.
Dosya sistemindeki journallerin loglarını listeler.
Volume Araçları
Bu işlem sırasında diskin bölüm şekilleri incelenir.
Diskin mimarisi ile ilgili bilinenleri gösterir.
Volume sistemi ile ilgili bilinenleri ayrıntılı bir şekilde gösterir
Tamlanan özel volume'ün kavramlarını konumundan sökerek STDOUT'a atar.
İmaj Araçları
İmaj kategorisinde ayıracağımız kodlar imaj biçimleri hakkında işlemlerde bulunmamızı sağlayan uygulamalar bütünüdür diyebiliriz.
Yine girdi şeklinde özüne verilmiş imaj dosya biçimlerini çıktı şeklinde verir.
Özüne girdi şeklinde verilmiş imaj dosyasının başlandığı ve sonlandığı dilimlerin raw kavramını verir.
Disk Araçları
Burada ayıracağımız işlemler harddiskte Ana bilgisayar korumalı alan (HPA)'nın mevcudiyetini bulmamıza ve mevcut ise HPA'yı devre dışı bırakmamıza yardımcı olur.
Bu işlemleri yalnızca Linux işletimli sistemlerde gerçekleştiriyoruz.
İşlem diskte mevcut Ana bilgisayar korumalı alanı geçiçi süreliğine devre dışı bırakır.
Disk güçten kesildiğinde ya da baştan başlatıldığında HPA otomatik aktifleşir bu yüzden geçici devre dışı bırakır diyoruz.
Bu işlemi diskte mevcut bir HPA olup olmadığına bakmak için kullanıyoruz.
Diğer Araçlar
Hash veri tabanlarında bulunan hash ölçülerinin listesini verir.
ils işlem çıktısını, girdi şeklinde gösterir.
İsteğe dosya hareketliliğini de listeler.
Çeşitlerine bakarak dosyaları belirli bölümlere göre dizen hatta isteğe göre veritabanı kontrolü sağlar.
Özüne girdi şeklinde verilmiş çift değerleri tekrar özüne girdi şeklinde verilmiş offsetten başlayarak(mesafe gösteren tamsayı) ayrıntılı arama verir.
Son düzenleme:
)
