FTK Eğitim Serisi 3. Kısım Final Anlatımı

'PedroDavis

Moderatör Asistanı
24 Haz 2015
2,328
157
Herkese selamlar, arayı biraz açtığımızı düşünüyorum.
Bugün eğitim serisinin son bölümünün anlatımını yapacağım.

Bunlardan önceki iki konumuzda nasıl imaj alabileceğimizi ve aldığımız imajların üzerinde nasıl inceleme yapabileceğimizi anlattım.

Bu serinin senaryosunu da aşağıya vereceğim ve hızlıca bir geçiş yapacağız.

Şimdi bir senaryo hayal edeceğiz.
Şu şekilde düşünelim;

Bir adli bilişim vakası ile karşı karşıyayız ve cihazın kayıt defteri yani registry verilerine ya da .SAM türü verilerinde analiz yapmak istiyoruz.


Normal durumlarda analiz işlemlerini yaparken kullandığımız yazılımlar bu gibi verilerin üzerinde çalışma yapmaya müsaade etmemektedir.

Fakat şuan kullandığımız yazılım bu verilerin live system adını verdiğimiz sistem üstünde export hale getirip bizlere çalışma yapma fırsatı verir.

Konu anlatımı yine yazılım üzerinden vereceğim görseller ile olacak.
Gerektiği kısımlarda görsellere not düşebilirim, öyle olursa siz zaten görmüş olacaksınız.
Ona göre işlemleri yaparken dikkate alırsınız.




İsterseniz yavaş yavaş nasıl yapıldığına geçiş yapalım.

Tekrardan
“File” menüsüne geleceğiz, hemen akabinde “Obtain Protected Files” sekmesine tıklayacağız.

Görselleri aşağıya bırakıyorum.


juq95up.PNG


1x3u2u1.PNG


Bu kısımda yukarıda bahsettiğim uzantılı dosyaları(verileri) elde edeceğiz, aşağıya vereceğim görselde göreceksiniz yine.

Yine görselleri bırakıyorum.


m8e3bss.PNG


jdabsk3.PNG


Bu kısımdan sonra farklı bir durumun içerisindeymişiz gibi düşünmenizi isteyeceğim.

Misal olarak kullandığımız yazılıma sahip değiliz ya da bu yazılımı kullanabileceğimiz bir ortam mevcut değil fakat almamız gereken de bir imaj varmış gibi.

Burada da Linux'den yardım isteyeceğiz.

Linux imajına sahip isek sorun yaşamayacağız.

Yeni senaryom şu;

Bizde bir adet Linux tabanlı image mevcut olsun.
Böylelikle image elde etmek için bilgisayara güç vereceğim.
Sonrasında gereken yolları tamamlayarak image elde edeceğim.

Bunu için yardımcı tool da kullanacağım.

Linux tabanlı işletimler de çokça kullanılan bir tooldan yardım alacağım dersem daha doğru olur.

Ben imajımı USB sürücüye kaydettim.
Ve analiz yapacağım sistemi de çalıştırdım.
Görselde de göreceğiniz üzere ubuntu çalışır vaziyette.
(Ubuntu, Linux'un dağıtımıdır.)


jcebq78.PNG


Yazacağım komut yardımı ile sürücü bilgilerine bakacağım.

fdisk -l


sda sürücü elli gb kapasiteli görünüyor, bu imaj alacağımız sürücü.

sdb ise iki yüz küsür görünüyor, alacağım imajı buraya kaydedeceğim ben.


7gzim6j.PNG



Daha sonra gireceğim komut ile "media" dosyasına gideceğim ve bu kısımda yeni bir dosya açacağım.

Sebebi ise kaydını yapacağımız imajı Linux'un görmesi lazım.

Buraya ufak bir not düşeyim.
(''Mount" hale gelecek sürücü Linux'a gösterilecek)

cd /media

Yeni dosyayı buraya açtım.

Dosyanın ismini görsel olarak aşağıya bırakacağım terminalde göreceksiniz.


9fpsxcu.PNG


Bu şekilde sürücüyü de mountlamış olacağız.

Yine işlemlere devam ettiğim komutları görsel olarak bırakıyorum


ay6wgec.PNG


Böylelikle sürücüyü mountlamış oldum ve içeriğine göz gezdirdim.


Sonrasında devam edeceğim komutları görsel olarak veriyorum.


7pnjrga.PNG



Gireceğim komut ile bir araç yükleyeceğim.

Bu sayede bir adet durum çubuğu elde etmiş olacağım.

Yani bize
processing bar verecek.
Gireceğim komutu yine görsel şeklinde veriyorum.


7m5dnbx.PNG


Bunun akabinde yazacağım komut ile yapacağım işlem şu şekilde olacak;

İmajı çekmek istediğim sürücüyü biraz önce var ettiğim lokasyona gönderip imajını saveliyelim.

Bunun için kullanacağım komutu da veriyorum.


tuuvczq.PNG


Bundan sonra imaj işlemimiz start verecektir.

kwcf8un.PNG


İşlemimiz hemen tamamlanıyor.

al021v1.PNG


Buradan sonra Windows'a döneceğiz.
Ve yukarıda oluşturduğumuz dosyanın içerisinde imaj kaydını görebiliriz.



i447s43.PNG


Ben tekrardan bu zamana kadar kullandığımız yazılım ile imajı açmaya çalışacağım.
Ve imajı gösterecektir.


a5egv3i.PNG




Peki işlerimiz burada bittimi?
Hayır,


Şöyle bir soru yöneleteceğim;

Biz bu işlemleri yaparken bilgisayardaki veriler zarar görmüş müdür sizce?

Kısaca onların tespitine de bakacağız.

Bu soruyu neden sordum, bu kısımı neden anlatıyorum hemen açıklayayım.

İmaj işlemlerinde genellikle bilgisayardaki verilere istemeden de olsa zarar verilebilir.

Bunun kontrolünü ve sağlamasını yapmak için burayı da aktaracağım.




Oldukça basit bir işlem aslında.

Eğer detaylı baktıysanız imajımızı aldıktan sonra E01 bir klasör içerisinde bizlere HASH verileri vermişti.

Şimdi sağlama yapmak istediğiniz sistemin imajını tekrar alıp akabinde daha önceki imajın verdiği HASH ile karşılaştırma yapmanız gerekli.

Bunu yaptığınızda yeni HASH ile önceki HASH verileri birbiri ile uyumlu değil ise verilerde bozukluk olduğunu anlayabiliriz.

Fakat ben farklı bir teknik kullanacağım.


Önceden imajı alınan sistemi open hale getirin.

Sonrasında desktopa bir dosya açın ve imajı tekrar alın.

Bütün bunları yapınca yine iki tane birebir imaj elimizde olacak.

Daha sonra iki imajın da "certutil" tool'u ile MD5 HASH değerine bakıp karşılaştırın.



Görselde görebileceğiniz üzere iki HASH değeri birbiri ile aynı değil.
Yani buradan çıkacak sonuç veriler üstünde oynama olduğu yönünde.


nmh5qh7.PNG



Evet gelelim sona..

Eğitim serisinde Linux ve Windows ile işlem yapmayı öğrendik.

FTK Eğitim serisini bu konunun anlatımı ile sonlandıracağım.

Ancak yine bu bölüm üzerinden anlatımlar yapmaya devam edeceğim.

Örnek senaryolar ile güzel bir anlatım çıkartmaya çalıştım, umarım okuyanlara ve ilgisi olanlara faydalı olmuştur ve olacaktır.


Herkese teşekkürler.
 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.