- 13 Ocak 2018
- 3,227
- 29
SİLİNEN DOSYALAR ÜZERİNDE ADLİ İNCELEME
Merhaba değerli THT üyeleri,
Bu konumda sizlerle silinen dosyalar üzerinde adli inceleme işlemlerini gerçekleştireceğiz. Bu işlem ile birlikte silinen dosyaların mtaverilerini ayrıştırarak dosyanın silinmeden önceki konumuna, adına, boyutuna ve silindiği zamana ulaşabileceğiz.
GEREKLİ YAZILIMLARIN KURULMASI
Aşağıdaki yazılımımızı mtaverileri ayrıştırmak için kullanacağız. $I_Parse yazılımını aşağıdaki linkten indirebilirsiniz,
Virüs Total
SİLİNEN DOSYALAR ÜZERİNDE ADLİ İNCELEME (RECYCLE BIN FORENSICS)
İlk olarak Bilgisayar > Görünüm > Seçenekler kısmından "Korunan İşletim sistemi dosyalarını gizle (Önerilen)" seçeneğinin karşısındaki tiki kaldırıyoruz. Ardından yine görünüm penceresinde "Gizli Öğeler" seçeneğinin karşısına tik atıyoruz. Bu sayede silinmiş dosyaların ve mta verilerin hangi dizine gönderildiğini görmüş olacağız.
Şimdi C: dizinime gidiyorum ve orada silinen dosyalarımın bulunduğu dizine bakıyorum. Aşağıda gördüğünüz gibi dizinimin adı "$Recycle.Bin" bundan sonraki işlemlerimi $Recycle.Bin dizini üzerinden gerçekleştireceğim.
Şimdi konuyu anlatma amacıyla .png ve .pdf uzantılı iki dosya siliyorum. Adli incelemelerimizi bu iki dosya üzerinden yapacağız
Şimdi komut satırımı yönetici olarak açıyorum ve aşağıdaki komutu giriyorum. Bu komutla beraber C: dizinine gideceğiz
Ardından aşağıdaki komutu girerek C: dizini üzerinde gizli olan ya da olmayan bütün alt dizinleri görebileceğiz, aşağıdaki resimde gördüğünüz gibi $Recycle.Bin dizinimizi komut satırımızda görebiliyoruz.
Şimdi $Recyle.Bin dizinimize gireceğiz. Aşağıdaki komutu giriyoruz.
Burada tekrar aşağıdaki komutu girerek gizli olan, olamayan bütün dosyaları görelim
Burada karşımıza çıkan dizinlerde zaman damgalarını kontrol ederek az önce sildiğimiz verilerin bulunduğu dizine ulaşacağız. Dosyaları az önce sildiğimiz için silinen dosyalar zaman damgası şu anki tarihte ve şu anki saate yakın olan dizinde bulunacaktır. Baktığımda en alttaki dizinin buna uyumlu olduğunu görüyorum. Bu nedenle aşağıdaki komutumu yazıp silinen verilerimizin olduğu dizine gideceğiz,
Bu dizindeki dosyaları görüntülemek için yine aşağıdaki komutumuzu yazıyoruz ve dosyalar karşımıza geliyor.
Burada $I ve $R başlayan dosya isimleri bizi karşılıyor. $I başlayan dosyalar silinmiş dosyaya ait mta verilerdir. $R ile başlayan dosyalar ise sildiğimiz orijinal dosyalardır. Yine zaman damgalarına ve uzantılara bakarak az önce sildiğimiz dosyaları yeni isimleriyle beraber buluyoruz. Ve $R ile başlayan yani sildiğimiz orijinal dosyaları masaüstüne kopyalıyoruz. Aşağıdaki komutu girerek önce .png uzantılı dosyamı ardından .pdf uzantılı dosyamı masaüstüne kopyalıyorum
Artık sildiğimiz orijinal dosyaların bir kopyası masaüstümüzde. Bu dosyaları açarak doğru dosyayı masaüstüne kopyalayıp kopyalamadığımızı doğruluyoruz.Şimdi sildiğimiz dosyalara ait mta verileri de masaüstümüze kopyalayalım, $I ile başlayan png ve pdf dosyalarımızı buluyoruz ve aşağıdaki komutu giriyoruz,
Şimdi mta verilerimizi not defterinde açalım ve içeriğine bakalım. Aşağıda da gördüğünüz gibi bir ekranla karşılaşacağız. Bu veriler bize dosyalarımızın silinmeden önceki konumlarını ve isimlerini verdi.
Şimdi bu mta verilerimizi bir klasörde toplayalım. Ardından $I_Parse yazılımımızı çalıştıralım. Aşağıdaki gibi bir pencere açılacak. Burada üstteki kutucukta $I ile başlayan dosyalarımızı yani mta verilerimizi attığımız klasörü belirteceğiz. Alttaki kutucukta ise çıktı dosyamızın kaydedileceği konumu belirleyeceğiz. İşlemi tamamladıktan sonra "Parse" butonuna basalım.
Parse işlemi tamamlandıktan sonra çıktı dosyamızı Excel programı ile açıyorum. Ve aşağıda gördüğünüz gibi sildiğim dosyaların silinme tarihi ve saati, Silinmeden önceki isimleri ve boyutları bu şekilde karşımıza çıkmış oldu.
Silinen Dosyalar Üzerinde Adli İnceleme konuma burada nokta koyuyorum. Teşekkür eder, iyi forumlar dilerim
Merhaba değerli THT üyeleri,
Bu konumda sizlerle silinen dosyalar üzerinde adli inceleme işlemlerini gerçekleştireceğiz. Bu işlem ile birlikte silinen dosyaların mtaverilerini ayrıştırarak dosyanın silinmeden önceki konumuna, adına, boyutuna ve silindiği zamana ulaşabileceğiz.
GEREKLİ YAZILIMLARIN KURULMASI
Aşağıdaki yazılımımızı mtaverileri ayrıştırmak için kullanacağız. $I_Parse yazılımını aşağıdaki linkten indirebilirsiniz,
Kod:
https://df-stream.com/recycle-bin-i-parser/
Virüs Total
Kod:
https://www.virustotal.com/gui/file/c1afd3ed1cd0ef3b8499e8a23317fcc0fa608d40d3a0a54667a314958b731e14/detection
SİLİNEN DOSYALAR ÜZERİNDE ADLİ İNCELEME (RECYCLE BIN FORENSICS)
İlk olarak Bilgisayar > Görünüm > Seçenekler kısmından "Korunan İşletim sistemi dosyalarını gizle (Önerilen)" seçeneğinin karşısındaki tiki kaldırıyoruz. Ardından yine görünüm penceresinde "Gizli Öğeler" seçeneğinin karşısına tik atıyoruz. Bu sayede silinmiş dosyaların ve mta verilerin hangi dizine gönderildiğini görmüş olacağız.
Şimdi C: dizinime gidiyorum ve orada silinen dosyalarımın bulunduğu dizine bakıyorum. Aşağıda gördüğünüz gibi dizinimin adı "$Recycle.Bin" bundan sonraki işlemlerimi $Recycle.Bin dizini üzerinden gerçekleştireceğim.
Şimdi konuyu anlatma amacıyla .png ve .pdf uzantılı iki dosya siliyorum. Adli incelemelerimizi bu iki dosya üzerinden yapacağız
Şimdi komut satırımı yönetici olarak açıyorum ve aşağıdaki komutu giriyorum. Bu komutla beraber C: dizinine gideceğiz
Kod:
cd C:\
Ardından aşağıdaki komutu girerek C: dizini üzerinde gizli olan ya da olmayan bütün alt dizinleri görebileceğiz, aşağıdaki resimde gördüğünüz gibi $Recycle.Bin dizinimizi komut satırımızda görebiliyoruz.
Kod:
dir/a
Şimdi $Recyle.Bin dizinimize gireceğiz. Aşağıdaki komutu giriyoruz.
Kod:
cd $Recycle.Bin
Burada tekrar aşağıdaki komutu girerek gizli olan, olamayan bütün dosyaları görelim
Kod:
dir/a
Burada karşımıza çıkan dizinlerde zaman damgalarını kontrol ederek az önce sildiğimiz verilerin bulunduğu dizine ulaşacağız. Dosyaları az önce sildiğimiz için silinen dosyalar zaman damgası şu anki tarihte ve şu anki saate yakın olan dizinde bulunacaktır. Baktığımda en alttaki dizinin buna uyumlu olduğunu görüyorum. Bu nedenle aşağıdaki komutumu yazıp silinen verilerimizin olduğu dizine gideceğiz,
Kod:
cd S-1-5-21-279303933-2822305715-1607145657-1001
Bu dizindeki dosyaları görüntülemek için yine aşağıdaki komutumuzu yazıyoruz ve dosyalar karşımıza geliyor.
Kod:
dir/a
Burada $I ve $R başlayan dosya isimleri bizi karşılıyor. $I başlayan dosyalar silinmiş dosyaya ait mta verilerdir. $R ile başlayan dosyalar ise sildiğimiz orijinal dosyalardır. Yine zaman damgalarına ve uzantılara bakarak az önce sildiğimiz dosyaları yeni isimleriyle beraber buluyoruz. Ve $R ile başlayan yani sildiğimiz orijinal dosyaları masaüstüne kopyalıyoruz. Aşağıdaki komutu girerek önce .png uzantılı dosyamı ardından .pdf uzantılı dosyamı masaüstüne kopyalıyorum
Kod:
copy $RW3VNZH.PNG \Users\xx\Desktop
Kod:
copy $RZSEGIA.pdf \Users\xx\Desktop
Artık sildiğimiz orijinal dosyaların bir kopyası masaüstümüzde. Bu dosyaları açarak doğru dosyayı masaüstüne kopyalayıp kopyalamadığımızı doğruluyoruz.Şimdi sildiğimiz dosyalara ait mta verileri de masaüstümüze kopyalayalım, $I ile başlayan png ve pdf dosyalarımızı buluyoruz ve aşağıdaki komutu giriyoruz,
Kod:
copy $IW3VNZH.PNG \Users\xx\Desktop
Kod:
copy $IZSEGIA.pdf \Users\xx\Desktop
Şimdi mta verilerimizi not defterinde açalım ve içeriğine bakalım. Aşağıda da gördüğünüz gibi bir ekranla karşılaşacağız. Bu veriler bize dosyalarımızın silinmeden önceki konumlarını ve isimlerini verdi.
Şimdi bu mta verilerimizi bir klasörde toplayalım. Ardından $I_Parse yazılımımızı çalıştıralım. Aşağıdaki gibi bir pencere açılacak. Burada üstteki kutucukta $I ile başlayan dosyalarımızı yani mta verilerimizi attığımız klasörü belirteceğiz. Alttaki kutucukta ise çıktı dosyamızın kaydedileceği konumu belirleyeceğiz. İşlemi tamamladıktan sonra "Parse" butonuna basalım.
Parse işlemi tamamlandıktan sonra çıktı dosyamızı Excel programı ile açıyorum. Ve aşağıda gördüğünüz gibi sildiğim dosyaların silinme tarihi ve saati, Silinmeden önceki isimleri ve boyutları bu şekilde karşımıza çıkmış oldu.
Silinen Dosyalar Üzerinde Adli İnceleme konuma burada nokta koyuyorum. Teşekkür eder, iyi forumlar dilerim
Son düzenleme: