USB Diskler Üzerinde Adli Analiz İşlemi

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
Adli inceleme aşamalarında kanıt toplarken analiz edilecek kısımlardan birisi de USB Sürücülerdir.


USB diskler üstünden geçmişte loglanmış veriler, adli analiz yöntemleri ile alınarak olay içerisinde kanıt olarak kullanılabilir.

Bunlardan o kadar bahsediyoruz ki konularımı okuyanlar artık buraları atlıyor mu acaba diye düşünmeden edemiyorum.

Her neyse, bu konumda da USB diskler üstünde adli analiz nasıl gerçekleştirilir ona bakacağız.

Şimdiden keyifli okumalar dilerim.


BİLGİSAYARA ÖNCEDEN TAKILMIŞ USB'LERİ GÖRÜNTÜLEMEK

Bir önceki konumda bunun yollarından kısaca bahsetmiştim fakat analizine girmemiştik.

Öncelikle burada bize Kayıt Defteri yani Windows Registry yardımcı olacak.

Bunu neden yaptığımı soracak olanlar için ise buradaki verilere göz atıp önceden bilgisayara bağlanan usb disklere ait birden fazla bilgiyi gözlemleyeceğiz.

Windows Kayıt Defterini açıyoruz.

Akabinde aşağıya bırakacağım kısıma giriş yapacağız bunun için de kısayol olması adına kodu paylaşacağım.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

]
4kvexuj.PNG



Bu sonuçları USBDeview tarzı programlar ile de görüntüleyebilme imkanına sahibiz ama ben konuyu olabildiğince karmaşık hale getirmeden anlatmak amacıyla bu yolu izliyorum.

USB'LERİN İMAJINI ALMA İŞLEMİ


Şimdi biz az önce yukarıda yaptığım işlem sayesinde önceden bilgisayara bağlanan usb diskleri bulduk.

Adli analiz amacıyla elde edildiğini düşünerek devam ediyorum anlatıma.

Suça karışmış bir usb'nin adli analizine başlayacağız.

Bu analiz işlemi için bize daha önce anlatımı yaptığım, forumda konum bulunun FTK Imager bizlere eşlik edecek.

Öncelikle FTK ile USB diskin imajını alacağım.

Kurulumunu anlatmayacağım çünkü belirttiğim gibi kurulumuna dair konum mevcut ona yönlenerek işlem yapabili kurulumunu bilmeyenler.

Kurulumu yaptıktan sonra FTK'yı çalıştıracağız ve görselini bıraktığım şekilde bir ekran ile karşılaşacağız.


q7t8wo7.PNG




Bu ekrandayken sol üstte bulunan FILE bölümünden Create Disk Image sekmesine tıklayalım.

ieyfhtb.PNG


Akabinde karşılaşacağımız ekranda almak istediğimiz imaj türünü belirteceğiz.

Biz sürücünün fiziksel olarak imajını elde etmek istediğimizden
Physical Image ile devam edeceğiz.

pyf3kis.PNG


Sonrasında karşımıza çıkan bölümde, FTK bizden imajını alacağımız sürücüyü seçmemizi isteyecektir.

Burada yapmamız gereken basit, usb'yi seçeceğiz ve
FINISH'e tıklayacağız.

dvtm0nb.PNG


Sonrasında karşımıza çıkan bölüm ise diskten alacağımız imajı nereye kayıt edeceğimizi seçeceğimiz bölüm olacak.

Bunun için
Add kısmı bize yardım edecek.

Ama önceden açtığımız kısımda alınacak imajın çeşidini
E01 şeklinde ayarlayacağız.

3diqifc.PNG


Daha sonra, yani kayıt edeceğimiz yeri seçtikten sonra alacağımız imaja bir ad vereceğiz.

Sonrasında işlemimiz başlayacak zaten.


ibmw8et.PNG


2man0gg.PNG




Bu işlem bittikten sonra istediğimiz yere kaydı çıktı.


İMAJI ELDE EDİLEN USB'NİN ANALİZİ



Artık kaydını yaptığımız imajı analiz etme kısmına geçebiliriz.

Yine FTK ile devam edeceğiz.

Sol yukarıdan
FILE kısmına gidelim, ardından Add Evidence Them'e tıklayalım.


df2i7cu.PNG



Bu kısım kanıt türünü seçeceğimiz kısımdır.

Biz imaj alıp kaydını yaptık, o yüzden
Image File ile devam edeceğiz.



hv19133.PNG




Sonrasında imajın kaydığını yaptığımız bölümü seçeceğimiz ekrana geçiyoruz.



5odwp6t.PNG




Bunu da yaptıktan sonra FTK bize yine solunda bulunan Evidence Tree bölümünden tablolar verecek.



Bu tabloların içinden
root'a giriş yapıp analiz için usb'nin kaynağına erişeceğiz.



j3tot3j.PNG




Dilersek burada bulunan dosyaları dışa aktarma işlemi ile içeriklerini analizleyebiliriz.

Ben usb'de silinen dosyalardan birisini seçip dışa aktarma işlemi yapacağım.

Bu işlem için ise dosyaya sağ click yapacağım ve ardından Export Files diyeceğim.




85j2lra.PNG


Sonrasında karşılaşacağım ekrandan çıktı işlemini seçip okeyleyeceğim.

Bunun sonrasında ise disk içinden delete edilen dosyalar çıktı işlemini seçtiğim bölüme kayıt olacak.




2hefj5i.PNG


Analiz işlemi bu şekilde yapılabilir, uzmanlar tarafından ya da dediğim gibi suç teşkil eden durumlarda kullanılıyor ise zaten kanıt niteliği taşır.

Okuyan herkese teşekkürler.
'PedroDavis
 
Son düzenleme:

cyber knight

Katılımcı Üye
30 Ağu 2021
711
438
Root@Cyberknight
Adli inceleme aşamalarında kanıt toplarken analiz edilecek kısımlardan birisi de USB Sürücülerdir.


USB diskler üstünden geçmişte loglanmış veriler, adli analiz yöntemleri ile alınarak olay içerisinde kanıt olarak kullanılabilir.

Bunlardan o kadar bahsediyoruz ki konularımı okuyanlar artık buraları atlıyor mu acaba diye düşünmeden edemiyorum.

Her neyse, bu konumda da USB diskler üstünde adli analiz nasıl gerçekleştirilir ona bakacağız.

Şimdiden keyifli okumalar dilerim.


BİLGİSAYARA ÖNCEDEN TAKILMIŞ USB'LERİ GÖRÜNTÜLEMEK

Bir önceki konumda bunun yollarından kısaca bahsetmiştim fakat analizine girmemiştik.

Öncelikle burada bize Kayıt Defteri yani Windows Registry yardımcı olacak.

Bunu neden yaptığımı soracak olanlar için ise buradaki verilere göz atıp önceden bilgisayara bağlanan usb disklere ait birden fazla bilgiyi gözlemleyeceğiz.

Windows Kayıt Defterini açıyoruz.

Akabinde aşağıya bırakacağım kısıma giriş yapacağız bunun için de kısayol olması adına kodu paylaşacağım.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

]
4kvexuj.PNG



Bu sonuçları USBDeview tarzı programlar ile de görüntüleyebilme imkanına sahibiz ama ben konuyu olabildiğince karmaşık hale getirmeden anlatmak amacıyla bu yolu izliyorum.

USB'LERİN İMAJINI ALMA İŞLEMİ


Şimdi biz az önce yukarıda yaptığım işlem sayesinde önceden bilgisayara bağlanan usb diskleri bulduk.

Adli analiz amacıyla elde edildiğini düşünerek devam ediyorum anlatıma.

Suça karışmış bir usb'nin adli analizine başlayacağız.

Bu analiz işlemi için bize daha önce anlatımı yaptığım, forumda konum bulunun FTK Imager bizlere eşlik edecek.

Öncelikle FTK ile USB diskin imajını alacağım.

Kurulumunu anlatmayacağım çünkü belirttiğim gibi kurulumuna dair konum mevcut ona yönlenerek işlem yapabili kurulumunu bilmeyenler.

Kurulumu yaptıktan sonra FTK'yı çalıştıracağız ve görselini bıraktığım şekilde bir ekran ile karşılaşacağız.


q7t8wo7.PNG




Bu ekrandayken sol üstte bulunan FILE bölümünden Create Disk Image sekmesine tıklayalım.

ieyfhtb.PNG


Akabinde karşılaşacağımız ekranda almak istediğimiz imaj türünü belirteceğiz.

Biz sürücünün fiziksel olarak imajını elde etmek istediğimizden
Physical Image ile devam edeceğiz.

pyf3kis.PNG


Sonrasında karşımıza çıkan bölümde, FTK bizden imajını alacağımız sürücüyü seçmemizi isteyecektir.

Burada yapmamız gereken basit, usb'yi seçeceğiz ve
FINISH'e tıklayacağız.

dvtm0nb.PNG


Sonrasında karşımıza çıkan bölüm ise diskten alacağımız imajı nereye kayıt edeceğimizi seçeceğimiz bölüm olacak.

Bunun için
Add kısmı bize yardım edecek.

Ama önceden açtığımız kısımda alınacak imajın çeşidini
E01 şeklinde ayarlayacağız.

3diqifc.PNG


Daha sonra, yani kayıt edeceğimiz yeri seçtikten sonra alacağımız imaja bir ad vereceğiz.

Sonrasında işlemimiz başlayacak zaten.


ibmw8et.PNG


2man0gg.PNG




Bu işlem bittikten sonra istediğimiz yere kaydı çıktı.


İMAJI ELDE EDİLEN USB'NİN ANALİZİ



Artık kaydını yaptığımız imajı analiz etme kısmına geçebiliriz.

Yine FTK ile devam edeceğiz.

Sol yukarıdan
FILE kısmına gidelim, ardından Add Evidence Them'e tıklayalım.


df2i7cu.PNG



Bu kısım kanıt türünü seçeceğimiz kısımdır.

Biz imaj alıp kaydını yaptık, o yüzden
Image File ile devam edeceğiz.



hv19133.PNG




Sonrasında imajın kaydığını yaptığımız bölümü seçeceğimiz ekrana geçiyoruz.



5odwp6t.PNG




Bunu da yaptıktan sonra FTK bize yine solunda bulunan Evidence Tree bölümünden tablolar verecek.



Bu tabloların içinden
root'a giriş yapıp analiz için usb'nin kaynağına erişeceğiz.



j3tot3j.PNG




Dilersek burada bulunan dosyaları dışa aktarma işlemi ile içeriklerini analizleyebiliriz.

Ben usb'de silinen dosyalardan birisini seçip dışa aktarma işlemi yapacağım.

Bu işlem için ise dosyaya sağ click yapacağım ve ardından Export Files diyeceğim.




85j2lra.PNG


Sonrasında karşılaşacağım ekrandan çıktı işlemini seçip okeyleyeceğim.

Bunun sonrasında ise disk içinden delete edilen dosyalar çıktı işlemini seçtiğim bölüme kayıt olacak.




2hefj5i.PNG


Analiz işlemi bu şekilde yapılabilir, uzmanlar tarafından ya da dediğim gibi suç teşkil eden durumlarda kullanılıyor ise zaten kanıt niteliği taşır.

Okuyan herkese teşekkürler.
'PedroDavis
Elinize emeğinize sağlık.
iyi günler iyi forumlar dilerim.
 

azerneriman

Yeni üye
13 Kas 2021
33
24
Bakü
Gerçekten de Forensics CyberSec'in ən önemli konularından biridir. Özellikle mesele savunma olunca. Emeğinize sağlık.
 

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.