- 24 Haz 2015
- 2,336
- 190
- 112
Adli inceleme aşamalarında kanıt toplarken analiz edilecek kısımlardan birisi de USB Sürücülerdir.
USB diskler üstünden geçmişte loglanmış veriler, adli analiz yöntemleri ile alınarak olay içerisinde kanıt olarak kullanılabilir.
Bunlardan o kadar bahsediyoruz ki konularımı okuyanlar artık buraları atlıyor mu acaba diye düşünmeden edemiyorum.
Her neyse, bu konumda da USB diskler üstünde adli analiz nasıl gerçekleştirilir ona bakacağız.
Şimdiden keyifli okumalar dilerim.
BİLGİSAYARA ÖNCEDEN TAKILMIŞ USB'LERİ GÖRÜNTÜLEMEK
Bir önceki konumda bunun yollarından kısaca bahsetmiştim fakat analizine girmemiştik.
Öncelikle burada bize Kayıt Defteri yani Windows Registry yardımcı olacak.
Bunu neden yaptığımı soracak olanlar için ise buradaki verilere göz atıp önceden bilgisayara bağlanan usb disklere ait birden fazla bilgiyi gözlemleyeceğiz.
Windows Kayıt Defterini açıyoruz.
Akabinde aşağıya bırakacağım kısıma giriş yapacağız bunun için de kısayol olması adına kodu paylaşacağım.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
]
Bu sonuçları USBDeview tarzı programlar ile de görüntüleyebilme imkanına sahibiz ama ben konuyu olabildiğince karmaşık hale getirmeden anlatmak amacıyla bu yolu izliyorum.
USB'LERİN İMAJINI ALMA İŞLEMİ
Şimdi biz az önce yukarıda yaptığım işlem sayesinde önceden bilgisayara bağlanan usb diskleri bulduk.
Adli analiz amacıyla elde edildiğini düşünerek devam ediyorum anlatıma.
Suça karışmış bir usb'nin adli analizine başlayacağız.
Bu analiz işlemi için bize daha önce anlatımı yaptığım, forumda konum bulunun FTK Imager bizlere eşlik edecek.
Öncelikle FTK ile USB diskin imajını alacağım.
Kurulumunu anlatmayacağım çünkü belirttiğim gibi kurulumuna dair konum mevcut ona yönlenerek işlem yapabili kurulumunu bilmeyenler.
Kurulumu yaptıktan sonra FTK'yı çalıştıracağız ve görselini bıraktığım şekilde bir ekran ile karşılaşacağız.
Bu ekrandayken sol üstte bulunan FILE bölümünden Create Disk Image sekmesine tıklayalım.
Akabinde karşılaşacağımız ekranda almak istediğimiz imaj türünü belirteceğiz.
Biz sürücünün fiziksel olarak imajını elde etmek istediğimizden Physical Image ile devam edeceğiz.
Sonrasında karşımıza çıkan bölümde, FTK bizden imajını alacağımız sürücüyü seçmemizi isteyecektir.
Burada yapmamız gereken basit, usb'yi seçeceğiz ve FINISH'e tıklayacağız.
Sonrasında karşımıza çıkan bölüm ise diskten alacağımız imajı nereye kayıt edeceğimizi seçeceğimiz bölüm olacak.
Bunun için Add kısmı bize yardım edecek.
Ama önceden açtığımız kısımda alınacak imajın çeşidini E01 şeklinde ayarlayacağız.
Daha sonra, yani kayıt edeceğimiz yeri seçtikten sonra alacağımız imaja bir ad vereceğiz.
Sonrasında işlemimiz başlayacak zaten.
Bu işlem bittikten sonra istediğimiz yere kaydı çıktı.
İMAJI ELDE EDİLEN USB'NİN ANALİZİ
Artık kaydını yaptığımız imajı analiz etme kısmına geçebiliriz.
Yine FTK ile devam edeceğiz.
Sol yukarıdan FILE kısmına gidelim, ardından Add Evidence Them'e tıklayalım.
Bu kısım kanıt türünü seçeceğimiz kısımdır.
Biz imaj alıp kaydını yaptık, o yüzden Image File ile devam edeceğiz.
Sonrasında imajın kaydığını yaptığımız bölümü seçeceğimiz ekrana geçiyoruz.
Bunu da yaptıktan sonra FTK bize yine solunda bulunan Evidence Tree bölümünden tablolar verecek.
Bu tabloların içinden root'a giriş yapıp analiz için usb'nin kaynağına erişeceğiz.
Dilersek burada bulunan dosyaları dışa aktarma işlemi ile içeriklerini analizleyebiliriz.
Ben usb'de silinen dosyalardan birisini seçip dışa aktarma işlemi yapacağım.
Bu işlem için ise dosyaya sağ click yapacağım ve ardından Export Files diyeceğim.
Sonrasında karşılaşacağım ekrandan çıktı işlemini seçip okeyleyeceğim.
Bunun sonrasında ise disk içinden delete edilen dosyalar çıktı işlemini seçtiğim bölüme kayıt olacak.
Analiz işlemi bu şekilde yapılabilir, uzmanlar tarafından ya da dediğim gibi suç teşkil eden durumlarda kullanılıyor ise zaten kanıt niteliği taşır.
Okuyan herkese teşekkürler.
'PedroDavis
USB diskler üstünden geçmişte loglanmış veriler, adli analiz yöntemleri ile alınarak olay içerisinde kanıt olarak kullanılabilir.
Bunlardan o kadar bahsediyoruz ki konularımı okuyanlar artık buraları atlıyor mu acaba diye düşünmeden edemiyorum.
Her neyse, bu konumda da USB diskler üstünde adli analiz nasıl gerçekleştirilir ona bakacağız.
Şimdiden keyifli okumalar dilerim.
BİLGİSAYARA ÖNCEDEN TAKILMIŞ USB'LERİ GÖRÜNTÜLEMEK
Bir önceki konumda bunun yollarından kısaca bahsetmiştim fakat analizine girmemiştik.
Öncelikle burada bize Kayıt Defteri yani Windows Registry yardımcı olacak.
Bunu neden yaptığımı soracak olanlar için ise buradaki verilere göz atıp önceden bilgisayara bağlanan usb disklere ait birden fazla bilgiyi gözlemleyeceğiz.
Windows Kayıt Defterini açıyoruz.
Akabinde aşağıya bırakacağım kısıma giriş yapacağız bunun için de kısayol olması adına kodu paylaşacağım.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
]
Bu sonuçları USBDeview tarzı programlar ile de görüntüleyebilme imkanına sahibiz ama ben konuyu olabildiğince karmaşık hale getirmeden anlatmak amacıyla bu yolu izliyorum.
USB'LERİN İMAJINI ALMA İŞLEMİ
Şimdi biz az önce yukarıda yaptığım işlem sayesinde önceden bilgisayara bağlanan usb diskleri bulduk.
Adli analiz amacıyla elde edildiğini düşünerek devam ediyorum anlatıma.
Suça karışmış bir usb'nin adli analizine başlayacağız.
Bu analiz işlemi için bize daha önce anlatımı yaptığım, forumda konum bulunun FTK Imager bizlere eşlik edecek.
Öncelikle FTK ile USB diskin imajını alacağım.
Kurulumunu anlatmayacağım çünkü belirttiğim gibi kurulumuna dair konum mevcut ona yönlenerek işlem yapabili kurulumunu bilmeyenler.
Kurulumu yaptıktan sonra FTK'yı çalıştıracağız ve görselini bıraktığım şekilde bir ekran ile karşılaşacağız.
Bu ekrandayken sol üstte bulunan FILE bölümünden Create Disk Image sekmesine tıklayalım.
Akabinde karşılaşacağımız ekranda almak istediğimiz imaj türünü belirteceğiz.
Biz sürücünün fiziksel olarak imajını elde etmek istediğimizden Physical Image ile devam edeceğiz.
Sonrasında karşımıza çıkan bölümde, FTK bizden imajını alacağımız sürücüyü seçmemizi isteyecektir.
Burada yapmamız gereken basit, usb'yi seçeceğiz ve FINISH'e tıklayacağız.
Sonrasında karşımıza çıkan bölüm ise diskten alacağımız imajı nereye kayıt edeceğimizi seçeceğimiz bölüm olacak.
Bunun için Add kısmı bize yardım edecek.
Ama önceden açtığımız kısımda alınacak imajın çeşidini E01 şeklinde ayarlayacağız.
Daha sonra, yani kayıt edeceğimiz yeri seçtikten sonra alacağımız imaja bir ad vereceğiz.
Sonrasında işlemimiz başlayacak zaten.
Bu işlem bittikten sonra istediğimiz yere kaydı çıktı.
İMAJI ELDE EDİLEN USB'NİN ANALİZİ
Artık kaydını yaptığımız imajı analiz etme kısmına geçebiliriz.
Yine FTK ile devam edeceğiz.
Sol yukarıdan FILE kısmına gidelim, ardından Add Evidence Them'e tıklayalım.
Bu kısım kanıt türünü seçeceğimiz kısımdır.
Biz imaj alıp kaydını yaptık, o yüzden Image File ile devam edeceğiz.
Sonrasında imajın kaydığını yaptığımız bölümü seçeceğimiz ekrana geçiyoruz.
Bunu da yaptıktan sonra FTK bize yine solunda bulunan Evidence Tree bölümünden tablolar verecek.
Bu tabloların içinden root'a giriş yapıp analiz için usb'nin kaynağına erişeceğiz.
Dilersek burada bulunan dosyaları dışa aktarma işlemi ile içeriklerini analizleyebiliriz.
Ben usb'de silinen dosyalardan birisini seçip dışa aktarma işlemi yapacağım.
Bu işlem için ise dosyaya sağ click yapacağım ve ardından Export Files diyeceğim.
Sonrasında karşılaşacağım ekrandan çıktı işlemini seçip okeyleyeceğim.
Bunun sonrasında ise disk içinden delete edilen dosyalar çıktı işlemini seçtiğim bölüme kayıt olacak.
Analiz işlemi bu şekilde yapılabilir, uzmanlar tarafından ya da dediğim gibi suç teşkil eden durumlarda kullanılıyor ise zaten kanıt niteliği taşır.
Okuyan herkese teşekkürler.
'PedroDavis
Son düzenleme: