İlk yazıda saldırıya uğradığından şüphelenilen sistem üzerinde genel araçlarla nasıl bir inceleme yapıldığından bahsedildi. Siber savunma hattının ilk halkası olan sistem yöneticilerinin yapacağı genel kontroller anlatıldı. Şimdi bir adım daha ileri giderek saldırının gerçekleştiği varsayımıyla gerçek anlamdaki adli analiz teknikleri ele alınacaktır.
İkinci aşamayı şöyle düşünebiliriz: Saldırı gerçekleşti ve sistem yöneticisi işin ciddi boyutta olduğunu düşünüp görevi kurumdaki güvenlik mühendisine devretti.
Güvenlik mühendisinin yapacağı ilk iş gerçekten saldırının olup olmadığını bir daha gözden geçirmek olacaktır. Sistem yöneticisine danışarak, niçin saldırının başarıya ulaştığını düşündüğü öğrenilmeli ve bulunan sonuçlar bir daha kontrol edilmelidir.
Saldırının gerçekleştiğinden emin olunduktan sonra sıra hard disklerin (sabit disk) kopyalarını almaya gelir.
Sabit disk kopyalarını alan bir çok ticari yazılım bulunmaktadır. Yazılımları kullanmak çok zor değil ama önemli olan bu yazılımların nasıl çalıştığını anlayabilmektir. Çünkü alınan kopyalar üzerinde mevcut araçlarla nasıl çalışılacağı bilinmiyorsa sonuca ulaşmak gayet zor olacaktır.
Adli analizin verification yani doğrulama aşamasından sonraki kopyalama kısmı için "dd" komutunu kullanılabilir.
Bu komut tam olarak sabit diskteki 0 ve 1' leri göstermiş olduğunuz medyaya yazmaktadır.
Bir adli bilişimcinin işi genelde 0 ve 1' lerledir. dd komutunun asıl amacı adli bilişim olmamakla birlikte 0 ve 1' leri kopyalama için kullanabildiğinden oldukça yararlı bir komuttur.
Kullanılışı:
Örneğin /dev/sda sabit diski harici disk olan /dev/sdc' ye kopyalanmak isteniyor.
Öncelikle /dev/sdc' yi monte (mount) etmek gerekecektir. /mnt klasöründe harici disk alt klasörü oluşturulsun:
Şimdi /dev/sdc' yi monte edilsin:
Sıra ana diski harici diske kopyalamaya geldi:
backup.img sda diskinin bire bir kopyası olacaktır.
Sabit diksteki bilginin kopyalanması için bir kaç yöntem mevcuttur.
Dezavantajları: Geçici (volatile) data dediğimiz bilgiler kaybolur. Bunlar RAM, ve ağ bağlantıları gibi bilgileridir.
Dezavantajları: Bilgisayar tekrar başlatılacağından geçici data bu yöntemde de kaybedilecektir.
İkinci aşamayı şöyle düşünebiliriz: Saldırı gerçekleşti ve sistem yöneticisi işin ciddi boyutta olduğunu düşünüp görevi kurumdaki güvenlik mühendisine devretti.
Güvenlik mühendisinin yapacağı ilk iş gerçekten saldırının olup olmadığını bir daha gözden geçirmek olacaktır. Sistem yöneticisine danışarak, niçin saldırının başarıya ulaştığını düşündüğü öğrenilmeli ve bulunan sonuçlar bir daha kontrol edilmelidir.
Saldırının gerçekleştiğinden emin olunduktan sonra sıra hard disklerin (sabit disk) kopyalarını almaya gelir.
Sabit disk kopyalarını alan bir çok ticari yazılım bulunmaktadır. Yazılımları kullanmak çok zor değil ama önemli olan bu yazılımların nasıl çalıştığını anlayabilmektir. Çünkü alınan kopyalar üzerinde mevcut araçlarla nasıl çalışılacağı bilinmiyorsa sonuca ulaşmak gayet zor olacaktır.
Adli analizin verification yani doğrulama aşamasından sonraki kopyalama kısmı için "dd" komutunu kullanılabilir.
Bu komut tam olarak sabit diskteki 0 ve 1' leri göstermiş olduğunuz medyaya yazmaktadır.
Bir adli bilişimcinin işi genelde 0 ve 1' lerledir. dd komutunun asıl amacı adli bilişim olmamakla birlikte 0 ve 1' leri kopyalama için kullanabildiğinden oldukça yararlı bir komuttur.
Kullanılışı:
dd if=giriş dosyası of=çıkış dosyası
Öncelikle /dev/sdc' yi monte (mount) etmek gerekecektir. /mnt klasöründe harici disk alt klasörü oluşturulsun:
mkdir /mnt/harici_disk
mount /dev/sdc /mnt/harici_disk
dd if=/dev/sda of=/mnt/harici_disk/backup.img
Sabit diksteki bilginin kopyalanması için bir kaç yöntem mevcuttur.
- Direkt Sabit Diskten Kopyalama: Bu yöntemde saldırıya uğramış sabit disk, adaptör yardımıyla bilgisayara bağlanır ve kopyalama işlemi adli analiz bilgisayarından gerçekleşir.
Dezavantajları: Geçici (volatile) data dediğimiz bilgiler kaybolur. Bunlar RAM, ve ağ bağlantıları gibi bilgileridir.
- Farklı Bir İşletim Sistemi Üzerinden Kopyalama: Bu yöntemde saldırıya uğramış bilgisayara boot edilebilinen linux cd si takılıp bilgiler alınır.
Dezavantajları: Bilgisayar tekrar başlatılacağından geçici data bu yöntemde de kaybedilecektir.
- Canlı Sistem Kopyalanması: Bu yöntemde sistem fişi çekilmeden kopyalanabilir. Herhangi bir açık kodlu adlı bilişim programıyla bu işlem gerçekleştirilebilir. Örneğin Helix bu programlardan biridir. Helix saldırıya uğramış bilgisayara takılarak istenilen bilgiler elde edilebilinir. Helix Linux ve Windows işletim sistemlerinde problemsiz çalışabilmektedir. Burada önemli olan RAM, ağ bağlantıları gibi önemli bilgilerin de depolanabileceği ve belki de en önemlisi saldırganın sistem kapatılmadığı için yapılan işlemlerden haberdar olamıyacağıdır.