Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Genel Güvenlik > Adli Bilişim

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.



E-Mail Forensics | E-Mail Adli Bilişim Analizi //Siber Güvenlik Serisi #2

Adli Bilişim

Yeni Konu aç Cevapla
 
Seçenekler
Alt 28-01-2018 10:42   #1
  • Tamamen Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
09/2016
Mesajlar
Konular

Teşekkür (Etti): 119
Teşekkür (Aldı): 719


E-Mail Forensics | E-Mail Adli Bilişim Analizi //Siber Güvenlik Serisi #2



Merhaba TURKHACKTEAM

Bu konumuzda Siber Suçlar bizi nasıl mailimizden bulur konuştuğumuz kişileri nasıl analiz ederler nasıl bilgiler toplarlar onları anlatacağım,konumuza geçelim.


Kullanılan Araçlar
  • Outlook 2016 for Windows 64-bit(Home trial version)
  • Systools Free Outlook OST File Viewer

Outlook 2016'nın oluşturduğu ve email hesabıyla ilgili bilgiler içerren .ost outlook veri dosyası
drive:\Users\user\AppData\Local\Microsoft\Outlook dizinde tutulmaktadır. Emaillere ait başlık bilgilerini elde etmek için kullanılan bazı adli analiz yazılımlarına örnek olarak Aid4Mail, MailXaminer, Paraben E-Mail Examiner gibi programlar sayılabilir. Ücretsiz yazılımlardan biri olan Free Outlook Ost File Viewer email başlıklarını başarılı şekilde çıkarmakta ve silinmiş mailleri geri getirebilmektedir. Aid4Mail, 2016'ın 64 bit versiyonunu desteklemediği için hata vermektedir.





Email Başlık(Header) Bilgileri
  • From: Mail in kimden geldiği bilgisini içerir.
  • To: Mailin kime gönderildiğini belirtir.
  • Received: Mailin alıcıya ulaşana kadar geçtiği sunucuları belirtir, maili alan cihaz ve mailin hangi cihazdan alındığı gibi bilgileri içerir.Birden fazla Received alanı varsa en alttaki göndericinin cihazı ile ilgili IP bilerini verirken üstteki Received etiketleri ise aradaki sunucuların ve alıcı sunucusunun IP bilgilerini tutar. //ÖNEMLİ MADDE
  • MIME-Version: Email içeriğinin formatını genişleten bir internet standartı olarak
    tanımlanmaktadır. Bazı durumlarda göndericinin cihazının işletim sistemi hakkında bilgi sızdırabilmektedir.
    //ÖNEMLİ MADDE
  • Message-ID: Mail ilk oluşturulduğunda sistem tarafından atanan tekil bir karakter dizisidir. Bazı durumlarda gönderici cihazın işletim sistemi hakkında bilgi verir. //ÖNEMLİ MADDE
  • X-Mailler: Göndericinin kullandığı mail programı hakkında bilgi verir.
  • X-Originating-IP: Göndericinin IP adresi ile ilgili bilgi verir. //ÖNEMLİ MADDE

Gönderici IP bilgilerinin veya internet servis sağlayıcılarına ait IP ve şifreleme algoritmaları gibi hassas verilerin email başlıklarından elde edilebilir olması bir zafiyet olarak değerlendirilmektedir. Bu bilgilerle IP adreslerinin ait olduğu cihazlar için port taraması yapılabilir ve ardından siber saldılar düzenlenebilir.


Outlook Email Analizi
  • Göndericinin kullandığı cihazın işletim sistemini ve mail programını belirlemek
    ( MIME-Version and X-Mailer etiketleri)

X-Mailer, MIME-Version gibi başlıkların göndericinin kullandığı cihazın işletim sistemi ve mail programı hakkında ipuçları verdiğini aşağıdaki ekran alıntıları göstermektedir.



  • Gönderici cihazın IP adresini belirlemek

Gönderici cihazın IP adresi Received lananında belirlenebilmektedir. Received satırlarından en alttaki etiket ( Received_3 ) göndericiye ait olan IP bilgilerini içermektedir.



  • Mail sunucularının kullandığı yazılımları, protokolleri ve güvenlik fonksiyonlarını tespit etmek (Received etiketi)

Sunuculara ait Received(Received_! ve Received_2) etiketleri sunucuların kullandığı Simple Mail Transfer Protocol gibi email protokollerinin versiyonları, TLS/SSL kriptolama protokolleri ve SHA hash fonksiyonlarının versiyonları hakkında bilgiler verir.




  • Silinmiş emailleri geri getirmek

PST Walker gibi bazı email kurtarma programları Deleted dosyasından da kalıcı olarak silinen emailleri geri getirebilmektedir. Kalıcı olarak silinmiş ancak program tarafından kurtarılan emailler All Hard Deleted Items sekmesinde görüntülenebilmektedir. Bunun için .pst dosyası seçilirken Find "Hard Deleted" and "Orphaned" items alanının seçilmesi gerekmektedir.






  • Bir emailin orijinal halini ve ilintili dosyalarını(attached files) görüntülemek

Free Outlook OST File Viewer programında TABPAGE_M_NORMALMAILVIEW sekmesi emaillerin normal görünüme ulaşmayı sağlarken, TABPAGE_M_ATTACHMENTVIEW ise eklenti dosyalarını görüntülemek için kullanılmaktadır.



Dosya ilintili maillerde eklenti barındırmayan maillerde farklı olarak Content-Type alanının değeri text/plain yerine multiport/mixed olarak değişmiştir.


Konu bu kadardı adli bilişim üniversitelerinde (Türkiyede 1 tane var) ders olarak verilmektedir bu konu, işinize yarayabilceğini bilinmesi gereken birşey olduğu için bunu paylaşmak istedim.Altını Yapılmıştır.


İyi Forumlar//SosyalMedyaTimiAsistanınız


Konu MBeyTHT tarafından (28-01-2018 10:43 Saat 10:43 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Teşekkür

10z3r0010ne, easyly, legendgolge Teşekkür etti.
Alt 28-01-2018 10:47   #2
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2014
Mesajlar
Konular

Teşekkür (Etti): 114
Teşekkür (Aldı): 543




Emeğine sağlık



___________________________________________


© 2014 THΣMΛGıCШOЯD
 Offline  
 
Alıntı ile Cevapla
Alt 28-01-2018 10:51   #3
  • Tamamen Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
05/2016
Nereden
Amazon
Mesajlar
Konular

Teşekkür (Etti): 626
Teşekkür (Aldı): 289




Peki emailleei nasıl kökten silebilirim?
 Offline  
 
Alıntı ile Cevapla
Alt 28-01-2018 10:53   #4
  • Tamamen Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
09/2016
Mesajlar
Konular

Teşekkür (Etti): 119
Teşekkür (Aldı): 719




Alıntı:
themagicword´isimli üyeden Alıntı Mesajı göster
Emeğine sağlık
Teşekkürler

Alıntı:
ExpertMurderer1´isimli üyeden Alıntı Mesajı göster
Eline sağlik ,güzel konu
Teşekkürler

Alıntı:
JoseQual´isimli üyeden Alıntı Mesajı göster
Peki emailleei nasıl kökten silebilirim?
Anlatımdaki gibi klasördeki drive:\Users\user\AppData\Local\Microsoft\Outlook klasöründeki kaydedilen .OST verisini silerseniz siber asla bulamayacaktır ebediyete gömülecektir mailleriniz. hatta o ost dosyasını bir flash a atıp taşıyabilir başka bilgisayar da kendiniz de geri getirebilir okuyabilirsiniz.
 Offline  
 
Alıntı ile Cevapla
Alt 28-01-2018 14:09   #5
  • Tamamen Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
09/2016
Mesajlar
Konular

Teşekkür (Etti): 119
Teşekkür (Aldı): 719




Alıntı:
KaraMelek13´isimli üyeden Alıntı Mesajı göster
eline sağlık
Önemsemedi kimse ama yinede teşekkürler.
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau