İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Adli Bilişim Veri Kurtarma Yaklaşımları AXPA~THT

09-05-2018 03:35
#1
AXPA - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2018
Nereden:
Turkey
Mesajlar:
934
Teşekkür (Etti):
229
Teşekkür (Aldı):
280
Konular:
60
Ticaret:
(0) %
Veri Kurtarma Yaklaşımları


Bilgisayar, telefon, bilgi depolanan ve günlük hayatımızda sıklıkla kullanılan önemli parçalar haline geldi. İçerisine önemli bilgiyi bırakır olduk tabi tartışmalı bir konu ama "ne diye kaydedelim diye sorarım önemsiz ise?", bu bilgileri değiştirebildiğimiz depolama birimleri üzerine alınca bilgileri korumamız gerekmeye başladı tabi yine cd/dvd'ler korunmalıydı ama fiziksel sağlığını koruduğu sürece diğer taraftan silmek gibi bir seçenek bulunmuyordu. Bu şu demekte değil yine veri zarar görmez de değil ona da bir uygulama ya da betik yazılıp çalıştırılırsa silemiyorsakta başka bir şey yapamayız diye bir seçeneğimiz yok değil elbette karalayarak da veriyi kullanılmaz hale getirebiliriz.

Buradan bir yere varalım, veriyi nasıl kaybedebiliriz bunları gözlemleyelim sonra neler yapabiliriz nasıl yöntemler bize geri dönüşüm sağlar bir bakalım. Verilerimizi yanlışlıkla kendimiz silebiliriz silmekten kastım çöpe taşımak olmadığını belirtmek isterim, Kendiniz değil başkaları tarafından silinebilir kasıtlı veya kasıtsız, Zararlı bir yazılım buna yol açabilir yetenekleri sadece silmekle kalmayıp veri kurtarma adımınada bir şeyler bırakmayabilir veya tam tersi şifreleyebilir, harici diskimizi yere düşürüp bir zarar almasını sağlayabiliriz bu zarar sonucu dosyalarımızı kaybetme ihtimalimiz yine bulunmakta veya başka bir senaryo düşünelim elimizde bir usb belleğimiz olduğunu varsayalım ve içerisinde verilerimiz bulunmakta her zamanki gibi acil bir dosya gerek oldu ve almak zorundasınız fakat usb belleğimizde yer kalmamış bir telaş ile içerisinde bir kaç gerekli belgeniz olduğunu unutup verileri silip diğer dosyayı içerisine kopyaladınız. Daha sonra fark ettiniz hata yaptığınızı ve kopyalama işlemi tamamlandı. Burada dosyanızın geri dönüştürülmesini etkileyecek olan bir çok parametre var dosyanızın büyüklüğü, blok adresi(şans), dosyanızın imza değişkenleri gibi şimdi düşme durumunda da hasar alınca veya bu şekilde üzerine bir tekrar veri yazılma durumlarında kurtarılma ihtimalı bir kaç yöntemle bölünüyor ve bunların sonucunda çıkacak dosyanın hepsinin kurtarılma ihtimali bulunmamakta kısmi olarak ta kurtarılabilir ya da tamamen kaybedetmiş te olabilirsiniz.

Şimdi gelin en son bahsetmiş olduğumuz yöntemler nelermiş senaryolar üzerinden gidelim ve bu senaryoları ayrı ayrı uygulamasını yapalım.

1. Silinmiş Verileri Kurtarma (Recovering deleted data)

Bir adet harici diskimiz mevcut bunun içerisinde verilerimiz bulunmakta bu verileri önemsiz olduğunu düşündük ve sildik. Farkettiniz ki Örnek.jpg dosyanızı da yanlışlıkla sildiniz. Bu durumda veri kurtarmak isteyeceksiniz. Bu durumda nasıl olsa onları kurtarırım diye düşünüp içerisine bir veri dosyası aktarmayınız aksi takdir de bu düşüncenin sonucu size geri dönüşü olmayacak şekilde dosyayı kaybetmenize yol açabilir. Kurtarabilmemiz için hassas noktalar, silinen verimizi korumak adına diskimizi bağlı bulunduğu sistemden çıkaralım daha sonra tekrar yazma korumalı olarak sistemimize bağlayaıp kurtarma yöntemlerinden devam edelim. İki tür de veri kurtarmak için yöntem vardır. Bunlardan biri günlük dosya sistemini(JFS)'i kontrol etmek, diğeri ise dosya imzası belirli bir veriyse bunu bloklarda aratmak iki ana yöntem denebilir. Tabi bunları biz elimizle yapmayacağız bunun için geliştirilmiş araçlarımız bulunmakta bunlardan yardım alarak yapacağız bunların kimisi windows kurulumu misali ileri ileri, kimisi ise teknik bilgiyi hatırı sayılır şekilde sorgulamakta.




Şekil 1: A Senaryosu



2. Üzerine Yazılmış Veri Kurtarma (Recovering deleted data-Carving Taxonomy)


Yine bir adet harici diskimiz mevcut bunun içerisinde verilerimiz bulunmakta. Diskimizden bir kaç dosya sildik ve daha sonra içerisine bir kaç dosya aktardık bir bilgisayardan veya herhangi bir dijital ortamdan. Farkettiniz ki Örnek.jpg dosyanızı da yanlışlıkla sildiniz. Bu durumda veri kurtarmak isteyeceksiniz. Bu kısım dosya aktarırken mi yoksa aktardıktan sonra mı fark ettiniz önemli bir nokta eğer büyük bir tek parça dosya yazıyorken farkettiysek bir an önce işlemimizi iptal etmeliyiz. Burada ki amaç silinen verinin üzerine bir yazılmamışsa geri dönüştürme işini zorlaştırmamak veya bu imkanı tamamen kaybetmemek için yapıyoruz bunu. Aktarımdan sonra farkettiysek daha fazla veri yazmayalım iki işlemin sonucundan sonra silinen verimizi korumak adına bağlı bulunduğu sistemden çıkaralım daha sonra tekrar yazma korumalı olarak sistemimize bağlayaıp kurtarma yöntemlerinden devam edelim. İki tür de veri kurtarmak için yöntem vardır. Bunlardan biri günlük dosya sistemini(JFS)'i kontrol etmek, diğeri ise dosya imzası belirli bir veriyse bunu bloklarda aratmak tabi bu işlemler kendi içerisinde taksonomiye sahip bir çok teknik bulunmakta genel olarak ikisi ana yöntem denebilir. Tabi bunları biz elimizle yapmayacağız bunun için geliştirilmiş araçlarımız bulunmakta bunlardan yardım alarak yapacağız yine genel kullanımı basit olan uygulamamızda var daha tekniği de.

Yukarıdaki her iki senaryo da kullanabileceğimiz özgür yazılımlar ve ücretsiz yazılımlar bulunmaktadır. Bunları aşağıda listeleyeceğim ve birer uygulama ile görelim kurtarma adımlarını.




Şekil 2: B Senaryosu
Kullanıcı İmzası
Işık ve Sevgiyle...

© Copyright TurkHackTeam.Net
DarkHawk06 Teşekkür etti.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı