THT DUYURU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adli bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder

'blackcoder - ait Kullanıcı Resmi (Avatar)
Junior Green Team
Üyelik tarihi:
01/2018
Nereden:
Kuvvetmira
Mesajlar:
2.796
Konular:
135
Teşekkür (Etti):
931
Teşekkür (Aldı):
1063
Ticaret:
(0) %
bir Hafta önce
#1
Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder
KISAYOL DOSYALARI ÜZERİNDE ADLİ İNCELEME (LNK FORENSICS)

Merhaba değerli THT üyeleri,

Bu konumda sizlere kısayol dosyaları (.lnk) üzerinde adli inceleme işlemlerini göstereceğim. Bu işlemler sayesinde hedef dosya ve sistem üzerinde çeşitli bilgilere ulaşacağız.. Hazırsanız anlatıma başlayalım,



GEREKLİ YAZILIMLARIN KURULMASI

Kısayol dosyalarını (.lnk) ayrıştırmak için Windows File Analyzer yazılımını kullanacağız. Aşağıdan bu yazılımı indirebilirsiniz,

Kod:
http://www.mitec.cz/wfa.html

Virüs Total

Kod:
https://www.virustotal.com/gui/file/4390de41b76be52f2a97093662771172f7e0c1355d74b1476780ab6f416272e0/detection



KISAYOL DOSYALARI ÜZERİNDE ADLİ İNCELEME (LNK FORENSICS)

Sistemlerde "Recent" olarak ifade edilen bir kavram vardır. Bu kavram adından da anlaşılacağı üzere bilgisayarda en son hangi dosyalara erişildiği gibi bilgileri barındırır. Bu dosyalara ait kısayol dosyaları Recent dizini altında oluşturulur. Ve aşağıdaki yollardan bu dosyalara erişim sağlanabilir,

Kod:
\Users\kullaniciadi\AppData\Roaming\Microsoft\Windows\Recent
\Users\kullaniciadi\AppData\Roaming\Microsoft\Office\Recent
\Documénts and Settings\kullaniciadi\Recent
\Documénts and Settings\kullaniciadi\Application Data\Microsoft\Office\Recent
Bilgisayarınız Windows Vista ve üstü bir işletim sistemine sahipse yukarıda verdiğim yollardan ilk ikisinden bu dosyalara ulaşabilirsiniz. Windows XP kullanıyorsanız da diğer iki yoldan ulaşabilmeniz mümkün. AppData dizini gizlendiği için dizine girebilmek için görünüm ayarlarından "Gizli Öğeler" seçeneğini tik ile işaretlemeniz gerekmektedir.



Şimdi de LNK dosyalarından biraz bahsedelim. Nedir bu lnk dosyaları ? Lnk dosyalarını kullanarak nelere erişebilir ?

Lnk dosyaları, bilgisayarınızda bulunan kısayolların tamamıdır. Örnek veriyorum D: dizininde bulunan THT.exe uygulamasının kısayolunu masaüstünde oluşturdunuz. Bu dosyanın uzantısı .lnk olarak değişecek (THT.lnk) ve artık bir lnk dosyası haline gelecektir. Bu bilgiyi şu an bu konuyu okuyan hemen hemen herkes biliyordur. Ben yine de bahsettim, basit ve anlaşılır.

"İyi, güzel de bu lnk dosyaları üzerinde adli inceleme yapınca elimize ne geçecek sen var git onu anlat bize" diyorsanız onu da şöyle açıklayayım,

Bu lnk dosyaları ile;
  • lnk dosyasının gösterdiği hedefin konumuna ,
  • Hedefin erişim, oluşturma ve değiştirme zaman bilgilerine
  • Hedefin boyutuna,
  • Hedefin özelliklerine,
  • Sistem MAC adresi ve NETBIOS ismine,
  • Hedefin bulunduğu depolama alanının seri numarasına,

erişilebilmektedir. Bizde birazdan bu bilgilere erişmeye çalışacağız.

Şimdi Windows File Analyzer yazılımımızı çalıştıralım, aşağıdaki gibi bir ekran bizi karşılayacak



Ardından üst paneldeki "Analyze Shortcuts" iconuna tıklıyoruz ( imleci iconların üzerine getirip 1 sn kadar beklediğinizde açıklaması yazacaktır) Ardından açılan yeni pencerede recent (son kullanılan ögeler) klasörünü seçeceğiz.



Bu işlemden sonra bizden kullandığımız işletim sistemini isteyecek. Ben win8.1 kullandığım için win8'i seçiyorum. Ardından "OK"a basıyoruz.



Tamam dedikten hemen sonra lnk dosyalarımız analiz edildi ve karşımıza çeşitli bilgiler çıktı. Aşağıda da gördüğünüz gibi dosyanın adı, konumu, oluşturma, düzenleme ve erişim tarihleri, boyutu, depolama alanı seri numarası, NetBios bilgisi ve MAC adresi bilgilerine erişebildik.



Kısayol dosyaları üzerinde adli inceleme konumuza burada nokta koyuyorum. Teşekkür eder, iyi forumlar dilerim..
---------------------
Cihanda 3 Şey Maneviyse; Onur, Huzur, Gurur

Konu 'blackcoder tarafından (bir Hafta önce Saat 19:04 ) değiştirilmiştir.
Xowly, "P4RS, CiHaN-i TuRaN, Enesknkx, 'Teorina Teşekkür etti.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
4.576
Konular:
483
Teşekkür (Etti):
1138
Teşekkür (Aldı):
2295
Ticaret:
(0) %
bir Hafta önce
#2
Cevap: Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder
Ellerine sağlık black, şunu da belirteyim ne kadar önemli bir olay olduğunu arkadaşlarda anlasınlar. Sizler masaüstünüzde bir uygulama oluşturunca kısa yol olarak kaydediliyor. Bu masaüstündeki veriyi silseniz dahi kısa yol verisi "Son kullanılan ögeler" kısmında silinmez. İçeriği okunmaz fakat dosya ve oluşturan cihaz hakkında birçok veri sunulur.
'blackcoder Teşekkür etti.
'Teorina - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2015
Mesajlar:
4.610
Konular:
567
Teşekkür (Etti):
1285
Teşekkür (Aldı):
1900
Ticaret:
(0) %
bir Hafta önce
#3
Cevap: Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder
Bilgilendirici ve öz bir makale olmuş, tebrik ederim. Elinize sağlık.
PourLa - ait Kullanıcı Resmi (Avatar)
Green Team
Üyelik tarihi:
03/2016
Nereden:
Mesajlar:
1.337
Konular:
282
Teşekkür (Etti):
353
Teşekkür (Aldı):
338
Ticaret:
(0) %
bir Hafta önce
#4
Cevap: Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder
Ellerin dert görmesin , artık kısa yol oluştururken bir kere daha düşünücem
---------------------
PourLa
Html/Css > Python > C ve C++
( }-----{ TÜRK HACK TEAM }-----{ )
Twitter | Telegram | İnstagram




'blackcoder - ait Kullanıcı Resmi (Avatar)
Junior Green Team
Üyelik tarihi:
01/2018
Nereden:
Kuvvetmira
Mesajlar:
2.796
Konular:
135
Teşekkür (Etti):
931
Teşekkür (Aldı):
1063
Ticaret:
(0) %
6 Gün önce
#5
Cevap: Kısayol Dosyaları Üzerinde Adli İnceleme ● 'blackcoder
Alıntı:
"P4RS´isimli üyeden Alıntı Mesajı göster
Ellerine sağlık black, şunu da belirteyim ne kadar önemli bir olay olduğunu arkadaşlarda anlasınlar. Sizler masaüstünüzde bir uygulama oluşturunca kısa yol olarak kaydediliyor. Bu masaüstündeki veriyi silseniz dahi kısa yol verisi "Son kullanılan ögeler" kısmında silinmez. İçeriği okunmaz fakat dosya ve oluşturan cihaz hakkında birçok veri sunulur.
Bilgilendirme ve yorum için teşekkür ederim hocam

Alıntı:
'Teorina´isimli üyeden Alıntı Mesajı göster
Bilgilendirici ve öz bir makale olmuş, tebrik ederim. Elinize sağlık.
Güzel yorumunuz için teşekkür ederim

Alıntı:
PourLa´isimli üyeden Alıntı Mesajı göster
Ellerin dert görmesin , artık kısa yol oluştururken bir kere daha düşünücem
Pek bilinmeyen basit ama kritik bilgilere ulaştıran bir inceleme dikkatli olmakta fayda var tabi teşekkür ederim
---------------------
Cihanda 3 Şey Maneviyse; Onur, Huzur, Gurur

Konu 'blackcoder tarafından (6 Gün önce Saat 12:02 ) değiştirilmiştir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler