İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

UNIX/Linux İşletim Sistemlerinde Adli Bilişim -2-

03-04-2012 00:27
#1
Hybris - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2009
Nereden:
System.Data.
Mesajlar:
1.020
Teşekkür (Etti):
100
Teşekkür (Aldı):
234
Konular:
122
Ticaret:
(0) %
İlk yazıda saldırıya uğradığından şüphelenilen sistem üzerinde genel araçlarla nasıl bir inceleme yapıldığından bahsedildi. Siber savunma hattının ilk halkası olan sistem yöneticilerinin yapacağı genel kontroller anlatıldı. Şimdi bir adım daha ileri giderek saldırının gerçekleştiği varsayımıyla gerçek anlamdaki adli analiz teknikleri ele alınacaktır.



İkinci aşamayı şöyle düşünebiliriz: Saldırı gerçekleşti ve sistem yöneticisi işin ciddi boyutta olduğunu düşünüp görevi kurumdaki güvenlik mühendisine devretti.
Güvenlik mühendisinin yapacağı ilk iş gerçekten saldırının olup olmadığını bir daha gözden geçirmek olacaktır. Sistem yöneticisine danışarak, niçin saldırının başarıya ulaştığını düşündüğü öğrenilmeli ve bulunan sonuçlar bir daha kontrol edilmelidir.
Saldırının gerçekleştiğinden emin olunduktan sonra sıra hard disklerin (sabit disk) kopyalarını almaya gelir.
Sabit disk kopyalarını alan bir çok ticari yazılım bulunmaktadır. Yazılımları kullanmak çok zor değil ama önemli olan bu yazılımların nasıl çalıştığını anlayabilmektir. Çünkü alınan kopyalar üzerinde mevcut araçlarla nasıl çalışılacağı bilinmiyorsa sonuca ulaşmak gayet zor olacaktır.
Adli analizin verification yani doğrulama aşamasından sonraki kopyalama kısmı için "dd" komutunu kullanılabilir.
Bu komut tam olarak sabit diskteki 0 ve 1' leri göstermiş olduğunuz medyaya yazmaktadır.



Bir adli bilişimcinin işi genelde 0 ve 1' lerledir. dd komutunun asıl amacı adli bilişim olmamakla birlikte 0 ve 1' leri kopyalama için kullanabildiğinden oldukça yararlı bir komuttur.



Kullanılışı:
Alıntı:
dd if=giriş dosyası of=çıkış dosyası
Örneğin /dev/sda sabit diski harici disk olan /dev/sdc' ye kopyalanmak isteniyor.
Öncelikle /dev/sdc' yi monte (mount) etmek gerekecektir. /mnt klasöründe harici disk alt klasörü oluşturulsun:
Alıntı:
mkdir /mnt/harici_disk
Şimdi /dev/sdc' yi monte edilsin:
Alıntı:
mount /dev/sdc /mnt/harici_disk
Sıra ana diski harici diske kopyalamaya geldi:
Alıntı:
dd if=/dev/sda of=/mnt/harici_disk/backup.img
backup.img sda diskinin bire bir kopyası olacaktır.
Sabit diksteki bilginin kopyalanması için bir kaç yöntem mevcuttur.
  • Direkt Sabit Diskten Kopyalama: Bu yöntemde saldırıya uğramış sabit disk, adaptör yardımıyla bilgisayara bağlanır ve kopyalama işlemi adli analiz bilgisayarından gerçekleşir.
Avantajları: Bu yöntemle ana bilgisayara kopyalama hızlı bir biçimde gerçekleşir.
Dezavantajları: Geçici (volatile) data dediğimiz bilgiler kaybolur. Bunlar RAM, ve ağ bağlantıları gibi bilgileridir.
  • Farklı Bir İşletim Sistemi Üzerinden Kopyalama: Bu yöntemde saldırıya uğramış bilgisayara boot edilebilinen linux cd si takılıp bilgiler alınır.
Avantajar: Birinci yöntemdeki gibi sabit diski çıkarmaya gerek yoktur.
Dezavantajları: Bilgisayar tekrar başlatılacağından geçici data bu yöntemde de kaybedilecektir.
  • Canlı Sistem Kopyalanması: Bu yöntemde sistem fişi çekilmeden kopyalanabilir. Herhangi bir açık kodlu adlı bilişim programıyla bu işlem gerçekleştirilebilir. Örneğin Helix bu programlardan biridir. Helix saldırıya uğramış bilgisayara takılarak istenilen bilgiler elde edilebilinir. Helix Linux ve Windows işletim sistemlerinde problemsiz çalışabilmektedir. Burada önemli olan RAM, ağ bağlantıları gibi önemli bilgilerin de depolanabileceği ve belki de en önemlisi saldırganın sistem kapatılmadığı için yapılan işlemlerden haberdar olamıyacağıdır.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı