Adli Bilişim Nedir? Türleri Nelerdir?

ѕeleɴια

İstihbarat Tim Deneyimli
18 May 2018
2,079
66

Adli bilişim üzerine yazılı bir konu olacak. Konu içerisinde imaj alma geri yükleme, silinen verileri geri getirme delil toplama, exif bilgileri, windows registry, gerçek zamanlı log izleme uygulamaları şeklinde olacak.



Adli Bilişim Nedir?

Adli bilişim kısa açıklamasıyla bilişime yönelik delilerin toplanmasıdır. Adli bilişim bilişim cihazları üzerinden işlenmiş suçların ön görülmesinde, tespitinde ve analizinde rol oynar. Adli bilişim djital verilerin elde edilmesi, saklanması, incelenmesi ve analiz edilmesi, raporlanması, sunum halinde aşamalarla ilerlemektedir. Adli bilişim djital veriler ile gerçekleştirilen eylem arasındaki neden sonuç ilişkisinin kurulmasını sağlar. Günümüz teknolojileri ile yapılabilen siber suç faaliyetlerinden dolayı adli bilişime ihtiyaç duyulmasının sebebi.



Djital Delil Nedir?

Dijital delil, bilişim sistemleri üzerinde bulunan depolama aygıtlarında yapılan incelemeler sonucunda elde edilen adli delillere denir. Veri depolama alanları, silinen veriler, USB bellekler, GPS verileri,geri dönüşüm kutusu üzerinden elde edilen kayıtlar,windows kayıt defteri verileri, ağ ve internet ve daha fazlası djital delil elde etmemize yarayabilmekte.



Adli Bilişim Türleri

Bilgisayar Adli Bilişimi ( Computer Forensic )

Adli bilişim türlerinden olan Computer Forensic. Amaç bilgisayarlar üzerinden delil elde etmektir. Suçun işlendiği bilgisayar veya suçun işlenildiği düşünülen bilgisayardan fiziksel veya dışarıdan bir şekilde djital delil ele etmeye çalışılır. Genellikle bir bilişim suçuna ilişkin en büyük deliller suçun işlendiği bilgisayar üzerinden elde edildiği için adli bilişim türlerinde en sık kullanılandır. Bilgisayarlar kendilerine ait her türlü veriyi kayıtlar ve bir yerde bu bilgileri tutar. Delil elde etmek için ise bu bilgilerin tutulduğu alanlara erişmek gerekir. Çoğu bilgisayar kullanıcısının bu verilerin tutulduğundan haberi olmamaktadır ve tutulduğu yerleri de bilmemektedirler.

Ağ Adli Bilişimi ( Network Forensic )

Ağ adli bilişimi belirli bir yerel ortamın, local bir ağın analiz edilmesi denebilir. Ağın olduğu ortamda ağı izleme, ağa ait bilgiler edinme, bilgilerin analizleri ve raporlanması olarak tanımlanabilir. Adli bilişim alanında network bilgisine ihtiyaç duyulur. Bu alanda gelişmek isteyenler network forensic konusunda kendilerini geliştirmeleri gerekmekte.

Mobil Adli Bilişim ( Cellphone Forensic )

Tıpkı bilgisayarlar gibi mobil cihazlar da içinde dönen olayları veriler halinde kayıt etmektedir. Özellikle mobil cihazlar resim ve video çekme, ses kaydı alabilme vb. gibi özellikleriyle delil elde etmek için oldukça güçlü oluyor. Bu verileri her cihazda olduğu gibi kullanıcı kendisi silebilir ama bu silinen verilerin geri getirilmesinin de mümkün olmadığını unutmamak gerek.

GPS Adli Bilişimi ( GPS Forensic )

GPS kimse farkında olmasa bile günümüzde her alanda fazlasıyla kullanılan bir durum. GPS teknolojisi delil elde etmekte çok işe yarayacağı gibi siber suçlarda da işe yarayabilmektedir. Çünkü GPS verileri sizin bir konuma hangi saatlerde girip çıktığınız, en çok nerelere gittiğini, hangi saatlerde nerede olduğunu vb. tüm bunları tutar. Bunlara bilişim işlemleriyle erişebilen bir suçlu fiziksel olarak suçlar işleyebilir. Bu GPS verilerini arabalar dahil tutmaktadır. Adli bilişimde şüpheli kişinin GPS tutan her türlü cihazı incelenerek GPS bilgileri ile delil elde edilebilir.

Sosyal Ağ Adli Bilişimi ( Social Network Forensic )

Sosyal medya bunu istemeseniz bile sizin verilerinizi kayıt altında tutar. , sosyal ağlar üzerindeki bu verilerin incelenmesi, analiz edilmesi ve delil teşkil etmek üzere adli makamlara sunulması ile ilgilenmektedir. Kişiye ait çokça bilgi sosyal medya verileri üzerinden elde edilebilir. Kişiler sosyal medyada paylaştığı resimler, biyografisi, takip takipçi, kullanıcı adı, dm mesajları vb. daha çokça durumlar ile delil elde edilebilir. Ve sadece o anki değil önceden kullanmış olduğunuz kullanıcı adı, biyografi, sosyal medyadan sildiğiniz resimler dahil erişilebilmektedir.





İmaj Almak Ve İmaj Yüklemek

İmaj alma ve imaj geri yükleme işlemine bakacağız. Öncelikle İmaj almak nedir? İmaj almak bir bilgisayarın imajı alınırken ki zamanın tüm C sürücüsü ve diğer sürücülerin kopyalanmasıdır. İmaj geri yükleme ise yedeği alınan imajın istenilen yere tekrar yüklenmesidir. İmaj ile bir sürücünün içindeki özel bir dosyanın klasörün vb. yedeğini de aynı şekilde alınabilir. İmaj almanın yararları çokça örneklendirilebilir. Bir şirketin bir program, sürücü vb. indirmesi gerekiyordur tüm bilgisayarlara, imaj alma işlemi ile tüm bilgisayarlara bu program yükletilebilir. Bir bilgisayar bozulunca eğer imajı alınmışsa eski haline getirilebilir. Bunlar imaj almanın faydalarından. Şimdi imaj nasıl alınacağına geçelim.

Gerekli durumlar;

>> Boş bir USB bellek
>> BootCD Programı
>> Rufus Programı


Bizim ihtiyaçlarımız.

Rufus indirmek için;

Rufus - Önyüklemeli USB sürücü oluşturmanın en kolay yolu

Kendi web sitesinden indirebilirsiniz. İNDİR yazan bölümün altındaki Rufus 3.14(sürüm değişebilir) tıklayın.


Bu yol ile bilgisayınıza indirilmeniz sağlanacak. Direkt olarak bu yolu alıp URL'ye yapıştırarak indirebilirsiniz. Kurulum yok indirildikten sonra direkt olarak inen exe yoluna tıkladığınızda açılacaktır.


BootCD programını indirmek için;


Bu yolu kopyalayın ve URL olarak yapıştırın indirilmesi sağlanacaktır.


Download | Hiren's BootCD PE

Kendi web sitesi. Eğer burdan indirmek isterseniz aynı yola çıkar, en alt bölümde ;
Filename
HBCD_PE_x64.iso(Thanks to all our Supporters for providing fast and reliable mirror servers)

Bu bölümü bulmanız gerekiyor. HBCD_PE_x64.iso buna tıklayın indirilecek. Herhangi bir kurulum işlemi yok direkt olarak iso halinde indiriliyor.

İndirme işlemleri bittikten sonra yapacağımız ilk durum indirdiğimiz iso dosyasını rufus programı yardımıyla USB belleğine yazdırmak. Boş USB belleği bilgisayara takıldıktan sonra rufus programını açmak gerekir. Rufus programını açınca USB bellek seçili olacaktır. Önyükleme seçimi bölümündeki seç kısmına tıkladıktan sonra iso dosyasını seçmeniz gerek. Ve diğer durumlar varsayılan olarak kalacak ama yine de resim ekliyorum.



Bu şekilde ayarlandıktan sonra başlat seçeneğine tıklayın. Bir uyarı çıkacak. Uyarıya tamam seçeneğine tıklayıp devam edilebilir. Uyarıda söylenen şey USB bellek içinde veri varsa bunların hepsini silinecektir. Bu yazdırma işlemi çok kısa işlem. Bittikten sonra çıktı şekli:



Hazır görüldüğünde kapatılabilir program. Artık imaj almak için bu usb belleği kullanılabilir. Yapılması gereken bu usb belleğini imajı alınacak olan bilgisayara takmak. Tabi bunu yaparken BIOS kısmından boot menüden USB belleği seçmeniz gerek.




İmaj Almak İçin Takip Etmeniz Gereken Adımlar

>> boot menuden USB belleği seçmeniz gerek.
>> Sistem açıldıktan sonra sol altda bulunan windows simgesine tıklayın.
>> Tıkladıktan sonra all programs seçeneğine tıklanır.
>> Dosyalar çıkacak buradan Hard Disk Tools tıklanır.
>> Açılan yerden İmaging tıklanır.
>> AOMEI Backupper tıkalnır.


Bir uygulama başlatılacak. İmaj alma imaj yükleme işlemleri bu programdan yapılacak.

Backup bölümü İmaj almak için, Restore bölümü ise alınan imajı geri yüklemek için olan bölümler. Clone bölümü yeni bir disk aldıysanız bu diske tüm verilerinizi klonlamak kopyalamak içindir.


>> Backup bölümüne tıklanır.

File backup seçeneği özel bir klasörün imajını almak için kullanılıyor. Partition backup seçeneği istenen sürücünün imajını almak için kullanılır. Disk backup ise tüm diskin imajını almak için. System backup ise işletim sisteminin yüklü olduğu C sürücüsünün imajını almak içindir. İstenilene göre seçenek seçilir. C diskinin imajını almak yani system backup yapmak bilgisayar bozulduğunda vb. tekrar eski haline getirmek için kullanılabilir.

>> Step 2 yazan bölümden imajın kayıt edileceği yer seçilir. Step 2 yazısına tıklanarak bu işlem yapılır.
>> Start bakcup tıklandığında imaj alınma işlemi başlar.


Ana işletim sistemine geçildikten sonra imajın kayıt edilmesi istenen bölüme kayıt edildiği görülür.



İmaj Geri Yükleme

Bilgisayar yeniden başlatılıp boot menüden USB bellek seçilir. Ve imaj alma programı açılır. Restore bölümünde Path seçeneğine tıklanır This PC bölümünden imajın olduğu bölümden imaj bulunur ve çift tıklanır. Next seçeneğine tıklandıktan sonra start restore edilir. Alınan imajın geri yüklenme işlemi yapılır. Bu işlem silinen verileri geri getirmek içinde kullanılabilir ama belirli bir zamandaki verileri getirecektir. Bu durumdan dolayı farklı bir programdan yararlanılır.



Silinen Verileri Geri Getirme

Delil elde etmek için kullanılan yöntemlerdendir. Bilgisayarda silinen resimleri, klasörleri, programları bulmak için kullanılır. Bu işlem için RecoverMyFiles programı kullanılacak.

TIKLA

Bu web sitesinden programın setup dosyasını indirebilirsiniz. Kurulum next next şeklinde. Setup işlemini tamamladıktan sonra programı açınca gelecek çıktı da bize iki seçenek veriyor. Driver veya klasör taraması. Driver direkt olarak bir sürücünün taranması, klasör taraması ise özel bir klasörün taranmasıdır. Driver taraması klasör taramasına göre uzun sürer ve bilgisayarı kastırabilir. Herhangi bir seçenek seçilir. Ben files seçeneğini seçtim.



Bu bölümde hangi disk üzerindeki klasörleri taramak istiyorsunuz bunu seçin ve Next butonuna tıklayın. Start butonuna tıklanınca tarama yapılır ve sol bölüme bir bar gelir. Bu bardan istediğiniz klasöre erişeceksiniz ve silinen dosyaların çıktısını almak için Save file yazan bölümün yanındaki küçük ok simgesine tıklayıp save ass butonuna tıklayacaksınız.



Silinen dosyaları kurtarmak için online seçilmeli ama key gerekiyor bu yüzden offline seçeneği seçilip devam edildikten sonra gelen yerden Export seçeneğine tıklanır. Kayıt edilecek yer seçilir.




Exif Bilgileri

Exif bilgileri görüntü üzerinden bilgi toplama işlemidir. Bu işlem bazen görüntünün çekildiği yeri bize verebilir. Sosyal platformlarda atılan görüntülerin exif bilgileri silinir. Bir bilgisayardan bulunan resimin exif bilgileri silinmediyse resim hakkında detaylı bilgiler verebilir. Fotoğraf çekerken cihazınızın fotoğraf üzerine bazı bilgiler aktarıyor. Bu bilgilere exif database ( exif veritabanı ) deniyor. Exif değişebilir görüntü dosyası biçimi anlamına geliyor. Exif bilgileri amaca göre işe yarar bilgiler olabiliyor. Konu da Exif bilgilerinin ne olduğundan, nasıl öğrenilebildiğinden, nasıl exif bilgilerini temizleyebiliriz bunlardan bahsedeceğim.



Exif Bilgilerine Ulaşma Yöntemleri

1- Fotoğraf Ayrıntıları



Bize verebileceği exif bilgileri;

* Fotoğraf formatı
* Çekildiği Tarih
* Boyutlar Genişlik vb.
* Yükseklik, renk ve çözünürlük vb.


Gibi bilgiler fotoğraf ayrıntılarından öğrenilebilir. Ama exif bilgilerini öğrenmek için çoğu zaman işe yaramayabilir çünkü fotoğraf da bazen bu bilgiler ayrıntılarda olmayabiliyor bu da fotoğrafı çeken kişinin exif bilgilerini editlemiş olmasına bağlı. İlgili resim dosyasına sağ tık yapıp ayrıntılara basmanız bu bilgileri görmek için yeterli olacaktır.




2- Exif Tool

Exif bilgilerine ulaşmak için toollar var. Bu konuda önerilen 2 tool'dan bahsedeceğim. İkiside aynı görevi görüyor. Biri Windows diğeri Linux sistemleri üzerinden.
exiftool.org web sitesinden sürüme göre tool'u indirebilirsiniz. Tool rar halinde iniyor. Eğer windows'unuzda winrar yoksa gezginler web sitesinden winrar indirebilirsiniz. Dosya indikten sonra yapmanız gereken önce zip'i ayıklamak daha sonrasında görsel dosyasını ilgili tool'un üzerine sürükleyip bırakmak. CMD penceresi açılacak ve bazı exif bilgilerini bize verecek. Linux sistemlerinden ise exiftool bulunmakta. İndirmek için sudo apt-get install exiftool yapabilirsiniz. Daha sonra yapmanız gereken exiftool yazıp exif bilgilerini öğrenmek istediğiniz resmin yerini belirtmek.



Exif Bilgileri Nasıl Kaldırılır?

Exif bilgilerini kaldırmak için exif bilgilerini editlemelisiniz. Windows için aktarılmış durumdaki fotoğraf seçilir, sağ tıklandığında Özellikler ve ardından da Ayrıntılar sekmeleri takip edilir. Ayrıntılar sekmesi, EXIF Bilgisi kısmının bulunduğu bölümdür ve burada .Kaldır şeklinde bir seçenekle karşılaşılır. Burası tıklandığı taktirde EXIF Bilgisi kaldırılmıştır.



 

ѕeleɴια

İstihbarat Tim Deneyimli
18 May 2018
2,079
66
Windows Registry Nedir?

Windows kendine ait bazı özel bilgilerini bir yerde saklaması gerekiyor. Bu bilgiler ayar, yazılım, donanım kullanıcılar ve ayarları olabiliyor. Windows bu bilgileri Windows Registry, Windows kayıt defterine saklamaktadır. Çoğu kişisel windows kullanıcısının haberdar olmayıp kullanmadığı bu bölüm adli bilişim konusunda bilinmesi gerekenlerden. Windows kendisiyle alakalı her yapılandırmayı burada kayıt eder.



Windows Registry Adli Bilişimde Ne Yönde İşe Yarayabilir?

Vereceği bilgiler ile işe yaraması mümkün. O bilgiler:

.Kullanıcı adları
· Çalıştırılan programlar
· Takılmış USB cihazlar
· Sistemde tanımlı bulunan cihazlar
· Bilgisayar adları
· En son kullanılan yazılım
· Kişisel ayarlar internet tarayıcı tercihleri
· Sistem konfigürasyon bilgileri
· Ağ paylaşım Bilgileri


ve daha fazlası...



Windows Kayıt Defterine Erişmek

Windows+R. Klavyede bulunan windows tuşu ile R tuşuna aynı anda basarak çalıştır'ı açıyoruz. Bunun yerine windows arama çubuğuna çalıştır yazılabilir. Sol altda çıkacak pencereye regedit şeklinde bir arama yapın. Bu şekilde ulaşılabilir. Bunun yerine Windows arama çubuğuna Kayıt defteri düzenleyicisi şeklinde yazılabilir.



Windows Registry Yapısı

Sol ve sağ olarak iki bölümden oluşuyor. Solda bir bar ( üzerinde işlem yapacağımız durumu seçmemize yarayacak bölüm) sağda ise bir sayfa (işlem yaptığımız bölüm). Sol tarafta Key, sağ tarafta ise Value değerler bulunmakta. Key bölümü hiyerarşik bir düzene sahip olmaktadır. Keyler Root keyler Keyler ve SubKeyler şeklinde sıralanıyor. Sıralama yukarıdan aşağıya doğru olmaktadır. Subkeylerin altı ise value değerleri temsil etmektedir.



Root Key:

>> Registry yapısında beş tane Root Key bulunur.
>> HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.

Adli bilişim incelemelerinde Root Keylerin altında hangi bilgilerin yattığını bilmek işe yarayacaktır. Bunu bilmek bizim istediğimiz bilgiye daha rahat ulaşmamızı sağlar. Root keylerin hangi bilgileri içerdiklerine konu içinde bakalım.

HKEY_CLASSES_ROOT (HKCR)




Yazılım ayarları, kısa yol ve tüm diğer kullanıcı ara birimi ile ilgili bilgileri içerir. Bu bölümü silinirse Windows çalışsa bile dosyaların hiç biri açılmaz. Bu bölüm dosya türleri ve OLE (Object linkg and embeddin – nesne bağlama ve gömme ) hakkında bilgiler, dosya ilişkilendirmelerini, kısa yol bilgilerini içermektedir

HKEY_CURRENT_USER (HKCU)



Açık olduğu an oturum açmış olan kullanıcı ayarlarına buradan erişilebilir.

HKEY_LOCAL_MACHINE (HKLM)



Bilgisayara özgü yapılandırma bilgilerini içermektedir. Bu bölüm bilgisayardan bilgisayar değişebilen donanım bağımlı ayarları tutmakta ve yazılım ve ayarlarda burada barındırılıyor ve bu ayarlar oturum açan her kullanıcı için uygulanıyor. Başlatma sırasında sistem tarafından kullanılan yapılandırma ve ayarları içerir.

Önemli olarak 5 KEY içerir bunlar;

System: Bilgisayar adı, sistem zaman dilimi ve ağ arabirimleri gibi sistem yapılandırmaları içerir.

· Software: Sistemdeki yüklü uygulamalar ve işletim sistemi hizmetleri ile ilgili ayarları ve yapılandırmaları içerir.

· Security: Sistemdeki güvenlik ilkelerini içerir.·
SAM: Güvenlik Hesap Yöneticisi (Security Account Manager) ve kullanıcı-grup güvenlik bilgilerini saklar. Kullanıcı adını, kullanıcının unique SID’sini ve kullanıcının parolasının hash özetini içerir.

· Hardware: Sisteme bağlı donanım aygıtları hakkında bilgi içerir. Bu bilgi sistem önyüklemesi (BIOS) sırasında saklanır.


HKEY_USERS (HKU)



Bilgisayarın bütün kayıtlı kullanıcılarının özelleştirilmiş ayarları (renkler,klavye ayarları, dil, denetim masası ayararı) bu bölümde kayıtlıdır. Bilgisayarı kullanıldığı andaki kullanıcının özel ayarları gösterilir.



HKEY_CURRENT_CONFIG (HKCC)

HKEY_LOCAL_MACHINE ile bağlantılı olup sistemin çalıştığı andaki donanım konfigürasyonu ile ilgili bilgileri içerir.




Windows Registry Manuel Analiz

Bilgisayar İşletim Sistemi Ve Versiyon Bilgisi Öğrenilmesi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrenVersion

HKEY_LOCAL_MACHINE bölümünden SOFTWARE klasörünü açıp Microsoft Windows... şeklinde açarak devam ediyoruz. Gelen çıktıda gerekli bilgileri görebileceksiniz.



Bilgisayarın Time Zone ( Zaman Dilimi ) Bilgisinin Öğrenilmesi

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Control\TimeZoneInformation

Windows kayıt defterinde Keyleri açarak ilerlediğinizde gelen çıktıda bilgi olacaktır:



Bilgisayarın Silinmiş Yazılımlarını Öğrenmek


HKEY_LOCAL_MACHINE\SOFTWARE\Microsft\Windows\CurrentVersion\Uninstall

Bilgisayara Takılan Yazıcıların Öğrenilmesi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsft\WindowsNT\CurrentVersion\Print\Printers



Bilgisayarın Bağlanmış Olduğu Kablosuz Ağların Öğrenilmesi

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\



Bilgisayara Bağlanmış USB lerin Öğrenilmesi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\



Bilgisayar Adının Öğrenilmesi

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName



MRU Listelerinin Öğrenilmesi

En son kullanılanların listesidir. Kullanıcının gerçekleştirdiği belirli eylemler nedeniyle yapılan girişleri içermektedir.

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU



RecentDocs Öğrenilmesi

Sistemde kullanılan ve açılan son belgeleri derler.

İnternet Explorer Ziyaret Edilen URL Adreslerinin Öğrenilmesi

HKEY_CURRENT_USER \ Yazılım \ Microsoft \ Internet Explorer \ TypedURLs



Bilgisayara Takılan Şüpheli Cihazların Öğrenilmesi

Windows tarafından şüpheli olarak algılanan ve cihaza takılan cihazların derlendiği bu bölüm.

HKEY_LOCAL_MACHINE\System\MountedDevices




Gerçek Zamanlı Log Analizi Ve Monitoring Programları

Gerçek zamanlı log izleme ve monitoring. Adli bilişim, siber güvenlik alanlarında öğrenilmesi gerekli ve günümüz güvenlikçilerinin çoğunun üzerinde çalıştığı işlemlerdendir. Defansif amaçlı olmakla birlikte amaç bir tehlikeyi ön görmek engellemektir.

VirtualMetric

VirtualMetric bir gerçek zamanlı log izleme uygulamasıdır. Bu uygulama Monitoring işlemlerinde ve gerçek zamanlı log uygulama analizinde kendini geliştirmek isteyenler için kullanabilecek ve öğrenebileceği, adli bilişimde ve siber güvenlikte tehdit istihbaratına kadar kullanılabilen uygulamalardandır. Yapabildiği monitoring işlemleri;

Server Monitoring: Windows Server Monitoring, Linux Server Monitoring, VMware Server Monitoring

Virtualization Monitoring: VMware Monitoring, Hyper-V Monitoring

Database Monitoring: Microsoft SQL Server Monitoring

Analytics: Log And Event Manager, ITIL, SIEM, Log Analyzer

Change Tracking: Hardware & Service Change, File Changes, Configuration Changes

Application Monitoring: ISS Server Monitoring, Storage Spaces Monitoring

IT Security: Forensic Analyses, AUDİTİNG, Server Security, Pending Updates, TCP Connections, Security Threats

Wazuh

Wazuh tıpkı VirtualMetric gibidir. Wazuh virtualmetric desteklediği işlemleri destekler. Wazuh çokça kaynakta yer verilen bir uygulamadır.

Wazuh Kurulumu

Wazuh kurulumunun nasıl yapıldığına hep birlikte bakalım. Gerçek zamanlı log izleme uygulamalarının deneme olarak kullanmak için web sitelerinde Live şeklinde kullanılabilir, veya gerçekten denemek için sanal makine üzerinden kurulabilir. Wazuh nasıl kurulduğu hakkında yazmış olduğum THT makalesi: Wazuh Nedir? Wazuh Kurulumu

Ağlar Nasıl Analiz Ediliyor

WireShark adlı uygulama ağ analizleri için oldukça iyi bir app. Ağları analiz etmek ağlar hakkında bilgi toplamanın çokça yolları var. Linux üzerinden manuel olarak bir ağ hakkında veri elde etip bunun nasıl kayıt edildiğini konu içinde yazacağım.

Linux terminalini açtıktan sonra monitör moda geçmek için kullanacağımız kod;

Kod:
airmon-ng start wlan0mon

Wifi adaptörümüz sayesinde diğer ağları görebiliriz. Bu ağları görmek ve hakkında bilgi almaya başlamak için terminalde;

Kod:
airodump-ng wlan0mon

Kodu çalıştırın. Karşınızda wifi adaptörünüzün görebildiği kadarıyla ağlar. Bu bir tarama işlemi ve siz CTRL+C yapmadığınız sürece devam eder. Durdurmak için CTRL+C. Ağlar ve en sol taraflarında BSSID olacak. Hakkında bilgi edinmek istediğimiz ağın BSSID adresini kopyalayın.

Kod:
airodump-ng --channel 12 --bssid AA:AA:AA:AA:AA:AA --write test wlan0mon

Bilgi edinmek için çalıştıracağımız kod bu ama bunu çalıştırmadan önce kendinize göre editlemeniz gerek. airodump-ng --channel yazdıktan sonra bilgi toplamak istediğniz ağın CH adresine bakacaksınız. Örneğin 12 ise 12 şeklinde gireceksiniz kodun yanına. --bssid yazdıktan sonra ise hakkında bilgi toplayacağınız ağın bssid adresini yanına gireceksiniz. --write alınan bilgiyi yazdırmak için. test diye isim verilir. Kod çalıştırılmazsa başına sudo koyulabilir. Bilgi toplamaya başlayacak.

Kod:
ls test*

Bu kodu çalıştırınca bir cap dosyası çıktığını göreceğiz.

Nedir Cap Dosyası

Ağ üzerinden iletilen verilerin toplanmasına paket koklanma işlemi denir. Paket koklama işleminden alınan veriler cap dosyalarında olur. Yani ağa ait verilerin elde edilmesi sonucunda oluşturulan bir dosyadır.

Cap Dosyaları Nasıl Açılır Nasıl Analiz Edilir

Cap dosyalarını açmak analiz etmek için ağ analiz programları kullanılır. Buna en güzel örneklerden biri Wireshark. Aynı zamanda bu dosya Microsoft Network Monitor programı ile de açılabilmekte. Ağ analizlerinde en çok kullanılanlardandır.



WireShark Nedir?

Wireshark kısa açıklanırsa ağ trafiği inceleme programıdır. Bu trafik bir grafik ara yüzü ile izlenebilir ve gerçek zamanlı izlemeler yapılabilmektedir. Ağa yönelik yapılan saldırıların analizlerinde, ağları analiz etme inceleme ve bilgi elde etme işlemlerin yapılmasında sıkça rol oynayan programlardandır. Wireshark bir ağ üzerinden elde edilip kayıtlanmış bir veriyi grafik arayüz halinde açmaya da yarar. Yani bu yakalamış olduğumuz dosyanın analizini wireshark üzerinden yapabilirsiniz. Wireshark öğrenmeye başlamadan önce kişiye temel network bilgisi gerekir. Network bilgisi sayesinde wireshark analizlerini daha iyi anlayabilecek. Wireshark MAC, Windows, Linux sistemlerinde kullanılabilir. Linux sisteminde hali hazırda kurulu gelmektedir.
 
Son düzenleme:

'The Wolf

Uzman üye
22 Nis 2021
1,309
852
Gökyüzü

Adli bilişim üzerine yazılı bir konu olacak. Konu içerisinde imaj alma geri yükleme, silinen verileri geri getirme delil toplama, exif bilgileri, windows registry, gerçek zamanlı log izleme uygulamaları şeklinde olacak.



Adli Bilişim Nedir?

Adli bilişim kısa açıklamasıyla bilişime yönelik delilerin toplanmasıdır. Adli bilişim bilişim cihazları üzerinden işlenmiş suçların ön görülmesinde, tespitinde ve analizinde rol oynar. Adli bilişim djital verilerin elde edilmesi, saklanması, incelenmesi ve analiz edilmesi, raporlanması, sunum halinde aşamalarla ilerlemektedir. Adli bilişim djital veriler ile gerçekleştirilen eylem arasındaki neden sonuç ilişkisinin kurulmasını sağlar. Günümüz teknolojileri ile yapılabilen siber suç faaliyetlerinden dolayı adli bilişime ihtiyaç duyulmasının sebebi.



Djital Delil Nedir?

Dijital delil, bilişim sistemleri üzerinde bulunan depolama aygıtlarında yapılan incelemeler sonucunda elde edilen adli delillere denir. Veri depolama alanları, silinen veriler, USB bellekler, GPS verileri,geri dönüşüm kutusu üzerinden elde edilen kayıtlar,windows kayıt defteri verileri, ağ ve internet ve daha fazlası djital delil elde etmemize yarayabilmekte.



Adli Bilişim Türleri

Bilgisayar Adli Bilişimi ( Computer Forensic )

Adli bilişim türlerinden olan Computer Forensic. Amaç bilgisayarlar üzerinden delil elde etmektir. Suçun işlendiği bilgisayar veya suçun işlenildiği düşünülen bilgisayardan fiziksel veya dışarıdan bir şekilde djital delil ele etmeye çalışılır. Genellikle bir bilişim suçuna ilişkin en büyük deliller suçun işlendiği bilgisayar üzerinden elde edildiği için adli bilişim türlerinde en sık kullanılandır. Bilgisayarlar kendilerine ait her türlü veriyi kayıtlar ve bir yerde bu bilgileri tutar. Delil elde etmek için ise bu bilgilerin tutulduğu alanlara erişmek gerekir. Çoğu bilgisayar kullanıcısının bu verilerin tutulduğundan haberi olmamaktadır ve tutulduğu yerleri de bilmemektedirler.

Ağ Adli Bilişimi ( Network Forensic )

Ağ adli bilişimi belirli bir yerel ortamın, local bir ağın analiz edilmesi denebilir. Ağın olduğu ortamda ağı izleme, ağa ait bilgiler edinme, bilgilerin analizleri ve raporlanması olarak tanımlanabilir. Adli bilişim alanında network bilgisine ihtiyaç duyulur. Bu alanda gelişmek isteyenler network forensic konusunda kendilerini geliştirmeleri gerekmekte.

Mobil Adli Bilişim ( Cellphone Forensic )

Tıpkı bilgisayarlar gibi mobil cihazlar da içinde dönen olayları veriler halinde kayıt etmektedir. Özellikle mobil cihazlar resim ve video çekme, ses kaydı alabilme vb. gibi özellikleriyle delil elde etmek için oldukça güçlü oluyor. Bu verileri her cihazda olduğu gibi kullanıcı kendisi silebilir ama bu silinen verilerin geri getirilmesinin de mümkün olmadığını unutmamak gerek.

GPS Adli Bilişimi ( GPS Forensic )

GPS kimse farkında olmasa bile günümüzde her alanda fazlasıyla kullanılan bir durum. GPS teknolojisi delil elde etmekte çok işe yarayacağı gibi siber suçlarda da işe yarayabilmektedir. Çünkü GPS verileri sizin bir konuma hangi saatlerde girip çıktığınız, en çok nerelere gittiğini, hangi saatlerde nerede olduğunu vb. tüm bunları tutar. Bunlara bilişim işlemleriyle erişebilen bir suçlu fiziksel olarak suçlar işleyebilir. Bu GPS verilerini arabalar dahil tutmaktadır. Adli bilişimde şüpheli kişinin GPS tutan her türlü cihazı incelenerek GPS bilgileri ile delil elde edilebilir.

Sosyal Ağ Adli Bilişimi ( Social Network Forensic )

Sosyal medya bunu istemeseniz bile sizin verilerinizi kayıt altında tutar. , sosyal ağlar üzerindeki bu verilerin incelenmesi, analiz edilmesi ve delil teşkil etmek üzere adli makamlara sunulması ile ilgilenmektedir. Kişiye ait çokça bilgi sosyal medya verileri üzerinden elde edilebilir. Kişiler sosyal medyada paylaştığı resimler, biyografisi, takip takipçi, kullanıcı adı, dm mesajları vb. daha çokça durumlar ile delil elde edilebilir. Ve sadece o anki değil önceden kullanmış olduğunuz kullanıcı adı, biyografi, sosyal medyadan sildiğiniz resimler dahil erişilebilmektedir.






İmaj Almak Ve İmaj Yüklemek

İmaj alma ve imaj geri yükleme işlemine bakacağız. Öncelikle İmaj almak nedir? İmaj almak bir bilgisayarın imajı alınırken ki zamanın tüm C sürücüsü ve diğer sürücülerin kopyalanmasıdır. İmaj geri yükleme ise yedeği alınan imajın istenilen yere tekrar yüklenmesidir. İmaj ile bir sürücünün içindeki özel bir dosyanın klasörün vb. yedeğini de aynı şekilde alınabilir. İmaj almanın yararları çokça örneklendirilebilir. Bir şirketin bir program, sürücü vb. indirmesi gerekiyordur tüm bilgisayarlara, imaj alma işlemi ile tüm bilgisayarlara bu program yükletilebilir. Bir bilgisayar bozulunca eğer imajı alınmışsa eski haline getirilebilir. Bunlar imaj almanın faydalarından. Şimdi imaj nasıl alınacağına geçelim.

Gerekli durumlar;

>> Boş bir USB bellek
>> BootCD Programı
>> Rufus Programı


Bizim ihtiyaçlarımız.

Rufus indirmek için;

Rufus - Önyüklemeli USB sürücü oluşturmanın en kolay yolu

Kendi web sitesinden indirebilirsiniz. İNDİR yazan bölümün altındaki Rufus 3.14(sürüm değişebilir) tıklayın.


Bu yol ile bilgisayınıza indirilmeniz sağlanacak. Direkt olarak bu yolu alıp URL'ye yapıştırarak indirebilirsiniz. Kurulum yok indirildikten sonra direkt olarak inen exe yoluna tıkladığınızda açılacaktır.


BootCD programını indirmek için;


Bu yolu kopyalayın ve URL olarak yapıştırın indirilmesi sağlanacaktır.


Download | Hiren's BootCD PE

Kendi web sitesi. Eğer burdan indirmek isterseniz aynı yola çıkar, en alt bölümde ;
Filename
HBCD_PE_x64.iso(Thanks to all our Supporters for providing fast and reliable mirror servers)

Bu bölümü bulmanız gerekiyor. HBCD_PE_x64.iso buna tıklayın indirilecek. Herhangi bir kurulum işlemi yok direkt olarak iso halinde indiriliyor.

İndirme işlemleri bittikten sonra yapacağımız ilk durum indirdiğimiz iso dosyasını rufus programı yardımıyla USB belleğine yazdırmak. Boş USB belleği bilgisayara takıldıktan sonra rufus programını açmak gerekir. Rufus programını açınca USB bellek seçili olacaktır. Önyükleme seçimi bölümündeki seç kısmına tıkladıktan sonra iso dosyasını seçmeniz gerek. Ve diğer durumlar varsayılan olarak kalacak ama yine de resim ekliyorum.



Bu şekilde ayarlandıktan sonra başlat seçeneğine tıklayın. Bir uyarı çıkacak. Uyarıya tamam seçeneğine tıklayıp devam edilebilir. Uyarıda söylenen şey USB bellek içinde veri varsa bunların hepsini silinecektir. Bu yazdırma işlemi çok kısa işlem. Bittikten sonra çıktı şekli:



Hazır görüldüğünde kapatılabilir program. Artık imaj almak için bu usb belleği kullanılabilir. Yapılması gereken bu usb belleğini imajı alınacak olan bilgisayara takmak. Tabi bunu yaparken BIOS kısmından boot menüden USB belleği seçmeniz gerek.




İmaj Almak İçin Takip Etmeniz Gereken Adımlar

>> boot menuden USB belleği seçmeniz gerek.
>> Sistem açıldıktan sonra sol altda bulunan windows simgesine tıklayın.
>> Tıkladıktan sonra all programs seçeneğine tıklanır.
>> Dosyalar çıkacak buradan Hard Disk Tools tıklanır.
>> Açılan yerden İmaging tıklanır.
>> AOMEI Backupper tıkalnır.


Bir uygulama başlatılacak. İmaj alma imaj yükleme işlemleri bu programdan yapılacak.

Backup bölümü İmaj almak için, Restore bölümü ise alınan imajı geri yüklemek için olan bölümler. Clone bölümü yeni bir disk aldıysanız bu diske tüm verilerinizi klonlamak kopyalamak içindir.


>> Backup bölümüne tıklanır.

File backup seçeneği özel bir klasörün imajını almak için kullanılıyor. Partition backup seçeneği istenen sürücünün imajını almak için kullanılır. Disk backup ise tüm diskin imajını almak için. System backup ise işletim sisteminin yüklü olduğu C sürücüsünün imajını almak içindir. İstenilene göre seçenek seçilir. C diskinin imajını almak yani system backup yapmak bilgisayar bozulduğunda vb. tekrar eski haline getirmek için kullanılabilir.

>> Step 2 yazan bölümden imajın kayıt edileceği yer seçilir. Step 2 yazısına tıklanarak bu işlem yapılır.
>> Start bakcup tıklandığında imaj alınma işlemi başlar.


Ana işletim sistemine geçildikten sonra imajın kayıt edilmesi istenen bölüme kayıt edildiği görülür.



İmaj Geri Yükleme

Bilgisayar yeniden başlatılıp boot menüden USB bellek seçilir. Ve imaj alma programı açılır. Restore bölümünde Path seçeneğine tıklanır This PC bölümünden imajın olduğu bölümden imaj bulunur ve çift tıklanır. Next seçeneğine tıklandıktan sonra start restore edilir. Alınan imajın geri yüklenme işlemi yapılır. Bu işlem silinen verileri geri getirmek içinde kullanılabilir ama belirli bir zamandaki verileri getirecektir. Bu durumdan dolayı farklı bir programdan yararlanılır.



Silinen Verileri Geri Getirme

Delil elde etmek için kullanılan yöntemlerdendir. Bilgisayarda silinen resimleri, klasörleri, programları bulmak için kullanılır. Bu işlem için RecoverMyFiles programı kullanılacak.

TIKLA

Bu web sitesinden programın setup dosyasını indirebilirsiniz. Kurulum next next şeklinde. Setup işlemini tamamladıktan sonra programı açınca gelecek çıktı da bize iki seçenek veriyor. Driver veya klasör taraması. Driver direkt olarak bir sürücünün taranması, klasör taraması ise özel bir klasörün taranmasıdır. Driver taraması klasör taramasına göre uzun sürer ve bilgisayarı kastırabilir. Herhangi bir seçenek seçilir. Ben files seçeneğini seçtim.



Bu bölümde hangi disk üzerindeki klasörleri taramak istiyorsunuz bunu seçin ve Next butonuna tıklayın. Start butonuna tıklanınca tarama yapılır ve sol bölüme bir bar gelir. Bu bardan istediğiniz klasöre erişeceksiniz ve silinen dosyaların çıktısını almak için Save file yazan bölümün yanındaki küçük ok simgesine tıklayıp save ass butonuna tıklayacaksınız.



Silinen dosyaları kurtarmak için online seçilmeli ama key gerekiyor bu yüzden offline seçeneği seçilip devam edildikten sonra gelen yerden Export seçeneğine tıklanır. Kayıt edilecek yer seçilir.





Exif Bilgileri

Exif bilgileri görüntü üzerinden bilgi toplama işlemidir. Bu işlem bazen görüntünün çekildiği yeri bize verebilir. Sosyal platformlarda atılan görüntülerin exif bilgileri silinir. Bir bilgisayardan bulunan resimin exif bilgileri silinmediyse resim hakkında detaylı bilgiler verebilir. Fotoğraf çekerken cihazınızın fotoğraf üzerine bazı bilgiler aktarıyor. Bu bilgilere exif database ( exif veritabanı ) deniyor. Exif değişebilir görüntü dosyası biçimi anlamına geliyor. Exif bilgileri amaca göre işe yarar bilgiler olabiliyor. Konu da Exif bilgilerinin ne olduğundan, nasıl öğrenilebildiğinden, nasıl exif bilgilerini temizleyebiliriz bunlardan bahsedeceğim.



Exif Bilgilerine Ulaşma Yöntemleri

1- Fotoğraf Ayrıntıları



Bize verebileceği exif bilgileri;

* Fotoğraf formatı
* Çekildiği Tarih
* Boyutlar Genişlik vb.
* Yükseklik, renk ve çözünürlük vb.


Gibi bilgiler fotoğraf ayrıntılarından öğrenilebilir. Ama exif bilgilerini öğrenmek için çoğu zaman işe yaramayabilir çünkü fotoğraf da bazen bu bilgiler ayrıntılarda olmayabiliyor bu da fotoğrafı çeken kişinin exif bilgilerini editlemiş olmasına bağlı. İlgili resim dosyasına sağ tık yapıp ayrıntılara basmanız bu bilgileri görmek için yeterli olacaktır.




2- Exif Tool

Exif bilgilerine ulaşmak için toollar var. Bu konuda önerilen 2 tool'dan bahsedeceğim. İkiside aynı görevi görüyor. Biri Windows diğeri Linux sistemleri üzerinden.
exiftool.org web sitesinden sürüme göre tool'u indirebilirsiniz. Tool rar halinde iniyor. Eğer windows'unuzda winrar yoksa gezginler web sitesinden winrar indirebilirsiniz. Dosya indikten sonra yapmanız gereken önce zip'i ayıklamak daha sonrasında görsel dosyasını ilgili tool'un üzerine sürükleyip bırakmak. CMD penceresi açılacak ve bazı exif bilgilerini bize verecek. Linux sistemlerinden ise exiftool bulunmakta. İndirmek için sudo apt-get install exiftool yapabilirsiniz. Daha sonra yapmanız gereken exiftool yazıp exif bilgilerini öğrenmek istediğiniz resmin yerini belirtmek.



Exif Bilgileri Nasıl Kaldırılır?

Exif bilgilerini kaldırmak için exif bilgilerini editlemelisiniz. Windows için aktarılmış durumdaki fotoğraf seçilir, sağ tıklandığında Özellikler ve ardından da Ayrıntılar sekmeleri takip edilir. Ayrıntılar sekmesi, EXIF Bilgisi kısmının bulunduğu bölümdür ve burada .Kaldır şeklinde bir seçenekle karşılaşılır. Burası tıklandığı taktirde EXIF Bilgisi kaldırılmıştır.



Ellerinize Sağlık Hocam Güzel Konu Olmuş.
Bunun hakkında THT'nin Youtube Kanalında'da aynı tarz
içerikler paylaşılıyor.
 

ѕeleɴια

İstihbarat Tim Deneyimli
18 May 2018
2,079
66
Ellerinize sağlık hocam çok güzel bilgilendirici bir konu olmuş.
Elinize sağlık, çok açıklayıcı olmuş
Elinize sağlık çok güzel bir konu olmuş
Elinize emeğinize sağlık, çok güzel bir konu olmuş.
Elinize emeğinize sağlık.
Eline sağlık tamamını okumadım ama güzele benziyor tekrardan eline sağlık
Elinize sağlık güzel bir konu olmuş
Ellerinize Sağlık Hocam Güzel Konu Olmuş.
Bunun hakkında THT'nin Youtube Kanalında'da aynı tarz
içerikler paylaşılıyor.
Teşekkür ederim :)
 

THT SON MESAJLAR

Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.