- 24 Haz 2015
- 2,336
- 190
- 112
Gerçekleştirilecek olan olay müdahalelerinde çoğu durumdan fazla önem arz eden belli başlı kriterler vardır.
Burada bizim ele alacağımız konu, canlı sistemler üstünde bulunan rakam içerikli deliller elde etmektir.
Belirli yada belirsiz bir süreden sonra toplanması zor veya kısmen imkansız olan bu rakam içerikli delilleri, bulundukları sistem çalışır vaziyette iken toplamak, bunları analizlemek çok daha basittir.
Mesela incelenmesi gereken sistemin hafızasında bulunan deliller sistem güçten kesildiği anda yok olabilmektedir.
Bu durum ise delilleri geri getirmeyi imkansızlaştırabilir.
Bununla beraber, müdahale esnasında, kullanılacak araç kitlerinin daha önceden hazır hale getirilmesi ve yine daha önceden teste tabii tutulması son derece önemlidir.
Çoğu kez delil toplanacak iken sistemle uyumlu olmayan kitlerin kullanılması sonucunda delillerin doğru şekilde toplanmadığını göstermiştir.
Müdahalede kullanılacak kit seçimi yapılırken mümkün olduğunca delil toplanacak sistemde en az miktarda değişiklik gerçekleştirecek kitler seçilmelidir.
Hatta seçilen kitlerin ne tarzda değişiklikler yaptığı hakkında kullanım öncesi araştırma yapılmasını tavsiye ederim.
Bu sistemler üstünde dijital kanıt toplama bölümlerinden birisi de hafıza imajı alınan bölümdür .
Modern adli bilişim yöntemleri hafıza incelemesi ile çok hassas ve detaylı informasyonları elde ettiğinden çoğu zaman hafıza imajı almak oldukça mühimdir.
Canlı sistemler üstünden rakam içerikli kanıt toplamak için kullanabileceğimiz bir çok uygulama mevcuttur.
Bunlardan birisi de Tr3Secure ismi verilen adli bilişim kitidir.
Tr3Secure Data Collection Script, Windows işletimli sistemlerde gerçekleştirilmesi düşünülen müdahalelerde kullanılan, alınan imajları belli başlı biçim ve yine belli bir sıra ile kullanıcıya ulaştırır.
Bu kitin güncel sürümüne aşağıya bırakacağım link üzerinden ulaşabilirsiniz.
İçerisinde kullanımı için belirli başlı kaynak kodları vardır onları da sırası ile vereceğim.
1 - Yalnızca hafıza imajının alınmasını sağlar.
2 - Yalnızca uçucu verilerin alınmasını sağlar.
3 - Yalnızca uçucu olmayan verilerin alınmasını sağlar.
4 - Bir taraftan uçucu diğer taraftan da uçucu olmayan verilerin alınmasını sağlar.(varsayılan seçenek)
5 - Elde edebileceğimiz bütün verilen yani, hafıza imajı, uçucu ve uçucu olmayan verilerin hepsinin alınmasını sağlar.
Tr3Secure kiti bir takım setler ile birlikte indirilir.
İndirilen uygulama ile gelen setler kullanıcı tarafından istenilen seçeneğe göre Tr3Secure yardımı ile tek tek yürütülebilir.
Vereceğim ekran alıntısında uygulama içinde bulunan bahsettiğimiz setlerin bazıları görülebilir.
Uygulamayı yürüttükten hemen sonra hangi işlemlerin başlatıldığı hakkında gerekli bilgiyi collection.log adlı dosyada bulabiliriz.
Vereceğim ekran alıntısında bahsettiğim log dosyasının bir örneği bulunmaktadır.
Burada bizim ele alacağımız konu, canlı sistemler üstünde bulunan rakam içerikli deliller elde etmektir.
Belirli yada belirsiz bir süreden sonra toplanması zor veya kısmen imkansız olan bu rakam içerikli delilleri, bulundukları sistem çalışır vaziyette iken toplamak, bunları analizlemek çok daha basittir.
Mesela incelenmesi gereken sistemin hafızasında bulunan deliller sistem güçten kesildiği anda yok olabilmektedir.
Bu durum ise delilleri geri getirmeyi imkansızlaştırabilir.
Bununla beraber, müdahale esnasında, kullanılacak araç kitlerinin daha önceden hazır hale getirilmesi ve yine daha önceden teste tabii tutulması son derece önemlidir.
Çoğu kez delil toplanacak iken sistemle uyumlu olmayan kitlerin kullanılması sonucunda delillerin doğru şekilde toplanmadığını göstermiştir.
Müdahalede kullanılacak kit seçimi yapılırken mümkün olduğunca delil toplanacak sistemde en az miktarda değişiklik gerçekleştirecek kitler seçilmelidir.
Hatta seçilen kitlerin ne tarzda değişiklikler yaptığı hakkında kullanım öncesi araştırma yapılmasını tavsiye ederim.
Bu sistemler üstünde dijital kanıt toplama bölümlerinden birisi de hafıza imajı alınan bölümdür .
Modern adli bilişim yöntemleri hafıza incelemesi ile çok hassas ve detaylı informasyonları elde ettiğinden çoğu zaman hafıza imajı almak oldukça mühimdir.
Canlı sistemler üstünden rakam içerikli kanıt toplamak için kullanabileceğimiz bir çok uygulama mevcuttur.
Bunlardan birisi de Tr3Secure ismi verilen adli bilişim kitidir.
Tr3Secure Data Collection Script, Windows işletimli sistemlerde gerçekleştirilmesi düşünülen müdahalelerde kullanılan, alınan imajları belli başlı biçim ve yine belli bir sıra ile kullanıcıya ulaştırır.
Bu kitin güncel sürümüne aşağıya bırakacağım link üzerinden ulaşabilirsiniz.
İçerisinde kullanımı için belirli başlı kaynak kodları vardır onları da sırası ile vereceğim.
1 - Yalnızca hafıza imajının alınmasını sağlar.
2 - Yalnızca uçucu verilerin alınmasını sağlar.
3 - Yalnızca uçucu olmayan verilerin alınmasını sağlar.
4 - Bir taraftan uçucu diğer taraftan da uçucu olmayan verilerin alınmasını sağlar.(varsayılan seçenek)
5 - Elde edebileceğimiz bütün verilen yani, hafıza imajı, uçucu ve uçucu olmayan verilerin hepsinin alınmasını sağlar.
Tr3Secure kiti bir takım setler ile birlikte indirilir.
İndirilen uygulama ile gelen setler kullanıcı tarafından istenilen seçeneğe göre Tr3Secure yardımı ile tek tek yürütülebilir.
Vereceğim ekran alıntısında uygulama içinde bulunan bahsettiğimiz setlerin bazıları görülebilir.
Uygulamayı yürüttükten hemen sonra hangi işlemlerin başlatıldığı hakkında gerekli bilgiyi collection.log adlı dosyada bulabiliriz.
Vereceğim ekran alıntısında bahsettiğim log dosyasının bir örneği bulunmaktadır.