Herkese Merhaba,
bugün sizlerle Mobil Adli Bilişim'i göreceğiz.
Bugün öğren ve bir daha unutma
bugün sizlerle Mobil Adli Bilişim'i göreceğiz.
Bugün öğren ve bir daha unutma
Mobil Adli Bilişim Nedir?
Adli Bilişim araştırmacıları tarafından mobil cihazlardan veri ve diğer dijital kanıtları almak için kullanılan değerli bir bilimsel yöntem olarak görülebilir. Bunlara cep telefonları, akıllı telefonlar, PDA'lar ve tabletler gibi mobil cihazlar dahildir. Bu deliller toplandıktan sonra mahkemede kabul edilebilir olmalıdır; Bu, araştırmacıların her zaman ve araştırma süreci modelinin tüm aşamalarında öngörülen protokolleri takip etmesi gerektiği anlamına gelir. Kısaca, cep telefonu adli bilimi, adli ortamda cep telefonundan dijital kanıtların kurtarılması bilimidir. Bu süreç, mobil cihazdan ve SIM karttan verilerin alınmasını ve analizini içerir. Mobil bilgisayar suç teknikleri, suçun failini mobil cihaz kullanarak yakalamayı amaçlamaktadır.
Amaçları Nelerdir?
Adli Bilişim araştırmacıları tarafından mobil cihazlardan veri ve diğer dijital kanıtları almak için kullanılan değerli bir bilimsel yöntem olarak görülebilir. Bunlara cep telefonları, akıllı telefonlar, PDA'lar ve tabletler gibi mobil cihazlar dahildir. Bu deliller toplandıktan sonra mahkemede kabul edilebilir olmalıdır; Bu, araştırmacıların her zaman ve araştırma süreci modelinin tüm aşamalarında öngörülen protokolleri takip etmesi gerektiği anlamına gelir. Kısaca, cep telefonu adli bilimi, adli ortamda cep telefonundan dijital kanıtların kurtarılması bilimidir. Bu süreç, mobil cihazdan ve SIM karttan verilerin alınmasını ve analizini içerir. Mobil bilgisayar suç teknikleri, suçun failini mobil cihaz kullanarak yakalamayı amaçlamaktadır.
Amaçları Nelerdir?
- Gizlilik Esası
- Belli Bir Bütünlük Oluşturmak
- Erişebilirlik Sağlamak
Genel Olarak Kabul Görmüş Adli Soruşturma Süreç Modeli Nedir?
• Kanıt toplamak ve analizle değerlendirme yapmaktır.
Yani,
Kanıt olarak itiraflar ve raporlar
Mobil adli süreçlere genel bir bakış sağlayan iyi bir kaynak edinmek için, arama motorları aracılığıyla uluslararası web sitelerini kullanmayı denemelisiniz. Bu, önceden hazırlanmış bilgiler yerine yeni deneyimlerin olaylara bakış açımızı değiştirmesine ve dijital suç faillerini adalete teslim etmekten sorumlu adli tıp soruşturmacıları tarafından yürütülen süreçlere ilişkin derinlemesine bir bakış açısı sağlamasına olanak tanır.
Mobil Adli Bilişim Sürecinin başlangıcında, delil niteliğindeki verilerin elde edilmesi ve bu kanıtların şeffaf, tekrarlanabilir ve yasalara uygun bir şekilde ortaya çıkarılması, toplanması ve korunmasıyla ilgili tüm detaylara odaklanmanız gerekmektedir.
Mobil Adli Bilişimde Karşılaşılan Engeller Nelerdir?
- Donanımın farklı olması
- Mobil işletim sistemlerinin çeşitliliği
- Mobil platformun güvenlik özellikleri
- Kaynakların yetersizliği
- Cihazın genel durumu
- Delillerin dinamik doğası
- Cihaz değişiklikleri
- İletişim engeli oluşturur
- Araçlara ulaşımın sınırlılığı
- Zararlı yazılımların kısıtlanması
- Yasal sorunlar
Mobil Adli Bilişimde Kanıt / Veri Toplama Türleri Nelerdir?
Mobil adli bilişim yazılımının nasıl satın alınacağını ve kullanılacağını anlamak önemlidir ancak bir adli bilişim uzmanının görevlerini zamanında tamamlayabilmesi için çeşitli araçlara ihtiyacı vardır. Adli araçlar yalnızca zamandan tasarruf etmekle kalmaz, aynı zamanda süreci de basitleştirir. Günümüzde mobil cihazların teşhis edilmesinde Elcomsoft iOS Forensic Toolkit, Cellebrite UFED, BlackLight, Oxygen Forensic Suite, AccessData MPE+, iXAM, Flashlight, XRY, SecureView ve Paraben iRecovery Stick gibi birçok araç kullanılmaktadır.Hemen hemen tüm yazılımlar çeşitli işlevleri destekler.
Peki, Nedir Bu İşlevler?
Mobil adli bilişim yazılımının nasıl satın alınacağını ve kullanılacağını anlamak önemlidir ancak bir adli bilişim uzmanının görevlerini zamanında tamamlayabilmesi için çeşitli araçlara ihtiyacı vardır. Adli araçlar yalnızca zamandan tasarruf etmekle kalmaz, aynı zamanda süreci de basitleştirir. Günümüzde mobil cihazların teşhis edilmesinde Elcomsoft iOS Forensic Toolkit, Cellebrite UFED, BlackLight, Oxygen Forensic Suite, AccessData MPE+, iXAM, Flashlight, XRY, SecureView ve Paraben iRecovery Stick gibi birçok araç kullanılmaktadır.Hemen hemen tüm yazılımlar çeşitli işlevleri destekler.
Peki, Nedir Bu İşlevler?
- Makul satın almayı desteklemektedir.
- Şifreye erişim sağlamaktadır.
- Saklanan verileri okuyabilmektedir.
- BilgilerTimes ile aynı bölgede bulunabilir.
- İşlem sonrası herhangi bir iz veya değişiklik bırakmamaktadır.
- Silinen verileri otomatik olarak kurtarmaktadır.
- Manuel analiz için ham dosyalara erişim sağlamaktadır.
- Kullanıcı dostudur.
- Bir anahtar kelime listesi içerir ve aranabilir bir kütüphaneye sahiptir.
- Çeşitli formatlarda raporlar (PDF, HTML, Microsoft Excel) teklif edebilir.
Bir cihazdan kanıt toplamaya çalışırken adli bilişim uzmanları tarafından kullanılabilecek birkaç taktik mevcuttur, fakat en göze çarpan veri toplama stratejileri bulunmaktadır. Haydi gelin, bu veri toplama yöntemlerinin neler olduğuna ve her birinin kendi artıları ile eksilerine bir göz atalım.
Mantıksal Veri Toplama
Bu yöntem, bir mobil cihazı kablolu bir USB, LAN veya RS-232 bağlantısı aracılığıyla adli tıp araştırmacısının iş istasyonuna bağlar. Araştırmacının ihtiyaçlarına ve incelenen cihazın yeteneklerine ve sınırlamalarına bağlı olarak Wi-Fi, IrDA (kızılötesi) ve Bluetooth gibi kablosuz bağlantılar da kullanılabilir.
Her yöntem benzersiz bir iletişim protokolü kullanır ve verileri bir mobil cihaza bit düzeyinde iletmek için verileri farklı şekillerde paketleyebilir.
Tüm mobil işletim sistemlerinde adli araştırmacıların kullanabileceği ilişkili SDK'lar bulunur. Bu SDK, mobil cihaz API'leriyle yerel olarak etkileşime girebilir ve adli iş istasyonlarından gelen komutlara yanıt vererek mobil cihaz donanımına ve yazılımına satıcı düzeyinde erişim sağlayabilir.
Bu yöntem özellikle SMS, MMS ve çağrı geçmişinize bakmanız gerektiğinde kullanışlıdır. Araştırmacılar, cihaza özel adli bilişim araçlarını uzaktan yükleyebilir ve mobil cihazın dosya yapısını etkilemeyen sorgular çalıştırabilir. Bu belgeler insan tarafından okunabilen mükemmel bir bilgi kaynağıdır.
SMS veya kısa mesaj verilerini incelemeniz gerekiyorsa belge alanları gönderilme zamanını, alınma zamanını, durumu, mesaj boyutunu, mesaj içeriğini, protokolü ve daha fazlasını içerebilir. Doğrulanıp değerlendirildikten sonra adli uygulama, mobil cihazın bütünlüğünü etkilemeden kaldırılabilir.
Dosya Sistemi Veri Toplama
Mobil cihazlardan silinen dosyaları kurtarmanın harika bir yolu olduğu söylenmektedir. Birçok dijital sistemde, silinen dosyalar genellikle kalıcı olarak silinmez ve üzerine güvenli bir şekilde yazılabilmesi için işaretlenir. Bu yazma meydana geldiğinde, gerçek dosya kurtarma, dosya silindikten sonra cihaza kopyalanan veri miktarına ve işaretlenen verilerin yazma etkinliğine bağlıdır. Android ve IOS cihazları, öncelikle SQLite şemasına dayanan ortak bir veritabanı yapısını paylaşır. Senkronizasyon arayüzü, dosyaların üzerine yazılmaya hazır olup olmadığının belirlenmesinden ve silinen öğelerin işaretlenmesinden sorumludur.
(!!! Adli araştırmacılar bu "silinen" dosyaları kurtarabilirse, tarama geçmişi, resimler, mesajlar ve daha fazla araştırma için diğer birçok ilgili öğe gibi bilgileri kopyalamak için mobil cihazınızdan bunlara erişebilirler.!!!)
Fiziksel Veri Toplama
Bir mobil cihazın dosya sisteminin ve dizin yapısının artımlı bir kopyası veya klonudur. Bunu normal bilgisayar sisteminizin sabit sürücüsünün bir kopyası olarak düşünebilirsiniz. Bu veriler kopyalandıktan sonra özel adli bilişim araçları kullanılarak indekslenebilir.
((Örneğin anlık mesajlaşma bir araştırmacının ilgi alanı ise, bu araçlar farklı anlık mesajlaşma uygulamalarından gelen tüm mesajları araştırmacının aramaya başlayabileceği düzenli ve mantıksal bir listede derleyebilir. Bu yöntem, kopyalama için kullanılan arayüzde yazma engelleyici kullanılarak veri bütünlüğüne ilişkin risklerin tamamen ortadan kaldırılması avantajına sahiptir. ))
Brute Force Veri Toplama
Bu yöntem, şifrelere veya şifrelerin uygulanmasına atıfta bulunur ve nispeten az sayıda sayı kombinasyonu gerektiğinde çok başarılıdır.
Çoğu telefonun 0000 ile 9999 arasında dört haneli bir PIN'i vardır. Bu, adli tıp araştırmacılarının 10.000 farklı kombinasyonu tahmin edebileceği ve çoğu mobil cihazın, bir eşiğe ulaşıldığında telefonu tamamen kilitleyen güvenlik özelliklerine sahip olduğu anlamına gelir. Cep telefonu şifrelerini acımasızca kırmak bazı durumlarda başarılı olsa da, soruşturmacılar yalnızca mahkemede yasal ve kabul edilebilir olduğu kanıtlanmış araçları kullanmalıdır. Cihaz araştırmacının iş istasyonuna bağlı olmalı ve önyükleyici veya eşdeğer modda başlatılmalıdır.
İş istasyonundaki uygulama daha sonra mobil cihazın dosya sistemini bağlar, şifrelenmiş parola dosyasını bulur ve saldırıyı başlatır veya mobil cihazın kontrolünü ele geçirmek için geçici olarak mobil cihazın kendisine özel bir önyükleme ROM'u yükler.
Her iki durumda da, CPU saniyede birden fazla denemeyi işleyebildiği için bu çok fazla zaman almaz. Faktörlere bağlı olarak yalnızca birkaç dakika veya birkaç saat sürebilir. Doğru şifre bulunduğunda, kaba kuvvet istemiyle ekranda dört haneli bir PIN görünecek ve araştırmacının, eğer güvenliyse, telefonun kilidini açmayı denemesine olanak tanıyacaktır.
Manuel Veri Toplama
Mobil cihazın çalışır durumda olduğu, şifrelenmediği veya fiziksel olarak hasar görmediği ve cihazın özel bir yazılım gerektirmeyen bir grafik kullanıcı arayüzü (GUI) kullanılarak çalıştırılabildiği durumlarda kullanılır.
Araştırmacılar, diğer kullanıcıların erişebileceği resimler, belgeler, çağrı kayıtları gibi içerikleri ve diğer verileri ve özellikleri görüntüleyebilir.
Çoğu durumda ekran görüntüleri, görüntü yakalama yazılımı kullanılarak bir dijital kamera veya video bağdaştırıcısı aracılığıyla harici ekrandaki bir cihazdan alınır.
Cihazın işletim sistemine yüklenemeyen verilere bu işlem sırasında araştırmacı tarafından erişilemeyeceğinden bu mutlaka kapsamlı bir tespit yöntemi değildir.
Silinen öğeler de bu düzeyde geri yüklenemez. Bu nedenle eğer buna ihtiyaç duyulursa daha teknik bir yöntem kullanılmalıdır.
Araştırmacılar mobil cihazları bu şekilde kullandıklarında, yanlışlıkla dosyaları silerek veya zaman damgalarını değiştirerek verilerinin güvenliğini tehlikeye atma riskiyle karşı karşıya kalırlar.
(!!Bir diğer önemli faktör ise manuel veri toplamanın zaman alıcı olmasıdır.
Bunun nedeni, araştırmacıların büyük veri kümelerini manuel olarak aramak ve her bir kanıt parçasının ekran görüntülerini manuel olarak almak zorunda kalabilmesidir.
Yüzlerce resim, e-posta veya mesajla anlamlı araştırmanın çok zaman alabileceğini hemen fark edersiniz.
Bu nedenlerden dolayı, adli bilişim araştırmacıları bu yöntemi yalnızca diğer tüm yollar tükendiğinde son çare olarak kullanmalıdır.!!!)
Okuduğunuz için teşekkür eder, iyi forumlar dilerim.
Mantıksal Veri Toplama
Bu yöntem, bir mobil cihazı kablolu bir USB, LAN veya RS-232 bağlantısı aracılığıyla adli tıp araştırmacısının iş istasyonuna bağlar. Araştırmacının ihtiyaçlarına ve incelenen cihazın yeteneklerine ve sınırlamalarına bağlı olarak Wi-Fi, IrDA (kızılötesi) ve Bluetooth gibi kablosuz bağlantılar da kullanılabilir.
Her yöntem benzersiz bir iletişim protokolü kullanır ve verileri bir mobil cihaza bit düzeyinde iletmek için verileri farklı şekillerde paketleyebilir.
Tüm mobil işletim sistemlerinde adli araştırmacıların kullanabileceği ilişkili SDK'lar bulunur. Bu SDK, mobil cihaz API'leriyle yerel olarak etkileşime girebilir ve adli iş istasyonlarından gelen komutlara yanıt vererek mobil cihaz donanımına ve yazılımına satıcı düzeyinde erişim sağlayabilir.
Bu yöntem özellikle SMS, MMS ve çağrı geçmişinize bakmanız gerektiğinde kullanışlıdır. Araştırmacılar, cihaza özel adli bilişim araçlarını uzaktan yükleyebilir ve mobil cihazın dosya yapısını etkilemeyen sorgular çalıştırabilir. Bu belgeler insan tarafından okunabilen mükemmel bir bilgi kaynağıdır.
SMS veya kısa mesaj verilerini incelemeniz gerekiyorsa belge alanları gönderilme zamanını, alınma zamanını, durumu, mesaj boyutunu, mesaj içeriğini, protokolü ve daha fazlasını içerebilir. Doğrulanıp değerlendirildikten sonra adli uygulama, mobil cihazın bütünlüğünü etkilemeden kaldırılabilir.
Dosya Sistemi Veri Toplama
Mobil cihazlardan silinen dosyaları kurtarmanın harika bir yolu olduğu söylenmektedir. Birçok dijital sistemde, silinen dosyalar genellikle kalıcı olarak silinmez ve üzerine güvenli bir şekilde yazılabilmesi için işaretlenir. Bu yazma meydana geldiğinde, gerçek dosya kurtarma, dosya silindikten sonra cihaza kopyalanan veri miktarına ve işaretlenen verilerin yazma etkinliğine bağlıdır. Android ve IOS cihazları, öncelikle SQLite şemasına dayanan ortak bir veritabanı yapısını paylaşır. Senkronizasyon arayüzü, dosyaların üzerine yazılmaya hazır olup olmadığının belirlenmesinden ve silinen öğelerin işaretlenmesinden sorumludur.
Fiziksel Veri Toplama
Bir mobil cihazın dosya sisteminin ve dizin yapısının artımlı bir kopyası veya klonudur. Bunu normal bilgisayar sisteminizin sabit sürücüsünün bir kopyası olarak düşünebilirsiniz. Bu veriler kopyalandıktan sonra özel adli bilişim araçları kullanılarak indekslenebilir.
((Örneğin anlık mesajlaşma bir araştırmacının ilgi alanı ise, bu araçlar farklı anlık mesajlaşma uygulamalarından gelen tüm mesajları araştırmacının aramaya başlayabileceği düzenli ve mantıksal bir listede derleyebilir. Bu yöntem, kopyalama için kullanılan arayüzde yazma engelleyici kullanılarak veri bütünlüğüne ilişkin risklerin tamamen ortadan kaldırılması avantajına sahiptir. ))
Brute Force Veri Toplama
Bu yöntem, şifrelere veya şifrelerin uygulanmasına atıfta bulunur ve nispeten az sayıda sayı kombinasyonu gerektiğinde çok başarılıdır.
Çoğu telefonun 0000 ile 9999 arasında dört haneli bir PIN'i vardır. Bu, adli tıp araştırmacılarının 10.000 farklı kombinasyonu tahmin edebileceği ve çoğu mobil cihazın, bir eşiğe ulaşıldığında telefonu tamamen kilitleyen güvenlik özelliklerine sahip olduğu anlamına gelir. Cep telefonu şifrelerini acımasızca kırmak bazı durumlarda başarılı olsa da, soruşturmacılar yalnızca mahkemede yasal ve kabul edilebilir olduğu kanıtlanmış araçları kullanmalıdır. Cihaz araştırmacının iş istasyonuna bağlı olmalı ve önyükleyici veya eşdeğer modda başlatılmalıdır.
İş istasyonundaki uygulama daha sonra mobil cihazın dosya sistemini bağlar, şifrelenmiş parola dosyasını bulur ve saldırıyı başlatır veya mobil cihazın kontrolünü ele geçirmek için geçici olarak mobil cihazın kendisine özel bir önyükleme ROM'u yükler.
Her iki durumda da, CPU saniyede birden fazla denemeyi işleyebildiği için bu çok fazla zaman almaz. Faktörlere bağlı olarak yalnızca birkaç dakika veya birkaç saat sürebilir. Doğru şifre bulunduğunda, kaba kuvvet istemiyle ekranda dört haneli bir PIN görünecek ve araştırmacının, eğer güvenliyse, telefonun kilidini açmayı denemesine olanak tanıyacaktır.
Manuel Veri Toplama
Mobil cihazın çalışır durumda olduğu, şifrelenmediği veya fiziksel olarak hasar görmediği ve cihazın özel bir yazılım gerektirmeyen bir grafik kullanıcı arayüzü (GUI) kullanılarak çalıştırılabildiği durumlarda kullanılır.
Araştırmacılar, diğer kullanıcıların erişebileceği resimler, belgeler, çağrı kayıtları gibi içerikleri ve diğer verileri ve özellikleri görüntüleyebilir.
Çoğu durumda ekran görüntüleri, görüntü yakalama yazılımı kullanılarak bir dijital kamera veya video bağdaştırıcısı aracılığıyla harici ekrandaki bir cihazdan alınır.
Cihazın işletim sistemine yüklenemeyen verilere bu işlem sırasında araştırmacı tarafından erişilemeyeceğinden bu mutlaka kapsamlı bir tespit yöntemi değildir.
Silinen öğeler de bu düzeyde geri yüklenemez. Bu nedenle eğer buna ihtiyaç duyulursa daha teknik bir yöntem kullanılmalıdır.
Araştırmacılar mobil cihazları bu şekilde kullandıklarında, yanlışlıkla dosyaları silerek veya zaman damgalarını değiştirerek verilerinin güvenliğini tehlikeye atma riskiyle karşı karşıya kalırlar.
Bunun nedeni, araştırmacıların büyük veri kümelerini manuel olarak aramak ve her bir kanıt parçasının ekran görüntülerini manuel olarak almak zorunda kalabilmesidir.
Yüzlerce resim, e-posta veya mesajla anlamlı araştırmanın çok zaman alabileceğini hemen fark edersiniz.
Bu nedenlerden dolayı, adli bilişim araştırmacıları bu yöntemi yalnızca diğer tüm yollar tükendiğinde son çare olarak kullanmalıdır.!!!)
Okuduğunuz için teşekkür eder, iyi forumlar dilerim.
