- 29 Haz 2022
- 161
- 40
Merhaba Türk Hack Team ailesi.
Digital Forensics Nedir?
Dijital Adli Tıp, mahkeme tarafından kullanılabilecek bilgisayar kanıtlarının korunması, tanımlanması ,Çıkarılması ve belgelenmesi süreci olarak tanımlanmaktadır. Bilgisayar, cep telefonu, sunucu veya ağ gibi dijital ortamlardan kanıt bulma bilimidir. Dijital adli tıbbın tarihi
Işte herzaman tarih bizler için önemli oldu gibi Adli bilişim alanındada önemli dönüm noktaları var.Hans Gross (1847 -1915): Kriminal soruşturmaları yönetmek için bilimsel çalışmanın ilk kullanımı
FBI (1932): ABD'deki tüm saha ajanlarına ve diğer hukuk makamlarına adli tıp hizmetleri sunmak için bir laboratuvar kurun.
1978'de Florida Bilgisayar Suçları Yasası'nda ilk bilgisayar suçu kabul edildi.
Francis Galton (1982 – 1911): İlk kayıtlı parmak izi çalışmasını yürüttü
1992 yılında akademik literatürde Adli Bilişim terimi kullanılmaya başlandı.
1995 Uluslararası Bilgisayar Kanıtı Örgütü (IOCE) kuruldu.
2000 yılında, İlk FBI Bölgesel Adli Bilgisayar Laboratuvarı kuruldu.
2002 yılında, Dijital Kanıt Bilimsel Çalışma Grubu (SWGDE), “Bilgisayar Adli Bilişimi için En İyi Uygulamalar” adlı dijital adli tıpla ilgili ilk kitabı yayınladı.
2010 yılında Simson Garfinkel, dijital araştırmaların karşılaştığı sorunları belirledi.
Dijital adli tıp süreci
Dijital adli tıp süreci aşağıdaki adımları içerir:Tanımlama
Koruma
Analiz
Belgeler
Sunum
Olaya ilk müdahale
Tüm bağlatılar etiketlenmelidirSistem bağlı olduğu ağlardan ayrılmalıdır
Yapılan işlemler not edilmelidir
Bilgisayar kapatılmalı yeniden başlatma prossedürlerine dikkat edilmeli
Hiç bir delilin değişmediğinden veya kaybolmadığından emin olunmalı
Yedeklenecek disk şüpheli bilgisayar diskinden büyük olmalı
Sisteme sadece ilgili kişi erişmelidir
Veriler düzgün bir şekilde bit to bit klonlanmalıdır
İmajların dijital imza (hash) değerleri alınmalıdır
Dijital Delil Toplama
İmajların gizliliği erişilenilirliği ve bütünlüğü sağlanmalıdır. (CIA)
Silinmiş verilerin yeniden kurtalınması ve şifrelenmiş verilerin çözülmesi
Analiz aşamasında doğru kanıtlar bulabilmek için tüm dosyaları incelenmesi gerekir
Bunlara misal vericek olursak , Silinmiş dosylar, Normal dosyalar Gizli dosyalar, Şifreli dosyalar, Şifre korumalı dosyalar, Swap (geçici) dosyalar, işletim sistemi dosyaları
Suç deliline göre Video dosyaları, Mail dosyaları , PDF dosyaları , Uygulama dosyaları incelenmelidir
Dijital Veri Analizi
Bütünlüğü doğrulanmış veriler üzerinden analiz yapılmalıdır
Analiz sürecinde kullanılan her yazılım , donanım ve araçlar uygun bir şekilde ne amaçla kullandıklarını dahil olmak üzere dökümante edilmelidir.
Şüpheli veya incelinen bilgisayarda elde edilen tüm dosylar, programlar uygulamma tarihleri ve saat bilgiside yazılarak kayıt altına alınmalıdır
Bir nesne listesi oluşturulmalı ve sürekli güncellenmelidir (Keyword List)
‘Unallocated’ , ‘ Slack space’ , ‘File slack’ yada ‘Swap space’ gibi alanlar gözden kaçırılmamalıdır.
Adli Raporlama
Adli bilişim sürecinde son aşama olarak toplanmış kanıtların adli makamlara sunulması aşamasıdırHer şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtların adli kurallara uygun olmalı ve yasal örneklerden oluşmalıdır
Mahkemede kabul edilmesi için en büyük öncelik delilerin bütünlük ve doğrulugudur
Deliler çok net ve açık olmalıdır
Tüm araştırma sonucunda verilecek raporda en başından yapılan sürec dahil olmak üzere her biri raporlanmalı ve bu rapor mahkemeye sunulmalıdır
Ücretsiz açık kaynaklı araçlar
Wireshark
Wireshark, ağ paketi analizi için en iyi dijital adli bilişim araçlarından biridir. Veriler gerçek zamanlı olarak yakalamanıza ve şifrelerini çözmesine olanak tanır (WEP, SSL ve IPsec'i destekler).Bununla birlikte, araştırdığınız ağda neler olup bitiğine her zaman hakim olacaksınız.
Nmap
Nmap herkesin bildiyi gibi , ağ taraması ve denetim için dijital adli tıp hizmetlerinden biridir. Temel avantajlarından biri Windows, Linux, Mac dahil olmak üzere var olan hemen hemen tüm popüler işletim sistemlerini desteklemesidir.Oxygen Forensic Suite
Oxygen Forensic Suite , bir cep telefonundan ihtiyacınız olan kanıtları toplamanıza yardımcı olacak popüler açık kaynaklı dijital adli bilişim araçlarından biridir .Ayrıca bu program bize parolayı veya kilit ekranı hareket istemini atlamanıza olanak tanır ve böylece sonuç getire biliriz ki , içeride depolanan verileri engelsiz erişim sağlayan Android adli araçları listesini aittir.
The Sleuth Kit
Şimdi bu araçdan bash edicek olursak bu araç bize , sabit disk sürücülerinden ve diğer türdeki depolama ortamlarından veri çıkarmanızı izin veren, dijital adli analiz için açık kaynaklı veri toplama araçlarından biridir
NFI Defraser
NFI Defraser , şimdi NFI nedir dersek kısaca mültimedya dosyalarını algılayabilen adli video araçlarından biridir.
Xplico
E-postanın adli analizini yapabilecek bir araca ihtiyacınız varsa, bu araç tam size göre araç bize , Xplico , POP , SMTP, IMAP trafiğini analiz edebiliyo ve e-posta mesajlarından içerik çıkara bilen iyi bir araçdırNot*
Ayrıca , IMAP , HTTP, TCP ,UDP ,SIP , diğer protoküler dahil olmak üzere birden çok protokolü destekler, üretiği içerik ise MYSQL beya SQLıte veritanı biçiminde gelir.