Tekrardan selamlar, bugün MacOS işletim sisteminde Forensic işleminin nasıl yapılacağı ile ilgili olan eğitimin 2. konusunu paylaşıyorum, 1. konuyu aşağıya bırakıyorum,
keyifli okumalar dilerim.
MacOS Forensic Eğitimi - 1
Konu İçeriği:
--- İmaj nedir?
--- İmaj formatları ve özellikleri?
--- Fiziksel imaj alma nedir?
--- dd ile fiziksel imaj alma?
--- Disk izlencesi ile fiziksel imaj alma?
--- Mantıksal imaj alma nedir?
--- Tableau TD3 ile imaj alma?
--- dd ile mantıksal imaj alma?
İmaj Nedir?
İmaj alma kısaca bir bilgisayarın o andaki tüm sürücüsü ve/veya istenirse diğer sürücülerin bir program aracılığı ile kopyalanarak yedeklenmesi işlemidir.
İmaj yükleme ise yedeği alınan bir sürücü alanının bilgisayara veya istenilen yere tekrar yüklenmesi işlemidir.
İmaj Alma Nedir?
İmaj alma bir elektronik delilin kopyasının oluşturulması işlemidir. Yani elektronik delilin o anki içerisinde bulunan verilerin ve son silinmiş verilen (üzerine bir şey yazılmamış olması gerekir) kopyasını oluşturmaktır. İmaj alınırken adli bilişim standartlarına uygun programlar kullanılmalı ve orijinal delilin birebir kopyası alınmalıdır. İmaj ile herhangi bir veri yazılmamışsa silinmiş veriler de kurtarılabilir.
İmaj Formatları ve Özellikleri
Raw (dd): İmaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca ham veri bulunur, herhangi bir metadata verisi yer almaz.
SMART: Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.
E01: EnCase imaj formatıdır, veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir.
AFF: Gelişmiş Adli Formatıdır (Advanced Forensic Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır.
Bir sabit disk imaj formatı için bahsedebileceğimiz temel özellikler şunlardır:
Metadata Saklama: İmaj alma işleminin ne zaman başlayıp ne zaman bittiği, sürücünün seri numarası gibi bilgiler imaj içinde saklanır.
Sıkıştırma Desteği: İmaj alınma işlemi sırasında sıkıştırma işleminin de gerçekleştirilerek daha az yer tutması sağlanır.
Şifreleme Desteği: İmaj alınma işlemi sırasında şifreleme işleminin de gerçekleştirilerek imaj dosyasının şifrelenmesi sağlanır.
İmaj alma bir elektronik delilin kopyasının oluşturulması işlemidir. Yani elektronik delilin o anki içerisinde bulunan verilerin ve son silinmiş verilen (üzerine bir şey yazılmamış olması gerekir) kopyasını oluşturmaktır. İmaj alınırken adli bilişim standartlarına uygun programlar kullanılmalı ve orijinal delilin birebir kopyası alınmalıdır. İmaj ile herhangi bir veri yazılmamışsa silinmiş veriler de kurtarılabilir.
İmaj Formatları ve Özellikleri
Raw (dd): İmaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca ham veri bulunur, herhangi bir metadata verisi yer almaz.
SMART: Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.
E01: EnCase imaj formatıdır, veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir.
AFF: Gelişmiş Adli Formatıdır (Advanced Forensic Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır.
Bir sabit disk imaj formatı için bahsedebileceğimiz temel özellikler şunlardır:
Metadata Saklama: İmaj alma işleminin ne zaman başlayıp ne zaman bittiği, sürücünün seri numarası gibi bilgiler imaj içinde saklanır.
Sıkıştırma Desteği: İmaj alınma işlemi sırasında sıkıştırma işleminin de gerçekleştirilerek daha az yer tutması sağlanır.
Şifreleme Desteği: İmaj alınma işlemi sırasında şifreleme işleminin de gerçekleştirilerek imaj dosyasının şifrelenmesi sağlanır.
Fiziksel İmaj Alma Nedir?
Fiziksel imaj, delilinin tamamının çalışır vaziyetteki imajı (kopyası) veya bir bölümünün bit to bit (bire bir) kopyasıdır.
• MBR’den en son sektöre kadar fiziksel diskin tamamının kopyalanması esasına dayanır.
• En iyi delil olarak sıfatlandırılır.
• Disklerde RAID yapısı kullanılmamışsa yada özel bir imajı alınacak cihaz özel bir cihaz değilse fiziksel imaj alınmalı sonrasında mantıksal imajlara bölünmeli.
Fiziksel imaj, delilinin tamamının çalışır vaziyetteki imajı (kopyası) veya bir bölümünün bit to bit (bire bir) kopyasıdır.
• MBR’den en son sektöre kadar fiziksel diskin tamamının kopyalanması esasına dayanır.
• En iyi delil olarak sıfatlandırılır.
• Disklerde RAID yapısı kullanılmamışsa yada özel bir imajı alınacak cihaz özel bir cihaz değilse fiziksel imaj alınmalı sonrasında mantıksal imajlara bölünmeli.
dd ile Fiziksel İmaj Alma
Fiziksel imaj alınmadan önce bilgisayar içerisindeki yazılımsal şifreleme yapısı (FileVault) devre dışı bırakılmalıdır.
Donanımsal şifreleme ile ilgili yapılan araştırmalarda, mevcut şifrelemenin M1 işlemcili bilgisayarlarda güvenlik önlemi kapsamında harddiski varsayılan olarak şifrelediği ve bu alanın şifresinin çözülmesi için bir yöntemin olmadığı görülmüştür.
Fiziksel imaj alınmadan önce bilgisayar içerisindeki yazılımsal şifreleme yapısı (FileVault) devre dışı bırakılmalıdır.
Donanımsal şifreleme ile ilgili yapılan araştırmalarda, mevcut şifrelemenin M1 işlemcili bilgisayarlarda güvenlik önlemi kapsamında harddiski varsayılan olarak şifrelediği ve bu alanın şifresinin çözülmesi için bir yöntemin olmadığı görülmüştür.
!! M1 chip yapısına sahip Macbook Pro bilgisayarlarda, imaj almak için kullanılan ön yüklenebilir işletim sistemi özelliği kapatılmış olduğundan dolayı, Macbook Pro bilgisayarın Recovery (iyileştirme) alanına girilerek Utilities (araçlar) bölümü altındaki Terminal alanında işletim sistemi kapalı durumda iken “dd” komutu kullanılarak fiziksel raw imaj (byte to byte imaj) alınmıştır.
Disk İzlencesi ile Fiziksel İmaj Alma
Bu işlemi yapmadan önce yukarıda gözüken Security & Privacy bölümünden Disk Utility'e (Disk İzlencesi), Full Disk Access (Tam Disk Erişimi) yetkisi vermemiz gerekiyor.
Üst menüde bulunan File (Dosya) bölümünün üstüne geldiğimiz zaman, en üstte yer alan New Image (Yeni İmaj)'a tıkladığımız zaman Dosya seçimi yaptığımız alana tıklıyoruz.
İmajını almak istediğimiz dosyayı seçiyoruz.
İmajı çıkartacağımız yeri seçiyoruz, ben burada "SAMSUNG" isimli bir harddisk'in içerisine çıkartacağım. Sağ alt tarafta gözüktüğü gibi alacağımız imajı şifreleceğimiz ve imaj formatını seçebileceğimiz bir alan bulunuyor.
İmaj dosyamız oluşturuluyor.
İmaj dosyamız belirlediğimiz yere başarılı bir şekilde oluşturuldu.
Mantıksal İmaj Alma Nedir?
Mantıksal imaj, dosya sisteminde referans verilen dosyalarının (tümü veya altkümesi) imajıdır.
• Fiziksel sabit diskin tamamının değil, sadece dosya sistemi katmanı bazında bölümlerin (partition) imajları alınacaksa tercih edilmelidir.
• RAID sürücüleri yada şifrelenmiş sürücülerin imajlarının alınmasında, kullanılmasında önerilmektedir.
Tableau TD3 ile Mantıksal İmaj Alma
Tableau TD3 donanımsal bir imaj alma aracıdır. Hedef ve kaynak diskleri mevcuttur. Kaynak disk elektronik delilin takıldığı yerdir. Hedef disk (imajı alınacak olan delil) ise imajın hangi depolama aygıtına alınması isteniyorsa o depolama aygıtı takılabilir. Kaynak disk girişinde usb bağlantısı write blocked olarak bağlanır. Yani yazma korumalıdır.
FireWire girişi üzerinden Apple MAC bilgisayarların adli kopyasını alabilmektedir.
Tableau TD3 donanımı SAS, SATA, USB 3.0/2.0/1.1, FireWire (1394 A/B) ve IDE/PATA bağlantısıyla çalışır.
Dakikada en fazla 9GB veri transferi yapabilmektedir.
MD5 ve SHA1 türlerinde hash değeri hesaplayabilir.
Fotoğrafta Tableau TD3 aracının menüsünü görüyoruz.
Dosya sistem seçenekleri.
Bu görselde ise çoğaltma işleminin arayüzünü görüyoruz.
İmaj işleminin başlatıldığından bu yana geçen süre, kalan süre ve imajı alınan verinin yüzdesi gibi bilgilerin verildiği ekran.
Burada çoğaltma işlemi bittikten sonra ki log kaydı görseli var. Bilgiler arasında imaj oluşturma zamanı, başlatma ve bitiş tarihi saatleri, imaj süresi boyunca üzerinden ne kadar süre geçtiği, kullanıcının adı, olay numarası, durum bilgileri vb. bilgiler bulunmaktadır. Görselde işlem yarıda kesildi için status bilgilerinde başarız olarak belirtiliyor.
dd ile Mantıksal İmaj Alma
"diskutil list" komutunu yazarak işletim sisteminde olan bütün disklerin listesini çıkartıyoruz. disk1s7 isimli 20GB'lık bir disk ayırdım. Bunu imajını alacağız.
Burada diskimizin mount point yani dizinini görüyoruz.
"dd if=(İmajını alacağımız diskin dizini) of=(İmaj dosyasını çıkartacağımız dizin) bs=512" yazarak imaj alıyoruz.
İmaj dosyamız belirtilen yere başarılı bir şekilde oluşturuldu.
Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.
'FatBob
'FatBob
Son düzenleme:
