THT OpSec & Anti-Forensics Framework

Doctor Memotaz · 25 Nis 2026

Merhaba.

68747470733a2f2f692e68697a6c69726573696d2e636f6d2f686234726d766c2e706e67

Projenin Amacı:

Bilgisayarınızda bir uygulama veya yapacağınız bir işlemi başlatmadan önce Gözlem Modu'na geçerek sistemin o anki epoch zamanını mühürler. İşlem bittikten sonra ise yaptığınız işlemlerin bilgisayarda bıraktığı telemetri verilerini analiz edip adli bilişim standartlarında yok eder. Bu sayede herhangi bir inceleme altında sorumlu tutulduğunuz konu ile alakalı bir iz bulunamaz.

Örnek Case:

2020 Yılında teamviewer ile bir şirkete bağlantı kurmuştum. İlgili yerde bir dosya kaybı söz konusu olunca TCK244/245 üzerinden bir kamu davası açıldı ve yapılan şirket bilgisayarı incelemesinde dosyanın taşınma/silinme tarihi ile eşleşen bir teamviewer bağlantı logu bulundu.

Üzerinden 1,5 yıl geçmesine rağmen 2 kez format yiyen bilgisayarım inceleme sonucunda; Konu tarihli bir teamviewer bağlantısının yapıldığına dair hiçbir kanıt olmamasına rağmen, o tarih ve saat aralığında programı çalıştırdığım bir info registry logu sebebiyle suçlu bulundum. Nereye bağlandığımın hiçbir bilgisi olmamasına rağmen o an o programı açmak bile yeterli oluyor.

Umarım bu örnek case size de bazı şeylerin önemi hakkında yeterli gelmiştir.

Bağlantılar:

> VirusTotal

> Github

> Direct Setup Link

Program Görselleri:

Teknik Bilgilendirme:

Markdown (GitHub flavored):

- **Build yapısı:** Electron / Node.js (Asenkron edildi. İzole köprüde çalışır.)
- **Yürütme Modeli:** PowerShell v5.1+ `EncodedCommand` UTF-16LE (Windows 10 ve üzeri)
- **Bypass Level:** AMSI ve EDR.
- **İzleme:** Epoch Zaman Damgası.

- **Karartma:** Ağır AST. Tek seferlik kullanıldı ve silindi. Algoritması bana ait, geri çevirilemez. Yapay zeka salt değerlerini bulamaz.

### Kontrol Noktaları:

- **Prefetch:** `C:\Windows\Prefetch\*.pf` (Çalıştırma özeti ve DLL yükleme geçmişi).
- **LNK:** `%APPDATA%\Microsoft\Windows\Recent` (Dosya erişim kalıntıları).
- **RunMRU:** `Explorer\RunMRU` Komut geçmişi Registry.
- **Temp:** `%TEMP%` kalıntıları.

- **Gözlem Modu:** `LastWriteTime` filtreli oturum.

Geliştirilmeye açıktır.

İyi Forumlar Dilerim.

Merhaba,

Uygulamanın kendisine ait adli bilişim kalıntılarını temizlemek amacıyla NTFS USN Journal Artifact sıfırlama motoru eklendi.

Kod:

[root_directory] of NTFS - $Extend - $UsnJrnl.

USN ?: Ref1 - Ref2

zeroero · 25 Nis 2026

Ellerine sağlık hocam.
Uğraşıyorsun tebrik ediyorum. Senden esen koku da boş koku değil gibime geliyor doğruya doğru

Öylesine konuyu okudum aklıma takıldı şahsi bir suâlim var. Konuyla az buz ilgili.
Windows 10 ve üzeri demişsln, ki zaten PowerShell sürümünden de belli.
Telemetri ve sürekli veri/log tutan Windows 11, Boş durmayan Windows 10'u kullanmak ne denli akıl kârıdır ki?
Yaşım gereği mi niye bilmiyorum ama halên xp taraftarıyım, ennn fazla w7. Bu teamwiever loglaması xp yada 7'de de mümkün olur muydu? ya da loglardan kurtulmak için senin tool ne denli etkili olurdu?

Gizlilikte, fiziksel bazlı düşünüyorum ben. yani yazılımlarla gizlilik yapılması gereken en son gizlilik türüdür diye düşünüyorum

sessizejder · 25 Nis 2026

Güzel hocak da biz linuxçu adamlarız

Doctor Memotaz · 26 Nis 2026

zeroero' Alıntı:
Ellerine sağlık hocam.
Uğraşıyorsun tebrik ediyorum. Senden esen koku da boş koku değil gibime geliyor doğruya doğru
Öylesine konuyu okudum aklıma takıldı şahsi bir suâlim var. Konuyla az buz ilgili.
Windows 10 ve üzeri demişsln, ki zaten PowerShell sürümünden de belli.
Telemetri ve sürekli veri/log tutan Windows 11, Boş durmayan Windows 10'u kullanmak ne denli akıl kârıdır ki?
Yaşım gereği mi niye bilmiyorum ama halên xp taraftarıyım, ennn fazla w7. Bu teamwiever loglaması xp yada 7'de de mümkün olur muydu? ya da loglardan kurtulmak için senin tool ne denli etkili olurdu?

Gizlilikte, fiziksel bazlı düşünüyorum ben. yani yazılımlarla gizlilik yapılması gereken en son gizlilik türüdür diye düşünüyorum

Merhaba, Tabii ki akıl kârı değildir

Genel olarak windows üzerinde yapmak özellikle. Ancak bazen acil durumlar olabiliyor.

Xp ve w7 için özelleştirirsek sistemi tabi ki orda da bu program işini yapacaktır. Etki kısmına gelecek olursak, basit bir kamu, şikayet dosyası üzerinde genellikle registry kontrolü ve forensic tool'ları ile konuyla ilgili programlar / dosyalar aranmakta. Hiçbir şey bulunamaz ve talep edilir ise recovery edilerek incelemeler yapılmakta. Şuan geliştirdiğim uygulama iki türlüde kendisi dışında gözlem ve nuke modunda hiçbir şey kayıt etmemekte bu sebepten recovery durumunda da sadece programın kendisi görünür, işlemler çıkmaz yani hayat kurtarabilir.

Son cümlene gelirsek kesinlikle katılıyorum. Yazılım bir noktaya kadar iş yapar, Layer 4'e kadar inebiliyoruz sonuç olarak. Windows 1 ay sonra bir update geçer bu yaptığımız işlemlerin hepsini geçersiz kılabilir. veyahut evdeki modem'deki kalıntılar sıkıntı çıkarabilir. USB üzerinden live boot atarak yapılan işlerde bile bios dumplanarak birşeyler çıkarılabilmekte. En güvenli yöntem günümüzde hâlen komple evi boşaltmak.

u1ku1912 · 26 Nis 2026

Doctor Memotaz' Alıntı:
Merhaba.

Projenin Amacı:

Bilgisayarınızda bir uygulama veya yapacağınız bir işlemi başlatmadan önce Gözlem Modu'na geçerek sistemin o anki epoch zamanını mühürler. İşlem bittikten sonra ise yaptığınız işlemlerin bilgisayarda bıraktığı telemetri verilerini analiz edip adli bilişim standartlarında yok eder. Bu sayede herhangi bir inceleme altında sorumlu tutulduğunuz konu ile alakalı bir iz bulunamaz.

Örnek Case:

2020 Yılında teamviewer ile bir şirkete bağlantı kurmuştum. İlgili yerde bir dosya kaybı söz konusu olunca TCK244/245 üzerinden bir kamu davası açıldı ve yapılan şirket bilgisayarı incelemesinde dosyanın taşınma/silinme tarihi ile eşleşen bir teamviewer bağlantı logu bulundu.

Üzerinden 1,5 yıl geçmesine rağmen 2 kez format yiyen bilgisayarım inceleme sonucunda; Konu tarihli bir teamviewer bağlantısının yapıldığına dair hiçbir kanıt olmamasına rağmen, o tarih ve saat aralığında programı çalıştırdığım bir info registry logu sebebiyle suçlu bulundum. Nereye bağlandığımın hiçbir bilgisi olmamasına rağmen o an o programı açmak bile yeterli oluyor.

Umarım bu örnek case size de bazı şeylerin önemi hakkında yeterli gelmiştir.

Bağlantılar:

> VirusTotal

> Github

> Direct Setup Link

Program Görselleri:

Teknik Bilgilendirme:

Markdown (GitHub flavored):

- **Build yapısı:** Electron / Node.js (Asenkron edildi. İzole köprüde çalışır.) - **Yürütme Modeli:** PowerShell v5.1+ `EncodedCommand` UTF-16LE (Windows 10 ve üzeri) - **Bypass Level:** AMSI ve EDR. - **İzleme:** Epoch Zaman Damgası. - **Karartma:** Ağır AST. Tek seferlik kullanıldı ve silindi. Algoritması bana ait, geri çevirilemez. Yapay zeka salt değerlerini bulamaz. ### Kontrol Noktaları: - **Prefetch:** `C:\Windows\Prefetch\*.pf` (Çalıştırma özeti ve DLL yükleme geçmişi). - **LNK:** `%APPDATA%\Microsoft\Windows\Recent` (Dosya erişim kalıntıları). - **RunMRU:** `Explorer\RunMRU` Komut geçmişi Registry. - **Temp:** `%TEMP%` kalıntıları. - **Gözlem Modu:** `LastWriteTime` filtreli oturum.

Geliştirilmeye açıktır.

İyi Forumlar Dilerim.

Ellerine sağlık gayet başarılı.

Yusefuyn · 28 Nis 2026

Elinize sağlık hocam deepfreeze ile aynı çalışma mantığına mı sahip? Projeyi incelemek istedim ama python go rust cSharp gibi kaynakların ve kodların var olduğunu gördüm gerçekten ileri düzey ve ihtiyaç doğrultusunda her teknolojiden faydalanan bir proje gibi.
Tabi bu teknik beni aşar ;| merak ettiğim diğer taraf her bir kaynak arasındaki iletişimi pipe'ı nasıl kurdunuz ? Kafka mı dosya vasıtasıyla mı yoksa farklı bir yol ile mi?

Doctor Memotaz · 28 Nis 2026

Yusefuyn' Alıntı:
Elinize sağlık hocam deepfreeze ile aynı çalışma mantığına mı sahip? Projeyi incelemek istedim ama python go rust cSharp gibi kaynakların ve kodların var olduğunu gördüm gerçekten ileri düzey ve ihtiyaç doğrultusunda her teknolojiden faydalanan bir proje gibi.
Tabi bu teknik beni aşar ;| merak ettiğim diğer taraf her bir kaynak arasındaki iletişimi pipe'ı nasıl kurdunuz ? Kafka mı dosya vasıtasıyla mı yoksa farklı bir yol ile mi?

Merhaba,

Deepfreeze sistem imajını bütünüyle dondururken, geliştirdiğim araç sadece live sistemde artifacts izlerini hedef alan bir temizlik sağlamakta. Kordinasyon konusunda yapı her ne kadar küçük boyutlu olsa da Kafka malesef hantal ve eski kalır dı, master - worker ilişkisi ile çalışmakta child process olarak fork etmesi için. tâbi ki sadece bununla kalmamakta ancak daha fazla bilgi verirsek araç tehlikeye girebilir

Event-driven architecture - Wikipedia

Buradan başlayıp multiple receivers 'e kadar ilerlersen gerisini zaten keşfedersin diyelim kendini geliştirmek istiyor isen, başarılar

Fełix · 28 Nis 2026

Doctor Memotaz' Alıntı:
Merhaba.

Projenin Amacı:

Bilgisayarınızda bir uygulama veya yapacağınız bir işlemi başlatmadan önce Gözlem Modu'na geçerek sistemin o anki epoch zamanını mühürler. İşlem bittikten sonra ise yaptığınız işlemlerin bilgisayarda bıraktığı telemetri verilerini analiz edip adli bilişim standartlarında yok eder. Bu sayede herhangi bir inceleme altında sorumlu tutulduğunuz konu ile alakalı bir iz bulunamaz.

Örnek Case:

2020 Yılında teamviewer ile bir şirkete bağlantı kurmuştum. İlgili yerde bir dosya kaybı söz konusu olunca TCK244/245 üzerinden bir kamu davası açıldı ve yapılan şirket bilgisayarı incelemesinde dosyanın taşınma/silinme tarihi ile eşleşen bir teamviewer bağlantı logu bulundu.

Üzerinden 1,5 yıl geçmesine rağmen 2 kez format yiyen bilgisayarım inceleme sonucunda; Konu tarihli bir teamviewer bağlantısının yapıldığına dair hiçbir kanıt olmamasına rağmen, o tarih ve saat aralığında programı çalıştırdığım bir info registry logu sebebiyle suçlu bulundum. Nereye bağlandığımın hiçbir bilgisi olmamasına rağmen o an o programı açmak bile yeterli oluyor.

Umarım bu örnek case size de bazı şeylerin önemi hakkında yeterli gelmiştir.

Bağlantılar:

> VirusTotal

> Github

> Direct Setup Link

Program Görselleri:

Teknik Bilgilendirme:

Markdown (GitHub flavored):

- **Build yapısı:** Electron / Node.js (Asenkron edildi. İzole köprüde çalışır.) - **Yürütme Modeli:** PowerShell v5.1+ `EncodedCommand` UTF-16LE (Windows 10 ve üzeri) - **Bypass Level:** AMSI ve EDR. - **İzleme:** Epoch Zaman Damgası. - **Karartma:** Ağır AST. Tek seferlik kullanıldı ve silindi. Algoritması bana ait, geri çevirilemez. Yapay zeka salt değerlerini bulamaz. ### Kontrol Noktaları: - **Prefetch:** `C:\Windows\Prefetch\*.pf` (Çalıştırma özeti ve DLL yükleme geçmişi). - **LNK:** `%APPDATA%\Microsoft\Windows\Recent` (Dosya erişim kalıntıları). - **RunMRU:** `Explorer\RunMRU` Komut geçmişi Registry. - **Temp:** `%TEMP%` kalıntıları. - **Gözlem Modu:** `LastWriteTime` filtreli oturum.

Geliştirilmeye açıktır.

İyi Forumlar Dilerim.

Denedim, baya güzel. Eline sağlık.

1nject0r · 8 May 2026

Siberin korkulu rüyası... eline sağlık.

'TE0MAN · 8 May 2026

Doctor Memotaz' Alıntı:
Merhaba.

Projenin Amacı:

Bilgisayarınızda bir uygulama veya yapacağınız bir işlemi başlatmadan önce Gözlem Modu'na geçerek sistemin o anki epoch zamanını mühürler. İşlem bittikten sonra ise yaptığınız işlemlerin bilgisayarda bıraktığı telemetri verilerini analiz edip adli bilişim standartlarında yok eder. Bu sayede herhangi bir inceleme altında sorumlu tutulduğunuz konu ile alakalı bir iz bulunamaz.

Örnek Case:

2020 Yılında teamviewer ile bir şirkete bağlantı kurmuştum. İlgili yerde bir dosya kaybı söz konusu olunca TCK244/245 üzerinden bir kamu davası açıldı ve yapılan şirket bilgisayarı incelemesinde dosyanın taşınma/silinme tarihi ile eşleşen bir teamviewer bağlantı logu bulundu.

Üzerinden 1,5 yıl geçmesine rağmen 2 kez format yiyen bilgisayarım inceleme sonucunda; Konu tarihli bir teamviewer bağlantısının yapıldığına dair hiçbir kanıt olmamasına rağmen, o tarih ve saat aralığında programı çalıştırdığım bir info registry logu sebebiyle suçlu bulundum. Nereye bağlandığımın hiçbir bilgisi olmamasına rağmen o an o programı açmak bile yeterli oluyor.

Umarım bu örnek case size de bazı şeylerin önemi hakkında yeterli gelmiştir.

Bağlantılar:

> VirusTotal

> Github

> Direct Setup Link

Program Görselleri:

Teknik Bilgilendirme:

Markdown (GitHub flavored):

- **Build yapısı:** Electron / Node.js (Asenkron edildi. İzole köprüde çalışır.) - **Yürütme Modeli:** PowerShell v5.1+ `EncodedCommand` UTF-16LE (Windows 10 ve üzeri) - **Bypass Level:** AMSI ve EDR. - **İzleme:** Epoch Zaman Damgası. - **Karartma:** Ağır AST. Tek seferlik kullanıldı ve silindi. Algoritması bana ait, geri çevirilemez. Yapay zeka salt değerlerini bulamaz. ### Kontrol Noktaları: - **Prefetch:** `C:\Windows\Prefetch\*.pf` (Çalıştırma özeti ve DLL yükleme geçmişi). - **LNK:** `%APPDATA%\Microsoft\Windows\Recent` (Dosya erişim kalıntıları). - **RunMRU:** `Explorer\RunMRU` Komut geçmişi Registry. - **Temp:** `%TEMP%` kalıntıları. - **Gözlem Modu:** `LastWriteTime` filtreli oturum.

Geliştirilmeye açıktır.

İyi Forumlar Dilerim.

Merhaba,

Uygulamanın kendisine ait adli bilişim kalıntılarını temizlemek amacıyla NTFS USN Journal Artifact sıfırlama motoru eklendi.

Kod:

[root_directory] of NTFS - $Extend - $UsnJrnl.

USN ?: Ref1 - Ref2

Eline emeğine sağlık Windows’cu arkadaşların işine yarayabilir, biz Linux’dan devam.

Safak-Bey · 8 May 2026

Elinize sağlık.

Doctor Memotaz · 9 May 2026

1nject0r' Alıntı:
Siberin korkulu rüyası... eline sağlık.

'TE0MAN' Alıntı:
Eline emeğine sağlık Windows’cu arkadaşların işine yarayabilir, biz Linux’dan devam.

Safak-Bey' Alıntı:
Elinize sağlık.

Teşekkürler

THT OpSec & Anti-Forensics Framework

Doctor Memotaz

Uzman üye

zeroero

Üye

sessizejder

Uzman üye

Doctor Memotaz

Uzman üye

u1ku1912

Kıdemli Üye

Yusefuyn

Katılımcı Üye

Doctor Memotaz

Uzman üye

Fełix

Katılımcı Üye

1nject0r

Üye

'TE0MAN

Moderatör

Safak-Bey

Uzman üye

Doctor Memotaz

Uzman üye

Sosyal medya sayfalarımız