Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere Windows 10 da Geri Dönüşüm Kutusunun Adli İncelenmesini Göstereceğim.
Konu İçeriği
➤ Geri Dönüşüm Kutusunun Adli İncelenmesi Ne İşe Yarar?
➤ Silinen Dosyalar Hakkında Bilgi Nasıl Toplanır?
Geri Dönüşüm Kutusunun Adli İncelenmesi Ne İşe Yarar?
Adli incelemelerde olmazsa olmaz şeylerden birisi silinen dosyaların tespit ve analiz edilmesidir. Silinen dosyalar hakkında bilgi toplayarak kullanıcıların saklamak istediği veya yok etmek istediği dosyaları görebiliriz. Bilgisayardaki bir kullanıcının daha öncesinde bilgisayarında saklayıp sonra sildiği dosyalar Geri Dönüşüm Kutusu'na iletilmektedir. Bilgisayarda geri dönüşüm kutusuna girerek silinen dosyaları grafiksel olarak görebilir ve silme işlemini geri alabiliriz. Silinen bu dosyalar hakkında bilgi toplamak için ise Windows da silinen dosyalar hakkında bilgilerin tutulduğu $Recycle.Bin dizinine ulaşmamız gerekir. Bu dizinde Windows, daha önce silinmiş dosyaları ve bu dosyalar hakkında bazı bilgileri saklar. Silinen dosyaların isimleri $R ile başlar ve yanına 6 harf daha eklenir. Örnek olarak bu dizindeki silinen bir dosya $RTHTTHT.png şeklinde saklanabilir. Silinen bu dosyalar hakkındaki me-ta verileri (silinme tarihi, silindiği konum, dosya boyutu vb.) ise $I ile başlar ve aynı şekilde yanına 6 harf daha eklenir. Örnek olarak daha yeniki silinmiş dosyanın me-ta verileri $ITHTTHT.png ismi ile dizinde saklanır. Birde SID diye bir kavram vardır. Buda bilgisayarda bulunan kullanıcıların $Recycle.Bin dizinindeki dosyalarının karşılığıdır. Yani $Recycle.Bin dizininde her kullanıcı için ayrı bir alt klasör oluşturulur, bu klasörlere de SID denir. Ve her kullanıcının silinen dosyaları ve dosya bilgileri kendi SID klasörü altındadır.
Şimdi gelin geri dönüşüm kutusunun adli incelemesinin nasıl yapılacağını öğrenelim..
Silinen Dosyalar Hakkında Bilgi Nasıl Toplanır?
» Öncelikle ben masaüstüne, test amaçlı kullanacağımız bir png dosyası koyuyorum. Ve bu dosyayı siliyorum.
» Sildiğimiz dosya otomatik olarak geri dönüşüm kutusuna ekleniyor.
» Şimdi CMD yani komut istemini yönetici olarak çalıştırıyoruz. Ve C:\ dizinine gidip gizli dosyaları görmek için dir /a komutunu giriyoruz.
» Gördüğünüz üzere $Recycle.Bin dosyamız gözüküyor. Şimdi bu dosyanın içerisine girmemiz gerekiyor. Bunun içinde cd $Recycle.Bin komutunu yazıyoruz.
» Buraya girdikten sonra bu dizindeki gizli dosyaları görmek için tekrar dir /a komutunu giriyoruz.
» Ve karşımıza bu bilgisayarda bulunan kullanıcıların alt klasörleri yani SID klasörleri geliyor. Hangi SID hangi kullanıcıya ait bilmediğimiz için Wmic useraccount get name, sid komutunu giriyoruz. Bu sayede hangi SID in hangi kullanıcıya ait olduğunu görebiliyoruz.
» Hangi kullanıcının sildiği dosyalara erişmek istiyorsak o kullanıcının SID kalsörüne girmemiz lazım. Hangi kullanıcı için işlem yapacağımızı belirliyoruz ve cd <SID> komutunu giriyoruz.
» Gene aynı şekilde gizli dosyaları görmek için dir /a komutunu yazıyoruz.
» Ve önümüze daha önceden silinmiş dosyaların $R ve $I dosyaları geliyor. Buradan herhnagibir dosyayı seçip herhangibir dizine kopyalayalım. Ben silinme tarihlerinden yola çıkarak daha yeni silmiş olduğumuz png dosyasının $R ve $I dosyalarını masaüstüne kopyalayacağım. $R dosyasını kopyalamak için copy <$R_dosyasi> "kopyalanacak_dizin" komutunu ve $I dosyasını kopyalamak için copy <$I_dosyasi> "kopyalanacak_dizin" komutunu kullanabilirsiniz.
» Görmüş olduğunuz gibi $R dosyası bizim silmiş olduğumuz dosya.
» $I dosyasında ise silinen dosyamız hakkında bilgiler bulunduğunu söylemiştim, bu bilgilere dosyayı metin belgesi olarak açarak ulaşabiliriz. Her ne kadar bazı yerleri bozuk olsa da burada bizim silinen dosyamızın yolu, ismi ve tarih bilgisi bulunmakta.
» Silinen dosya hakkında bilgilere ulaşmanın bir diğer yolu ise araç kullanmaktır. Ben bu konuda Jason Hale tarafından yazılan $I Parse aracını kullanacağım. Buraya tıklayarak aracın web sitesine gidiyoruz ve Download $I Parse butonuna tıklıyoruz. Böyelikle aracımızı bilgisayarımıza kuruyoruz.
» Akabinde ise aracımızı çalıştırıyoruz ve ilk kısıma $I dosyamızın bulunduğu dizini giriyoruz. İkinci kısıma da analiz dosyamızın yolunu ve ismini giriyoruz. Ve Parse butonuna tıklıyoruz.
» Biraz bekledikten sonra belirlediğimiz dizine verdiğimiz isime sahip tsv uzantılı bir output dosyası oluşturuluyor.
» Bu dosyayı da keza aynı şekilde metin belgesi ile veya farklı programlar ile açarak silinen dosya hakkında bazı bilgilere ulaşabiliriz.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Saygılarımla:Smiley1021:
