Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

ISTSEC 2013 Konferansında Konuşmacılardan Halil ÖZTÜRKCİ'nin anlatmış olduğu sunumdur.

  • Als Erste(r) kommentieren

Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

  1. 1. Halil  ÖZTÜRKCİ   Microsoft  MVP   CISSP,  CISA,  CEH,  CHFI,  CCNP   ADEO  Bilişim  Danışmanlık  Hizmetleri   halil.ozturkci@adeo.com.tr  
  2. 2. ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ADEO  Kurucu  Ortak  &  Güvenlik  Birimi  Yöneticisi   Güvenlik  TV  Yapımcı  ve  Sunucusu   IstSec  ve  AnkaSec    Organizatörü   Bahçeşehir  Üniversitesi  ve  Bilgi  Üniversitesi  Öğretim   Görevlisi   Adli  Bilişim  Derneği  Başkan  Yardımcısı   Microsoft  MVP,  Enterprise  Security   Adli  Bilişim  Uzmanı  /  Profesyonel  Penetration  Tester   SANS  Mentor  (www.sans.org)   CISSP,  GPEN,  GCFA,  CHFI,  CEH...   www.halilozturkci.com   www.twitter.com/halilozturkci   @ADEO Security Labs, 2011 www.adeosecurity.com
  3. 3. ¡  ¡  ¡  ¡  Bu  sunumda  bir  adli  bilişim  labaratuarında  ihtiyaç   duyulabilecek  ve  adli  analizi  sürecinde  uzmanlara  yardımcı   olabilecel  açık  kaynak  kodlu  veya  ücretsiz  yazılımlardan  bir   kısmı  yer  almaktadır.   Bu  sunumda  yer  almayan  bir  çok  uygulama  daha  mevcuttur.   Bir  adli  bilişim  labaratuarının  donanımsal  olarak  da  bir  takım   ihtiyaçları  vardır  ve  sunumda  bu  ihtiyaçlardan   bahsedilmemiştir.   Sunumda  yer  alan  uygulamalar  adli  analiz  sırasında  izlenen   adımların  sıralamasıyla  parallellik  gösterecek  şekilde  ele   alınmıştır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  4. 4. ¡  ¡  ¡  ¡  ¡  Müdahale  edilen  bilişim  sistemi  çalışır  durumdayken  bu  sistem   üzerindeki  sayısal  delilleri  elde  etmek  önemlidir.   Daha  sonrada  nelde  edilmesi  imkansız  ya  da  çok  zor  olan  sayısal   delilleri,  bu  delillerin  yer  aldığı  sistem  çalışır  durumdayken  elde   etmek  çok  daha  kolaydır.   Olay  müdahalesi  sırasında  kullanılacak  araç  setlerinin  önceden   hazırlanması  ve  farklı  işletim  sistemleri  için  önceden  test  edilmesi   tavsiye  edilir.   Hafızanın  imajının  alınmasıda  bu  aşamada  gerçekleştirilir.   Araç  seti  seçilirken  mümkün  mertebe  delil  toplanacak  sistemde  en   az  değişikliğe  sebep  olacak  araçlar  seçilmeli  ve  bu  araçların  ne  tür   değişiklikler  yapabileceği  konusunda  bilgi  sahibi  olunması  tavsiye   edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  5. 5. ¡  ¡  ¡  Tr3Secure  Data  Collection  Script,  Corey  Harrell  tarafından  geliştirilen  ve   bir  Windows  işletim  sistemi  üzerinde  gerçekleştirilecek  olay  müdahalesi   sırasında  kullanılması  tavsiye  edilen  araçların  belirli  bir  sırayla  ve  belirli  bir   formatta  çıktı  üretecek  şekilde  çalıştırılmasını  sağlayan  bir  betiktir.   Son  sürümüne  http://code.google.com/p/jiir-­‐resources/downloads/list   adresinden  erişilebilir.   Kullanım  şekli  özetle  aşağıdaki  gibidir;   §  tr3-­‐collect.bat  [vakıa  numarası]  [toplanacak  verilerin  kaydedileceği  sürücü]  [menu  seçimi#]   ▪  [vakıa  numarası]  =  Vakıayı  tekil  olarak  ifade  edebilecek  bir  numara   ▪  [Toplanacak  verilerin  kaydedileceği  sürücü]  =  Toplanacak  verilerin  kaydedileceği   sürücü  harfi   ▪  [menu  seçimi]  =  Aşağıdaki  listede  yer  alan  seçeneklerden  birisi:   ▪                 1  =  Acquire  Memory  Forensic  Image   ▪                 2  =  Acquire  Volatile  Data   ▪                 3  =  Acquire  Non-­‐Volatile  Data   ▪                 4  =  Acquire  Volatile  and  Non-­‐Volatile  Data  (default)   ▪                 5  =  Acquire  Memory  Forensic  Image,  Volatile,  and  Non-­‐Volatile  Data   @ADEO Security Labs, 2011 www.adeosecurity.com
  6. 6.   @ADEO Security Labs, 2011 www.adeosecurity.com
  7. 7. ¡  ¡  ¡  ¡  MoonSols  Windows  Memory  Toolkit  içindeki  win32dd  ve   win64dd,  Windows  işletim  sistemleri  üzerinde  hafızanın   imajını  almak  için  kullanılabilecek  araçlardır.   http://moonsols.com/wp-­‐content/plugins/download-­‐ monitor/download.php?id=1  adresinden  bu  kitin   Community  Edition  versiyonu  ücretsiz  olarak  indirilebilir.   Hafıza  imajı  alınacak  bilgisayar  üzerinde  Administrator   haklarına  sahip  olunması  gerekiyor.   Hafıza  imajının  şüphelinin  bilgisayarının  yerel  disklerine   değil,  network  üzerinden  ulaşılabilen  yazılabilir  bir   paylaşılmış  dizine  ya  da  taşınabilir  bir  medyaya  alınması   tavsiye  edilir.  
  8. 8. @ADEO Security Labs, 2011 www.adeosecurity.com
  9. 9. ¡  ¡  ¡  ¡  ¡  Volatility,  hafıza  (RAM)  imajı  üzerinde  analiz  gerçekleştirip,  olası  sayısal  delilleri   çıkartmak  için  kullanılabilecek  bir  framework’dür.   Desteklediği  işletim  sistemlerinin  listesi  aşağıda  yer  almaktadır.   https://code.google.com/p/volatility/  adresinden  son  sürümüne   ulaşılabilir.   Python  ile  yazılan  framework,  açık  kaynak  kodu  esasına  göre  dağıtılıyor.   Volatiliy  ile  bir  hafıza  imajından  öğrenilebilen  bilgilerden  bazıları   şunlardır;   §  İmajın  alındığı  tarih  ve  saat  bilgisi   §  Çalışan  uygulamalar/prosesler   §  Açık  network  soketleri   §  Açık  network  bağlantıları   §  Her  bir  uygulama/proses  tarafından  yüklenen  DLL  dosyaları   §  Her  bir  uygulama/proses  tarafından  açılan  dosyalar   §  Her  bir  uygulama/proses  tarafından  açılan  registry  anahtarları   §  İşletim  sistemindeki  kernel  modülleri   @ADEO Security Labs, 2011 www.adeosecurity.com
  10. 10. ¡  ¡  Halihazırda  yazılmış  bir  çok  eklenti  ile  daha  esnek  bir    şekilde  çalışılabiliyor.   Eklentilerden  bazıları  (Eklentilerin  tamamı  için  http://www.forensicswiki.org/wiki/ List_of_Volatility_Plugins  adresine  bakılabilir.)     §  §  §  §  §  §  ¡  cachedump:  Registry'de  tutulan  domain  hash  değerlerini  getirir.   cryptoscan:  Hafıza  imajı  içerisinde  TrueCrypt  passphrass'larını  arar.   hasdump:  Registry'de  tutulan  LM  ve  NT  hash  değerlerini  getirir.   hivedump:  Registry  hive'lerini  CSV  formatında  dışarı  almaya  yarar.   lsadump:  LSA  keylerini  registry'den  çıkartır.   malfind:    Hafıza  imajı  içindeki  çalıştırılabilir  dosyaları  bulup  rebulild  edebiliyor.   Desteklenen  işletim  sistemlerinin  listesi  aşağıdaki  tabloda  yer  alıyor.   32-­‐bit  Windows  XP  Service  Pack  2  and  3   32-­‐bit  Windows  2003  Server  Service  Pack  0,  1,  2   32-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   32-­‐bit  Windows  2008  Server  Service  Pack  1,  2   32-­‐bit  Windows  7  Service  Pack  0,  1   64-­‐bit  Windows  XP  Service  Pack  1  and  2   64-­‐bit  Windows  2003  Server  Service  Pack  1  and  2     @ADEO Security Labs, 2011 64-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   64-­‐bit  Windows  2008  Server  Service  Pack  1  and  2   64-­‐bit  Windows  2008  R2  Server  Service  Pack  0  and  1   64-­‐bit  Windows  7  Service  Pack  0  and  1   (new)  32-­‐bit  Linux  kernels  2.6.11  to  3.5   (new)  64-­‐bit  Linux  kernels  2.6.11  to  3.5     www.adeosecurity.com
  11. 11. ¡  ¡  ¡  Canlı  İnceleme  ve  Olay  Müdahalesinde  kullanılabilecek  bir   araç  kitidir.   http://www.deftlinux.net/2013/05/14/dart-­‐2-­‐beta-­‐ready-­‐for-­‐ download/  adresinden  indirilebilir.   Bu  kitin  içinde  200’den  fazla  araç  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  12. 12. ¡  ¡  ¡  ¡  Windows  ortamında  canlı  inceleme  yapmak  için  kullanılabilecek   araçların  bir  araya  getirildiği  bir  CD  imajıdır.   Bu  CD/DVD  imajı  içinde  yer  alan  uygulamaların  çalışması   sunucunda  oluşturulan  raporun  bir  USB  diske  yazılması  sağlanır.   http://www.win-­‐ufo.org/  adresinden  son  sürümüne  ulaşılabilir.   Çalıştırılan  her    bir  uygulama  ait  çıktılar  ayrı  bir  rapor  dosyası   halinde  saklanır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  13. 13. @ADEO Security Labs, 2011 www.adeosecurity.com
  14. 14. ¡  ¡  ¡    Mac  OS  X  işletim  sistemleri  üzerinde  olay  müdahalesi  sırasında   kullanılabilecek  bir  uygulamadır.   USB  üzerinden  çalışacak  şekilde  dizayn  edilmiştir.   http://sud0man.blogspot.fr/2013/09/pac4mac-­‐forensics-­‐framework-­‐for-­‐ mac-­‐os.html  adresinden  son  sürümüne  ulaşılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  15. 15. @ADEO Security Labs, 2011 www.adeosecurity.com
  16. 16. ¡  ¡  ¡  ¡  Canlı  inceleme  sırasında  disk  şifrelemenin   kullanıldığı  bir  sabit  diske  rastlanabilir.   Disk  şifrelenemin  kullanıldığı  bir  diskin   imajını  sistem  canlı  iken  almak  süreci   hızlandırır.  (  Sistem  kapandıktan  sonra   alınacak  disk  imajını  okumak  için   şifrelmede  kullanılan  şifreye  ihtiyaç   duyulur.)   Encrypted  Disk  Detector  (EDD)  ile   inceleme  yapılan  bilgisayarda  TrueCrypt,   PGP®  veya  Bitlocker®  ile  şifrelenmiş  lokal   disklerin  olup  olmadığı  öğrenilebilir.   http://info.magnetforensics.com/ encrypted-­‐disk-­‐detector  adresinden   indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  17. 17. ¡  ¡  ¡  ¡  Şüpheli  sisteme  ait  disklerin  imajının  alınması  sırasında  bu  disklere   herhangi  bir  şekilde  yazma  işlemi  gerçekleştirilmesin  diye  donanımsal   veya  yazılımsal  olarak  bir  yazma  koruması  kullanılmalıdır.   USB  Write  Blocker  uygulaması  Windows  sistemlerdeki  Registry   anahtarları  üzerinde  yaptığı  değişikliklerle  ilgili  sisteme  USB  portları   üzerinden  bağlanan  disklere  yazma  işlemi  gerçekleştirilmesini  engeller.   Donanımsal  bir  yazma  koruması  çözümü  her  zaman  tercih  edilmeli,   yazılımsal  yazma  koruması  en  son  alternatif  olarak  düşünülmelidir.   USB  Write  Blocker  uygulamasını   http://dsicovery.com/dsicovery-­‐software/usb-­‐write-­‐blocker/  adresinden   indirebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
  18. 18. ¡  dd’nin  geliştirilmiş  ve  yeni  özellikler  eklenmiş   versiyonudur.   ¡  [Seçenekler] §  progress=on §  hash=<type> §  hashlog=filename (İlerleme  çubuğunu  göster)    (hashtürü  =  md5,  sha,  sha1,sha256  )    (İmaj  alma  sırasında  ve  log  dosyasına   yazma  sırasında  bütünlük  doğruluma  yap)   §  hashwindow=NUM (Her  num  ile  belirtilen  miktarda  byte  işleminden   sonra  MD5  hash  hesaplaması  yap)   # ./dc3dd if=/dev/sda of=/mnt/Davalar/sda.img hash=md5 progress=on hashlog=/mnt/Davalar/sda.log @ADEO Security Labs, 2011 www.adeosecurity.com
  19. 19. ¡  ¡  ¡  ¡  ¡  FTK  Imager,  AccessData  firması  tarafından  ücretsiz  olarak   sunulan  bir  uygulamadır.   http://www.accessdata.com/support/product-­‐downloads   adresinden  indirilebilir.   İmaj  almanın  yanında  temel  manada  analiz  işlemi   yapılmasına  da  imkan  tanır.   Silme  yapıldıktan  sonra  üzerine  herhangi  bir  şekilde  yazma   işlemi  gerçekleştirilmemiş  dosyaların  kurtarılmasını  da   sağlar.   Image  mounting  özelliği  sayesinde  sabit  disk  imajlarını   Windows  ortamında  sadece-­‐okunabilir  formatta  bir  sürücü   olarak  gösterebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
  20. 20. @ADEO Security Labs, 2011 www.adeosecurity.com
  21. 21. ¡  ¡  ¡  ¡  EnCase  Forensics  Imager   http://www1.guidancesoftware.com/Order-­‐Forensic-­‐Imager.aspx   adresinden  indirilebilir.   Yereldeki  sabit  disk,  hafıza  kartı  ve  hafızanın  anlık  görüntüsünü  sunar  ve   bunların  imajının  alınmasına  imkan  tanır.   Desteklediği  delil  formatları  aşağıdadır..   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ¡  Legacy  EnCase  evidence  files  (.E01)   Legacy  logical  evidence  files  (.L01)   Current  EnCase  evidence  files  (.Ex01)   Current  logical  evidence  files  (.Lx01)     DD  images   VMware  files  (.vmdk)   Virtual  PC  files  (.vhd)   LinEn  ile  birlikte  kullanıldığında  network  üzerinden  imaj  alınmasına   imkan  tanır.(Özellikle  RAID  yapıların  imajını  almada  tercih  edilir.)   @ADEO Security Labs, 2011 www.adeosecurity.com
  22. 22. @ADEO Security Labs, 2011 www.adeosecurity.com
  23. 23. ¡  ¡  ¡  Guymager,  Linux  altında  çalışan  bir  imaj  alma  yazılımıdır.   http://guymager.sourceforge.net/  adresinden  son  sürümüne   ulaşılabilir.   (dd),  EWF  (E01)  ve  AFF  formatında  imajlar  oluşturabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  24. 24. ¡  ¡  ¡  Dd  formatında  imajı  alınmış  diskleri  Windows  ortamında  mount  etmek   için  kullanılabilecek  bir  yazılımdır.   http://www.osforensics.com/tools/mount-­‐disk-­‐images.html  adresinden   indirilebilir.   Desteklediği  formatlar;   @ADEO Security Labs, 2011 www.adeosecurity.com
  25. 25. @ADEO Security Labs, 2011 www.adeosecurity.com
  26. 26. ¡  ¡  ¡  ¡  Disk  imajları  içindeki  volume  ve  dosya  sistemleri  üzerinde  analiz   gerçekleştirmek  için  kullanılabilecek  komut  satırı  uygulamalarından   oluşmuş  bir  settir.   http://www.sleuthkit.org/sleuthkit/  adresinden  indirilebilir.   Girdi  olarak  raw  (dd),  Expert  Witness    (EnCase)  ve  AFF  dosya  türlerini   destekler.   Analiz  yapabildiği  dosya  sistemleri  ise  şunlardır;   §  NTFS,  FAT,  UFS  1,  UFS  2,  EXT2FS,  EXT3FS,  Ext4,  HFS,  ISO  9660,  YAFFS2   ¡  Bu  kit  içinde  yer  alan  uygulamalar  beş  farklı  ana  kategoride   toplanmışlardır.  Bunlar;   ▪  ▪  ▪  ▪  ▪  File  Sistem  Araçları   Volume  Sistem  Araçları   İmaj  Dosyası  Araçları   Disk  Araçları   Diğer  Araçlar   @ADEO Security Labs, 2011 www.adeosecurity.com
  27. 27. @ADEO Security Labs, 2011 www.adeosecurity.com
  28. 28. ¡  ¡  ¡  ¡  Autopsy  komut  satırı  uygulamalarını  çalıştırmak  için  geliştirilen  bir  grafik   arayüzdür.   Arka  planda  TSK  (The  Sleuth  Kit)  araçlarını  ve  bazı  standart  Unix   uygulamalarını  kullanır.   Son  sürümüne  www.sleuthkit.org/autopsy/  adresinen  ulaşılabilir.   Temel  özellikleri:   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  Timeline  Analysis     Keyword  Search   Web  Artifacts   Registry  Analysis   LNK  File  Analysis   Email  Analysis   EXIF   File  Type  Sortin   Media  Playback   Thumbnail  viewer   Hash  Set  FilteringTags   Unicode  Strings  Extraction   @ADEO Security Labs, 2011 www.adeosecurity.com
  29. 29. @ADEO Security Labs, 2011 www.adeosecurity.com
  30. 30. ¡  ¡  ¡  ¡  foremost,  Amerika  Hava  Kuvvetlerinden  Agents  Jesse  Kornblum  ve  Kris  Kendall   tarafından  yazılmıştır.   Bir  ikili  dosya  içindeki  verileri  kurtarmak  için  kullanılır.   dd,  Safeback,  Encase  gibi  uygulamalar  tarafından  oluşturulmuş  imaj  dosyaları   üzerinde  çalışabileceği  gibi  direkt  olarak  sabit  disk  sürücüsü  üzerinde  de   çalışabilir.   Bu  ikili  dosya;   §  İmaj  dosyası   §  Swap  alanı   §  Unallocated  alanların  çıkartılmasıyla  oluşan  dosya          olabilir.   ¡  foremost  veri  kurtarma  işlemi  sırasında  konfigurasyon  dosyasında  yer  alan  ve   farklı  dosya  tipleri  için  ön  tanımlı  olarak  gelen  dosya  header,  footer  bilgilerini  baz   alır.   ¡  Dosya  türlerine  ilişkin  header  ve  footer  bilgilerine   http://www.garykessler.net/library/file_sigs.html  adresinden  ulaşılabilir.   ¡  Son  sürümüne  http://foremost.sourceforge.net/  adresinden  ulaşılabilir.     @ADEO Security Labs, 2011 www.adeosecurity.com
  31. 31.  cat  /foremost-­‐outtput/audit.txt  |less     5071  FILES  EXTRACTED     gif:=  35   gif:=  31   jpg:=  10   jpg:=  3680   png:=  1288   bmp:=  27   @ADEO Security Labs, 2011 www.adeosecurity.com
  32. 32. ¡  ¡  ¡  ¡  OSForensics,  Windows  ortamında  adli  bilişim  incelemesi   gerçekleştirebileceğiniz  ve  profesyonel  sürümüne  oranla   belirli  özellikleri  kırpılmış  fakat  buna  rağmen  yine  de  oldukça   başarılı  ve  gelişmiş  özelliklere  sahip  bir  analiz  yazılımıdır.    http://www.osforensics.com/osforensics.html  adresinden   son  sürümüne  ulaşılabilir.   İndex  oluşturma  ve  index  üzerinden  arama  yapılmasına   imkan  tanıma,  silinmiş  dosyaları  kurtarma,  kullanıcının   aktivitelerini  hızlıca  ortaya  çıkarma,  Volume  Shadow   kopyaları  üzerinde  çalışma  gibi  bir  çok  özelliğe  sahiptir.   Dahili  olarak  registry  görüntüleme,  dosya  görüntüleme  ve  e-­‐ posta  görüntüleme  özelliğine  sahiptir.     @ADEO Security Labs, 2011 www.adeosecurity.com
  33. 33. @ADEO Security Labs, 2011 www.adeosecurity.com
  34. 34. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Windows  sistemlerdeki  kullanıcıların  aktivitelerini  ortaya  çıkarmak  adına   registry  anahtarları  üzerinde  analiz  gerçekleştirmeye  imkan  tanıyan  bir   yazılımdır.   Eklenti  bazlı  çalışır.(Plug-­‐in)   Sadece  kullanıcılar  hakkında  değil,  analiz  edilen  sistem  hakkında  da  bir   çok  bilgiye  registry  anahtarları  üzerinden  erişilmesine  imkan  tanır.   Son  sürümüne  https://code.google.com/p/regripper/  adresinden   ulaşılabilir.   Harlan  Carvey  tarafından  yazılmıştır.   Eklentilerin  tamamı  RegRipper’ın  plugins  klasöründe  yer  alır.   Her  bir  eklenti  dosyasında  RegRipper’ın  hangi  hive  üzerinde  hangi   anahtar  ve  değerler  bakacağı  ve  bu  anahtar  ve  değerleri  bulduğunda  ne   yapması  gerektiği  bilgisi  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  35. 35. @ADEO Security Labs, 2011 www.adeosecurity.com
  36. 36. ¡  ¡  ¡  ¡  Alınan  dd  formatındaki  imajlar  bir  sanal  makinaya   bağlanarak  disk  üzerindeki  işletim  sistemi   çalıştırılabilir  ve  ekstra  analiz  gerçekleştirilebilir.   Bunun  için  Live  View  uygulaması  kullanılabilir.   Live  View  ile  imajı  alınan  bilgisayarın  interaktif   modda  analizi  yapılırken  arka  plandaki  disklerin   üzerinde  herhangi  bir  değişiklik  yapılmaz.   http://www.sei.cmu.edu/digitalintelligence/tools/ liveview/index.cfm  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  37. 37. @ADEO Security Labs, 2011 www.adeosecurity.com
  38. 38. ¡  ¡    SANS  tarafından  hazırlanan  ve  içeriğinde  bir  çok  açık  kaynak  kodlu  adli  bilişim   yazılımını  barındıran  sanal  makinedir.   2.14  sürümünü  http://computer-­‐forensics.sans.org/community/downloads   adresinden  indirebilirsiniz.   File  system  support     •  Windows  (MSDOS,  FAT,  VFAT,  NTFS)   •  MAC  (HFS+)   •  Solaris  (UFS)   •  Linux  (EXT2/3/4)         Evidence  Image  Support     •  Expert  Witness  (E01)   •  RAW  (dd)   •  Advanced  Forensic  Format  (AFF)     @ADEO Security Labs, 2011 Software  Includes     •  The  Sleuth  Kit  (File  system  Analysis  Tools)   •  log2timeline  (Timeline  Generation  Tool)   •  ssdeep  &  md5deep  (Hashing  Tools)   •  Foremost/Scalpel  (File  Carving)   •  WireShark  (Network  Forensics)   •  Vinetto  (thumbs.db  examination)   •  Pasco  (IE  Web  History  examination)   •  Rifiuti  (Recycle  Bin  examination)   •  Volatility  Framework  (Memory  Analysis)   •  DFLabs  PTK  (GUI  Front-­‐End  for  Sleuthkit)   •  Autopsy  (GUI  Front-­‐End  for  Sleuthkit)   •  PyFLAG  (GUI  Log/Disk  Examination)   •  DFF  (Digital  Forensic  Framework)     www.adeosecurity.com
  39. 39. @ADEO Security Labs, 2011 www.adeosecurity.com
  40. 40. ¡  ¡  ¡  İçerisinde  yüzlerde  adli  bilişim  yazılımının  yer  aldığı  bir  Linux  dağıtımıdır.   Bu  dağıtım  sık  güncellenir  ve  son  sürümüne   http://www.deftlinux.net/download/  adresinden  erişilebilir.   Yaklaşık  100  sayfalık  kullanım  dokümanında  bir  çok  aracın  kullanımı   örnekleriyle  anlatılmış  durumda.   @ADEO Security Labs, 2011 www.adeosecurity.com
  41. 41. ¡  ¡  ¡  ¡  ¡  Windows  ortamında  çalışan  bir    Network  Forensic  Analysis   uygulamasıdır.   Free  ve  Professional  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu   http://sourceforge.net/projects/networkminer/files/latest   adresinden  indirilebilir.   Hem  canlı  ağ  trafiği  üzerinde  hemde  pcap  dosyaları  üzerinde   analiz  gerçekleştirilebilir.   Professional  versiyonu  bir  USB  flash  üzerinde  gelir  ve  direkt   olarak  olay  müdahalesinin  yapılacağı  bilgisayarda   çalıştırılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  42. 42. @ADEO Security Labs, 2011 www.adeosecurity.com
  43. 43. ¡  ¡  ¡  ¡  Virtual  Box  formatında  hazırlanmış  sanal  makina  hali   http://sourceforge.net/projects/xplico/files/VirtualBox %20images/  adresinden  indirilebilir.   DEFT’in  son  versiyonu  içinde  de  yüklü  gelir.   Diğer  adli  bilişim  yazılımlarında  olduğu  gibi  Xplico’da  da  Case   mantığı  vardır.   Xplico’ya  login  olurken  kullanılabilecek  admin  yetkisine  sahip   kullanıcının  adı  şifre  ikilisi  şöyledir;   §  admin/xplico   ¡  Admin  olarak  oturum  açıldıktan  sonra  işlem  yapmak  üzere   sistem  üzerinde  bir  kullanıcı  oluşturulması  tavsiye  edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  44. 44. İnternet  üzerinden   gerçekleştirilen  sohbetlere  ilişkin   elde  edilebilen  detaylar  bu   kısımda  toplanmış  durumda.   @ADEO Security Labs, 2011 Facebook  üzerinden   gerçekleştirilen  sohbet     detayları   www.adeosecurity.com
  45. 45. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Oturum  tabanlı  (Session-­‐Based)  bir  network  forensics  yazılımıdır.   Ücretsiz  sürümü  http://www.netwitness.com/products-­‐services/ investigator-­‐freeware  adresinden  indirilebilir.   Ücretsiz  sürümünde  boyutu  1  GB’a  kadar  olan  capture  dosyaları  analiz   edilebiliyor.     Çok  gelişmiş  bir  filtreleme  imkanı  sunuyor.   Kablolu  yada  kablosuz  ağlar  üzerinden  akan  Raw  paketleri  yakalayabilme   yeteneğine  sahip  olduğu  gibi,  başka  araçlar  kullanılarak  yakalanmış  pcap   dosyalarını  import  edebiliyor.   Patentli    port-­‐agnostic    teknolojisi  sayesinde  varsayılan  portlarından   farklı  portları  kullansalar  bile  protokolleri  doğru  tespit  edebiliyor.   Aşağıdaki  üç  farklı  kategoriyi  çok  iyi  anlamak  gerekiyor;   §  Packet  Collectors   §  Protocol  Analyzers   §  Network  Forensics  Tools   @ADEO Security Labs, 2011 www.adeosecurity.com
  46. 46. 1 2 3 4 @ADEO Security Labs, 2011 www.adeosecurity.com
  47. 47. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Splunk,  cihazlar  veya  uygulamalar  (websiteleri,  uygulamalar,  sunucular,   ağ  cihazları  mobil  cihazlar  vb)  tarafından  üretilen  log  kayıtları  üzerinde   analiz,  izleme  ve  arama  yapma  imkanı  sunan  ve  uygulamadır.   http://www.splunk.com/download  adresinden  indirilebilir.   Kullanıcı  bütün  işlemlerini  web  tabanlı  arayüzden  gerçekleştirir.   Free  ve  Enterprise  versiyon  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu  günlük  500  MB  log  işleyebilir.   Desteklediği  işletim  sistemlerinin  listesi;   Gereksinimler  için   http://docs.splunk.com/Documentation/Splunk/4.3.3/Installation/ Systemrequirements  adresine  bakılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  48. 48. Arama  yapılacak  ifadeleri  Search   kısmına  yazıyoruz.  Alt  tarafta  toplam   event  sayısı  ve  ilk  ve  son  event   zamanları  gösterilmiştir.   Ön  tanımlı  zaman  aralıklarını   seçerek  sorguların  zaman  aralıkları   ile  oynayabiliyoruz.   Splunk  kullanarak   Directory  Traversal   saldırı  girişimlerini   görüntülüyoruz.   Splunk  kullanarak  XSS  saldırı   girişimlerini  görüntülüyoruz.   Eklenen  veri  kaynaklarının  listesi   @ADEO Security Labs, 2011 www.adeosecurity.com
  49. 49. ¡  ¡  ¡  ADEL,  Android  cihazlarda  yer  alan  ve  adli  bilişim  açısından  önemli   verilerin  tutulduğu  SQLite  formatındaki  veritabanlarına  ulaşıp  bu   veritabanları  içindeki  verileri  extract  eden  bir  uygulamadır.   http://forensics.spreitzenbarth.de/adel/  adresinden  son  sürümüne   ulaşılabilir.   Mevcut  sürümü  aşağıdaki  bilgileri  elde  etmenize  imkan  tanır.   §  Telefon  ve  SIM  kartı  bilgileri  (örneğin  IMSI  ve  seri  numarası)   §  Telefon  defteri  ve  arama  listeleri   §  Takvim  kayıtları   §  SMS  mesajları   §  Telefonda  yer  alan  GPS  kayıtları   @ADEO Security Labs, 2011 www.adeosecurity.com
  50. 50. ¡  ¡  Android  cihazlar  üzerinden  logical  extraction  yöntemi  ile  Çağrı   detaylarını,  SMS  mesajlarını  ve  Kontak  listesini  elde  etmenize  imkan   tanıyan  ücretsiz  bir  yazılım.   http://www.signalsec.com/saft/  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  51. 51. ¡  ¡  ¡  İncilenen  bilgisayarda  yer  alan  iOS  yedekleri  üzerinde  işlem   yapmanıza  imkan  tanır.   http://www.iphonebackupextractor.com  adresinden  ücretsiz   olarak  indirilebilir.    iPhone,  iPod  Touch,  iPad,  iPhone  3G,  iPhone  3GS,  iPhone  4,   iPhone  4S,  iPhone  5  yedeklerini  destekler.  Yedek  dosyaları   içinden  aşağıdaki  kategorilerde  yer  alan  verilerin  elde   edilmesini  sağlar.   Fotoğraflar   Kontaklar   Videolar   Takvim   Notlar     @ADEO Security Labs, 2011   SMS’ler   Arama  Geçmişi   Ses  Kayıtları   Lokasyon  Bilgileri   www.adeosecurity.com
  52. 52. Şifreli  yedek   http://www.iphonebackupextractor.com @ADEO Security Labs, 2011 www.adeosecurity.com

    Als Erste(r) kommentieren

    Loggen Sie sich ein, um Kommentare anzuzeigen.

  • SelcukDemirayCISM

    Nov. 4, 2013
  • nurseda12

    Nov. 26, 2013
  • erdalkalayci

    Jan. 22, 2014
  • CneytYldzl

    Dec. 12, 2014
  • c1qaro

    Aug. 2, 2015
  • muhammedgedik180

    Aug. 10, 2015
  • hyshot

    Nov. 30, 2015
  • leucjo

    Nov. 30, 2015
  • albozs

    Jan. 11, 2016
  • Mehmetzdemir21

    Oct. 24, 2016
  • Ibrahimzturhan

    Mar. 27, 2017
  • Caaan

    Jun. 4, 2017
  • MustafaKrmaz

    Oct. 31, 2018
  • atillakorkusuz1

    Feb. 9, 2019
  • fispikim

    Mar. 1, 2019
  • mercanGne

    Nov. 9, 2019
  • mustafatasc

    Jul. 12, 2021

ISTSEC 2013 Konferansında Konuşmacılardan Halil ÖZTÜRKCİ'nin anlatmış olduğu sunumdur.

Aufrufe

Aufrufe insgesamt

6.955

Auf Slideshare

0

Aus Einbettungen

0

Anzahl der Einbettungen

37

Befehle

Downloads

494

Geteilt

0

Kommentare

0

Likes

17

×