ADEO Secur ıt y Labs

Adll BiIişim E g t m erı

@ADEo security Labs, 2o1a www.adeosecurity.com

 FiIe System Forensics

HaıilÖZTÜRKci
M icr*soft MVP
al55P, GCFA,GPEN, CıH, CHFl,

@ADEo security Lab1 2or_1 w!Yw.adeosecıjnty.aom

Ben Kimim?
* ADEO Kurucu Ortak&Güvenlik Birimi
yöneticisi
= lstsec ve Ankasec organizatörü
= Microsoft MVP, Enterprise Security
=
profesyonel penetration Tester
= Adli Bilişim Uzmanı
= SANS Mentor (wWW.sans.orq )
* CISSB GPEN, GCFA, CHFI, CEH...
* www. haIi ]ozturkci.com
= www.twitter.com/ha i loztu rkci I

@ADEosecUrityLabs, 2o1a www.adeosecurity.com

2
Ajanda

=Dosya Sistemi TemelIeri

= Ext Dosya Sistemi

= FAT Dosya Sistemi

* NTFS Dosya Sistemi

= Sabit Disk İmajları

= The Sleuth Kit (TSK) ile İmaj Analizi

@ADEose.urity Labs, 2011 www.ade05eCUrity,com

Dosya Sistem leri Temel leri

 Dosya Sistemi Katmanları

= Fiziksel Katman
. Sürücünün kendisi
= Dosya Sistem Katmanı (Partition bilgileri)
. veri katmanı(verinin saklandığı katman)
. Blok veya Cluster
= Metadata Katmanı
. Yapısal bilgiler (EXTz/3, FAT, NTFS)
* Dosya Adı Katmanı
. Dosyanın adı

@ADEosecürity Labs, 2of www.adeo5ecurity.Com

DOS Tabanlı Bölümler

" Dos tabanlı partitionlar bütün x85 tabanlı sistemlerde
kullanılırlar. (Windows, Linux ve *BSD)
= sabit diskteki ilk sektör bir bölüm tablosudur ve 4 bölümü
(partition) tanımlar.
= Bölüm tablosunda her bir bölüm için başlangıç sektör
adresi, sektör sayısı ve bölüm tlpi bilgisi yer alır.
= Her bir bölüm için The Cylinder Head Sector (CHS) adresi de
mevcuttu r. (Modern sistem lerde CH S adresleri ku lan ıl m ıyor
l

artık.)
= Eğer bir disk içinde 4'den fazla bölüme ihtiyaç varsa bu
durumda birtane extended bölüm oluşturulurve bu bölüm
içinde içi içe bölümler oluşturulur.
= Extended bölümün ilk sektöründe kendi bölüm tablosu
vardır.
@ADEose.ıJrity Labs, 2011 4
www.adeosecurity.com
 MBR ve Bölüm Tablosu
MBR Bölüm
Tabiosu

ğ \

Linux Native 35ia.n Extended

Linux Swap B6ot NTFs
Bölüm

a.la.ı Extended
FAT3z
Bölüm

@ADEo secıJrity Labs, 2ou www.adeo5ecUrity.com

Master Boot Record (MBR)

MBR Bölüm Tablosu
i: ilk Partition -> offset oxıBE veya 44s. byte

ol F. 16ıo 660 ]! ikinci Pa.tkion -> offset oxlcE veya 452.byte

ı66c53oomo0o066., '0:.to@ Üçüncu Partition -> offset oxlDE Veya 478.byte
.El!r§O<e.. Dördüncü Pdrtition -> of6et oxlEE Veya 494,byte

o0rB3a@&<o1^662]a

Her bir partition kaydı ı5 byte

ı0 15 F2 F. E6 Fo :l .9 ..
2. 0ı .] .9 6€ :6 al &605.
uzunluğundadır.
'. ate 61 20ı.51 e2ü,6sdJ.5,2;z.,:7
.Aktif partitionun iIk bÇe'ı ox8o'dir
Her sağlam MBRln son iki byte1
ox55AAdır.

0
ı
2
o' Prn!.ry 9aılrbn3
alaE 'r9b
ağ, 5ğa4 ornğ sruduc)
!

alj
l.6R,bıftn 0tt^55 2

ıaaR roğ] 3iı.: aa§ r €a + 2 ;

@ADEosecurityLab5, 2011 www.adeosecUrity.com

5
 Partition Boot Kaydı
orğoa
(n/!!)
Boot lndlcalor (loh
0 l

t_! l
Bölo/'' tirİ
1 i
5-7 3 Brişct|s değ.n İi
8_1l Başhngç§ehğlü
adüm boyutu (.eKö.
12_15
ol.nr}

HexValue TyPe

l FAT12
[ii]'iiltrlğ] oxoooıb7o8=ıız39z oxoE FAT16
ffi.ffi
oxoc FATf2
*Little Endian
o)€
3 LinUx Nğtive

8o 83
E 3f o6

+
o8 bı o1

ı
oo
ox82

oxA5
Unux swap

BsD/386

Extended
oxo9
1_12392 adet NTFs
5].5ektö
@ADEo security Labs, 2011 wwtv.adeosecurity.com

VeriYapıları
Bir çok dosya sistemi sektör olarak adlandınlan ve 512 byte uzunlukta olan temel
veri yapılarını baz alarak adresleme yapar.
ı Genellikle ardışıl gelen sektörler z'nin katlan olacak şekiIde gruplar haline
adreslenir. Bu gruplara veri yapıları (data units) isminiveririz.
ı Veri yapıları farklı işletim sistemlerinde farklı isimlerle anılırlar. Bunlar;
. FAT Cluster
. NTFS: Cluster
. Unix (FFS ve EXTz/ı): Block
. Bu veriyapıları dosya sistemi içinde ikidurumda olabilirler;
. Allocated
. veri blog u bir dosya tarafü ndan aktjf olarak kı.ıllanllryordur.
. içinde birdosyaya ait verivardlr,
. silinmemiştir.
. unallocated
. veriblogu birdosya tarafindan aktif olarak kullanllmlyordur.
. içinde birdosyaya ait veri olabilirde olmayabilir de.
. silinmiş yada kullanllmayan veri içerebilir.
. Dosyaya ait kahntlara FRAGıiEMT ismi verilir.

@ADEo security Lab, 2011 6

www.adeo5ecUrity-aom
 Slack Space ve RAM Slack Nedir?

Dosya sistemleri, dosyaları sabit disk üzerinde

sa klarken block(Linux/Unix) yada cluster(Windows)
olarak adlandırılan ve ardışıl sektörlerin bir araya
gelmesi iie oluşan yapıları kullanırlar ve adreslemede
temel olarak bu yapılar kullanılır.
Bir dosya, bir yada birden fazla block yada cluster'a
yazılabilir.
Eğer dosya, bir block yada cluster'ın tamamını
doldurmuyorsa ilgili yapının geri kalan kısmına
dokunulmaz. Cluster yada block'un tamamı bu dosyaya
ayrılır. Başka bir dosya bu cluster yada block içinde yer _]CTrack D
almaz. B:Y,İtl.
c:9lıtör
Dosyayı yazarken dosyanın boyutu sektörün tamamını D.closEİ/8ıocL
dolduramaya yetmezse bu durumda işletim sistemi
Null ile sektörün geri kalanını doldurur. Eski işletim
sistemlerinde Null yerine hafızadan alınan rastgele
veriler koyulurdu.(RAM Slack)
@ADEosecUrity Lab5, 2oü www.adeosecu ty,aom

Slack Space ve RAM Slack Nedir?

;;; ,-;;
T: =-_Y _
Siza, D<isyanıri gerçeİ
boyutunu g<istenı.
sizeondisİ: Dosyanln disk
üzerirıde ne kadar }€r
.ıaplö*ğtnl gd§te.ıi: Eğer ilqili cluster daha..önceden
kullanılmışsa ve önceden bu clusterda
x lğ..c,iir Tğİr, r iüş
yeralan dosyanın boyutu mevcut dosya
:u,.1. :-ğ . &".:!. boyutundan büyükse bu durumda eski
dosyaya ait ka|ıntılara slack space üzerinde
rastlama k mümkün.
Slack space'|erde dosya sisteminden
bağımsız şekilde veri saklamak
mümkündür.

@ADEo seCurity Labs, 2o11 www.adeo5ecurity.com

7
EnCas e 7'de Slack Space

.ı*|,@

RAM Slack

File 5lack

@ADEo security Labs, 2oll www.adeosecurity.com

Metadata katmanı
= Metadata katmanında, bir dosyayı tanımlamak için
kullanılacak yapılar yer alır.
= Metadata katmanını bir kütüphanedeki kataloga
benzetebiliriz.
= Metadata yapıları, bir dosyaya ilişkin disk üzerinde nerde yer
aldığı, dosyanın MAC zamanları, izin|eri gibi bi19ileritutarlar.
* Her metadata yapısı bir adrese sahiptir.
= Bu metadata yapılarıfarklı dosya sistemlerinde farklı şekilde
isimlendirilirler.
. Unix/LlNUX: inode
. NTFS: Master FileTable (MFT) entry
. File Allocation Table (FAT), Directory Entry
ı Bu metadata yapıları da allocated veya unaIlocated olabilirler.
@ADEo secUrity Lab5, 2o11 www.adeo5eaUrity.com
8
 Ext3 Dosya Sistemleri

Ext3 Dosya Sistemleri

= Günümüzde en çok karşılaşılan Linux dosya sistemi Ext3'dür.

" Extz'nin özell iklerinin yanında journaling özell iğin ine
sahiptir.
= İstenildiği takdirde uygun parametre ile mount edilirse Extz
olarak da davranabilir.
= Bunun yanında ReiserFS, XFS, ve JFS gibifarklı dosya
sistemleri de mevcuttur.
* *ReiserFS, XFS, ve JFS dosya sistemleriThe Sleuth Kit'in
mevcut versiyon u ta rafı nda n destekl e n me me kted i rle r.
" Son zamanlarda Ext3'ün yerini Ext4 dosya sistemi almaya
başlamış durumda. Fakat Ext4 de The Sleuth Kit'in mevcut
versiyon u ta rafı ndan deste klen meme kted rle ri

@ADEo secUrity Lab5, 2o11 www.adeo5ecUrity.aom

9
Dosya Sistemi Katmanı

Ext dosya sisteminin, Dosya Sistemi Katmanı'nı oluşturan iki temel

bileşeni vardır. Bunlar "superblock" ve "9roup descriptor tables" dır.
- Superblock, bir veri yapısıdır ve 1024 bÇe boyutundaki bu veri yapısı bir
Ext dosya sisteminin başlangıcını o|uşturur. Dosya sisteminin düzenini ve
bloklar ile inodların allocation bilgisini tutar. Bunun yanında, dosya
sisteminin en son ne zaman mount edildiği veya okunduğu gibi
metadata bilgileri de superblock içinde tutulur.
"Group DescriptorTable" ise superblock'u takip eden ilk blokda bulunur
ve bu tabloda dosya sistemi içinde yer alan her bir blok grubunun
allocation bilgisi tutulur.
The Sleuth Kit içindeki fsstat aracı bu veri yapılarını okuyup bize dosya
sistemi hakkında bilgi verir.

@ADEosecurity Lab, 2011 www.adeosecurity.com

Ornek

Dosya sistemj katmanı üzerinde çahşmak

için <ince|ikle yandaki adımlan izleyerek bir
dosya 9istemi olu$ ıJruyoruz.

@ADEo se(Urity Labs, 2oj_1 ,l0 www,adeo5ecuaity.com

 Fsstat KulIanımı

Bı, dosya si§teminjn en son ne 2amaa

moüot eiild'ğiaj 9österir Biz kendifiizyeni
} oluştı.lrduğumuz içın buradaki ifade
"emp§^J tounted" dır,

Metadata bilgisi. "Root Diİş.toif

kısıında yeralaa rakam kaç numa:alı
lnade'un ,oot dire.toı/si cid ıJğ Unü,
gösİeriyor.

@ADEo security Labs, 2011 www.adeosecurity.com

Fsstat KuIlanımı- Devam

Bıok afaİğl, blok boyutu, boş olan blok

sayt9,ia blok qri]pl;nndan önci ıeserve
} l9m.

Bloı( 9ırrıJbü 5ayı9nl ve hea bjrgUrP içjn

}ı inode ve blok sayıını gliste.€n kısım.

G,oupove G.oup i olmai( üzere 2 blok

qaUbt],neva0l.
Gioup, o,
lnode Range:1 ,56
BlockRange: 1- 819f,
GfoUp:1:
liıode Rangeİ ıı9. z5ız
g|otk Range: 819f - 9999

@ADEosecurity Labs, 2011 wwwadeosecuity.com

11
 Dosya İsmi Katmanı
* Ext dosya sisteminde dosya isimleri klasör kayıtları(d irectory entries) gibi
saklanırlar. Bu kayıtlar klasörler içinde saklanırlar ve esasen klasör kayıtlarıyla
doldurulmuş bloklardır. Her bir klasör kaydı şunları içerir;
. Dosyanln adl
. Dosyaya ilişkilendirilmiş inode adresi
. ilgili ismin bir klasörümü yoksa bir dosyay ml işaret ettiğini gösterir bir bayrak.
. Ext dosya sisteminden birden fazla dosya ismi aynı dosyayı gösterecek şekilde
ya pılandırılabi|ir ve bu durum "hard link" olarak adlandırılır. Her bir hard link de,
aslında başlı başına bir klasör kaydıdır ve aynı inode'u işaret eder. İlgili dosyanın
özelliklerinden sadece Link değeri etkilenir bu işlemden.
* Ext dosya sistemindeki ikinci bir link çeşidi ise "soft link" yada "sembolik Iink"
dir. Soft link bir çeşit özel bir dosyadır ve diğer bir dosya yada klasöre ait yolu
absolute yada relative şekilde barındınr. Başlıbaşına orjinal dosyadan bağımsızdır,
= windows sistemlerde soft linkler mklink uygulaması ile oluşturulabi|ir ve
varsayılan olarak sadece administrator haklarına sahip kullanıcıların sahip
oldukları "Create Symbolic Link' yetkisine sahip kullanıcılartarafından
oluşturula bilir.
- Soft link + Kısayol
@ADEo se.ürrity Labs,2of www.adeo5e.urjty,Com

Hard Link

Hard Link ile oluşt!rulmuş ikinci

dosya birinci dosya ile aynı inode
numara5ınt paylaşıyor. Bunun
yanında Link değeri bir arttınlmış
durumda.
=-;g
ı:şJ

@ADEosecürity Labs, 2o11 www.adeosecUrity,Com

12
 Soft Link

aa.

:.:..:.-: , İ

Hard Link'den farıİ olörak 5i2e kĞm iref iki dosya için fuiklı.loıeıısics]-lxt isimli
dosyanln LroyutüJdosya lsrrıinin ıroyutıJ ilerynl ğ4 ka.nkteü). Bunun y3ntnda yeni dosya
l(in orjtnal doiyanln lnode'Unddn fd*ll bjl inode kUl|an|yo!.YeniolUşlUrüJldn soft link
.dosya he,.İıangi b;İv€
rl bloğU ;ç€ lmediği iÇn B|ocks kısmııdaki değeı'o,BunUn yanlnda
he. ikidosyanln kendj inod€ 'ları olduğU için bı., dosyatann MAc zamanlart da büölrinden
farklı,,

@ADEosecurjty Lab5, 20ü www.adeosecurity.com

Metadata katmanı
Dosyalara ilişkin metadata bilgisi Ext dosya sisteminde inode'larda sak|anır.
Bu bilgilerden dosyanın boyutu, dosya için ayrılan bloklar, dosyanın sahipliği ve dosya üzerindeki izinler
ile birlikte dosyaya ait zaman damgasi bilgileri adli bilişim incelemeleri açısından kritik önem taşırlar.
Her bir inode içinde ilgili dosyaya ait 4 farklı zaman damgası tutulur.
. (M)odified:Dosya yada klasörün içeriğinin değişmesi durumunda güncellenen zaman damgasıdır.
Dosyanın içeriğinin değ j$irilmesinde yada bir klasörün içine bir dosya ek|enmesinde yada dosya
silinmesi durumunda güncellenir.
, (A)ccessed: Dosya yada klasörün içeriğinin okunması durumunda güncellenen zaman damgasıdır.
Örneğin bir dosyanın içeriğinin bir uygulama tarafından okunması yada bir klasörün içeriğinln
listelenmesi durumunda bu zaman bilgisi günce|lenir.
, (c)hanged:Dosyaya yada klasöre iiişkin inode üzerinde birdeğişikliğin meydana gelmesi halinde
değişen zaman damgasıdır.Örneğin, dosyanın izinlerinin yada sahipliğinin değişmesi bu zaman
damgasının değişmesine 5ebep olur. Bunun yanında Modified zaman damga5ını değiştirecek her
değişiklikte bu zaman damgası da değişir.
, (D)eleted: sadece dosyanın silinmesi halinde güncellenen zaman damgasıdıı

Eğer Ext dosya sistemi ile formatlanmış bir partition -noatime parametresi ile mount edilmişse bu
durumda hiç bir zaman ilgili partition üzerindeki dosyalara erişimlerde Accessed zaman damgası
güncellemesi yapılmaz.

@ADEo se(Uİity Labs, 2oaa www.adeosecurity.com

13
Touch leZaman Damgası
Değ şt r m e
Touch ile zaman damgaları üzerinde oynama yapılabilir. Bu sayede ilgili dosyalann
değiştirilme ve erişilme zamanları istenilen bir zamana deği$irilebilir.

2:

,:
,ı ,i

@ADEo 5ecUrity Labs, 2oı1 www.adeoseCurity,Com

l ndirect B|ock pointers

. Bir dosyaya ait ayrılmış blokların bilgisi de inode'lar içinde tutulur.
. Bir inode ilgili dosyaya ait ilk ıu blok adresini tutabilir. Eğer dosya için 12'den fazla pointe/a
ihtiyaç duyulursa bu durumda bir blok ayrılarak sadece pointeı'ları tutar. Bu pointerlara
"indirect block pointer" denir. Bu şekilde ikiyada üç indirect biock pointer olabilir.

ı lndi€
(ı Blod€ oo2ğ)
l4M sb-agei

,l ı DdJble lnd'ld 0M)

[4Ga ğda!E]
2

1
ı ı F-_
6 ı
8
9
ı ı
ı0 .
1,t ;

14
ı

ffi
l5

Iup b 1G do*s.4TB st -age]

@ADEo5ecurity Lab5, 2o11 www.adeosecıJrity.(om

11
 Data unit katmanı

Ext dosya sistemindeki alanlar bloklara ayrılmıştır. Bu bloklar blok gruplan

şeklinde bölünmüştür.
Her bir blok grubu superblok'un bir kopyasını barındırır.Bun un yanında her bir
blok grubunda, group descriptor ta ble , bir tane block bitmap, bir tane inode
bitmap, bir tane inode table ve sonrasında gerçek data blokları yer alır.
. Group DescriptorTable:Her bir blok grubu için bir adet grup tanımlama veri yapısı içerir. Grup
tanImlama veriyapısı, ilgili blok gurubuna ait block bitmap ve inode bitmap'larin adresini tutar
. Block Bitmap:Grup içindeki bloklann allocation durumunu tutar.
. lnode Bhmap:Grup içindeki inode'ların allocation durumunU tutar.
. lnodeTable;Grup içindeki dosyay tanımlayan inode'ların yer aldığı tabloduı

Block Group 0 B|ock Group 1

Super Group Block lnode lnode File File Block lnode

Block Desc Bitmap Bitmap Table Data Data Bitmap Bitmap
Table

@ADEosecurity Labs, 2011 www.adeosecü ty.(om

FAT Dosya Sistemleri

 FAT Dosya Sistemleri

= FAT dosya sistemi ı98o'lerden itibaren kullanı|maya başlanmıştır ve en

basit dosya sistemlerinden biri olarak bilinir.
- Basit olmasından ötürü günümüzde flash diskler, dijital kameralar gibi
cihazlarda sıkça karşımıza çıkar.
u Herhangi bir şekilde bir güvenlik özelliği barındırmaz.
= FAT'in Üç farklı varyasyonu mevcuttur.
. FATız
" FATı6
. FAT3z
r Bu varyasyonlar arasındaki en temel fark File Allocation Table içindeki
adreslenebilir kayıtların sayısıdır.
= Vista SPı ile birlikte gelen exFAT dosya sistemi her ne kadar FAT54 olarak
anılsa bile, adresleme için 3z bit kullanır.

@ADEoSe(urity Labs, 2o1l. www.Bdeo5ecUnty.(om

FAT 12 ve FAT ı6
FATız
. Cluster Boyutu = 5ız byte ile 8 KB arasında
. z" adreslenebilir cluster
, Maksimum volume boyutu 3z MB (4o96 cluster*8K)
FATı5
, Cluster Boyutu = 5ız byte i|e 64 KB arasında
, z'6 adreslenebilir cluster
. Maksimum volume boyutu 4 GB (65536 cluster*64K)
. win95, 98, ME 32 KB'dan daha büyük cluster boyutuna izin vermez. Bu durumda
oluşturulabilecek en büyük boyutlu dosya z GB olabiliı
Kök dizinde her biri 32 byte olan 5x2 kayda izin vardır.
Kullanıcı erişim kontrolünü sağlayacak herhangi bir özellik
yoktur.

@ADEo security Labs, 2011 www.adeo§ecırrity.com

16
 FAT 3z

= FAT3z
* C|uster boyutu = 5ız byte ile 3z KB arasında
* Cluster adres|eme için 3z bit kullanır ( 4 bit rezervedir ve
gerçekte z8 bit kullinılir)
* z'8 adreslenebilir cluster
" ?68,435,455.cluster ile teoride maksimum 8TerabÇe'lık
bir volume oluşturulabilir.
. Windows 'da sadece 3z GB'a kadar formatlamanıza izin verilir.
. Windows başka işletim sistemleri tarafından formatlanmış ve
boyutu.3z GB'dan büyük olan FAT3z bölümleri tanıyabilir ve
üzerinde işlem yapabilir.
. MBR'ın sınırlarından ötürü en fazla zTB boyutunda bölümler
oluşturula bilir.
- Herhangi bir güvenlik özelliğine sahip değildir.
= kök dizıni cluğter zincirlerinıkullanır.
@ADEosecUrity Lnbs, 2011 www.adeoseCUn'ty,com

FATYapısı
" FAT dosya sistemine sahip bölümlerin her birinde aşağıdaki dört ana bölge yer alır.
Bunlar;
. Bölüm boot sektörü
. FAT bölgesi
, Kök Dizin bölgesi
. Dosya ve Dizin Bölgesi
, Bölüm boot sektöründe aşağıda bir kısmı verilen bilgiler yer alır.
. İşletim sisteminin adı
. Cluster baş|na sektör sayısı
. Kök dizindeki maksimum kayıt sayısı
. Volume adı
. seri numarası

ir^,
lı'ç",.ı

@ADEo secuİity Lab5, 2o11 www.ade05ecurity,com

17
 FATız lı6 Boot Sektörü
Jump TopIam Sektör başına Cluster başına Rezerv edilmiş sektör
KomUtu sektör sayısl byte miktan sektör sayısı saylsl
oEM lD

000 EiEıj-IııA. ıİJ]ıı[g ö<.üsDos5.0.....

(j 01 0 trlEm
Eil.D 0b f0 09 00 12 00 02 00 00 00 00 00 .a.o.ö.
002 0 00 0 00 00 00 2 4e 1 ......}titano rıa
003 ı lEı!l!ıiliEİ]ıilİT
m 0 46 1 JJ ^o uE FAT12 3li
004 IJ edl c f0 7b 8e il9 8 00 0 8e c0 t 0 7c .iVüö{.ü.. .Aüİ.
005 0 3 8 4e 47a24 0b c1 o eU J
I

0| 72 1 UJ 3a 8N§ f i. Ğ<. r . . ö ı
} .

ü05 bb a_L c 7c 26 65 3b 26g 57 fc 75 06 s0 f ı. Irf ,.ı.Füu..lİ

007 02 88 502gOc3 10? 8a 4 b 9 0 98 f .v..^i.sğ3ıi.F. .+
00s bb _Lb 46 1c1356 1 03 46 13 d 1 e b75 11 F..v..F..N.v.
FAT tablo saylsl Vo ume System lD
Kök kaylt saylsl Her bir FAT içindeki Volume Adı FArızb6
sektörsayısı lD

FAT 32 Boot Sektörü

Jump Sektör başına clUster başlna Rezerv edilmiş sektör

KomUtU KÖk kayt sayls| byte miktarı sektör sayısı saylsl
oEM lD

UUuU öı. usDos5. 0. ..

0 010 00 0 000f00000 3f 00 ff
00 0b 00 uu 00 .....o..ı.*...
D02 0 00 0D 00 00 02 00 00 00 ti..o
D03 0 1 00 06 00 00 00 0 00 00 00 00 00 00 00 00 00
DD40 0 00 9 ..)iu. (tıo ııeus
0050 020 5 +1 54 33 2 2 2 33 c9 8e bc f+ FAf32
3E.fr%6
006 0 7b 8e aa ia hıi D7 8 8a 56 40 08 t .A.Uyı. | .N. .v@- .
0070 cil 13 7 05 b9 ff 8a 55 0 c5 40 56 İ.E.ıii9.flf.!tE@f.
008 b6 aı1 0 e2 3f f7 85 cil 0 eil 0 56 0f b? .a?+e.iii.Af.,
FAT ta b o saylsl Her bir T içindeki lume
Volume Systİm lD Adı
sektör sayısı
Toplam sektör sayısı lD FAT3z

18
 NTFS Dosya Sistemi

NFTS Dosya Sistemi

- NTFS (NewTechnology File System)Windows NTve daha sonraki
sürümler olan Windows zooo, Windows XP, Windows Server zoo3,
Windows Server zoo8, Windows Vista ve Windows 7 için standar dosya
s iste m id ir.
" Zaman içinde yeni özellikler eklenerek farklı versiyonları çıkartılmıştır.
. \a.o - NT 3.1
. vr.ı - NT3.5
. v1.2 - NT 3.51Ve NT 4
. \.J.o - Windows 2ooo ("NTFS Vs.o" veya .'NTFS5")
. v3.ı -Windows XP ("NTFS V5.1.')
. windows server 2oo3 cNTFs V5.2'')
. Windows server 2oo8 vewindows Vista (''NTFS V5.o.)
. Windows server 2oo8 R2 Ve windows 7 ("NTFS V6.a'')

= Cluster adresleme için 64 bit kullanılır.

= Sunduğu güvenlik özelliği sayesined dosyalar üzerinde erişim
kontro lü gerçekleştiri le bi l i r.
= Transaction logging sayesinde kurtarma özelliğine sahiptir.
@ADEO security Labs, 2011 www.adeosecurity,com
 NTFS Boot Sektörü

ooo
o10
EB \2
oo
qo
oo
4E 54 46 53 20 20 20
oo F8 oo oo
20 oo 02 E oo
oo
oo
oo
02o oo oo oo 8o oo 8o oo FF EF ZF OO OO OO OO OO

03o FF 01 OO OO OO OO OO FF FE 02 OO OO OO OO OO

oxoo 3 bçes Jump komutu

oX03 8 bytes oEM lD
oxoB z bçes Her bir sektördeki byte miktarl
oXoD ı byte Her bir clusterdaki sektör sayısı
ox15 ı byte Medya tan ımlayıcı
oxz8 8 bytes Toplam sektör sayısı
ox3o 8 bytes sMFT için LCN değeri
ox38 8 bytes sMFTMirr için LCN değeri

LCN: Logical Cluster Numbers

NTFS Master FileTable (MFT)

Bir NTFS bölümü içindeki her bir dosya, yine kendisi de bir
dosya olan MFT içinde bir kayıtla ifade edilir.
ı MFT içindeki ilk ı6 kayıt özel bilgileri tutmak için rezerv
edilmiştir.
ı M FT içindeki ilk kayıt M FT'n in kend isin i tan ımlar.Sonraki
kayıt MFT'nin kopyasınıtanımlar. Eğer MFT'nin ilk kaydı
bozulursa bu durumda NTFS, MFT'deki ikinci kaydıokuyarak
MFT'nin kopyasını bulur.
MFT'ye ve MFT'nin kopyasına ait adresler NTFS'in boot
kaydında yer alır.
Her bir MFT kaydırKb boyutundadırve bu kayıt içinde dosya
yada dizinlere ilişkin attribute'ler yer alır.

@ADEo secUrity Lab5, 2o11 www.ade05ecUity.com

20
 NTFS Master FileTable (MFT)-Devam

Attibute'ler Resident ve Non-resident oImak üzere

ikiye ayrılır.
Resident türündeki attribute'|er MFT kavdının icinde
ya r al ırken, Non-resident tü rü ndeki atti tİute'ler'ayrı
veri bloklarında yer a|ırlar.
-, Resident attribute'ler(sabit boyutlu)
. $STANDARD_lNFoRMAT|oN
. $FILE_NAME
. $DATA
* Non-resident attribute'ler (değişken boyut|u)
. sDATA (büyük dosyalar için)
. $sEcURlTY_DEscRlPToR
. Dosya indeksleri

@ADEosecurity Labs, 2o1a www.adeo5ecUrİty.Com

NTFS VS FAT
§Tas vs

::

@ADEo se(urit, Lab, 2or.a www-adeo5eaUrirycom

21
 Sabit Disk lmajıAIma

@ADEo security Labs, 2011 www.adeosecurity.com

İmaj Alma

= uçucu veriler topIandıktan sonra sistem

kapatılma l ı ve sa bit d isklerin imajı aI ı nmalıdı r.

= Alınan imaj, bitby bıtyada forensically

sound olarak adlandırılan türden olmalıdır.
= Donanımsal yada yazılımsal olarak almak
mümkün.
=
yazma koruması mutlaka göz önünde
buIundurulmalıdır.

@ADEo security Labs, 2011 www.adeo5ecurity.(om

 İmaj Alma İşleml Adımları

OrjinaI delil için bir tane Emanet Zinciri (Chain

of Custody ) dokümanı oIuşturun.
Sürücü isminive nereye mount ediIdiğini
Yazln.
. Sürücü ism in i öğrenm ek için fdisk l komutu ça lıştı rı la bi r.
- l i

. Sürücünün nereye mount edildiği mount komutu yardımıyla

öğrenilebilir.
Sürücünün gerçek bit imajını oluşturup
md5sum ile imaj dosyasının hash değerini
alın ve not edin.
@ADEosecurity Lab§, 2ou www.adeoseCUrity,com

Yazılımsal lmaj Alma-Ya zma

Koruması
= Yazılımsal olarak imaj alma yöntemlerinde şüphelinin
bilgisayarına ait sabit diskler imaj alınacak bilgisayara bir
yazma korumalı köprü üzerinden bağlanır.
= İmaj alınacak diskin arayüzüne uygun köprünün kullanılması
gerekiyor.
, Native veTailgate olmak üzere iki çeşittir. Native türde
olanlarda giriş ve çıkış arayüzleri aynı iken (örneğin lDE-
lDE), Tailgate türündeki cihazlar giriş ve çıkış arayüzleri
farklıdır (örneğin Firewire'dan SATA ya).
. lDE, SATA, SCSI, USB gibi farklı arayüzlere sahip yazma
korumaları mevcut.
. Fiyatları 4oo USD'den başlar.
" Bütün arayüzlere bağlantı ihtiyacını karşılayacak bir kit
olarak da satılır. Kit'in yaklaşık fiyatı donanımsal duplicator
ile birlikte z.7oo USD civarında.
* Yazılımsal olarak da yazma korulamaları mevcut fakat
kullanımı tavsiye edilmiyor.
@ADEose(urity Lab5, 2o11 www.adeosecurity.com
23
 İmaj Formatı Standartları
Adli bilişim incelemelerinde kullanılan donanım ve yazılımların takip edecekleri herhangi bir
forensics çerçevesi olmadığı için donanım ve yazılım üreticileri kendi imaj standartlarını
tanımlamışlardır.
Bu imaj formatları aşağıdaki özellikleri destekleyebilir.
. Metadata Saklama
. lmaj alma işleminin ne zaman başlat|l|p ne zaman bittiği, sürücünün seri numardsı gibi bilgiler
imaj içinde saklanır.
. Sıkı$ırma Desteği
. lmaj alınma işlemi sırasında sıkıştırma işleminin de gerçek|eştirilerek daha az yer tutması
sağlanır.
. Şifreleme Desteği
. lmaj alınma işlemi sırasında şifreleme işleminin de gerçekleştirilerek imaj dosyasının şifrelenmesi
sağlanır.
Açık sayısal delil saklama standartını belirlemek üzere Digital Forensic Research Workshop
bünyesinde Common Digital Evidence Storage Format (CDESfl çalışma grubu
oluşturuldu.(Grubun çalışmaları kaynak yetersizliğinden dolayı sonlandınlmış durumda)
The Sleuthkit ve SlFTWorkstation ile farklı imaj formatları üzerinde çalışabiliyoruz.

@ADEosecurity Labs, 2011 www. ade05ecu rity. com

Delil Kopyaları

Delil kopyaları aşağıdaki gibi üç farklı sınıfa ayrılır.

. Orjinal Delil
. Adından anlaşılacağı üzere orjinal delilin kendisini ifade eder.
. En İyi Delil
. Orjinal delilden alınan ilk kopyadır. Çalışma kopyaları bu kopyadan alınır ve bu kopya
üzerinde inceleme ve analiz işlemi gerçekleştirilmez.
. Çalışma Kopyası
. Orjinal Delil'den yada En İyi Delil'den oluşturulan ve üzerinde analiz işlemlerinin
gerçekleştirildiği ima.j kopyasıdır.
Orjinal delilin güvenl i kasalarda saklanması ve üzerinde
herhangi bir şekilde analiz işlemlerinin gerçekleştirilmemesi
tavsiye edilmektedir. Aynı şekilde, mümkünse En iyi Delil için
de aynısıyapılmalı.

@ADEosecurityLabs, 2011 www.adeosecurity.com

24
 Fizikse| ve Mantıksal İmaj

İki farklı biçimde imaj almak mümkündür. Bunlar;

. Fiziksel İmaj
. MBR'den en son sektöre kadar fiziksel diskin tamamının kopyalanma5l esas|na
daya nı r.
. En iyi delil olarak sıfatlandırılır.
. Disklerde RAlD yapısı kullanılmamışsa yada imajı aiınacak cihaz özel bir cihaz değilse
fizisel imaj alınmalı sonrasında mantıksal imajlara bölünmeli.
. Mantıksal İmaj
, Fiziksel sabit diskin tamamının değil, sadece dosya sistemi katmanı bazında
bölümlerin (partition) imajları alınacaksa tercih edilmelidir.
, RAlD sürücüleri yada şifrelenmiş sürücülerin imajlannın alınmasında kullanılması
önerilmektedir.

ıü,ü omek sürü.ü İsmi

Fizik§e]

Manl&§al

@ADEosecurity Labs, 2o1ı www.adeosecUrity.aom

dd (raw) İmaj Formatı

= Bu formattaki imajlar 9erçek bit imajı olarak bilinirler.
= Orjinal sürücü ile aynı boyuttadırlar.
= İmaj içinde herhangi bir metadata bilgisi barındırılmaz.
= Sıkıştırma desteği yoktur.
" dd formatı olarak da bilinir.
= Bu türdeki imajların dosya isimleri genellikler .dd, .ooı yada
.img uzantılıolur.
= Bir dosyanın belirli bir kısmını almak, imaj dosyalarını bölmek
yada disk bloklarından veri almak için kullanılabilir.
= Raw formatta imaj almak için kullanılabilecek dd'nin bir çok
varyantı olmakla birlikte en çok bilinen 3 versiyonu vardır.
. dd (Native *nix versiyonu)
. dd.exe (Windows sürümü)
, dcadd
@ADEo security Labs, 2or1 www.adeosecuİity.com
25
 Eoı İmaj Formatı
, ExpertWitness Format (EWF) olarak bilinen bu imaj formatı EnCase yazılımı
tarafından varsayılan olarak kullanılan ve spesifikasyonları açık olmayan bir imaj
formatıdır.
= EWF formatındaki imaj dosyalarının uzantısı .Eoı şeklindedir.
= İmaj içerisinde metadata bilgisi saklanırve imajın sıkıştırılması desteği mevcuttur.
* EwF formatının spesifikasyonla rı için
htto://sourceforoe. net/Droiects/libewf/fi les /documentation l EW Fg/ozofileVozof or m
a,9| adresindeki doküman incelenebilir.
ı Linux ortamında EWF formatındaki imajlar üzerinde çalışmak için libeğ
kütüphanesi kulianılabilir.
Libewf, ExpertWitness Compression Format (EWF) desteği sunan bir
kütüphanedir ve hem SMART (EWF-Soı) hem de EnCase (EWF-Eoı) formatını
destekler.
Libewf kullanılarak EWF dosyaları hem okunabilir hem de yazıIabilir. Son sürümü
LEV (EWF-Loı) formatını da desteklemektedir.
Libewf http://sourceforqe. n et/proiects/libewf/ adresinden indirilebilir. SlFT
Workstation içinde hazır yüklü gelir.
@ADEosecurity Labs, 2011 www.adeosecurity,com

Libewf
ı Libewf kütüphanesinde aşağıdaki araçlar bulunur.
ewfacquiıe, EWF formatında sürücü yada dosyalann imajlannı almak için kullanılan araçtır.
. Ömekkuİlanlm:e-fa.quiİe /dew/s.ıa
ewfacquirestream, stdin'den aldığı verileri EWF formatındaki imaj dosyasına yazar.
, Örnek kullan|m| cat spıit..aş.ihq l eşfacquilestİe ->Bu komut il€ RAwformathdah imaj| EwFformatına
dönüştiirülür.
e*fexport, EWF formatındaki dosyalan farklı EwF formatlanna yada RAw formata dönüştürür
ewfiııfo, EWF formatlndaki imaj dosyaslnln metadataslnl gösterir,
ewfverify, EWF imajını doğrulaı

Libewf kütüphanesinin yantnda ilgili siteden aşağıdaki yardımcı araçlar da

indirilebilir.
mou]İt_ewf.Py, EwF formatlndaki imajlann mount edilmesine sağlayan anç.
. örnekkullanm,
il .ıdii /mt/et'f
l lout e,f .py EİEi@ j.EOı /Mt/df
* eost t .tfs-3q o !o,ı@p,shor_sts fiıes,stleaG intelface=qlndoİs /@t/eşf/i1rEi@]
/@t/aoİsic3I@ges/EİE
jlibewf, native Jawa EWF okuma kütüphanesi

@ADE o security Lab5, 2ou www.adeosecurity.com

26
 Advanced Forensic Format (AFF)
a Açık bir standart olan Advanced Forensic Format (AFF), imaj dosyası içinde
metadata saklama ve sıkıştırma desteğine sahiptir.
ı Bu formattaki imaj dosyalarınün uzanttsı .AFF'dir.
a Üç farklı varyantı vardır.
" AFF:İmaj, tek bir dosya şeklindedir ve metadata bilgisi de aynı dosya içinde saklanır.
- AFD:İmaj, birden fazla ufak dosyaya bölünmüş şekilde saklanır ve metadata bilgileri de
aynı dosyalarda tutulur.
. AFM:imaj dosyası RAW formatındadır ve metadata bilgi5i ikinci dosyada saklanır.
a AFF ile ilgili araçlar http://www.afflib.org adresinden indirilebilir.
, affuse uygulaması, AFF dosyaların|n Linux sistemler üzerinde raw dosyalar şeklinde
işlem görmesine imkan tanıyan bir Filesystem in Userspace (FUSE)
implementasyonudur-
. Örnek Kullanım:
l affuse ıt'Er@q.- 001 /Dt/erfl
a ıort _t !tfs_3g -o İo, toop, she,sys_tilesı gtleaE i.telrac+-1Ddoıs /mt/afflışFI@ge.oo1.rAİ
/mt/f o!ensicsJ@q.§/AFF
. afconvert uygulaması AFF'nin desteklediği imaj formatlan arasında dönüşüm işlemini
gerçekleştirir.
@ADEoseaırrity Labs, 2()11 www.adeoseaurity.com

İmajıAlma YazıIımları

@ADEo s€
cu.ity Lalrs, 2o1a www, adeo5eau rity. (om
dd kulIanımı

dd if=IFILE of=OFILE [seçenekler]

= T/o FILE bir dosya, bir sabit disk sürücüsu, partition yada teyp aygıtı
olabilir.

ISeçenekler]
bs= b1ock size (Blok boyutunu belirtir)
count=lJUM (sadece ı{tllf ile belirtilen sayıda bloğu kopyala)
skip:ııDM (l{I7iıfile belirtilen sayıda bloğu atla)
conv:noerror, syİıc (Okuma hatası olduğu zaman işlemi
sonlandırma, devam et)

ı örnek kullanım:

O o6 1Ş=,/dev,/hda1 9Ş=/inajlar/hda.dd bs=512

count=700 conv=noerror, sync

@ADEo seCUrity Labs, 2011 www.adeosecurity,com

dd.exe Kul|anımı
dd - er.e if =IE|IE of=oEILE bs=bİoclsize count--x conv=ııoe-roİ, sfmc

lseçenekler]
b8= bloct size (Blok boyutunu belIrtir)
count=r9u}l (sadece roıı ile belirtilen sayıda bloğu kopyala)
sLiP=lgırı' (İğırile belirtilen sayıda bloğu atla)
conv-jnoclrror, 5]mc (Okuma hatası olduğu zaman işlemi sonlandırma, devam et)
--cryPt3ut! 4aghğlzre> (hashtürü = md5, sha, shalshaz55 )
--verify (hash sonucunu doğrula)
--crYPtout <fi-ı,e> (hash değerinin yazılacağı dosya)
--1og <fiıe> (log kayıtlarının yazılacağı dosya)
--1ocalİ!t (yerel sürücülere yazmaya izin ver)
--ata hpa (HPA(Host Protected Area)'yı geçici olarak devre dışl bırak)

D: \> dd.ex6 if=\\.\c: of=D: \DelilJ-e!\suPhe1 dd.exe ile uzak paylaşımlara

crf,lrtgum Dd5 --weİify --cr!T, tout D: \Deli imaj dosyasını yazdırmak
4ocBseagate.rd5 -localr.rt mümkündür.

D:\> dd.exe if=\\ \c: _ f=\\192.158.1.10 iBiıis i!\windo*sf orensics\

suphetixP- 4 oGBs6agate

@ADEo se(uraty Labs, 2011 www,adeosecUriğ.Com

28
 dcadd.exe KuIlanımı

= dd'nin geliştirilmiş ve yeni özellikler eklenmiş

versiyonudur.
= [Seçenekler]
. progress=on (İlerleme çubuğunu göster)
, hash=(t!E>e) (hashtürü = md5, sha, shaı,shaz55 )
- hashlog: fi7eı.,an e (imaj alma sırasında ve log dosyasına
yazma sırasında bütünlük doğruluma yap)
" tıashııindor=NuM (Her aınile belirtilen miktarda bçe işleminden
sonra MD5 hash hesaplaması yap)

# . /dc3dd i6=/dev/sda 6f=/mnt/Davalar/sda. ing

hash=mdS proç[ress=on hashlo9=/mnt/Davalar/sda . 1og

@ADEosecurity Labs, 2011 www.adeo9ecurity,Com

HPA (Host Protected Area)

HPA, normal Şartlarda işletim 5istemi tarafından gorülmeyen ve işletim 5i5teminden gizlenmiş bir sabit
disk alanıdır.
Genellikle donanım üreticileri tarafından ilgili cihaza ait kurulum ve sürücü dosyalarını saklamak için
kullanılır.
httpı/,/vidstrom.netlstoo|sitaft/ adresinden indirilecek bir araç ile sabit disk üzerinde tanımlı bir HPA olup
olmadlğl tespit edilebilir.
ATA komutlan kullandarak IDE Kontrolle/daki register değerleri sorgulanabilir.
Sorgulanan registedardan elde edilen bilgiler kontrolleı'lara bağlı sabit disk sürücüleri hakkında bilgi
Verir.
Sabit disk üzerinde bir HPA oluşturmak için kullanılan üç ATA komutu Vardlr
, IDEN,],IFY DEvlcE
. SET MAXADDRESS
. READ NAT|VE MAX ADDRESS
işletim sistemleri lDENTlFY DEVlCE komutunu kullanarak sabit disk üzerindeki adreslenebilir alanlan
öğrenir.
Bu komut belidi register değerlerini okuyarak sabit diskin boyutunU öğrenir.
Bu register değerleri SET MAXADDRESS komutu kullanılarak değiştirilebilir. Eğer bu değer mevcut
değerden daha düşük bir değere set edilirse bu durumda ilgili sabit disk üzerjnde bir HPA oluşturulmuş
olur.
oluşturulan bu alandan sadece "HPA aware" olan BloS yada firmware yazılımlan faydalanabilir. Bu
yazlllmlar READ NATıVE MAX ADDREss komutu ile sabit diskin gerçek değerini iiğrenirler.

@ADEosecurity Lab5, 20u www.adeosecurity,com

29
 HPA (Host Protected Area)-Devam

()

(ı] Eq

iz )
@

lıi
@ADEo secUrity Labs, 2ou www.adeo5eCUrity.com

HPA (Host Protected Area)-Devam

ı The Sleuth Kit içinde yer alan ve sadece Linux işletim sisteminde çalışan dılst_stat
uygulaması birATA diskde HPA olup olmadığını tespit etmek için kullanılabilir.
t dilL_3tat /de9l}ıd,
lraıimtE Disİ sectof: 120103ı99
Maıimı.fu lrseİ sectoİ: ı1999
** llPA Detecled (secto.s 12000
- 120ı03199)
ı The Sleuth Kit içinde yer alan ve sadece Linux işletim sisteminde çalışan
disk_sreset uygulaması bir ATA diskde tanımlı olan H PA'yı etkisiz hale getirmek
için kullanılabilir.
İki türATA komutu vardır. Bunlardan birisi yapılan değişikliğin geçiçi olmasını
sağlarken diğer komut ise değişikliğin kalıcı olmasınısağlar. dı:sk_sreset
uygulaması değişikliği geçiçi olarak yapar.Yani sabit disk sürücüsünün enerjisi
kesilip yeniden verildiği takdirde HPA aktif hale gelir.
ı diıL_Bieret /&9/he
Reıoriılg EPı fİ6 ı2ooo to 120103199 atiı. İığt İ.ret
= HpA etkisiz hale getirildikten sonra o alandaki verilerin imajı alınabilir.
. dd ile de HpAtanımlama ve geçiçi olarak etkisiz hale getirmek mümkün
Dl\> d.t. eE if=\\. \Pıİy!ic5_ı.D!j.Eo of=a: \eğid.nce\2o08121a-o01. oo1 --ıta_ıE ı

@ADEose(Urity Labs, 2011 www.adeosecUrity_com

30
 İmaj Alma Örneği

:: .. : .'=_! 1 ii- i. r l:: İi İ

@ADEosecurity Labs, 2011 www.adeosecUrity.aom

FTK@ lmager

= FTK@ lmager, dijital delil dosyaları üzerinde ön inceleme yapıp bu

dosyalarınforensically sound imajını almaya imkan tanıyan bir
yazılımdır.
= Lokal sabit sürücülerin, USB hafıza karltarının, Zip sürücülerin, CD ve
DVD'lerin, dizinleri yada tek bir dosyanın imajını alabilir.
= Bu ortamlardaki dijital de|illerin imajını almadan önizlenmesine imkan
ta n lr.
= Adli bilişim incelemesi yapılan imajları girdi olarak alıp,bu imaj içindeki
dosyalar üzerinde temel incelemelerin gerçekleştirilmesini sağlar.
= İmaj dosyalarını Read-only olarak mount edip, Windows Explorer
üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine
ortam hazırlar.
İmaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan
tanlr.

@ADEoSecurity Labs, 2o11 www,adeo5ecUİity.com

31
 FTK@ Imager-Devam

Silinerek Çöp Kutusuna gönderilmiş fakat üzerine henüz başka dosya

ta rafından yazı lma mış dosya la rı kuıta ra bi r. l i

Dosya|arın Message Digest 5 (MDs) ve Secure Hash Algorithm (SHA-ı)

hashleri oluşturabilir.
Normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha
sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir.
htto: //www. accessd ata. co m/d ownloads.html adresinden son sürümüne
indirilebilir.
Windows ortamında kullanılmak üzere "FTK lmager" ve "FTK Imager
Lite" olmak üzere iki versiyonu vardır. FTK lmager için kurulum
gerekliyken, FTK lmager Lite herhangi bir kuruluma ihtiyaç duymaz ve
direkt olarak harici bir disk içine kopyalanarak, bu disk üzerinden
çalıştırılabilir.
Ubuntu, Fedora ve Mac üzerinde çalışacak versiyonları da mevcuttur.

www.adeosecurity.com
@ADEo security Labs, 2011

FTK@ lmager-Imaj Alma

Ee YĞw üode 8€
b
ğ tdd Etİ€
n€g §ir[..
§ ndd 4 Attadrd De/t,s

..o F.€
h.nE.ı,ı*d.

e.eit. D.t tE94.,

6e.n oğ( ııaqe...
+
Ecğt LoFJğlce (ıoı}--
-ldj to oJlrğı co.t üıt bnlE (rDlJ
gt*. o*.c6nü.ğ,t ırr4e (,ıDı).
l\!@ -,
Otrt İ.rrgİ...
]ı€
ncüüt jG€
e
€ Şcİ!)
ai!İrgq_FE- _
Eğ,9q!1
-o$:s
ğEo.t !ae§... EGı Il
Fj(oğt Fı 8.il ıi*-..
-
P !rn.iF*tğ-§.d 9 EldA.i{la*
9ort
€ QieĞğ, liğl,,-, ()-rğğç JJığh at.Efr lşİğ*i }
'
'- l ç,," l

www.ade05eaurity.com
@ADEo security Labs, 2o]1
 FTK@ l mager-İmaj Alma- Devam

6E §.ied*E Di**.,ı İğ. !,.9.§ğ.

FEe]-] + 6

.ş]
Iıgiffi=--
|-"***
9 tğofiiğ.ç*<ĞğBti p t..don: t-3 sge
Eğeı olırltun ld( dl do§va ıek dosya ndl,nde
öfüşturUl9ıJn i§eniyorsa bu durunıda }mage tsçE Eğdil.i*j :r,t i
Fİagment size(uB) l(ı5.nlna 0 yd?,l-n llldll.

Compıe§on seçeneği sadece lmaj 5lklştrma de§teği

5Unan fcrmai]a.dan bırisinin seçilmesi durulitJıda kü.Jİ.€
.-+r_ !ş*.ı İ-*---=
akif olur U. AoEEEtoT

Eğer altnacak jmajln şifreıenmesj isteniyorsa bU --}-

durumda tJseAo En<ıyption seçeneği seçılmeli .r.d, fir,-.,l Ç-Ed l

-E]
@ADEo secUrity Lab5, 2o11 www.adeosecUrity.com

FTK@ l mager- İ maj Alma - Deva m

|
'!izg.
ğ!.td i.E6tıY

ııiiaıı-a-ıı-ııılrıalııİaıı§İıatiİi-ıİıii
ffiH:ıı;
l
or*rı*,q .oto
Proğğ
3r,@of
'n
İ ıB (5.ğ2ıBAğJ
ıııııııırııııııııırııııiııııııı;ııiııı :

Ioff:o,

g=_jl

ı
e05lil!5:0.d@€
adtu,§f.
R!2JıDbrlOgrc3.rlodırlgrdrJ

:J
(E)
@ADEosecUrityLab5, 2o1:. wü/w.adeosecurity.com
33
Mantıksal Bölümler
Sabit disklerin imajları alındıktan sonra ilgili disk üzerindeki mantıksal
bölümlere erişilmeli ve inceleme işlemleri mantıksal bölümler üzerinde
devam etmelidir.
Bir diskteki mantıksal bölümleri öğrenmek için The SIeuth Kit GSK)
içindeki mmls uygulaması kullanılabilir.

Sektör boyutu

6=.:
=.__
, ,ı7l
bölümtlpa

B an9İç ToPlam
Bnğ seküü

@ADEo secUrity Lab5, 2011 www.ad eose(U rity. (om

Mantı ksal Bölümlerin Çı kartılması

Bir fiziksel disk imajı içindeki mantıksal bölümleri çıkaıtmak

için dd kullanılabilir.
Bu amaçla kullanılabilecek dd parametreleri şunlardır.
. skitr-lraşl arrçJzç : Kopyalama işlemine başlamadan önce kaç sektör
atlanacağını belirten parametredir. Kopyalama başlangıç sektörüdür.
. count=uzua.Luk : Kaç sektör kopyalanacağını belirten parametre.
. bs=b-l.o} boyaıtıu: Blok boyutunu belirten parametredir.
Bir önceki slaytta gösterilen NTFS bölümünün imajını aıp
çıkartmak için kullanılacak komut şöyledir;
dd if=WindowsXPimg bs=5ıu skip=63 count=oo10458252 of=windowsxP-FirstPartition.Im9

@ADEo se.Urity Lab5, 2o11 www. ad eosecu rity. Com

34
 Mantıksal BöIümlerin Mount
Edllmesi
Mantıksal bölümlerin üzerinde inceleme yapabilmemiz için bu bölümleri mount etmemiz gerekir.
Bu işlem için kullanacağımız komut mourıt komutudur.
!D@t -t frtlzra tseçeo€
trerı .rürıicü Ll'as.if
siirucı bn inajbsyosıydı potiıion obbili..
ts€
çİ€ieİLrı
-lr.ğl. dolya 99İ.mj üjri(.4 nf89 mdc}
r Eç.,tCıLd belitrı€
k &i. İuıanft(üigül iL.yrü.lar}
^§.ğ|dah
@d mly ola6* ltuıİt.t
lo.a, lo.P Cihaa olar.r nboltt€
Ldm.j doEaJan (in kolh.İır)
rnount €
dale. bölümk.dcn dosYa çÜ*!m.
ot-tiibJ't Eğ..fıiks€
l 9İd.ü ndit ediliyo.la bu PalaBEtl€ ıullandaĞkb.liftil€
n boyutta byte kadal ı$ımlnn
-!E
mo!nt €
dil rı€5i 5ağhnır_

Eğer mount edilecek mantıksal bolüm bir windows partition'u ise bu durumad mount komutunda
şu iki
parametre de kullanılmalıdır. show_slıs;fiIes ve streanıs_interface=windovs

@ADEo se(Urity Labs, 201_1 www.ade05ecırrity.com

Mantıksal Bölümlerin Mount

Edllmesi-FTK@ lmager

ıaoünt TyPe. Bu kİ9md. elimi:dek imajl.fiziks€

'
suıucu oLıaL mıyoksa mantlt5dlsuru.ü otdldL ml
moıJnl eale(eğ,nl bel,(lyon 7.

Dİivc Lett.rj Mount €

dile.ek sürüctjve atana.ak9üracij
|,.alfinin b€
lif|endiöl kür,m.

.=..-.,.-.. Moırnt Method:lıgili;maj do§yasınln read-oniy mi y

E ],-.l]it-i:.L"i

l.
]

o*l

@AD ty
 The Sleuth Klt (TSK)

@ADEosecunty Lab5, 2011 ıı**ı.adeose<unğ.com

Not
ı İncelemeler http://www. LinuxLEO .com/Files/ ablez.tar.qz ve
http:// www. Li nuxlEO.com/Files/ntfs p ract.dd.qz
adreslerinden ind iri len imaj dosyaları ile kend i hazırladığımız
FATı6, FAT3z ve NTFS imaj dosyaları üzerinde
ge rçe kleşti ri lece kti r.
ı İlgili dosyalar kurs DVD'si içinde yer almaktadır.
-:x
root€
sfFT-HorkstatioD:/forensi(s/sleuthkit* ls -al,
total 475604
drrırYxmx 2 root root 4095 20ı1-09-04 09:54
drwır-xr-x 6 root sansforerısi€
s /ı096 20ı1-09-04 99:37
-.Yxryxr-x l root root 345830400 2003-88-ı1 0l: 16 able2. dd
-ffxruxr-ı ı root root 3700 2003-88-11 11: 56 able2.tog
-rt-r__r-- 1 root root 140674956 2gg7-La-22 !8:?7
-rYxrlxr-x l root root 43 2003-08-11 01:16 ıd5. dd
_fYxryxr-x 1 root root 43 20g3-08-11 01:0iı ıd5.tdd
root@sIFT -Ho rkstatiorı l /f orensic5,/sleuthkit#
@ADEosecurity Labs, 2011 www.adeo5ecUn-ty.com
36
 The Sleuth Kit (TSK) Nedir?
ı The Sleuth Kit,adli bilişim incelemelerinde kullanılabilecek
komut satırı uygulamalarından oluşan bir kitdir.
İ httD ://www. thki adresinden son sürümüne
ulaşılabilir.
* Linux, OS X, FreeBSD, OpenBSD ve Solaris işletim sistemleri
üzerinde çalışabilen bu araçlar ile FAT, NTFS, UFS, EXTzFS,
ve EXT3FS dosya sistem|eri analiz edilebilir.
= Bu kit içinde yer alan uygulamalar beş farklı ana kategoride
toplanmışlardır. Bunlar;
. File Sistem Araçları
. Volume Sistem Araçları
. İmaj DosyasıAraçları
. DiskAraçları
. DiğerAraçlar
@ADEo security Labs, 2011 www.adeoseclrity.aom

Genel OzeIlikleri
= TSK içindeki komut satırı uygulamaları dosya sistemleri üzerinde işlem
yaparken işletim sistemlerine bağımlı olmadıkları için gizlenmiş yada
silimiş dosyaları kolaylıkla tespit edebilirler.
= Tsk uygulamaları windows ve unix işletim sistemleri üzerinde çalışabilir.
" TSK araçları ile DOS bölümleri, BSD ve Mac bölümleri ile Sun slice ve
GPT diskleri incelenebiliyor.
, Raw (örneğin dd), Expert Witness (EnCase) ve AFF dosya sistemi veya
disk imajlannı analiz edilmek üzere girdi olarakTSK uygulamalarına
verilebilir.
= NTFS, FAT, UFS ı, UFS z, EXTzFS, EXT3FS ve lSO 966odosya
sistemlerini destekler.
= TSK araçları bir lncident Response sırasında canlı Windows ve Unix
sistemler üzerinde çalıştırılabiIir. Bu sayede rootkitler tarafından
gizlenmiş dosya ve dizinlerin tespiti kolaylaştırılır. Ayrıca bu araçlar ile
yapılan incelemede ilgili dosyaların erişilme zamanlarında bir güncelleme
yapılmaz.
@ADEo security Labs, 2011 www.adeosecurity,Com
3?
Genel özel i kIeri - Deva m I

ı TSK içindeki komut satırı uygulamalarının ilk harfi ilgili uygulamanın hangi
katmanda çalışacak şekilde kodlandığını 9österir.
ı TSK'nın yazarı tarafından benimsenen katman yaklaşımında aşağıdaki listede
bulunan katmanlar yer alır.
. Dosya Sistemi Katmanı (File System Layer):Bu katmanda çalışan TSK uygulamalannın adı f ile
başlar. örneğin fsstat gibi.
, veri Katmanl (Data Layer):Bu katmanda çalışan TSK uygulamalannın adı b ile başlar. Örneğin blkcat
qibi-
. Metadata Katmanı (Metadata Layer):Bu katmanda çafuşan TSK uygulamalannın adı i ile başlar.
örneğin ils gibi.
. Dosya Adl Katmanl (File Nam€ Layer):Bu katmanda çalışan TsK uygulamalannın adı f ile başlar.
örneğin fls gibi.
. Joumal Katmanl (.roumal Laye.):Bu katmanda çallşan TSK uygulamalarının adıj ile başlar. Örneğin
jcat gibi.
. MedyaYtinetim Katmanı (Media Managem€
nt Layer):Bu katmanda çalışan TSK uygulamalannın
adı m ile başlar. örneğin mmls gibi.
. Disk Katmanı (Disk Layer (sade(e Linuıcde)):Bu katmanda çallşan TSK uygulamaİannln adı disk ile
başlar. örneğin disk_stat gibi.

@ADEo security Lab5, 2011 wwv,.adeo5eaıJrity.Com

TSK-File Sistem Araçları Kategorisi

= Otomatize Araçlar
* tsk_comparedir: Biryerel dizin hiyerarşisini bir raw disk imajının içeriği ile
karşılaştırmak için kullanılır. Rootkitlerin tespit edilmesinde kullanılabilir.
- tsk_gettimes: Bir imaj içindeki dosya sistemlerinin metadatalarını çıkartmak
için kullanılır. Bu uygulamanın çıktısı bir BODY dosyasıdır ve girdi olarak
mactime uygulamasına verilerek bir timeline oluşturulması sağlanabilir. Bu
uygulamanın çalıştırılması, fls'nin "-m" parametresi ile ça lıştırılmasına
eşdeğerdir.
" Gk_loaddb: Bu araç imaj, volume ve dosyalara ilişkin metadata bi19ilerini bir
5OLite veritabanına kaydedilmesini sağlar. Bu veritabanıdaha sonradan başka
uygulama lar ta rafından kullanı|abilir.
. tsk_recover: Birdisk imajı içindeki unallocated (veya allocated) dosyaları yerel
bir dizine çıkaıtmak için kullanılır.

www.adeosecurity.com
@ADEosecUrity Lab5, 2o11 38
 TSK-File Sistem Araçları Kategorisi-
Devam
Dosya Sistemi Katmanı Araçları
, fsstat:Dosya sistemi hakkında detay|arı ve istatistikleri
gösterir.
Dosya Adı Katmanı Araçları
. ffind:Kendisine parametre olarak verilen bir inode yada
cluster numarasına ait allocated yada unallocated dosya
isminigösterir.
- fls:Kendisine parametre olarak verilen bir inode yada
cluster numarasına ait dosya yada dizin kayıtlarını 9österir.

@ADEo security Labs, 2oı1 www.ade05€

curity.com

TSK-Flle Sistem Araçları Kategorisi-

Devam
Meta Data Katmanı Araçları
, icat: Disk imajı içindeki bir dosyanın içeriğinin STDOUT'a basar. Unix
sistemlerdeki cat ile aynı işlevi görür fakat parametre olarak dosyanın adını
değil, dosyaya ilişkin meta data adresini (örneğin inode numarası gibi) alır.
. ifind: Block veya cluster gibi veri birimleri ile metadata adresleri arasındaki
eşleştirmeyi bulmak için kullanı|ır. Aynı şekilde bir dosya ismini de girdi olarak
alabilir. Kendisine girdi olarak verilen dosya ismi yada block veya cluster
numarasını karşılık ge|en metadata adresini bulur (örneğin inode numarasını
gibi.)
" ils: Kendisine girdi olarak verilen imaj içindeki dosya sisteminde yer alan
metadata yapısınıve bunların içerik|erini ekrana aynlmış şekilde basar. Bu
uygulamanın çıktısı başka uygulamalara girdi olarak kullanılabilir.
, istat: Kendisine girdi olarak verilen meta data adresi hakkında istatistiki ve
detayh bi|gileri kolay okunabilir formatta sunar.

@ADEosecıJrity Labs, 2o1ı www.adeos€

cırrity.com
39
TSK-File Sistem Araçları Kategorisi-
Devam
ı Data Birimi Katmanı Araçları
. blkcat: kendisine girdi olarak verilen veri biriminin(block
veya cluster) içeriğini STDOUT'a basar.
, blkls: Veri birimleri hakkında detayları listeler. Aynı
zamanda dosya sistemindeki unallocated alanları extract
etmek için de kullanılır.
= blkstat: kendisine girdiolarak verilen veri birimine ilişkin
istatistiki bi lgileri gösterir.
* blkcalc: blkls ile üretilen dosya içinde bulunan verinin
orjinal imaj içinde nerede olduğunu bulmaya yarar.

@ADEose.Urity Labs, 20u www.adeo5ecUnty,com

TSK-File Sistem Araçları Kategorisi-

Devam
= Dosya Sistemi Journal Araçları
Bu araçlar bazı dosya sistemlerindeki journallar üzerinde
işlem yaparlar. Metadata üzerinde yada bazende içerik
üzerinde yapılan değişikliklerijournal kaydeder. Bu özellik en
son silinmiş dosyaların kurtarılmasında yardımcı ola bilir. Ext3
ve NTFS'de journal vard ır.
* jcat: Belirlenen journal bloğunun içeriğinigösterir.

" jls: Dosya sistemijournali içindeki kayıtları listeler.

@ADEosecurity Lab5, 2011 www.adeosecurity.Com

40
 TS K-Volume Sistem Araçları

Volume Sistem Araçları

Bu araçlar bir disk imajını girdi olarak alıp bu diskin bölüm

yapısını analiz ederler.

. mm]s:Diskin mimarisi hakkında bilgi verir.

. mmstat: Volume sistemi hakkında detaylı bilgi verir.
. mmcat: Belirtilen spesifik volume'ün içeriğini çıkartıp STDOUT'a
basar.

@ADEo security Labs, 2o1ı www.ade05ecUrity.com

TS K-İmaj Dosyası Araçlar

Bu kategoride yer alan uygulamalar imaj

dosya formatları ile ilgili işlem yapmaya
imkan tanıyan uygulamalardır.
, img_stat: Girdi olarak kendisine verilen imaj
dosyasının formatını çıktı olarak verir.
= img_cat:Kendisine girdi olarak verilen imaj
dosyasının başlangıç ve bitiş sektörleri arasında
kalan kısmına ait raw içeriğiekrana basar.

@ADEo secıJrity Labs, 2011 www.adeosecUaty.com

41
TSK-Disk Araçları

* Bu kategorideki araçlar bir ATA diskte Host

Protected Area (H PA)' n ı n olu p ol mad ığ ı n ı tespit
etmeye ve varsa bu alanı kaldırmaya yarar.Bu
araçlar sadece Linux işletim sistemleri üzerinde
çalışır.
. disk_sreset: Bu araç diskteki HPAyı geçiçi olarak kaldırır.
Diskin enerjisinin kesilip yeniden başlatılması durumunda
HPA aktif hale gelir.
" disk_stat:Disk üzerinde bir HPA olup olmadığınıtespit
etmek için kullanılır.

@ADEosecurity Labs, 2o11 www,adeo5ecUrity,(om

TSK D ğer Araç lar

hfind: İkili sıralama algoritmasını kullanarak NlST NSRL,
Hashkeeper yada md5sum ile oluşturulmuş bir hash
veritabanı içindeki hash değerlerinin indeksini oluşturmaya
yarayan araçtlr.
ı mactime: fls veya ils araçlarının çıktılarını girdi olarak alan ve
dosya aktiviteleri için bir timeline oluşturan araçtır.
sorter: Dosya türlerine göre dosyaları sınıflayan ve uzantı
kontrolü ile hash veritabanı sorgulaması yapmayan imkan
tanlyan araçtlr.
ı sigfind: Kendisine girdi olarak verilen ikili değeri yine
kendisine girdi olarak verilen offset'den itibaren arayan bir
uygulamadır.

@ADEosecıJrity Labs, 2o1ı www.ade05eCUnty.com

42
 TSK Syntax'ı
* TSK içindeki uygulamaların tamamına zorunlu olarak analiz
yapılacak disk yada partition imajının adı girdi olarak verilir.
* Bunun yanında genellikle ikinci bir parametre daha alırlar ve
bu parametre de genellikle bir adres olur.
* Girdi olarak kullanılacak imaj dosyası bö|ünmüş bir imaj
dosyasıolabileceği gibi, tek parça bir imaj dosyası da olabilir.
" Bu uygulamalar raw, EnCase veya AFF formatındaki imajlar
üzerinde çalışabilirler.
= örneğin;
, mmls ablez.dd ->Bu uygulama sadece imaj dosyasının adını girdi
olarak alıyor.
. blkcat ablez.dd 2oo 3 -> Bu uygulama ise girdi olarak sadece imaj
dosyasının adını değil, blok başlangıç adresini ve blok sayısını da
parametre olarak alıyor.
@ADEO security Labs. 2ori www.adeosecurity.Com

TSK-fsstat
fsstat, dosya sistemi hakkında genel istatistiki bilgiler
Verlr.
= Bu uygulamanın çıktısıdosya sisteminden dosya
sistemine göre farklılık gösterir.
= Parametre olarak sadece ilgili imaj dosyasının adını alır.
* Eğer girdi olarak verilen imaj dosyası bir fiziksel disk
imajı ise bu durumda mmls ile ilgilidisk imajı içindeki
partition tablosu okunmalı ve hangi bölüme ilişkin
istatistiki bi lg iler öğren ilmek isten iyorsa -o pa rametresi
ile başlangıç sektörü offset değeri olarak belirtilmelidir.

@ADEo se.un'ty Lab5, 2o11 www.adeo5ecUrity,com

43
TS K-fsstat
Fiziksel disk imajının offset değeri
beıirtilmeden girdi o|arak verilmesi
Curumunda uygulama çalışn,ııyor.
İ
mmls ile fiziksel disk imajının içindeki
partition tabıosunu okUyoruz_

})
fsstat ile -o parametresi kullanılarak
başlangıç sektörü beliütilen partition
hakkında detaylı bilgileri öğreniyoruz
: Extz
R|e system Typ€
VolUme Nalİe:
Vo|Ume lD: 9o6ezro8oeo9ü488do116o64dal8co.4

Lastwntten at sun Aül9 rc 18:5o:o] 2oof

Last checked at Tıle Feb:ı o5::o:o9 ı997

Last MoıJnted at: Thu Feb 13 o7l33:o21997

ıJnmoünted lmprop€ İly
Lad mounted on:

@ADEosecurity Labs, 2ofl www.adeosecUrity.com

TsK-fsstat -Devam
root@5ıFT-workstation:lforen5i.rsleuthıit; fss-tat abİe2.dd ,o coNTENT lNFoRM ATloN
xo260
FlLE sYsTEM lNFoRMATloN BlockRang€
:o-5ı299
Bloct size: 1o2{
File systemTYp€
: Eİt2 Reserved Block Before 8lock6roups: 1
volUme Name: Free Blo.ks] 9512
VoıUme ID: 9o6el77o8oeo9488do116o64dal8coc4
BLOCK GROUP INFORMAT|ON
Listw.itt€
n a* sun AUg ro a8:5o|o] 2oo3
La§ checked aİ: Tıre F€b ıı o5:ıo:o9 ı997 Nırrrıbar of BoGk Groupç: 7
lnodes perq.oup:1840
LaJt Mounted atThu Feb 13 o7:3f:o21997 Blocks pe. group: 8192
Unmounted lmProp€İly
Lasi mounted on: GrouP: o:
lnode Ranqe: 1- 1840
source 05: Linux Block Range: 1- 8192
Dynamic strırcture LayoıJt:
lncompat Features: Filetype, SuperBlock: ı - ı .,._?
Read onlycomPat FeatıJles] sparse sıJPer, Gloup Des(nPtorTable:2 - 2 ç+
Dğtabitrİıap:3-3
METADATA lNFoRMATloN lnodebitmap:4-4
lnodeTable:5 - 234
|node Range:1- a2881 Data Block5:235 - 8192
Root Di.ectory: 2 Free ınodes:789 (42%)
Fİee lnodes:5807
Total Directorie5: $
@ADEose.urity Labs, ıo11 wü,^v.ğdeo9ecUrity.(om
44
TsK-fsstat -Devam

ıE
Dosya sistemi türü: FAT16

FATo ve FATı'in sektör adresleri

@ADEo security Labs, 2011 www. ad e o5ecU fity. co m

TSK-fsstat -Devam
M€
TADATAİNFORMATİON
root@slFT_wo.lGtation:/fo.ensic5lsteüthkit# f s5tat FATr.,i;i}e.oo1
rlLE sYsTEM INt oRMAT|oN Range:2 - 16039942
RootDirectory:2
FilĞ sy5temTyF: FAT16
coNT€
NrlNFoRMATloN
oEM Namej MsDos5.o
sectorsize: 512
VolUme Labeı (lloot sedor)j NoNAME clustersiza: 8192
VolUme Labeİ {Rooİ Directory} Total cluster Range: 2 - 62688
File system Type Label: FAT16
FATcoNTENTs (in 5ecto6)
sectoG befof€ §'e syrtem: o
528-ıa83{5{6),> EoF
Fr'le system Layout (in 5eators) u84-ü99ıa6) -> EoF
TotalRange:o-ioo35ı9 1200-126](64) EoF
->
Total Range in ımage: o - 1oo2991 u64-1.343 {8o) EoF
->
* Rese ed:o-5 1]4a-]4& (44) -> EoF
** Boot sectof: o
*FATo:6,25o {88-1503 (16) ,> EoF
1504-286] (1350) -> EoF
* FAT rj 25ı - 495
* Data Areaj
2864-3151(288) -> EoF ş'
495,1oo]519 3152-]]43 (192),> EoF
*r Root Directory:496 -
** clıJ9terArea:
527 ]]44-34rl {128) -> EoF
528 - 1003519 3172-37flt24o) -> toF
]712-4079 668) -> EoF
4o8o 6831(2752) >EoF
6832-6927(95) -> €
oF

45
TSK-fsstat -Devam

Dosya sistemi tü.ü: FAT32

FATo ve FATl'in sekör adresleri

TSK-fsstat -Devam

Dosya sistemi türü: NTFS

MFı'nin ve MFT'nin kopyasının ilk

cluster adresieri

cluster boyutu ve diğe. sektör bilgilen

www.adeo5eculity.com
@ADEo security Labs, 2o1a 46
 TsK-fsstat -Devam
İoot@sIFT-wortstation:lf orensaCg/sI eğthkit# f55tat
NTFslmage.oo1 iAttrDef Attribute Vaı jeç
rlLL sYsTtM INFoRMATloN 9_S]ANDARD_|NFORM4TIoN(16) size: 48_7i' F|ags: Rerident
,ATTRıBuTE_Lı5T(]r} "size: No Limit Flğ§:N6n-rrsident
Lile systemType: NTFs ,FaLE,tlAME (48) size:68 s78 Flags: Resadenilodex
Volı.rme Serial Numbeı: 885ADBF75ADBDFCC so8]Ecİ_lD t6a) size: 0-256 Flags: Resident
oEM Name: NTFs 55EcURıw_DEscRlPToR{8o) size: No Limit Flags: Non-
Volume Name: NTFS resident
version: window5XP şVoLuME_NAME (96) size: u -255 Flaqs: Resident
,vol UME_lNroRMATloN(ıı.ı) Size: ız.ız I-1ag5. Re5ident
METADATA lNFoRMATloN timlt t lğg5:
sDATA {128) si,,e. No
rlNDtX RooT (q1) sile.NoLimlt rlags:Relident
First cluner ofMFT: 43690 slNDFX_ALLocATloN hso) size No t imit 1-1ag5: Non-
First cluster of MFT Mirror: 2 resideat
size of MFT Entfies: 1024 bytes §B{TMAP (176) size: No Limit Flags: Non-resident
sizeoflndex Records: 4096 byte9 tREPARSE PolNT(192) size: 0-16384 Fıags: Non-fesident
Range: o -1280 tEA_lNFoRMATloN (2o8) saze: 8-8 Flags: Resident
Root Directory: 5 $LAı224) 5i7e: o 65516 Flags:
11O66ED_UTlllry_sTRrAM (?56) sile o-655Jb Fldgj Non-
CONTENT lNFORMAİON re9dent

sedorsize 512
clırstcr siz!: 4096
Totaİ cluster Renge: o - 13l'o7o
.^(b
Total sector Range: o- 1o48r4 *

TSK-blkstat
Kendisine girdi olarak verilen veri birimine ilişkin istatistiki
bilgileri gösterir.
Genellikle veri biriminin allocation durumunu ve Unix dosya
sistemlerinde bu veri biriminin hangi grubun içinde yer aldığı
bilgisiniverir.

'fc:eıs:cs/siEıtaki!} b3isiat §İFsiEğe. in1 :-3

'foJe.sics,r sl.-fi,!ki. * ı

@ADEoseCUrity Labs, 2o1l, wwü/.adeosecurity.com

47
TSK-blkcat
blkcat uygulaması kendisine girdi olarak verilen bir veri biriminin içeriğini ekrana basar.
lstenirse çıktı bir dosyaya yönlendirilebilir.
-h parametresi ile kullanılması durumunda çıktıyı hex formatında sunar.
Varsayılan olarak sadece birtane veri biriminin içeriğini gösterir. Bununla birlikte, opsiyonel
olarak sunulacak bir parametre ile gösterilecek ver ibirimi sayısı belidenebilir. Örneğin
aşağıdaki kullanımda ı9. veri biriminden başlayarak3 veri biriminin içeriğinin gösterilmesi
sağlanmış olur.
#blkcat NTFSlmage.ıxrı 19 3

-h parametresi ile çıktıyı

ekrana hex formatında
basıyoruz.

@ADEo security Lab., 20ü eo5ecU.tty.com

TSK-blkIs
ı Blkls, kendisine parametre olarak verilen veri birimleri hakkında detayları
listeler.
Aynı zamanda dosya sistemindeki unallocated alanları extract etmek için
de kullanılır. Bu sayede silinmiş dosyaların kurtarılması mümkün olabilir.
ı Varsayılan olarak sadece unallocated verileri kopyalar. Bunun yanında
istenirse bütün verilerin içeriğinin kopyalanması sağlanabilir.
ı blkls ile birlikte kullanılabi|ecek anahtarlar ve anlamları şöyledir;

. -e: Bütün bloklar üzerinde işlem yap ('dd' ile yapılan işlemin aynısıdır)
. -l: Her bir blok hakkında detay göster (içerik göstermez)
, -s: FAT ve NTFS imajlarında yer alan slack space'leri göster. (Unix
tabanlı sistemlerde slack space yokur.)

ı Girdi olarak bir veri birimi aralığı belirtilebilir.

@ADEo se.Ufity Labs, 2011 www-adeosecurity.com

48
 U nallocated Ala n ların Çı kartı Iması

" Unallocated alanlarda yapılacak bir arama işlemi daha hızlı sonuç verir. Bu
sayede siIinmiş dosyaların tespiti daha çabuk yapılmış olur.
. -s parametresi ile kullanılması halinde sadece slack space'ler extract edilebilir.
= Örnek blkls kutlanımı şu şekildedir;
#blkls NTFSlmage.oo1 > NTFSlmage.unallac

::
j-.::::.

!-1i

@ADE o secUrity Labs, 2ou www.adeosecUrity.com

TSK-blkcalc
Blkls ile extact edile n unallocated alanlar içinde yapılan arama işlemi sonunda
bulanan verinin, orji nal imajda nerede olduğunu bulmamızı sağlar.
ı Blkls adresini girdi olarak alır ve çıktı olarak orjinal imaj adresini verir.
. #srch_strings --a -t d NTFslmage.unallac > NTFslmage.Unallac.str
, # 9rep j -f diğ_words.tıt NTFSlmage.unallaG.str > aramasonuclari.blkls
. #cataramasonuclan.txt

56347383 aramamoturu.com -> dirty_words,bd açinde yer alan ve imaj içinde aranacak kelimelerden olan
aramamotoru.Com'un Unallocated alanlarda neredeyeraldlğlniöğreniyoruz.

5634383'un karşılık geldiği blok numarası için şu işlemi yapıyoruz.

956ız6934| 4o96 = ı3756
ı3756 numaralı unallocated biokda bizim aradığımız kelimelerden olan
a ramamoturu.com'a rastlanmış.Bu kelimenin orjinal disk im ajı içinde nerde yar
a ldığını renmek için blkcalc'ı kullanıyoruz

@ADEo secUrity Lab5, 2o11 www.adeo9ecurity.com

49
TSK- sigfind
= sigfind, kendisine girdi olarak verilen ikili değeri yine kendisine girdi
olarak verilen offset'den itibaren arar ve sonucu ekrana basar.
= Özellikle dosya tiplerinin imzalarının sabit disk üzerinde aranmasında
kullanılır.
= kullanım şekli şöyledir;
sigfind -b <num> -o <offset> [hex_5ignature] file
. [Seçenekler]
. -b <num> blok boyutu (varsayılan5ız)
. -o <offuet> imzanın yer alması gereken offset (varsayılan değer o)
. Örneğin Gzlp türünde dosyalarının unallocated alanlarda yer alıp
almadığını öğrenmek için GZlP dosyalarının başlık bilgisi olan
\xıflx8b\xo8 'i blkls ile oluşturduğumuz dosya içinde aramamız gerekir.
Bunun için çalıştırılacak komut şu şekilde olacaktır.
, # sigfind -b 4o95 ıf8bo8 NTFSImage.unalloc

@ADEose.Urity Lnbs, 2o11 www.adeosecurity,com

TSK- ifind
ı ifind, Block veya cluster gibi veri birimleri ile meta data adresleri
arasındaki eşleştirmeyi bulmak için kullanılır.
ı özellikle anahtar kelime arama işleminden sonra elde edilen blok bilgisi
üzerinden daha fazla detay elde etmek istendiğinde kullanılır.
ı ifind, metadata yapıları içinde arama yaparak bu metadata yapılarından
hangisinin ilgili veri birimini gösterdiğini bulur.
ı Bu sayede anahtar kelime arama yöntemi ile bir kısmını tespit ettiğimiz
dosyanın tamamını elde etme imkanımız ortaya çıkar.
ı Bazı dosya sistemlerinde dosya silinmiş dahi olsa ifind unallocated
inode'ları tanımlayabilme yeteneğine sahiptir.

3-123-1
,Mt'astrt-ı{ö!t5iaEio:1

1234 numafalI clusterın 33 numaralı MFT kaydünda yer aİan dosya taraflıdan
kullanıldığını tespit ediyoıuz.

@ADEosecUrity Labs, 2ou www.adeosecUrity.aom

50
 TSK- istat

= istat, kendisine girdi olarak verilen meta data adresi

hakkında istatistiki ve detaylı bilgileri kolay
okunabilir formatta sunar.
= Verilen detaylar aşağıdaki bilgileri içerir;
. Atanan bütün veri birimlerinin(blok/cluster) adresleri All
" İlgili.dosyaya ait bütün zaman bilgileri (yerel zaman baz alınır. Eğer
farklı bir zaman dilimi üzerinden |şlem yapılsın isteniyorsa bu
durumda -z parametresi ile zama'n dlliıhinln bildirilm'esi gerekir)
. İzinler ve kullanıcı/grup bilgileri
* Dosyanın boyutu
- Allocation durumu
- NTFS dosyaları için bütün özellikler(attributes)

@ADEo seCUrity Labs, 2ou www.adeosecurİty.com

TSK- istat

$STANDARD_l N FoRMAT| oN
521

i.!ua! sıze §FİLE NAME

5 2::52l3_- 2!.1i.

,,ıP| §JTrlDAŞD_r§ict@al l ıla

l sFt- sl!€ ({3-21
i?€
İ!E: şiğ?t (12e-j,ı §
{a39 ı-.239 ta2!I0 ilaal
,24a , -.29,; 11aa4 i<als
6DATA
a i,i55 la.?56 !a2 ğ
,62 i42i3 ia264.:{

@ADEos€
cürity Labs, 2ou www'adeo5ecUri-ty.com
51
TSK- icat

= icat, kendisine girdi olarak verilen metadata

ad resinde yerala n dosyan ın içeriğ in i varsayılan
olarak ekrana basar.
= Genellikle sil nm iş dosyaların kurtarılmasında
i

kullanılır.
= icat ile kullanılabilecek parametreIer şunlardır;
-s: Slack space'ler dahil edilsin isteniyorsa kullanılacak
parametre
-r: Dosya kurtarmayı gerçekleştir. Bu parametre özellikle
FAT dosya sistemindeki dosyaların kurtarılması için
kullanılır.

@ADEo security Labs, 2011 www. ad eogecu rity. aom

TSK- icat

al

2.
_.a
s€

@ADEosecıJrity Lab5, 2o11 ww*.adeosecurity.com

52
 TSK- fls

Kendisine parametre olarak verilen bir inode yada cluster numarasına ait
dosya yada dizin kayıtlarını gösterir.
fls'in bu özelliği normal bir dosya 5istemi üzerinde çalışıyormuşçasına bir
imaj dosyası üzerinde işlemler yapmamıza imkan tanıyor.
Eğer girdi olarak bir inode numarası verilmezse bu durumda root dizinin
içeriğini listeler.
fl s ile birlikte kullanılabilecek parametreler
şunlardır;
-d: Sadece silinmiş kayıtlan gösterir
-r: Dizin içindeki alt dizinleri de iş|eme sok (recurse)
-p: Recurse modda dosyaların tam yollannı gösterir
-c Çıktıyı mactime girdisi formatında göster
-I; Tüm zaman ve diğer bilgileri uzun formatta gösterir.
-z: t|mezone bilgisini belirtmek için kullanılır (-l ile birlikte kullanılır,)
-s: saniye kaydırma için (sadece -lve -m ile birlikte kullanılabilir. )

@ADEo secUrity Labs, 2011 www. ad eosecu rity. com

TSK- fls

.oot@5lFT,
wo.kstation:,{o.€
n5i.56|eı,*tk t{ fl! /r3_ta 3: cYolurne
NTFslmage.Do1 r/r38,98,a]ad€
ose.urity lab§.ğlq
r/.4_118-4: .AttrDef r/.39.1:Bai liaiübijpg i'lil.
,r/r8-r.2a-2: jBadclG i-]
rlr ]9-.r8:} ha]ilabi.lps:zon€.ld€l1İf iei
,/İ8-128,! JBadclus:.Bad
./r5_128 11 38,tnEP r/r 37-128,ı MVP Fğll(olor_Fo,Print_t f
ri17-12a-1: tBo6t r/. 4 2-12&a: İtV_nng,Jpg
d/dt r-44_a:İExtend rl. 41 ,8_1: ifujPg
rf 2 D8-1: rlogFa|e drd u52-ı44-a: P.o.e55tr4o.İho.
dld 1255 44-6: regshot_l 8 2_5İ<_bin
,r.l,128 LMFTMii. ]Çt28 r: sEo Poüsoning v€
r.k9 128_8: rsff Ure:tsDs 'r
DlsableR€g;stryTools AnahtarAt,do.x
rrt9_14rt 1ı csecu.e:asDH r/r ]5 12a-1 §oL ln]ec|on .i ıerinden
,
r/.9-144,5: rse(ure:asll
rlr 10_a28.1; jupcas€ d/d 4]-144 6: aor Browser
d/d1280: §oryfianFiles

r/r 1ı55.12a ı Pro.mo.-ere

ose.ıJ ty..om
TSK- fIs

* İle gösterilen
dosyalar silinmiş
dosyalardır.

-d parametresi ile
kullanı|dığında
sadece silinmiş
dosyaları listeler.

@ADEosecurity Labs, 2o1a www.adeosecurity.com

TSK-ffind
ı ffind:Kendisine parametre olarak verilen bir inode yada MFT
kayıt numarasına ait allocated yada unallocated dosya ismini
gösterir.

ıı

/'3:=p saa:::lea cccx

=ell.-.
|c ! -çs f lf-wc!k3iaı:cn:,/ f cie=.ıc_.l5:e-.:iiki! a fa]-.c ıı!32:r-.nge. a-r:. 3:

9slİT-ço!kstğti.c. : /f olE glcs,/ sie,:rınkiü} ı

@ADEosecUrity Labs, ?o]a www.adeo5ecurity.com

54
 TSK-sorter
ı soıter uygulaması bi perl scriptdir ve TSK içindeki bir kaç
uygulamayı ardışıl çalıştırarak imaj içinde yer alan dosyaları
türlerine göre sınıflandırır.
ı Önce fls uygulamasını çalıştırarak dosyaların tam yolunun
listesini çıkartır ve ardından bu Iistedeki her bir dosya için
icat uygulamasını çalıştırır.
ı Bir sonraki aşamada dosyalarfile komutuna girdi olarak
sunulup dosyanın tipi belirlenir.
ı Son aşama olarak bu dosyalartürlerine göre istenirse
belirlenen bir lokasyona kaydedilir.
ı Sorter işlem yaparken hash veritabanlarını da kullanabilir ve
bu sayede "bilinen iyi" yada "bilinen kötü" dosyaları
kolaylıkla tespit etmemize imkan tanır.
@ADEo security Labs, 2oaa www.adeosecUritv.aom

sorter Konfİgurasyon Dosyası

Sorte/ın konfigurasyon dosya|arı hangi dosya tipinin hangi kategoriye ait
olduğunu ve hangi uzantının hangi dosya tipiyle eşleştiği belirlemek için kullanılır
ve bu konfigurasyon dosyalarıTSK ile birlikte gelir.
default.sort dosyası TSK'nın desteklediği dosya sistemlerinin tamamında
kullanılabilir ve içinde gene| dosya türleri için kayıtlar yer alır.
Ayrıca aşağıda listesi verilen işletim sistemi spesifik konfigurasyon dosyaları da
mevcuttur.
. archives.sort
. default.sort
. freebsd.sort
. images,sort
. linux_sort
. openbsd.sort
. solaris.sort
, windows.sort
= Konfigurasyon dosyalarında iki tür kural vardır. Her bir kural bir başlık
bilgisi ile baş|arve bu başlık bilgisinde kuralın bir kategori kuralı mı yoksa
uzantı kuralımı olduğu belirtilir.
@ADEo secUrlty Lab5, 2011 www.adeosecUrity.com
55
sorter Konfigurasyon Dosyası

(ıraın Kntegori
türi] ismi

§le lomufunun
çıkıında aranacak Perl
regülar exp.esgion
ifadesi

@ADEosecurity Labs, 2o,a wıxw. adeosecu rity. Com

sorter KuIIanımı
, # sorter <seçenekler> -d dizin İmajDosyası
. Seçenekler:
. -e: Sadece uzantısı uyuşmayanlar
. Verileri kategori dizinlerine kaydet (-h parametresinin kullanılması
-s:
durumunda ayrıca ilgili dosyalara ait thumbnail oluşturulur)
. -d: Bilgilerin saklanacağı dizin
, -c: Konfigurasyon dosyası
. -m: mount point
. -E: Sadece kategori indeksleme yap
. -l: Detayları STDOUT'a yaz.(Hiç bir şekilde dosyalar dizine çıkartılmaz)
. -h:Detayların yer alacağı bir html dosya oluştur.

= Örnek:
sorter -h -m / -s -d /sorter/ fforensics/Sleuthkit/NTFSlmage.oo1

@ADEosecurityLabı 2011 www.adeosecurity.com

56
 sorter kul|anımı

üıetilen htmı
dokümanlarına erişim
için index.html
dosyasını kullanıyoruz-

@ADEoSecıJrity Labs, 2oa1 www,adeosect rity.(om

sorter kulIanımı

so
haEs
. foredcs/slsıı6İita[rFshagao a- !l
rlı6 {ı27ı)
Itb§ sığncd (ı35) database Category
. lro}Files {135}
. Re.]toc5t€d Nabe Fi}es (o)
/ror Bro\iser/Fl_retorPortabl€{Da
la,.lrone/cert8.db
. 'ignore' car€gory (o) Berteley DB 1,85 (Hash, verslon 2, Dadve byte-order}
Iinage /İoreDgi.s/SleuüıdvNTF'sınage.0o1 Inode: 1 181-128_1
saved to: databaselNTPsımage.Oo ı -1181-128- 1.db
. Eit.ırt!)İ, ,\ıJEd!.l!es ll53)
/Tor B rowser/T-f efoxPortaİdğData,,!ro6le/}€
y3_db
cat gri.§ (1l36ı
Beİ}.eley DB ı_85 lHash, versioD 2, ütive bytE_order)
. adobepdf (o) Imagq /ToreDsic9sıeıthkit/I\afFslmage.oo1 Inode 1 191-128_r

J
. arcr,iB (l) saved bo: datat a se/NTFslmage.oo ı,1 l91-128-1.db
. audio {o)
. bEP {0)
/Tor Brow§or/FirEforPortabl€
y'Data/proil€
y'secmod_db
Berteley DB 1_a5 (Hash, version 2, ıatiYe byE_order)
Image. /for9Dsics/sIeuthkiv§İFslmage.0o1 laode 1201_ı2&1
. c.ypto (0) saved to 1_

@ADEo se.Urity Lab5, 2o1a www.adeosecurity.(om

57
 sorter KuI Ianı mı-Thum bna İl
sort r ol4ut - Moriıla aircfoı

lhr9.İh@nĞllr - t - ilo
".q.
ı :'l-
^
.]"EGi@a! ğb,lFıl ,ı.!d.td l.ai
a (7395)
Fil€ ı6.g* /li,!d§/§ı.dtİİiİ.2dt2b9 * 11!o'
s.!td b: tb.EAıla2 dğı b!.11to'ı
Fıığ sıiE.d (5903' Inage Thumbna
GıliE4.üb,E E3\ B3:22o
. Nod.Fiı€s (5903) B ılEgt /iotdğr§httlbinİı.2d, j!9 lr.it* 1l lol
. Reaıiocabd N6.E€ s.*d b: @gğöuğı.tlne;|tİE::uı§
Ftles (7}
. 'tgno.E' caEgor, (0)
JP€
G bg. .bb" FlF r!ğd İ oİ
EıİarısıoDJ IDgğ ,forİc.9jshr6&rr6llrz6ehe t& l I loe
s.v.d r.. hAffiükz,tdl@ |llllg
. Eİt ssion Mlffatch€
s (93)
lP€
c iD{..i.tıfıP sbd.nt 13ı
,brğ .l..ür6rsİdei!a.2jdı.bg * ıı ı1o
categoriB (1,ı85) sarddb: tn cbtİ.2 db9lir to
pieJps
. archive (ı7) JPEG h.a. it tıflF 3b6d rnl
. dudio {o) h4.,fu ü.ı.i/slaleiİe-d.bg @ İİ İİ
s{.rl to: ın!thi&'
İ

. ç9]!pEEşş (3) hİLlll ı

a
-ı |

. crypto (o)
;ı\ cıl,Dt .b!.,Içs! rr., lo!ıaı 6{,3

:ffi*,.,
. imaoes (9)ıthumbDai]r) ı
.ş,ste.a(oı:
. E (58ı)
. unkdorüı {l3)
. ildeo (o)
nbr/r!..t .rin{5..iüair!tı
3,2 www.adeosecurity.aom

Hash Karşılaştırma
 Hash veritabanları
ı Hash veritabanları bir imaj içindeki bilinen iyi yada bilinen
kötü dosyaları tan ımlamak için kullanılırlar.
ı MD5 ve SHA-ı fonksiyon|arı kullanılarak oluşturulan bu
veritabanlarının kullanımı adli bilişim inceleme|erinde
oldukça önemlidir ve hatırı sayılır bir zaman kazanılmasına
imkan tanırlar.
a En
çok bilinen hash veritabanları şunlardır;
md5sum
National Software Reference Library (NSRL)
Hashkeeper
ı Sorter uygulaması bu veritabanları içindeki dosyalara bakıp
bilinen iyi yada bilinen kötü dosyalarıtespit etmek için
kullanılır.
@ADEo secUrity Labs, 2o11 wrrw.adeo5ecurity.aom

Blllnen Dosya Türleri

ı İkitUr bilinen dosya tipivardır. Bunlar;
- Bilinen İyiDosyalar
. Bu dosya türündeki dosyalar zararsız yada gerçekleştirilen inceleme
ile ilgili olmayan dosyalardır.
. Örneğin işletim sistemleri yada uygulamalar ile birlikte gelen
dosyalar bilinen iyi dosyalar olarak sınıflandırılır ve analiz işlemi
sırasında bu dosyalar gözardı edilir.
. Bilinen Kötü Dosyalar
. Analiz sırasında ilgili imaj içinde aranacak ve bulunması durumunda
detaylı analiz işlemine ihtiyaç duyulacak dosyaların sınıfıdır.
. Örneğin şüphelinin bilgisayarında bir kopyası olması muhtemel bir
dosya da bilinen bir kötü dosya olabilir, bir rootkitt ait
konfigurasyon dosyası da bir kötü dosya olabilir.

@ADEosecUrity Lab5, 2o11 www.ade05ecurity.com

59
 National software Reference
Library
NlST (National lnstitute Science &Technology) tarafından hazırlanan bu
veritabanında farklı işletim sisitemi ve uygulamalara ait dosyaların hash
değerleri yer alır.
http://www.nsrl.nist.qov/ adresinden hash setlerinin son güncellenmiş
CD'leri indirilebilir.
Hash setleri 4 CD imajı şeklinde hazırlanmıştır. Daha önceden "İşletim
SistemIeri", "Uygulamalar" gibi kategorilere ayrılmışken v z.zo'den
sonra bu sınıflandırma artık geçersiz olmuştur.Her bir CD'de yer alan
SHA-ı hash değerlerinin aralıkları şöyledir.
CD'A" OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
- 3FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
CD"B" 4ooooooooooooooooooooooooooooooooooooooo
- 7FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

CD'C" 8ooooooooooooooooooooo(x)oooooooooooooooo
- BFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
CD"D" COOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
- FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

ooo.69"tlÇ,i|.ÇǧÇdŞ'i ww\rr. ad eo5ecu rity. (om

md5deep

= mdsdeep kendisine girdi olarak verilen dizin n

içindekidosya ve dizinlerin md5 hash değerlerini
hesaplar.
= mdsdeep Je55e Kornblum tarafından yazılmıştır ve
http ://m d 5d ee p. sf. n et a d resi n d e n i n d i ri e b i l i r. l

= mdsdeep ile kendi hash veritabanımızı

oluşturabiliriz.
= -r parametresi ile birlikte kullanılırsa recursive
modda çalışır.
= örnek kullanımı;
, # ./md5deep -rl > bilinen_iyi_dosyalar.txt
@ADEo security Labs, 201a __ www.adeosecurity,com
 sorter ve hfınd
sorter kullanılarak dosyalar sınıflandırıldığında, girdi olarak sorter'a verilecek hash
veritabanları ile bilinen iyi yada bilinen kötü dosyalann sorter tarafından sınıflandınlmadan
gözardı edilmesi sağlanabilir.
Bu işlem için öncelikle hash veritabanlarının sorter tarafından kulIanılabilecek şekilde
indeklenmesi gerekir.
Hash setlerinin indekslerini çıkartmak için hfind uygulaması kullanılır.
Kullanım şekli şöyledir;
. # hfind j<indek_tipi> <hash_veritabanı_dosyası>
hfind tarafından oluşturulabilecek index tipleri şunlardır;
. md5sum
. hk (hashkeeper)
. nsrl-md5
. nsrl-shaı
Örnek kullanım şekilleri;
. #hfind -i md5sum bilinen_if_dosyalar.b<t
. # hfind -i nsrl-md5 /nsr|/NSRLFile.bG
hfind'in çıktısı idx uzantılı bir indeks dosyasıdır.

@ADEosecurity Lab5, 2ou www. adeosecu rity. aom

sorter ve Hash kullanımı

hfind ile hash setlerine ilişkin indeks dosyaları oluşturulduktan sonra
bu dosyalar sorter tarafından kullanıma hazır hale gelir.
Sorter bu indeks dosyalarını kullanarak bilinen kötü veya bilinen iyi
dosyaları hash karşılaştırma yöntemi ile tespit edebilir.
Sorter tarafından hash karşılaştırmayla ilgili kullanılabilecek
anahtarla r
.-a: Alert Hash List (bilinen KÖTÜ dosyalara ait indeks dosyası)
.-x: Exclude Hash List (bilinen İYİ dosyalara ait indeks dosyası)
,-n: NSRL Database (bilinen İYİ dosyalara ait indeks dosyası)
Eğer hack edilmiş bir sunucu üzerinde inceleme yapılacaksa -x yada -
n parametresi yardımıyla bilinen İYİ dosyaların inceleme dışı
bırakılması sağlanabilir ve bu sayede incelenecek dosya sayısı
minimuma indirilmiş olur.

@ADEo security Lab9, 2011 www-adeo5e(Urity.(om

6,1
 sorter ve Hash KulIanımı-Devam
Öncelikle ablez.dd imaji içinde yer a|an silinmiş bir rootkit dosyası
olan lrkn.tgz dosyasını aşağıdaki komut yardımıyla kuıtarıyoruz.
.#icat -o ıoz5o ablez.dd zı39 >lrkn.tgz
ı Ardından bu dosyayı aşağıdaki komut yardımıyla açıyoruz.
. #tar zı<vf lrkn.tgz
Bu dosya lrk3 isimli bir dizine açılır ve içinde rootkit'e ait dosyalar yer
a lır.
, Bu dizindeki dosyaların hash değerlerini md5deep yardımıyla
hesaplayıp bilinen kötü dosyasını oluşturuyoruz.
. #md5deep -r lrk3 >bilinen_kotu_dosyasi.txt
a Oluşturulan bu hash dosyasına ilişkin md5sum formatındaki indeks
dosyasını hfi nd yardımıyla oluşturuyoruz.
. hfind -i md5sum bilinen_kotu_dosyasi.txt

@ADEo security Labs, 2011 www,adeosecunty,(om

sorter ve Hash Kullanımı-Devam

- Sorter'ın çıktıları kaydedeceği bir sizin oluşturuyoruz.
. #mkdir sorter_hash
Sorter'ı oluşturduğumuz hash indeks dosyasını kullanacak şekilde
çalıştırıyoruz.
. #sorter -o ,.oz6o -f ext -m / -h -s -d sorter_hash -a bilinen_kotu_dosyasi.txt
ablez.dd

ı Hash Dat base

sorter ouıput
iİıailnl aldrğim|z sistemde rootkit'in bir
parçası olan netstat akt'fmiş| sisdeki
neıstat ;le rootkıt i(indekinetçtat ayn|

J
MD5 değe.i.le 5ahip.

. RE 4b.| !i.@ğb.oı
. jgım'tlD.goiy (ol

com
62
 sorter ve Hash Kullanımı-Devam

Bilinen kötü dosyaların yanında bilinen iyi dosyaların

da soıter tarafında işleme alınması isteniyorsa
komut aşağıdaki şekilde olmalıdır.
ı #sorter -f ext -m / -h -s -d sorter_hash -a bilinen_kotu_dosya.tıG -x
bilinen_iyi_dosyalar.tıct ablezmain.img
Bilinen iyidosyalara ilişkin hash dosyası bizim
tarafımızdan oluşturulan bir dosya olabileceği gibi
NSRL set|erine ait bir dosya da olabilir.
a Bu işlem göreceli olarak biraz daha uzun sürecektir.

@ADEosecurity Labs, 2011 www. ad eoseau rity. Com

Fuzzy Hashing

. Benzer dosyaları yada iki dosya arasındaki

benzerliği tespit etmek için kullanılır.
" Bu sayede üzerinde oynama yapılmış dokümanları
yada bir dosyadan alınmış kısımlarıtespit etmek
mümkündür.
= kullanılan algoritma "contextTriggered piecewise
Hashing (CTPH)" algoritmasıd ır.
= Tipik hash fonksiyonları dosyayı bütün olarak işleme
sokarken, fuzzy hashing işleminde dosya parçalara
bolünerek işleme sokulur.

@ADEosecurity Lab, 2ofl www.adeosecurity.com

63
 ssdeep
" Ssdeep uygulaması , Piecewise Hashing algoritmasını kullanarak benzerlik oranını
tespit etmek için kullanılır.
. Uyg ulamanın son sürümüne http://ssdeep.sourceforoe.net/ adresinden
ulaşılabiIir.
= Dosyalar arasında benzerlik karşılaştırması yapmadan önce kaynak olarak
kullanılacak dosyaların piecewise hash değerleri ssdeep ile çıka rtılma lıd ır.
" NSRL tarafından oluşturulmuş ssdeep uyumlu hash setine
htto:// www. nsrl.n ist.oov/ssdeeo.htm adresinden ulaşılabilir.
. kullanım şekli şöylediç
. # ssdeep-<n kaynak_hash_dosyas| ISEÇENEKLER] Dosyalar
SEÇENEKLER:
, -m kaynak_hash_dosyası: Kar$la$|rmada kaynak olarak kullanılacak dosyalara ait piecewis€ hash
dosya5l
. -r: recursive modda çalış
. -p: Pretty Mğtching moduaktifyap
. -d: Dizin modunu aktifyap
. -b: Başlanglçtaki dizin biıgilerini çlktIda gösterme
. J: Görecelidosya yolunu göster
. -s:Sessiz modda çalış, hatalan gösterme

@ADEo se(urity Labs, 2o11 www. adeosecu rity. com

ssdeep
Bir dosyaya ilişkin piecewise hash değeri aşağıdaki
çıktıya benzerdir.
#ssdeep lrkn-tgz
ssdeep,ıo--blocksize: hash, hash,f ilename
98304:u9tiADBhLRbM4Te6NbyvgolTYo7hPfıGqRV4XJk6:3ABbM4itheGq36,"/forensics/Sleuthkit/lrkn.tgz'

ı Ssdeep le iki dizinin içindeki dosyaların benzerlikleri

de karş aştırılabilir.
#ssdeep -lr dhim >ssdeep_dizinı_hash_txt
root@5lFT-workstation:/foren5ic5/Sleuthkit# 5sdeep -lrm ssdeep_dizinl_hash.txt dizin2
dizinzlbilinen_kotu_dosya.txt matche5 ssd€ep_dizinl_hash.txt:dizinl/biIinen_kotu_dosya.txt (aoo)
dizinz/hash_able:main.txt matches ssdeeP_d izinl_hash.txt:d izinl/hash_able2 main.txt (99)
dizin2lable2.1og matChes s5deep_dizinl_hash.txt:dizinrablez-log (ıoo)

@ADEo secırrity Labs, 2o11 www.adeo5ecıJrity.com

64
 ssdeep Kullanımı
, s ls ornekdosya.b<t
-|
i -rw-r--r-- ı halil halil z4o Oct z5 o8:oı ornekdosya.b<t

= $ cp ornekdosya.b<t yenidosya.txt
,, $ echo ı >> yenİdosya.txt

s md5deep ornekdosya.b<t yenidosya.txt

7b3e9eo8ecca9ıfzda684dd784c5afzc /Users/halil/ omekdosya.txt
3z436cg5zfoi 4c53beaıdc955ao8rde4 /Users/halil/yenidosya.tıG

= $ ssdeep -b ornekdosya.txt > hashes.txt

= $ ssdeep -bm hashes.txt yenidosya.txt
yenidosya.txt matches ornekdosya.txt (64)

@ADEo5e.Urity Labr, 2ou www. ad eosecıJ rity. com

özetO
.*iii*, i td.iğ.|

_---- nıı ıya rı*aı_ı "-_

iE .,b.,'.çı,ıırı
lia/.--._---.------l l
1-1 )l

,t:
jr-**ri

E
İ

@ADEO Security Labs, zoıı www.adeos€

cuİity.com
65
 The Sleuth Kit Egzersizleri

Senaryro Silinmiş Dosyaları ı-

Tanımlama ve Kurtarma
* Amaç: ablez.dd isjmli disk imajı içindeki
silinmiş dosyaları kurtarmak.
" Araçlar: TSK uygulamaları.
= Adımlar:
= Partition Table'ını Öğren (mmls)
. Dosya Sistemi DetaylarınıÖğren (fsstat)
* Dosya Sisteminde Gezin (fls)
, Silinmiş DosyalarıTespit rt 1fls)
, Silinmiş Dosyaları Kurtar(icat)
@ADEo secıJrity Lab, 2o]_1 www. adeosecu rity. com
66
 Senaryo ı- Silinmiş Dosyaları
Tanımlama ve Kurtarma

Gizli olarak oluştuplmuş bir

d izin I

@ADEo secıJrity Labs, 2o1l www. adeosecu rity.com

Senaryo ı- Silinmiş Dosyaları

Tan ı m lama ve Ku rtarma- Devam
Gizli olarak oluşturulmuş
.ooı isimli dizinin içinde

lolit_şics.tar.9z isimli dosya başka bir yere

adresi değişmemiş. iki kayıtda da 2138 r

nolu inode bu dosyaya atanmış olarak siIinmiş dosyalan tespit
görülüyor.

@ADEo secUrit/ Lab5, 2o11

67
Senaryro ı-
Silinmiş Dosyaları
Tan ı mlama ve Ku rtarma- Devam

ğ
torphanFile5, sIeuthklttaraindan oluŞurulan sanal bir dizindirve tıu dizinde yer alan
dosyala. s;Iinmaş fakat rrı,etadata§ dosya sisteminden 9llinmemiş dosya|ardır. BU
doryalara kök dizin üzerinden efişilemez.

Senayo z- String Arama

t Amaç: oluşturulan ditywordlrbt içindeki kelimelerin
ablez.dd isimli disk imajı içinde var olup olmadığını, varsa bu
kelimelerin hangidosya içinde geçtiğinive bu dosya veya
dosyaların allocation durumunu öğrenmek.
, Araçlar: TSK uygulamaları.
. Adım|ar:
, Partition Table'ını Öğren (mmls)
. Partition'u Ayrı Bir Dosyaya Çıkart (dcıdd )
, Partition lçindeki Bütün Karakter Dizilerini Çıkart (srch strings)
. DirtyWordlist İçindeki Kelimeleri Ara (9rep)
. Kelimelerin Bulundu Veri Bloğuna Ait Metadata Adresini Bul (ifind)
. İlgili Metadata AdresiniAnaliz Et (lstat)
. Silinmiş Dosyaları Kurtar (icat)
@ADEoseCUrity Labs, 2ou www-adeorecurity.com
68
 Senaryo z- String Arama-Devam

skip coğnt

@ADEo seCUrity Labs, 2011 www.adeosecurity.com

Senaryro z- String Arama-Devam

:iJ]:

1-

Dirtywordli5t içiıde yer a|an kelimelerin partition

),_:. : : : :::i:: inıalı içinde nerde yer aldığını öğıenmek için oncelikle
s4 :,:: partition içindeki bütün karal<ter dizi|eriİj ayrl bif
dosyaya çlkartıyoruz ve ardlndan grep yardtml ile bU
do§ya içinde arama yap|yor. Karşımıza cıkan offsite
değeriıi blok boyutuna böldüğümüzde bu karakter
dill5lnin hangl blokta yer aldığını öğreniyoruz.
Örneğimizdeki 53o8483 numaralı offsetde karşımıza
çıkan kelime topluluğunun yer aldığı bloğu bulmak
için bu offset değerini blok boyutuna b6!üyoruz. Blok
boyutunU fsstat ile öğrenebilirsiniz.
53o8483/ıoz4=5ı84 numaralı blok.

@ADEo securilrr/ Lab5, 2011 www.adeo5ecUrity.com

69
 Senaryro z- String Arama-Devam

EF.--aiilffi al

ifind i|e 5ı84 numaralı bloğuı ıoo9o numaralı inode

tarafından kullanıldığını öğreıiyoıız.
Ardından istat ile 1oo9o nurnarah inode'a ilişkin detaylı
ElE 6t ]i:ıt:
bilgileri elde ediyoruz. Detaylaı incelediğimizde ıoo9o
Illcde Ti.aA3: nunıaralı inode'un allocation durumıJnun Not Alocated
olduğunu qörüyoruz..
::rod. l{3.Lİ.fiei

@ADEosecıJrity Labs, 2011 www.adeo9eaUrity,aom

Senaryo z- String Arama-Devam

icat ile 1oo9o numaralı inode'a sahip do§yanın içeüiğini

ekrana basıyoıuz. istenirse çıktı ekrana değil, biı
dosyaya da yönlendiriiebilir.Bu sayede dosyayı
kurtarmlş oIuruz.

@ADEo secUrjty Lab5, 2o11 www.adeo5ecUrity.Com

70
 Senaryro j- NTFS Attributes Analizi

E Amaç: NTFS dosya sisteminde yer alan dosyalara

ait attibute detaylarının analizini yapmak.
* Araçlar: TSK uygulama|arı.
* Adımlar:
. Partition Table'ını Öğren (mmls)
. Dosya Sistemi DetaylarınıÖğren (fsstat)
. İncelenecek DosyalarıTespit Et (fls)
. İlgili Metadata AdresiniAnaliz Et (istat)
. Silinmiş Dosyaları Kurtar (icat)

@ADEoseCurity Labs, 2011 www.adeosecurirycom

Senaryro 3- NTFS Attributes Analizi-

Devam

l
Fir5t cluster of MFr: 426i5
Fi6t cluster ofMFT Miİror: 63937

sectorsize:512
clırster 5ze: 4o96
Total c|usteİ R.nge o_ D7&r4

rSTANDARD_ıNFORMAıoN(16} size 48-P Fla95:

Resident
JATTR'BUTE_LI5-ıG2) sizel No Limit flags] Non-

.FıLE_NAM€ (48i size: 68-ra Fla95: Resident lndex

@ADEosecıJrity Lab5,
71
Senaryo3- NTFS Attributes Analizi-
Devam
al
iş d osyalğrı te5pıi ed iyoruz,

Dogyanln ismjnin Dos

(8. ]) formatlndal' hali
i(at iıe bir dosyaya . d
NTFS attrit Ute'le rini si.'it
qarebiliyoru? Dr9:
. bp-.!

Dosya nln isminirt

wın]2 folmaındakj
uzun hali

rity.com

Senaryo 4- NTFS Alternate Data

Streams Analizi

= Amaç: NTFS dosya sisteminin bir özelliği olan

Alternate Data Streams (ADS) kuIlanılarak gizlenmiş
dosyanın tespitini yapmak.
, AraçIar: TSK uyguIamaları.
* Adımlar:
. PartitionTable'ını Öğren (mmls)
. Dosya Sistemi DetaylarınıÖğren (fsstat)
. İncelenecek DosyalarıTespit Et (fls)
. Silinmiş Dosyaları Kurtar (icat)

@ADEo 5ecurity Lab5, 2o11 www.adeosecun§.com

72
 Senaryro4- NTFS Alternate Data
Streams Analizi

fsstat ile NTFS bölümu hakklnda detaylt b'ıgi eld€

edıyoruz, iıceleme lçln önenll] bılqiı€
rruolardlı

Fir5tolsleİof MFT: 42625

Firn clusaei of MFT Maİror:6]9,

sectorsize. §12
ou§teİsize 4096
TotaI c'Uie, Rangej o- 7&/4

ISTANDARD_INFoRMAT|oN(16) size: 48-72 Flags:

Re5ident
3AITRIBUTE_L|ST(32} sizel No Limit Flags: Non-
relider(
itlLt_NAMt(48) sj7e:68-98 Flags:Resideni,|ndex

@ADEo SecUrity Lab5,

Senaryo a- NTFS Alternate Data

Streams Analizi

:Rcaa55cR
iGt'in yardlnlıyIa ADs kulllanılarakl
l]
q zlenn! ! bıJtUn do5yaldl, tespi1
edeblllyolu7
ş

fs ile 1

svstu
Dosyö

@ADEo security Labs, 2o1a www. adeo5ecu rity. com

73
 Timeline Analizi

Timeline Nedir?

The BiilGatesTlme]ine
E
€ ı--
E
Ec.b!*
ffişı
E §q=" EEEğ ş,, H? ı
=-"=,
ts* 2r!a .,::]:
GL-ı=: {

(F ,',.,:E!a j. l_.:'+ ]D:

E
I
F
ğ- :-
-.-&It ğ

74
 Timeline Nedir?
:H,l,

\,İr
1\
ığ8

- *ı"

ru
-ffiıt.*
:;]*-

E
trb
@ dffi. ı}ı
ffiE
ğ.-h, t ;l :";

w
i:' ,
20(§

Co,:fll
llGO Brick 5Or Anniversary Timelirıe
""ıf,il

Timeline Anal lz/,

= Dosya sistemi analizinde en önemli aşamalardan birisi de timeline
analizi aşamasıdır.
- Timeline analizi, dosya sistemindeki metadata katmanında yer alan
zaman bilgilerinin çıkaıtılarak dosyaların erişilme, değiştirilme,
silinme gibi işlemlerinin ne zaman gerçekleştirildiğini oıtaya çıkarma
işlemidir.
= FAT3z, NTFS, EXT3 gibi dosya sistemlerinin tamamında, bu dosya
sistemleri üzerindeki dosyalara ilişkin zaman bilgileri tutulur.
= Timeline analizi işlemi iki adımda gerçekleştirilir;
* Dosyalara ait zaman bilgilerini toplama (BODY dosyası oluşturma)
* Bu dosya aktivite zamanlarını anlaşılabilir bir çıktı haline
dönüştürme.
= Timeline çıkartıldıktan sonra olayın gerçekleştiği düşünülen zamana
yakın dosya aktivitelerinin neler olduğu kolaylıkla görülebilir.

@ADEosecıJrity Labs, 2o1a www-ade05ecUrity.com

75
Timeline'da Dikkat Edilecekler

= Timeline analizinde gözönünde bulundurulması

gereken en önemli husus şudur; "Timeline delili
oldukça hassastır."
= sadece en son erişilme zamanıtutulur.
= Tek bir komut yada uygulamanın çalıştırılması bile
bütü n dosya la rın "Access" za man n ı değ iştirebi l i r. I

(örneği n Antivirüs taraması)

* Bütün dosya sistemleri dosyalar için zaman
damgasını aynı şekilde tutmaz|ar.
= FAT dosya sisteminde zaman damga|arıyerel
zamana göre tutulur.
@ADEoSecUrity Lab5, 2o1a wwu/. adeosecu rity. com

MAC Zamanları
File Time Time
M A c B
system stored Resolution
1 sec since lnode
Ex72J3 Epoch Jan 1,1970
Modified Accessed
Changed
Modified Accessed Date Created
FAT Local Jan l,1980 (2 sec) (1 day) (10 ms)
ırFT
NTFS uTc
100 ns since
Jan l, 1601
]üodafled Accessed Modified
Created

M (Modified): Dosyanın içeriği değiştiğinde güncellenen zaman

A (Access): Dosyaya erişim gerçekleştiğinde güncellenen zaman
C (Change): Dosyanın metadatasının değişmesi halinde güncellenen zaman
(örneğin dosyanın izinlerinin vb değişmesi durumu)
B (Birth-Create): Dosyanın oluşturulma zamanını işaret eden zaman
 Timeline Oluşturma
Ikiadımdan oluşur;
Dosya sistemI analiz edilerek dosyaların metadatalarında yer alan zaman bilgileri BODY
ismi verilen dosyaya yazmak
BODY dosyasında yer alan verileri okunabilir/anlaşılabilir formata dönüştürmek.

1 fıs -r _ı <ıo@xPoilrf,> <ifuage/deİice>

Altdizinlera de iş|eme sok (Recurse)
-s<seconds>: saniye o|arak zaman düzeltmesi
-m <mountpoint> Beliİlenen mountpoint ifadesini çı ktlda kul|an(Örneğin c:, /bi4 yadasadece "/")
İ fı5 -ğ c: -İ davro1o-z1l_DisL1 , iag > daça2olo-211_Disk.1.Hifile

ı!ıctiıe <8eçeneİ].eİ> -b boÖrfiıe <tarih aİalr.ğ].> -z tiıazone

-b: Bodydosyasının yeri
-y:Yıl'ı ilk d€
ğer olarak kullan
-İn: Ay asmiye.ine kaçın.l ay olduğunuyaz
-z:Timezone belide
-dlVirgölle aynImlş şekilde çlktlIan üret
op6iyo.El : Tarih Alaİğ (ylryyJ,mJd..Yy}ry,rn ııdd)
ömeı :oog"ğl-ol.2oo9rz-3ı
# Ecti-e -b drırro1o-2tt_Diskı.boÖğ.ıe -z aEr-2EEDst > ğiĞtine. dava2o1o-21ı Diskr

@ADEo5ecurity Labs, 2011 www.adeosecurity.com

Timezone Bilgisi
Tinıezone Coırntry Tiııezone
USAEastern EST5EDT UK GMToBST
USACentral CST6CDT Germany/France MEZ-ıMES7
USA Mountain MST7MDT Egypt EST-zEDT
USA Pacific PST8PDT UAE UAEST-4
USA Alaska NASTNADT SaudiArabia UCT-ı
Hawaii UCTıo Japan JsT
Hong Kong UCT-8 Colombia UCT5
lndonesia East UCT-9 South Africa SAST-z
lndonesia West UCT-z Thailand UCT-z
Australia (NSW) EST-ıoEDT Türkiye EET-ZEETDST
Australia (West) UCT-8 Brazil (East) EBST3EBDT
http://docs.sun.com/source/8ı6-55z3-:.o/appf. htm
@ADEosecUİityLab5, 2o11 www.adeosecUrity.aom
77
 Timeline okuma
c:/fuEds.rr:s]-.!.ar
c. /ıaaİ!Eı/s-l

ı§ :m_rı.rtr.!/t!. s. E

ğE.rlD D!a,/..o.ra!@.6-!€
.lğ
&,kO/!D !ğ4/non.ğıo.6-.EnJ!,t{

Timeline dosyasındaki kayıtlar aşağıdaki gibi kolonlara ayrılmış şekilde yer alırlar.

Zaman: Aynı zamanda gerçekleşen kayıtlar tek bir zaman kaydı altında gösterilir.
Boyut: Dosyanın boyutu
m, a, c veya b: Bir önceki slaytta anlatıldıkları anlamlarıyla
İzinler: Dosya üzerindeki izinler
Kul]anıcı ve Grup: Dosyanın sahibi olan kullanıcı ve grup bilgisi
Dosya Adı: Dosyanın adı (Silinmiş dosyaların dosya isimierinin sonunda "deleted" ifadesi
yer alır.

@ADEoSecUrity Labs, 2011 www.adeosecurity.com

Dikkat!
= MAc zamanlarının doğru okunması çok önemlidir.
= Örneğin bir dosyanın oluşturulma zamanı, değiştirilme zamanından sonrasını
gösterebilir. Bu durum şu 5enaryonun sonucu o|uşmuş olabilir;"NFTS
bölümündeki bir dosya üzerinde değişiklik yapıldıktan sonra bu dosya bir FAT
bölümüne kopyalanmıştır. "
* windows işletim sisteminde dosya taşındığında "kes-yapıştır" yapıldığında
dosyanın "Oluşturulma Zamanı" korunur. Eğer taşıma işlemi komut satınndan
yapılmışsa bu durumda "Oluşturulma Zamanı" değişir.
= Dosya kopyalandığında yada taşındığında dosyanın son erişilme zamanı
güncellenir. Bu durum, işletim sisteminin en son erişilme zamanını
güncellememesini sağlayacak şekilde ayarlanması durumunda dahi geçerlidir.
= Dosya zamanları her zaman doğru zaman bilgisiniyansıtmayabilir. Bunun başlıca
sebepleri şunlar olabilir;
Anti-Forensics tekniklerinin kullanılması
. Timestomp
. Touch
BirAntivirüs yazllml ile dosyaların Virüs taramaslndan geçirilmesi

@ADEo se.Uril..r/ Labs, 2011 wwwadeosecUnty.com

78
 Windows Zama n Kura la rı- I

$STDl N FO lçindeki Zamanlar

Dorya fuşta Bj. Dosyada
Do5ya kfij 8dirmd€ Başta
Bdum€ DeğişHik
D.Erl Dosya
Değir.ğinde Bİ Yere 'tğmd,ğ,ndd Kopy.land,ğmda E işildüi.de
Yaplld,ğnda
okşturulduğuıd. siıindıibde
Tğ,nd|ğEda

o.ğirnĞı D!Şfl,,.,
.@ ]

]
DeğÇn İ D.ğışk
:E
İ
l
İ
]

]
j

,' ,"İŞiJ"",
&iiş,,., ' I

Değiş]r Değilil I
oAğş. Değişn
Değ şnea

@
i

D.ğişİ oeğişi.

..
, ..___.: i
]

o.ğişi. 0.ğişn Değ'§ir :

o.ğin oağişrıE DeğÇil D.ğbi,

@ADEo secUrit/ Labs, 2o11 www.adeoseCUrity.Com

windows zaman kuralIarı-

sFlLENAME İçindeki Zamanlar
Do5y. Bğla Bir
Bolamde8aşka D66ya
Birıar.ne
8ir Yer. Koprd16nd6nda Enşrklğinde oı.şturğldgğund. sıltndiğirde
Taşlnd,ğnda
ray.dğında Yap,ld,ğ,nda

*TimenomP ile doryalann MAc ı.manlafl değiştirildiğinde.sTDlNFo'daki zamanlaİ

değişmi, olur, 3FlLENAME,dekizamanlardeğişme,

@ADEosecurity Labs, 2011 www.adeosecUrity.com

79
 Oluşturulma Zamanı Kuralları

GeneI Kurallar
. Dosyanın Güncelleme (Modification) zamanı dosya kopyalansa da, taşınsa da her zaman
değişmeden aynı ka|ır.
. Dosyaya ait Oluşturulma (Creation) zamanı, dosyanın kopyalanmasına yada taşınmasına
göre farklılık arzeder.

OlusturuIma Zamanını Değiştirmeye[ İşlemler

. c: \FAT,den D: NTFS'e taşındığında
. c : \E.AT' den c : \E'AT\altdizin' e taş J.nd:.ğında
. D: \NE8s'den o: \xırs\aldizi.n' e taşınd:.ğın&

. c : \FAT'denD : \NTFS, e kopyalandığında

. c : \FAT' den c : \EAT\a1tdizin' e kopyalandığında
. D: \ııTFs'den D: \NlrFS\a]-tdizin'a kopyal.an&ğ:.n.ı.

@ADEo security Labs, 2oj_1 www.ade05eCUrity.com

Linux zaman kuralları

Dosya Dosya Dosyaya Dosya Dosya

KopyaIandığında Erişildiğinde Değiştirildiğinde Oluşturulduğunda

Modified - Modified -
Modifi€
d - Değişir Modified - Değişir Modified - Değişir
D.ğişrnez Değişmez

Acaess -
A(cess - Değişi,
Ac.ess - Değişi, (noatim. Ataess - Değişmez A(cess - Değaşiİ
Değişmez kUllanllmam§sa)

changed - Değişi. changed - Değişi. Changed - : chang.d - Değişir changed - Değişir

Değişmez

@ADEosecurity Labs, 2011 www.adeo5ecufity.aom

80
 String/Byte Arama

Dosya Header/Footer Bilgisi

* Bütün dosyaların bir byte imzasıvardırve bu başlık bilgisi
olarak adlandırılır.
. "Bazı dosyalarda aynı zamanda footer bilgisi de standartşekIindedir.
Örneğin PDF dosyalarının başlık bilgisi \xz5\x5o\x44\x46
olarak bulunur.
= Örneğin JPEG türündeki dosyalar \xFflxDg ile biter.
*İşletim sisteminde bağımsız olarak dosya tiplerinin header ve
footer bilgiler sabittir. Örneğin bir JPEG dosyası XBOX36o'da
da dijital fotoğraf makinasındaki hafıza kartında da,
Windows Server zoo8'de de aynı başlık bilgisine sahiptir.
= Bu değerler "magic number" olarak da adlandırılırlar.
= "Magic number" olarak adlandırılan bu değerler carving
işlemi yapan yazılımlar tarafından dosya kurtarma işlemi
sırasında kullanılırlar.

@ADEosecurity Labı 2011 wwwadeosecUrity-com

81
f e
Bir çok *nix tabanlı işletim sisteminde varsayılan olarak bulunan file uygulaması kendisine
girdi olarak verilen dosyanın türünü belirlemeye çalışır.
Dosya tipini belirlemek için kullandığı üç farklı test vardır.
. File system tests
, Magic number tesG
. Language te5t5
Magic number testlerinde farklı dosya tiplerine ilişkin "magic number" iarın yer aldığı bir
veritabanı dosyasını kullanır.
Bu veritabanı dosyası dağıtımdan dağıtıma farklılık göstersede geneliikle /etc/magic
yada /usr/sharelfile/magic gibi bir dosyadır,
{ sumEary:Regi§tryf.le§
tfli€
"..
'(.e.t.dbV|
f Modified b7ilj: jc€
.!r ]..dei9i.
c stij.g reqf ıd§ wind(M reqi<ry file, Nrraoğ o. ab.n e
. jt.iıg cRE6 M5 windNs 999€
ı,!E rcgErrYnie
o ;ti].g sH(c] M5 windowlJ 1.egisıryfile ,
* 9umh a.Y: !v].doB Regi5try text

{ sUbritted bv: AbeJ Cne!ng <abel.ne0ng {agm.il.rĞİ>

o stn.g REcEDıT4\dnlinwindo!,,3 Registry te,t (wanga r. abcve}
o nring wl-do{\. Reg,d 1,ı dllo.
.&o ,l..g V".\io-. ! ooı.r,4. wl.dos9 ergült.} ten lw,./y o, oboF]
* From, Pal Timas .{olti@briabit.hu>

o ltıng. l.!tofu.]\İln M].rsoltwindov.;Alto.un{ll€

,
1:mime iPpıi.:t]onlx rerurs(npt

@AD

file-Ornek Ku!Ianım

root@5l FT-Workstation:/forensics# fiIe sde.dd

sde.dd: x86 boot sector; partition r: lD=ox83, active, starthead 1, startsector 63, ıo44ı
6z sectors; partition z: lD=ox87, starthead o, startsector 10 44225, g43o155 sectors, code
offset oxo

ioot@SlFT.Workstation:/forensics# file LogAnalizi/Auth-|og.without€

RON
LogAnalizi/Auth.log.withoutCRON: ASC|l English tex! with very long lines

root@SlFT-Workstation;/forensics# file sde.dd.md5

sde.dd.md5: ASCIl text

root@SlFT-Workstation:lforensics# file /usrllocal/src/a utopsy- z.z4lpict/|ogojpg

lusr/locallsrc/autopsy-z.z4lpictllogojpg:.lPEG image data, JFlF standard ı.oz
root@SlFT-Workstation :/forensics#

@ADEosecıJrity Lab, 2011 wwvr.adeo5ecUrity.com

82
 ASCll Karakter Dizisi Arama-
src h_strin g s
srch_strings [seçenekler] dosyadz
ISeçenekler]
-a Tüm karakter dizilerini al
-t göster
{o,x,d} Çıktıda offset değerini octet, decimalyada hex olarak
-e1 English Unicode olarak ara (little endian)
-eb Enğlish Unicode olarak ara (biq endian)
-az
-<nun> en <num> uzunluğunda olah karakter dizilerini ara

örnek:
* ntfs_pract.dd içindeki 4 karakterden daha fazla boyuttaki ASC|l kara kter dizilerini
çıkar.
"- Offset'i decimal olarak göster.
Çıktıları ntfsJract. dd. str. asc dosyasına yaz.
* srch_strings -a -t d ntfsJİact. dd > ntfsJract.dd. str. asc

@ADEosecurity Lab5, 2011 www.adeosecıJrity.com

Unicode Karakter Dizisi Arama-

srch_strİngs
srch_strings [seçenekJ-er] dosyadz
ISeçeneklert
-a Tüm karakter dizilerini al
-t {o,x,d} Çıkıda offset değerini octet, decimalyada hex olarak göster
-e1 English Unicode olarak ara (little endian)
-eb English Unicode olarak ara (big endian)
-<num> en az <num> uzunluğunda olan karakter dizilerini ara

örnek:
" ntfs_pract.dd içindeki 4 karakterden daha fazla boyuttaki English UNlCODE karakter
dizilerini çıka r.
. Offset'i decimal olarak göster.
" Çıktıları ntf s-1ıract. dd. str. asc dosyasına yaz.
* srch_strings -a -t d -e 1 ntfs3ract. dd > ntfsJract. dd.. stı -uni

@ADEo security Labs, 2011 www.adeo5ecurity-com

83
 Dirty Word List
, jlgiIi incelemeye ilişkin disk bölümleri içinde
aranacak kelimelerin yer aldığı listedir.
, Bu Iistede yer a]abilecek ifadelerden bazıları;
. lp adresleri
. sunucu adları
. URL adresleri
. kullanıcı adları
. Şüpheli dosya isimleri
* Bu liste oluşturulduktan sonra, bir önceki adımda
disk bölümü içinden çıkartılan karakter dizileri
içinde grep komutu yardımıyla arama yapıIabiIir.
@ADEosecurity Labs,2o11 www.adeosecurity.com

grep

grep [seçenekler] pattern dosyaadı

. pattern string olabileceği
bir a legulaı' expression'da olabilir.
gibi bir
. dosyaadı wildcard ('*') olabileceği gibi dosya isimleri liste olarak da
belirtilebilir.
ISeçeneklerl
-i Büyük/küçük harf duyarlılığı olmasın
-AlrııE Pattern'in bulunduğu yerden itibaren lnııı ile
belirtilen sayıda satırı ekrana bas.
-B liıım Pattern'in bulunduğu yerden önceki lnız ile
belirtilen sayıda satırı ekrana bas
-f dosyaadz dosyaadz ile belirtilen dosyadaki ifadeleri ara
= örnek:
f grep j -f dirty_words.txt NTFSimage.unallac.str > aramasonuclari.txt

@ADEoseCUrity Labs/ 2oı1

u www.ade05eCUrity.aom
 Dosya Kurtarma

foremost
= foremost, Amerika Hava Kuwetlerinden Agents Jesse Kornblum ve Kris Kendall
ta raf ı nda n yazı l mıştı r.
* Bir ikili dosya içindeki verileri kurtarmak için kullanılır.
" dd, Safeback, Encase gibi uygulamalar tarafından oluşturulmuş imaj dosyaları
üzerinde çalışabileceği gibi direkt olarak sabit disk sürücüsü üzerinde de
çalışabilir.
" Bu ikili dosya;
. imaj dosyası
, Swap alanı
- Unallocated alanların çıkartılmasıyla oluşan dosya
oIabilir.
* foremost veri kurtarma işlemi sırasında konfigurasyon dosyasında yer alan ve
farklı dosya tipleri için ön tanımlı olarak gelen dosya header, footer bilgilerini baz
a lır.
" Dosya türlerine ilişkin header ve footer bilgilerine
a ssler.n ra adresinden ulaşılabilir.
" son sürümüne most.sourcefo e.n adresinden ulaşılabilir.
@ADEo security Labs, 2011 www.adeosecUrity,com
85
 Foremost-Devam
foremost'un kullan ım şekli şöyledir.

* forenost -c, koafigurasyoa_dosyası -o çıkXz-dLziai İmageDosyası

-c konfiguzasyon_dosyasz Dosya kurtarma sırasında kullanılacak

konfigurasyon dosyasını belirtir.
-o çıktz diziai Kurtarılan dosyaların neı.eye yazılacını belirtir.
-çı Hızlı mod olarak bilinir ve sadece sektörlerin
başlangıcına bakılır.

Çıktı dizininde kurta rılan dosyaların yan ında audit.txt isim li

bir dosya da bulunur. Bu dosyada kurtarılan dosyanın ilgiii
imaj dosyası içindeki bÇe offset bilgisi yer alır.

@ADEosecurity Labs, 2011 www.ade05ecUrity.com

Foremost. conf
foremost tarafından kullanılan konfigurasyon dosyası genellikle
/usr/local/etc/foremost.conf dosyasıd ır.
foremost tarafından imaj içinde aranmasını istediğiniz dosya türüne ait
satırın başındaki # işaretini kaldırmanız gerekiyor.
Örneğin aşağıdaki konfigurasyon dosyasında png ve bmp türünde
dosyaların kurtarılması sağlayacak bir konfigurasyon örneği yer alıyor.
s 6ıF aİj JPG files l!€
fy.(oırT.İon}
(NoTE THESE FoRMAfs i]AVE BırılıN EXTRAcIloN fiJNlTıoN]
qlf Y lsJoooooo \Y4l\G9\x46u}q.ılA6l
,
\xoo\.]b
gif'.y lss!ff.o!. L47lx49\x46\İ]8}q9\X51 \İoo\İ6\rJb
ir8 y ındoo.'tüo wı'ld8büx€o\xoolxo \Çixdg
jpg y >ooooooo \üJflxd8\,'fl€, \üflxdg
ş Jpg } 2oooooo. !.ffl,d8 uffl"dg
tr PNG {05ed in web pages)
ş {NoTE THls aoRMAT HAs A BU|LTıN tXTRAcTıoN FUNcTloN}
png y 2oo.oo \x5o\x/+€ix47? \xfıxfc\fd\xte

# iNolETHls FoRMATHAsA BUıLTIN EXTRAcTloN FUNcTloN)

bmp y 1ooooo B ??\xoolıoo\xoo

@ADEosecurity Labs, 201r www.adeosecurity.com

86
 Foremost. conf
4 if y 155oooğoo \x4flx49\x4 6\x 38\x39§6ı lxoç\xoo\x3b

m 1ooooo BM??\xoo\xoo\xoo
.naksimum dosyö boyğtu
kısı,ıına djk]<at ediı.
siİinrn]5 edsr.nrı a,gi,xiu
Büiük&üçük
haıf dıYar]İ

* Foremost'u bir konfigurasyon dosyası kullanmadan da çalıştırabiliriz. -t

parametresi ile kurtarılacak dosyaların tipini belirtmemiz yeterli.
Örneğin;
" foremost -t gif,pdf -i image.dd
@ADEosecıJrity Labs,2o[ www.adeosecurity,com

foremost kullanımı

@ADEosecurity Labs, 2011 curity.com

a7
 Autopsy Forensic Browser

@ADEo se.Urity Labs, 2oı1 www.adeosecunty-com

Autopsy Forensic Browser Nedir?

a Autopsy komut satırı uygulamalarını çalıştırmak için geliştirilen bir grafik
arayüzdür.
ı Arka plandaTSK (The Sleuth Kit) araçlarınıve bazı standart Unix
uygulamalarını kullanır.
ı TSK komutlarını çalıştıran, çıktılarını iş|eyen ve bu çıktıları bir HTML
dokümanı şeklinde sunan bir web serverdır.
ı Açık kaynak kodludur ve ücretsizdir.
ı son sürümüne www. uthkit.or aUto s adresinen ulaşılabilir.
ı Autopsy kurulumunu gerçekleşirmeden önce mutlaka The Sleuth Kit'in
sisteme yüklenmiş olması gerekir.
ı Linux ve Windows ortamında ça lıştırılabilir. Windows ortamındaki
sürümün mutlaka Cygwin üzerinden kurulmuş olması gerekiyor.
a Ağustos zoıı itibariyle en güncel sürümü z.z4. Bununla birlikte 3. sürümü
Java platformunda yeniden yazılıyor ve şu an beta aşamasında.
a SlFT Workstation ile birlikte hazır yüklü gelir.
@ADEo seCUrity Lab5, 2011 www-adeo5ecurity.com
88
 Autopsy

*.

Y& do Et.€
6d.hn sğ9 b rAbFr.,n {bffire,ük tEr a be t€
tr6d.,n hğiy 6e§
.. nıroF, F.ffi& BEğ ?ra

t
,üaha önıeden l,

oluşturulmuş bir case'i

açmak için O;ıen Case
butonuna, yaİi bir caie
o|uŞturmak için5e New
Case butonuna basıyoıuz.

. a. l t;i

@ADEo secUrity Lab5, 2o1a www.adeoseaurity.com

Autopsy-Devam

CREİTE A NElğ C^SE

l. c.- ıaJB: Tne narB o' thı§ ilç§İdb.. |t can conraia oü bne.s. nrİlgs, ard
!..l_iL.. .

*",*,:*=::Y"k
Oluştuiiluğumu.z case iain
3. hv.rtllaıoı llrlğ: Ine ortonal bi. isim Ve not yazlyoruz.
Aynca analizi kim yada
kimlei gerçekleştiriyorsi
ö.: onjaıın isjm|erini
f. be lirt iyoruz.

'-:

..}f,,or: D9ind o şı ,sz ı:: ş

@AoEosecıJrity Labs, 2011 www.adeo5ecıJritV.com
89
Autopsy-Devam
cr€
ağng cag€
: ılatkedıiffr _ ılozilla Firefoı

aa5e dil.clgı,i1lf or.nrl.§,rıbck dLİm/) ğe*d

a6,ıku,aton tiğ 1,/ o rens t.s /tğ(kdu nur/Ca9e. aut] ğ6eıı.d
'

Bir Case içinde birden fuzla

lloİ g§aıe : h.n ior lh6 ğ§g
host'a ilişkiı de|i| dosyalan
yer alabilir. Bu aşamada
Ç devam etmek için Add Host
butonan basarak host
ekleme kısmına geçiyoruz.

]sE99a!rıo-U..rş.İiec çğ,prorf D6.51.d {N Şg ,:c7 .' ı

@ADEo secUrity Lab5, 2oj.1 www,adeose(Urity.com

Autopsy-Devam
Add A ılost Ha.ı.dti.uİ - Mozi|la airefor
'aew 'o
.,I

1-tio.iıİE't}E.am€
o'FEcrnpdılrb€
iğ ifuedig.Ed. lt@6.na. üıŞŞltğrj, Eklediğimiz host'a ait bilgileıi
girdiğimiz kısım. Bunda hoıt
isrnini v€ aalklama5ııı giıdiken
a o...ıblion:t, ort rıd oGkı. d69ition ğ,ıol€ dDglğl§@mpi,ğ
sonra Time Zone ktsmına ilgili
!r*kjMi.lnvı Bdqarala
host'Un zamön dilimini yau |yot-ıJz,

ffi;ffitffi5fftr,-**::K;: Eğer anaIiz yapılan bilgisayinn

zaman dilimi kullanılacaksa bu
alanı boş iıırakmarnız yeteıli.
4,-Tğrıtİd aisrnı,E tt ğt oPtjonlt ıdtt ıo deson€
do.ı rr. dn d ğrr. Fğ eE!,$Ja a ttc (!np{ğr tE 10 İ...liis bi. üıcn ede, ,10 b Paü of Alert Hash Database ve
Pat}ı of lgnore Hash Database
kısımlarına ise sırasıyla, bilineı
5_ hıı o' ıL$ D.rrb- ıı ortğtd n5$ &ğbe d kwi lsd fl6- köt0 dosyaiara aii hash
^l.n değerlerinirü tutuld..!ğu dosyanın
6]r.n, o' hüad, ıtıt D.r.5...: ıı.rb.d hadı dabnğ dı.o.ilgood ad. ve bilineı iyi dosyaların hash
değerlerinin turulduğu dosyanın
tam yoıUnU yazlyorUz.

8 gı ,.ı, i, İ
www-adeo5ecıJrity.com
!a
 Autopsy-Devam
ar

Aatdlng ho3ıi Hackten Hdİ lbciinD§.,ı:l

Ho5, DqD,! (/locn§ı.!/l"
s.!d ÜF tdd tnag. Fü ö(rlb. b€
lrı b xİ, *
a§.rEu:airr iE : / lo.ss!(l

Fu^.tfiT*Lİğ

basa.ak ilgili Host'a ait imaj

ilgili Host'a ait imaj do5yalannl
ekleyeceğiıiiiz pence.ey€
, dosyalaıını eklemeye
başlıyoruz.
geçiyoruz.

@ADEo security Labs, 2011

Autopsy-Devam
b hftprro(*!nğİ:9999/&t F9?6d_o6nb-ı] A
6. ,:. -

uon: |ki]sım6! ülL,.

,.Locatioo kısmina imaJ doşya5üriıi1

yada dosyalanıın bulunduğu
nğ
€ nr6 n* palh (§ndr§ {ıh /) la ıie ma!€ 6le, dizinin tanı yoluıu yazıycnız.
" ıE mage 6 spn {efe ra* o, Erc$l Dı$ e]P .i io, ıtE en n$n Type klsmında ilgili imaj
dosyasının bir fiziksel disk imajı mı
2 yoksa mantıksel bir b<ilümün imajı
'lp.-ee€d
Pc@ d ıh6 !İa!E c . dğ o, İ $qb p.nm.. mı olduğunu lıelirtiycıuz.
o Dii 'rl€ 'd ParİilEn ş lmPort Method kl5mlndaki
seçenekler ile analiz sırasında iııaj
To anatr. İhag. tı9 d ,nus1 be ..aled r ti€ e,irĞ@ ..ı69. n can b. mportğd n-oİ
E € 1t5 içindeki dosyalara ilişkin bir
ğJİedt ioğ!€n ri.g a g]İlbo§c ll.i( try @p},irg il d by moirrg iL tlore ğlal n a sY.le
..Ei].l.
(üc,§ dfing üt ıro€
. öon ııe mag3 .ğ:id ö.i:onn .orb". seıııbolik link mi o|uştuı!lacağı,
o sv,n!* coDü Mo!ğ veya bu dosyalann anatiz yapıla!,i
bilgısayaıa kopyalanacağı mı
yok5a taşinacağı mı betirleniyoı

@ADEosecı.Jrity Labs, 2o11 www.adeosecUfity.com

91
Autopsy-Devam
collĞ<İinq detaiıs on e, ihiqe file - al@illa Fir.foı

l}]nnpr/b(aıld9999adoPry?nı.d-oıvir-ı.^ a - ]!ıİY

Şfr hİ0 c..tfntrtion

Thğ i {6. ti b. ,dd.d b tt .ğ.
t* a.ıot üE.6rr.ğ ğ*r.
'.lo*r9 tğ yüJ gnrıd dE€E tıle llei! corErnin

t
ll
Pr.§s iıE ıbıt h.,(bn ğt ü! bcib.ı o' il€ pn!* n üli§ is @İ!ct

/rdir§i|d Vrğtasploit&leınag€
/0t _€
0ı Eğer imaj birdeı fazla dosyaya
/ıı€ l/ıbtasploıtabl€
diğ,.söd lEg€
/o1.eaz tıiilünmüş şekilde alınnışsa bu
/..{rrVğdd!.,lEla5Ploıt*lğIrag€/oı. eo3
,/ıF{irstltlı/ıetngploıı.öl€
ı..seloı,€
e.
dosyalar 5plit Image confirmation
,/Edla/ 5nd ı.,iet6şloitabl€
ır.g€
/gı - (95 başlıklı pencerede listelenir.

:
@

Autopsy-Devam

a! ür-

t ı.gr F[. Ddl3

.ı,cj ııff :'rnı€
dırddr;lr.t İpbi6lğlmao&!1-.o1"ffi6i!l,ar€
§5*i.ab|.lma9€
'
at..0z 'atr€
di§§ddr rıa.şbübhkug.ol .o''/,n.da;.ddljıibr..pbıi,5ır,rE9.
nr.eoa-'lner$a6.İ't/ırıİğ.pbübl€
llnig.€ l..l§
Hb srrlorn ıreıa]l3
AEltg 'nağ. llb §:b§ ö. icidi.ng Darttss
ol t-\e
imaj dosyaslnın analizi sonucunda
*rnif 1 alfe: Lh!ı {od3ı tespit-edilen mantlksal böİümleı
listeleni.^ Moufrt Poiİ* ksmlnda
s..rd B,,!E: 5] ic 4a!9.t9 yer alan ifade, ilgili maıtıksal
ıleİı Poiİi:,,1
ş bölümlerin nereye moğıt
PanjEo.2lİrDej L.u !.gı' voıjor trlana!ğ (l}xa6il edileceğini, File systemType
kızmında ise hangi dosya 5istenıinin
s..tor flrıg- i@01 3 to 161185ğ
,: Fr. sy6ı.n lr*
tespit edildiğini gösteİr
lrğJ^l Poi.n:
'tpe:

füyfiğ_İ lı!*t ., c aİ ı §7 ii f j

@ADEo secUrity Labs, 2o11 www.adeosecurity.com

92
 Autopsy-Devam
Add . Er idag. to a. AınoPğy a6se _ t.@illa fi.€
fot

} ı,tş-ııtaıesıeeato9,yznoa-o*ı--rı a ,r - jlF
lr.
'Eklenen manttkial bölıin,ii..
l'.,-,] -1;:. i]:.ğ.:r .:..-
-,ıj: , : _.a:;l n- ]:r!i liakkında özet bilgilerin yer aldığı
pencere, ilgilicase'e başka imaj ],
|loı!ı( mn€
€ {ba .b§) ailled ylth l0 riıtr
yd(fr. im.g€ (63 to t919
€ .İ J,li edr.d İi|h lD \rola
, , {ı dosyası eklenecdkse Add Image
butonuna basıp önceki imaj ekleme
loirme ]r€
9. io 1611 859,iİ. 2,i.aded Mtr lD val]
ü4a2013
adımlaını tekraıdan yaptyoruz. ,.

'i(,

@ADE o secUrity Lab5, 2011

Autopsy-Devam

ğ :......,i. _,,...._ ....]:.-

c.ç h..ıxttfu.
lloi!i İ3d(,orf,c9"İ
s€
ie6 a E*.rrıa to amt?e or add a n * i$ae Eğ AnaIiz işıem]nin adlr:]laının
cAsE GAı-I-ERY Ho§T MANAGEi ' bundan sonragn höigi fizikse]
disk yada,Gntlksil bdlünr j.]r
,aptıaCağlnl n ,eçili;ğ i Penc3İe.
llj!]! Detail5 kısiİına tlklŞtğımlzda.
o ğı.€
€
ı_63 ra]949 erı *9j! § karşlmlza çlkan pe.,airede bire
5ı ..oı- aa2eü- 157ııa59 d:j3].! alı na1 i:|k9eı ;isk .,,ada
'.ra]ı
.ıantlk5al 5ÜrO(ı hakh.da
ırilgilerVeriIir. (Bkz.Bir sonrdki
5ıayt)

{' 90 $ğ, !j- r

@ADEo security Labs, 201_1 www,adeo5ecUrjty.com
93
 Autopsy-Devam
D.t ilJ oİ 9olı - Morilİa Fi.ğoİ

inıa1 ainan fızilsel dısk _vada

ıür: oı €
oı.53-.l3t9.19
,
mantlksal süf ij.ü hakkndaki
yduĞ E

A
vo12
ıelrdiği pe§.ere.
balgiierin list€
P.nnıYoü, E: irı Burada yer alan Extemöl Files
ğHFb !nç Fiı. Foi,İ; §f
AEa *it!G al..al,ğ3-Jlıı9.d.&. ı.$ttıı9 fu.lr: /v kısmı intelemey başlaodığıoda b9ş
ı*.a.§tiç.l-rı,t -sııa,ğt.ül FlL s!a.aa!ıİl, : ğt olank qelir, Altta yer alan Ext "act
ıİr&...a ç.aĞ aı,..r6-ütİ9-d.üİt* st ings of Erİti.e volum€ ve
Ei.rtrJ Fi.. Extact Un3ııocatad Fragm€ nts
süilaı: k§lmıaında ye.alin işlemleİ
^scs
gerçek|eştirildikren 50nrd
tİ!do..t dE.gtİnğ:
]§}.
']:< ıscg şrırrc. or ırn ıo..ta,
oluştlırulan do5yaıal AiJtopsy
'''ia,İoa. taİaf!ndan bü,aya eklene(ektir,
sri,rg. oı tİ,.rb..i.d,

Eİğıcr sünEa ol
Etlüıt yt ı|'nc Enrac.ı ıJnıllocaıad F.rgrinta
t .dıg'nE §c{ şn ui@d. 9rağr
€
a 6ts ?.E !,ğ 6re lçrĞnl ,iqn !&6 n§ğ bo,-d rryı-d
'rdi ..rd* *!d.l.ü M

@ADEosecurity Labs, 2011 www.adeosecUnty.com

Autopsy-Devam

,i

i].s: ,,j_. -] ' .. ^

cAsE GAI,1_EFY
Aıı.ır!eti,toouna bas.rdk §
3rıalaz 5€
,.€neklerbi

ı+
s€
çeçeğimi: Peoc€
raYı
o dı5t eı..aı-ü§t
ğ,yof6_ nzıkel d;sk
geç€
n€ğ'ni seç'gimiz tçin bı, et.aaı-63_at
0ı. €
eı ra2oı3
lonjaki ad..nda kaı!ımĞa
-
,

ç'.aCaı ş<enekle.fu ikr€ l hrr .n n 5D ,r. €

oB
fulmH@üEj.r§
}.apılabile.ek (ahşm3larla
},rttll 5elin€
ki€
r d3cakll . ;] -,-;J-a, Bı5..rnr ü_ 1@,

!,İ|.gbtFlGtrfrle)
d:...,.l.,D-@EEbnlrğd

@ADEo secUrity La§Ş9o11

 Autopsy-Devam
Data ğıit butongna basadL
fı?;k5€
l dt9k ü2er;ndeki
§eıtüir|erde sek6r bizll ln.eleme
yapabiliyoruı.

§ 1d...{at, !.ti 'Ascü §ri'c

'dY
63. a8, e8, lo-aı5.
urüsb:512

6&1eat 7c.704ıo 6<rllç2 ,..D |,,, ..D. ..r,

ğ@76 3i.6a]r
5c&7.ar|
0.!2l4ıd 1fr265ö Orüö7d
7&l&2 fuf3,{.. m.sds "0, ,'" ,ı,ü -",
66 a.§fu ao6s{a
a4ff€ D..' ı,,, Fizkse| disk dzeiindeki ilk
n.O.t-.
€
ü alt l0i9l4
c*1.202 36.s€
.Bğ-6 39ir66.ı ta7c5631
6]E 66 ad265f7 7l!]l35,t
,.,. .... a.D. l.,.
..,f..l. D|rı,1.4
-r.f t.f, t..T,.0.
seıt6ı boot s,ekoıtır

}aağ?d tarsaod .o.&

t Nırrab€
İ hrmna trl3a6. i5.aa7{ übbs7€
belrİd lrz.3. (3a.64
. . . ı . l. t . , , , . . t ,

in'!ıeıene(€
k5ekdrijn , ğl&db ]ır6!ff 1.13.5ıf
n!fi3ri9,nl,rürmberd 52 7.!.€
57d .aa&oeb 0.b.a.7d
{İ6e9rrd .ffi.
l..}.a.. ...ı .3..
Unfu hsmlna
99rd.p.
r§.a7ı] 6.766' 6d@.6ı
,..}.o__.l,....c
is€ kaç tane
sekörr]n in elrneceğ;n; 6a7İös] 52661ğ &20a572
bbcroob4 0.<d1o..
@@!20..2.3 =Oi5f4
&ğr€ nı€ fğ 6ao5f56
ğIkasli lrt9e5. 0?ü759ğ
f
@ffi@
.ğ,!ğE@{İ@o

@ADEo secırrity Labs, 2oıl, www.adeo5ecUrity.com

Autopsy-Devam
op€
t thag? ln Ha.ı€
dıinu(]Ha.ılemislinul - *ozill. farcfoi

,- ,!a

setd. F]@e 1, a-lırı. d8. |R naa€ f.6

CAşEGALı_ERY HoğrGAıı_ğRY'Ho§İMANAGERI
(ı

eı,.€
1 4aı0)3 ı5rı359

Ana|yze butonuna basarak anaIiz

seçeneklerini seçeçeğimiz pen(e.eyi
açryarUz.

@ADEo security Lab5, 2o11 www-adeosecUrity.com

95
 Autopsy-Devam

&-j: .. .,-tr... "-,,:.

,,g^§* ] lffi*ıĞq

Gaİgral D€
tal|s
tmrg. Deiijls butonunğ bar,P ]ma.j
RıElrYlrlEı§ço A'lxıa hakı nd. detayh biı9il€
.e

t
14İ.]rn3 lo: 2a909bltıar2ğ(9953:ı§19585.25d,|.

Ld ılhığrt at T@ ur, :8 91:!527 ar10

Lr.icn .k€
dstl{.dA9.2axİs3:ğ2a"0
Lrri ,lh.'t d

,*.-""*li
d TtF uı, 18 9:

r-ı
:a2İ2 2010

Molnted, . j:
La!t
..

cod F.ıir!§ ,b{...ı sf e:. !d.,

a€ Di lröt
ı,*ıiışı rıa*:r, rıoıp",, ^ğğrğ..
Hoı.y coğdro.İı!ğjslği. sıEr,

EIAoATA ııfoi^Tro
Jsa55tor{D{nd€
6.€
d rdİnğ:. D95td 8 9lı t3? ,,, , _

@ADEo security Lab1 2ou www.adeo5ecUrity.com

Autopsy-Devam

20lo.&16 2o1o.o,.a fll6!t.ü 0

23l2.4/ iclıal) 2o:5t28 {G}rT) 20:54:14 iGMD :
fıG b,to.un. bara bu
^rltlis 20tO-ğlğ 2ğo.o,.a oDeniig voı2-r.9rub.ifs rta3eı_5
Eltt , tt nİna dt a .b..lo.y 23l2:461G[D 2o3l2, (ğar) 20]5a
ü
(ırml' ı il€ ld€
lenen dcİrila!
sJinmlş cö-rala(göste.iı-

23l2:.16lGıaI, 205,|28lGMo 20 srt

2010.oç2t 2olG
2a]!2:a6 {Gıar) 2osa"r{Gım
E o. ! ftri ,.9ğ, !Eı.jn
ffi Fr En ıo
'o.ütıs6 A§all lq§eEr §q! ' H.t ,
ascı
ll..trl :tL:i9rE,;jııı.ı

satılE d.lJİl ,t., to tl. 6t.! d.a.r l., in..!rg rürt! 0

ın st., r.a..o is tn d.fİtt ı' tr! .En i, mt 6.d. 'o

@ADEosecUrity Labs, 2o11 www-ade05ecurity.com

96
 Autopsy-Devam
İtfır6 t.o6* ,ld l€
ıa6 tau.s r.. fıl6 in /I/ (ot ..eı_ 8,aaı9a9}
.ağsr. 6,f 5<9.&. ffi .ğ.7f 060096
f 26443s5]ah9...ıaaf s{deöaEa.!ö7 co.ıiig_z-5.2a.ı5 !Ğn.r
E 2€a&23213ıdir3f @26.5aE9: irll.d.nE,2.6,2ıl,ı6,i.d..
6b.aö1.26s2f a2r.rdd7l€
6.0aa.l6d üıt.rl,i{_2, 6.:!_16-!.n...b3ı
a25r,ı53.ırdt46ğr57t6.& E5.7d2
3.b2{2rlts.daf 2l rcb. Ş.tü..rl,2. 6.ı_ı6_{n.r
'a49ldof
n22rd09(tsaaı6aaf nfti*..55 rılle_2.6.2a_ı6 n-..
cffiı tılcto.r dl
o-_*,*_-.*;Ş
iE lrc Mİn
:. ': 0800ü{o
o§r000 iuTc) 0oür0 iurc)
0o0o{o_00
a90
@2ğ
0o 1t c)
ö 28
2r]0-0a .. 20l0,0+28 ?0Jo,04_28 ?
2*54:2t {6rı ?o-32\aür} .2o5.ı:2l a§ıjı
20t0{,1.?E
20:542' icr,tT}
20ı0{4_z '2olI!{X-iE
§ 2

azerint
Flh 8İo*slng ıaode tıklanarak sıralama
kiterini
.değiştirebilirsiniz. ..

Üir nrde, ,!ıı c.n !b* fte e.d diredoly coi€

İğ
Fib @lltlns ıiİ be +*w1 i. üi§ *.dor.
lülo.e ffe drlaj!5 8 bf lğlnd lsr§ tı€ ıı€
üadah li* al.ii. €
rıd gl tt* İd to. tJııe.d*ti.
::. ]y, o, cal. abo'ğ1 ü. nh6 ğing tts ğidrnn h..der§ ' ]"],
.*reDE.E-

@ADEo security Labs, 2011

Autopsy-Devam
-,a ,

fu4r!§a! dnç !r a,d!.6ı<;at.*ıı*

iİğtrj.. ğıdıd
İ.! .r.ıı nrnMlc
o.d s€
6a:ç ıı g_"ocçla,; u,
ilİ5 \,a-] B5i2ürtıl9.ffi]ıJrağt 3a
"o...
içir,de .EG.ak Eiğre ırr.6 ,rt. r§ !ı..a
*-"ry*
iı!.eq,ıü,r.,İddd
üma.:
yi ya d. t ad€
kelirE€ Yt
t16 y.ıE:.rimt0qcğlr;aaoir..!@ırrt

gre, F.9Jl, !o.!§

€
rr$lıı9
€ lılüGlrn'§ İs.ı.aı_§|n.ots..
Üt*rdf6!ıeĞ f. ıraıd

tİEve].'.E9,c.ıffi*.Ür*

Pt€
dorined soatclr€
s
.l]l:,
*
Dğaa 5.ce.Jar rj'ra.ic. :ş|..;
da kğliot§
yaçllnıa§§a b, sn.r-€
§ ksiıl 9özükür;i nıJ
sĞar.İ€
i:JJöda ğsli ğiğmalr. 9a:jk!,.

@ADEo secıJrity Lab5, 2orr

97
Autopsy-Devam
H..k.dlinoriHackıennisLinuıi!ol2 _ ırdıl!a a! openiftE v6l2_F..gD.rl2o5a25,E*

aEAııüEı xresc^ğ FEİrE

+
s...cı!hı İo, ısc§: ı}o,,.

67 li!_ foıı E lesb

rscn (dlgbt -

t
sai.İllrlc lorıhl.oö: fıo..
s.Yilrg: oon Frğürrri:2o5r95
Ara.ıan !.li,İ}e Fda if.denin
GğjP;25 bütjndUğuftaglirntı.
aııo.iton dorlrrrp

6' ğ..ılİı!.E, ol9rıö E! ıaııd

2!Ea5 l- ai .al 63 li}3l?

ı5
F!]igİ.rıl 5ı? (8g, 4şe0
1: 124l9rıi)}

l Fraqfi.nl537 (t!!! tl2

ı
_

lzr ıı,oıı
Ç ^şç!] \2a

Ç;J'!ı.d 2o5e5 &!.. rşdı

3: !?1 {bot..9.vb/@j
ı92
2e
Frİğoert 2o5t33 l@ 4gi)
4: 93b{8), J
'8{s€
€
:
@ADEo se.u.it/ Lab;,İffia

Autopsy-Devam
İ, ,, ::: =: -:
,,..

ful tı i.rsd ğnrg d.çĞ3*f 1o ğdl fo.

ğ^§cll ğ ıhtad€
c@ ılğğliE q.ec i.g,.{a Eç.6i,

* ide<e UaJ}o<ated
:ıanlardaa.ama
yapılma9 d!.ıJnlunde
NoTe.]ıtırttçd:.!r.hdr!9..9o.ıs§irrE .
.dahi az hi! çlkma§l
A şta iidlçİ a!ğ İlitrğ.6l ıi İtrn b eits @.
Previous s€
arche3

Pa9dğnnod seiĞhaa

e Şı ı3? ,; .
@ADEose(UrityLabs, 2011 www.adeosecUrity.com
98
 Autopsy-Devam
ıra.kcdıinqı:şa.ılenhi:ti.!İ:vol2, Mozitla Fiİ.f oİ

a9
t

Fiİa sorıing
'yP€

ta
6rlal]tıl.;dl sür(
içindeki dosyğıarln
sıj€ için sort Fi1.5 by
ü
ıre
Type ]!niıne t|kliyoııJz.
]

.d.l,.k6..ittd.EiE.ftL.ıt.iillği...nrn.tİ,Prn@'

ğ siği-F_r!,

6b.qdL.GrFt,tqa
*drğ9..ç-d.!tir
ıfufu,*dr9j&F

@ADEosecurity Labs, 2o1ı

Autopsy-Devam
Fl!r^&İ. xlıE<lrfr Fqlrr. lue§..iG

. Au6ıakı' (;l)5li,
. t|n.ıırı!d {.{l)
Hi5h datibase kUllan,m,ndan mJksimırm
rı, sDd i.E t ; , dere(ede v€
nm aı.nabi[m$i iç;n sistemin
. Non.Fib§ ı5Eı?i ,rorünsuz,,§tab;l halin€ ilişldn hr§h '
]

. 'çtrt] iı,.8E (|] deger|er;İjrİ €

l'mizde olrİla9,aiei€
kayor_
Şekild€
n d€ göruleb.k.eği İ2€
ıe ilglli
gldDdݧ . si§tame art daha üin aden oİı,şfuıu'ğn hasil
'değe.klinin soıİerlardİndan İUllönİn);;
. llA& ı]r.ö& Eı.İ/*ğ .-(;j
sonUaündan ıncelerüeye değeasadece 51i
dosyanınolduğıJ tesı.t edırvo..
. Erırnl]iş tııs,*'!.. 1l7l
. Hıü Dıru( Erlk*.., ıış
c§reb (tıı]

@ADEosecurity Lab5, 2o11 www.ade05eaUrity.aom

9s
Autopsy-Devam
ıa<kldLanurlH..kl.nmi5Lin!,

İ: htrPr/taJEğ:9999/ r|
s-. .
..FEAjlısE ı(ffis.rftH fMİfi

ı 50205

]ş.ry boği: §4
g ğ!..aEd
grlo6!.d
! JO.atEd
ı alocaEd
1aıo.atsd
q&.d
ıni}jje']n.!n q *.ed
]gfu!"d İn.d€
'!ar at.nm§ fr€
. in6j. d€
tay!ğ.,rnn çğijıdüğ' b!
tf,€
€ p€
r..€
red., inoddln nangi dc5}2lı
!a İee ttıği, dosr?ıin tlJrü, d.çFnl.
işa.et €
inode'ıa, ise boşia.ıan
ğı.€
f MDl ve stlA-l ha§ı değe,i, ;nod.
1r!tğ.il.ntğrroi8z. !4 n.ğ :aman lamgilaı !e jirekt v9 in]l.ett
l! iı€
e bIol ad.ğ51€:i r alı..
Y€
!e f.e
1l t@

-ıEı!Eİ!a!,
l5EsroirıD-ğ.d.lin d f{ryRDlİ oj!aö..n 9İ ı:rı :.ı

@ADEo SecUrity Labs, 2o11 www.adeo9ecurity,com

Autopsy-Devam
öpğiİğ vol2.k çr...f 6a92ı..ı uİrol2 _ iorill. fi.€roİ

ı64]he.i-5&ae-!t-ı. a ..|-
^

ıı,,hğol Frıgffit!: Asaıi ,

tscll ..l
_ii!tiİİr§lEgı-
q d..# F@:Lw f raom.ai',n atanmışJlk

1ıio6*l_ iürurrıij'!! ıĞ hangi 9İe

ıa!@ Gra§ 25 i(hd € r aldüğ,nl bıj.ndaa
y€

q r{o.r.n
ı !İo.@ ıscll crt6l. .İ FE'r6i 2@ ü al
& rıo.*d
& !ı..*d
lq a|ocd.d ış p6
€ §116_ ..d,^6r't.Gı/*ır*_:D
EırdI_§lm, .rd,/i5^.rl^.r:o_3a
F(nT
€ crm .ctn6^.rl^.ı2(n :n
EıPGİ-§{m-.En/r6r.m.l/s.rD_, or
Eçfir §Y* .rcılı6^f^ı. ğrıdl5a3o
ii}İi+L,lı
fı&r_iiit:6ı:bb.

on.l|o.ated .la.lir
nPri.de.s!€
fi yao..ği
i.jn Ldd lhallo(at d ,|lP]..t-l]!
bUto.uıaba5ryofuı. tçsslotlo{nd"6..d F.,tr ğ, oi6.öH €
ı sğ '37
@ADEo s€
cıJrity Labs, zoıa www.adeosecurity.com
100
 Autopsy-Devam

a k,r&*9.Jrjsğİ--ğdl,,,,5r.{lİt 4
'İb.{ tt .ıı.r!&riM &- ..| , !/.
st6bcl a

cA§E GAufFY
H.€ r..l6 ğ* iiii.İ. b.ürily
n n6ır{n-br.r.
d

l a-lİ. E!* ı.r*rr- + 2 da.İİ*ıl* tn_ı.

o /u 9ı. €
0ı.63,{6
sı.€
o1

Dorr- alcivit--'.r;ne il;şkiı bırtimeıii]e olüşt!.nak için

l19ılI.ase de mant]k sa| sı.ut ül,u seç1, 6;" k**
Lines bUtonUna baslyo,LJ2_ TlmellnP olıJştUı mdk .(,n 'r-"
izlenmesi ıerel.€n ıkiad,m var. Önce|ikıe cİ€ ate Data File
bJtcnUn3 barıp biIHy dosy3sl oİüşturUYoiLz,
5oaı65ında bu body dosyasını humaa re adable foın,ıaıa
.'ö' -şıurn şt .çl1 de cre.teTim€
line butonLoa
basıyoııız.

@ADEosecurity Labs, 2o11 www_adeosecUrity.com

Autopsy-Devam
a.
G

ü /ı/ aı..01-63 4aı949 en R.c'nry fls _r -ı€

rıvou
Body tk.saved lo /forensi(s/Hid(edı-ın$:,.rta(kl,enrisLinüJx/out
İiel iiE !e€ ryf.. ,5 ğ*ğ ırilbo<'y

ğ Ao€
ğr Fü. ğ t ır|.etca F&3 E tİ addtsd lö hod .orfg e
c.ııralݧ uDs vaaır9

MDs Veti;: 8ft7laioi6€

!8AİF8na€
G9124{O^E

The n€
İt slep ıs lo ao,i lhe data inio a !me{,rıe...

tsEss,o§ D-6d€
fil* ıü/Fry L.fu O şı §, : 4

@ADEosecurity Lab, 2011 www.adeosecUritv,com

101
 Autopsy-Devam
a ttç,r,b(.ı(a:9999ıetaryrb.dy-rir9arn d-5&lit-ıa.ı66 t' - ,ll-
6.

c.Edittg T,t.&l. ufig d ğb. rİn zcir: )

Tin1€lin€ oloşturmaL
.(jn lulıanllaG&body İnğ.€ gved to /to relr§ir!/ıa.kedıiftx,lacıt€
rıiEr}.ğı/al,-tPut,,trEline_ tıt
Entİy add.d b t 00,ln?
ho€ ö,

ıaFsaya.. k şekild€ cahjatng uDs va!€

uDs vg!., 3fE€

9t6€
Bee!Crg9( iO8a 3267E5
ıF!}€
Jlacağıfu

(}6]r: ı § e9ie. 1o ıirİ. nı. İn€

ıl6 n a tsn €
di.f fİarl lıeG]
okr.UİUlğnti.İ.ı_-line
do:yasınln ner€ ye
,a.lİata9Inı belıfliroru]. 5. s.ıd tE Uı{x ]m.r. tt d @.ğ]İğ dE

* Çlkİda ulD ve Glo yerine

hrıaİrı v€ giJP isimk.inir
Ç*h for.i.tta. : oİ*(*d {nğh.,) Yer a&nasl inen.l,oi.a bu
b€
linediğamiz lE.m dt İLfi}da ve
dosraırrının yeı
letdgınup 'ddpi§§wd
aldğı i..aj, b€
liĞrya,Uz.

§lssı(ıırgınt6D.d r&rfinİf al-.nbd o şİ .37

@ADEosecurity Labs, 2o11 www.adeosecUrity.com

Autopsy-Devam
İm€
lire: H..ıed!iM:H..ı!€
nmiğ!iffi , ra@irra f ir.foİ

l ı,tş ıı-*e oc9rr or,rn _!drr&İd_56ğ_r.alÜı A !| c

Ha.gi tarih araığlndakj

olaylaın 9irrüİlükne(€
ğiş
beliftt.ğimiz k6|m
t
0 0 3 1l /l6o,!n rfaEo.rrFğ1 1 (6İHi
'|32. 0 9 ll.$rhfu ir9E! 5
:..ri 5a206

9?7§ 0 9 5a20, lllğrıöt ! .rrg.t_5 |l|i|i

:
l97 0 0 5020€
. 06.32 00@lp 'rlrrlrci'r. .ta§.1 5

Ard§d gelçelil€
şe. 0 0 50210
860€ 0 ö sa212
ahr.ia go9tgEltr. l0a365 0 o jo2l3
0 0 5a21.
al2 o 0. ao2ı
la 0 o 5c216 '
0 0 ğ 11

a?nA4 0 ı 51İ2üı :1üü 2.62.

80203 0 0 §}203 ,1-1
793c3i 0 ı ğ217 26
0 e,l2]a nmraan9-z 62+rs*G

@ADEo seCUrity Lab5, 2011 www.adeo5ecuritY.(om

102
 Autopsy-Devam
(rrğ loag€ ın ğr<l€
dli.u:Ha.İl€
Mi r fir.for _ . t

httpJ/k aı':.d:9999bJt 9sYrn.d_oafi - ç

sd.d, Erj*, b.İıüre

c,AsE GALıEFY .. |o5r

a1,.€
ı.disk
o]y ı - 6] _4aı9l!ı
al, e€
sı,t€
l.4a2ğı3-ı677ı€
59 ....

Dosya 5istelİ! imajlarlnlİ ve analiz.9rB5lnda dreılea

dos,laIaıın lıasl,ı değeıler:!T io doğrUlanma5ınln yapüldlğ,
penae.e.

@ADEosecurity Labs, 2ou www_adeo9ecUrity.com

Autopsy-Devam

AIEEİ DAİAIA]§E

16fiĞ4khie&.deft &*dip_nb].ğıldr.ğğe.İ,iiqj.p-..n4ri fu u,9ü

s.l.'.nrm.6Ür]r.t.dd:'?.n..fu,
a. , .. kıİ.*ğ o İAğ^.E
cısĞe.,!.qY }lcrG^u:R
I*BĞlr)b§.9$!ıtsrı dFJ6i!6.rtrĞti.ltiApa-jr-{ fd.El
d,!6drırğğ,

i_rt
'k
*. r e*
^rF,
b
b b qğ!,d
!&ı|iffi İ..
!qd. ı§ajdy
-..
-:§T]].l.:,;;:'
İlgili lıash verhatranlanrrıı ne aoaçla ku|lanıldığ,ı,e mev(ri
ca5e iainde kUllan'lıacak lıasİ veı]tabailirının lokasyonlaııiiıı
yPı;ıdlğı pei{€re- case c!,lştııı.ılurlıeı herhangi b;İ tanlm
9ir!ı,,.idiĞ tai.d:rde Location klsnllnda Not coıfigured
j

ya7aİ.

@eoT secuiiÇTi§-oıı www- adeo5eaurity.com

103
 Teşekkürler
iLETiŞiM

hali1.ozturkci@adeo.com.tr
www.adeo.com.tr

www.twitter-com/haliIozturkci
www. adeoseCUrity. aom 210
@ ADEosecu y Labs,2oı1

106
Autopsy-Devam
sansf o.ensicsg^sIFr-workstation: -

,/fo ren5ic s/Hacked Linuı./ııac kleıtıis Liı ux./ host - au t

san srFT -tlo rkstati.on : -l sudo Gat /rorensics/HacİedLinux/}ıackıeııisLinü ı
s fo reısiGs€
x/ iost. aüt
AııtoPsy lıost coıfig file
caset Hacİedliı!üı
E
Host l ı|acklenmisLinux AUtopsy tarafınijan kL,ll3ılIan ıcıi gu.as,ion
Created: tJed Aug ı7 13:58;25 2ğ1l dostagrın biı d{neğiyant .afta göste,iımektpdir
ilaslı yeıt.barıdnıı scnradan eklemek i.in yaplımasl
desc tla<kleıDisLiıuı Bİ.lgisayar geİekQn şry aşağl da ki satı ılaı ııoşt.ağt esyaslİa d

tııeskew § eklemek.
ieage iıngl errf ioage5,/01, e01 alett_db'rğ$r|ocal/ha5h/bad.db'
i§age imgl eı.f inages,/ol. e02 .xC|ğde_db'r!5rllocaılha9h/eı(lUde_db'
image img1 eİf ina9e5./01, e03
içage imgl eYf inaqes/01. eo4 ıisPL veninbanlen lçln:e Aütop.Y'nin rUııendiği
iııage iııgl eUf image5/01. e05 dizinde yer alan (onl.pl d05yasına arağıdakt şekjlde
disk volı imgl dos i]ir yo' t3nlmın, ekl€
üeliy:z.
part vot2 ingl 63 481949 ext /L/ lNsRLDB ='fu sİrlo.al.rhashrnsrl/NsRLFile.tİt'i
ğart vol3 ilıgl 4820ı3 ı677ı859 rau 12/
strin95 vo14 vol2 output/Oı. e01-63-481949-ext. a5c -
usistrings Yol5 vol2 output/o1. e01- 63- 48l949- eıt. uni
blkls yo16 vot2 oütput/gı. e01- 63 -481949 -ext. unaltoc
strings vol? vo16 output/01. e01- 63-481949- ext. unalloc - blkls. asc
unistiiıgs yol8 v016 outplıt/al.eot-63-48t949-ext.unallo(_blkls.uni
sansf orensicsGSIFT -l{orkstation : -$
@ADEoSeCU.ity Lab5, 2011 www'ad eosecu rity- com

Autopsy-Devam
ı .i, *,.,.-,.--,.,
-"_-.,9-],_4rü.,-
]]l . 4:
^ İ }:.. - . -:::
,. .j ı
ı.<İ.{!i@:İ..ttmi.!iMJol2 - ıağrill. Fir.fi' E*. d i.^/İEfu ,.'. -iıü!6 6&İı:

cğlE
1
]94!!!!!!1
gpriEı.r,,:ll',ıö
?nığOa.2a 20ı0{+2a a 4İra.r §r ı ,ii|ı bıı
'2r:ü2l ıslı.l ?35/122 oc'Ğıİn.D.n':9;,r.,
2r1o4+?B 20lc.aa2'

Arrtopsy içi.de ilg'lido§yalala ait.otlaı almak ve

rapo, aşanığsında bu natlarcan faydaıenmak
mümkün. Noi ekİerken ılqıIi dosyry; ait ılAc
,/asalta.ın,n dd Add a seqıJencer Eveot
kt9nıildaki seçenekle. ]le ola,r sırala,ıa:ıya
qdade, |,.e5i.,UmLU".

@ADEosecıJrity Labs, 2ou 104

www. adeo5ecıJ rity. com
 FTK@ lmager

@ADEo se(Urity Labs, 2011 wwv3deore<urity-aom

= FTK lmager Kullanımı DetaylıAnlatılacak!

@ADEosecurity Labs, 2011 \rww.ade05ecurity.com

105