Professional Documents
Culture Documents
ADEO Security Labs File System Forensics
ADEO Security Labs File System Forensics
ADEO Security Labs File System Forensics
HaıilÖZTÜRKci
M icr*soft MVP
al55P, GCFA,GPEN, CıH, CHFl,
Ben Kimim?
* ADEO Kurucu Ortak&Güvenlik Birimi
yöneticisi
= lstsec ve Ankasec organizatörü
= Microsoft MVP, Enterprise Security
=
profesyonel penetration Tester
= Adli Bilişim Uzmanı
= SANS Mentor (wWW.sans.orq )
* CISSB GPEN, GCFA, CHFI, CEH...
* www. haIi ]ozturkci.com
= www.twitter.com/ha i loztu rkci I
= Fiziksel Katman
. Sürücünün kendisi
= Dosya Sistem Katmanı (Partition bilgileri)
. veri katmanı(verinin saklandığı katman)
. Blok veya Cluster
= Metadata Katmanı
. Yapısal bilgiler (EXTz/3, FAT, NTFS)
* Dosya Adı Katmanı
. Dosyanın adı
artık.)
= Eğer bir disk içinde 4'den fazla bölüme ihtiyaç varsa bu
durumda birtane extended bölüm oluşturulurve bu bölüm
içinde içi içe bölümler oluşturulur.
= Extended bölümün ilk sektöründe kendi bölüm tablosu
vardır.
@ADEose.ıJrity Labs, 2011 4
www.adeosecurity.com
MBR ve Bölüm Tablosu
MBR Bölüm
Tabiosu
ğ \
a.la.ı Extended
FAT3z
Bölüm
o0rB3a@&<o1^662]a
0
ı
2
o' Prn!.ry 9aılrbn3
alaE 'r9b
ağ, 5ğa4 ornğ sruduc)
!
alj
l.6R,bıftn 0tt^55 2
t_! l
Bölo/'' tirİ
1 i
5-7 3 Brişct|s değ.n İi
8_1l Başhngç§ehğlü
adüm boyutu (.eKö.
12_15
ol.nr}
HexValue TyPe
l FAT12
[ii]'iiltrlğ] oxoooıb7o8=ıız39z oxoE FAT16
ffi.ffi
oxoc FATf2
*Little Endian
o)€
3 LinUx Nğtive
8o 83
E 3f o6
+
o8 bı o1
ı
oo
ox82
oxA5
Unux swap
BsD/386
Extended
oxo9
1_12392 adet NTFs
5].5ektö
@ADEo security Labs, 2011 wwtv.adeosecurity.com
VeriYapıları
Bir çok dosya sistemi sektör olarak adlandınlan ve 512 byte uzunlukta olan temel
veri yapılarını baz alarak adresleme yapar.
ı Genellikle ardışıl gelen sektörler z'nin katlan olacak şekiIde gruplar haline
adreslenir. Bu gruplara veri yapıları (data units) isminiveririz.
ı Veri yapıları farklı işletim sistemlerinde farklı isimlerle anılırlar. Bunlar;
. FAT Cluster
. NTFS: Cluster
. Unix (FFS ve EXTz/ı): Block
. Bu veriyapıları dosya sistemi içinde ikidurumda olabilirler;
. Allocated
. veri blog u bir dosya tarafü ndan aktjf olarak kı.ıllanllryordur.
. içinde birdosyaya ait verivardlr,
. silinmemiştir.
. unallocated
. veriblogu birdosya tarafindan aktif olarak kullanllmlyordur.
. içinde birdosyaya ait veri olabilirde olmayabilir de.
. silinmiş yada kullanllmayan veri içerebilir.
. Dosyaya ait kahntlara FRAGıiEMT ismi verilir.
;;; ,-;;
T: =-_Y _
Siza, D<isyanıri gerçeİ
boyutunu g<istenı.
sizeondisİ: Dosyanln disk
üzerirıde ne kadar }€r
.ıaplö*ğtnl gd§te.ıi: Eğer ilqili cluster daha..önceden
kullanılmışsa ve önceden bu clusterda
x lğ..c,iir Tğİr, r iüş
yeralan dosyanın boyutu mevcut dosya
:u,.1. :-ğ . &".:!. boyutundan büyükse bu durumda eski
dosyaya ait ka|ıntılara slack space üzerinde
rastlama k mümkün.
Slack space'|erde dosya sisteminden
bağımsız şekilde veri saklamak
mümkündür.
.ı*|,@
RAM Slack
File 5lack
Metadata katmanı
= Metadata katmanında, bir dosyayı tanımlamak için
kullanılacak yapılar yer alır.
= Metadata katmanını bir kütüphanedeki kataloga
benzetebiliriz.
= Metadata yapıları, bir dosyaya ilişkin disk üzerinde nerde yer
aldığı, dosyanın MAC zamanları, izin|eri gibi bi19ileritutarlar.
* Her metadata yapısı bir adrese sahiptir.
= Bu metadata yapılarıfarklı dosya sistemlerinde farklı şekilde
isimlendirilirler.
. Unix/LlNUX: inode
. NTFS: Master FileTable (MFT) entry
. File Allocation Table (FAT), Directory Entry
ı Bu metadata yapıları da allocated veya unaIlocated olabilirler.
@ADEo secUrity Lab5, 2o11 www.adeo5eaUrity.com
8
Ext3 Dosya Sistemleri
Ornek
Hard Link
aa.
:.:..:.-: , İ
Hard Link'den farıİ olörak 5i2e kĞm iref iki dosya için fuiklı.loıeıısics]-lxt isimli
dosyanln LroyutüJdosya lsrrıinin ıroyutıJ ilerynl ğ4 ka.nkteü). Bunun y3ntnda yeni dosya
l(in orjtnal doiyanln lnode'Unddn fd*ll bjl inode kUl|an|yo!.YeniolUşlUrüJldn soft link
.dosya he,.İıangi b;İv€
rl bloğU ;ç€ lmediği iÇn B|ocks kısmııdaki değeı'o,BunUn yanlnda
he. ikidosyanln kendj inod€ 'ları olduğU için bı., dosyatann MAc zamanlart da büölrinden
farklı,,
Metadata katmanı
Dosyalara ilişkin metadata bilgisi Ext dosya sisteminde inode'larda sak|anır.
Bu bilgilerden dosyanın boyutu, dosya için ayrılan bloklar, dosyanın sahipliği ve dosya üzerindeki izinler
ile birlikte dosyaya ait zaman damgasi bilgileri adli bilişim incelemeleri açısından kritik önem taşırlar.
Her bir inode içinde ilgili dosyaya ait 4 farklı zaman damgası tutulur.
. (M)odified:Dosya yada klasörün içeriğinin değişmesi durumunda güncellenen zaman damgasıdır.
Dosyanın içeriğinin değ j$irilmesinde yada bir klasörün içine bir dosya ek|enmesinde yada dosya
silinmesi durumunda güncellenir.
, (A)ccessed: Dosya yada klasörün içeriğinin okunması durumunda güncellenen zaman damgasıdır.
Örneğin bir dosyanın içeriğinin bir uygulama tarafından okunması yada bir klasörün içeriğinln
listelenmesi durumunda bu zaman bilgisi günce|lenir.
, (c)hanged:Dosyaya yada klasöre iiişkin inode üzerinde birdeğişikliğin meydana gelmesi halinde
değişen zaman damgasıdır.Örneğin, dosyanın izinlerinin yada sahipliğinin değişmesi bu zaman
damgasının değişmesine 5ebep olur. Bunun yanında Modified zaman damga5ını değiştirecek her
değişiklikte bu zaman damgası da değişir.
, (D)eleted: sadece dosyanın silinmesi halinde güncellenen zaman damgasıdıı
Eğer Ext dosya sistemi ile formatlanmış bir partition -noatime parametresi ile mount edilmişse bu
durumda hiç bir zaman ilgili partition üzerindeki dosyalara erişimlerde Accessed zaman damgası
güncellemesi yapılmaz.
2:
,:
,ı ,i
ı lndi€
(ı Blod€ oo2ğ)
l4M sb-agei
1
ı ı F-_
6 ı
8
9
ı ı
ı0 .
1,t ;
14
ı
ffi
l5
FAT 12 ve FAT ı6
FATız
. Cluster Boyutu = 5ız byte ile 8 KB arasında
. z" adreslenebilir cluster
, Maksimum volume boyutu 3z MB (4o96 cluster*8K)
FATı5
, Cluster Boyutu = 5ız byte i|e 64 KB arasında
, z'6 adreslenebilir cluster
. Maksimum volume boyutu 4 GB (65536 cluster*64K)
. win95, 98, ME 32 KB'dan daha büyük cluster boyutuna izin vermez. Bu durumda
oluşturulabilecek en büyük boyutlu dosya z GB olabiliı
Kök dizinde her biri 32 byte olan 5x2 kayda izin vardır.
Kullanıcı erişim kontrolünü sağlayacak herhangi bir özellik
yoktur.
= FAT3z
* C|uster boyutu = 5ız byte ile 3z KB arasında
* Cluster adres|eme için 3z bit kullanır ( 4 bit rezervedir ve
gerçekte z8 bit kullinılir)
* z'8 adreslenebilir cluster
" ?68,435,455.cluster ile teoride maksimum 8TerabÇe'lık
bir volume oluşturulabilir.
. Windows 'da sadece 3z GB'a kadar formatlamanıza izin verilir.
. Windows başka işletim sistemleri tarafından formatlanmış ve
boyutu.3z GB'dan büyük olan FAT3z bölümleri tanıyabilir ve
üzerinde işlem yapabilir.
. MBR'ın sınırlarından ötürü en fazla zTB boyutunda bölümler
oluşturula bilir.
- Herhangi bir güvenlik özelliğine sahip değildir.
= kök dizıni cluğter zincirlerinıkullanır.
@ADEosecUrity Lnbs, 2011 www.adeoseCUn'ty,com
FATYapısı
" FAT dosya sistemine sahip bölümlerin her birinde aşağıdaki dört ana bölge yer alır.
Bunlar;
. Bölüm boot sektörü
. FAT bölgesi
, Kök Dizin bölgesi
. Dosya ve Dizin Bölgesi
, Bölüm boot sektöründe aşağıda bir kısmı verilen bilgiler yer alır.
. İşletim sisteminin adı
. Cluster baş|na sektör sayısı
. Kök dizindeki maksimum kayıt sayısı
. Volume adı
. seri numarası
ir^,
lı'ç",.ı
0| 72 1 UJ 3a 8N§ f i. Ğ<. r . . ö ı
} .
18
NTFS Dosya Sistemi
ooo
o10
EB \2
oo
qo
oo
4E 54 46 53 20 20 20
oo F8 oo oo
20 oo 02 E oo
oo
oo
oo
02o oo oo oo 8o oo 8o oo FF EF ZF OO OO OO OO OO
03o FF 01 OO OO OO OO OO FF FE 02 OO OO OO OO OO
Bir NTFS bölümü içindeki her bir dosya, yine kendisi de bir
dosya olan MFT içinde bir kayıtla ifade edilir.
ı MFT içindeki ilk ı6 kayıt özel bilgileri tutmak için rezerv
edilmiştir.
ı M FT içindeki ilk kayıt M FT'n in kend isin i tan ımlar.Sonraki
kayıt MFT'nin kopyasınıtanımlar. Eğer MFT'nin ilk kaydı
bozulursa bu durumda NTFS, MFT'deki ikinci kaydıokuyarak
MFT'nin kopyasını bulur.
MFT'ye ve MFT'nin kopyasına ait adresler NTFS'in boot
kaydında yer alır.
Her bir MFT kaydırKb boyutundadırve bu kayıt içinde dosya
yada dizinlere ilişkin attribute'ler yer alır.
NTFS VS FAT
§Tas vs
::
İmaj Alma
Delil Kopyaları
Fizik§e]
Manl&§al
Libewf
ı Libewf kütüphanesinde aşağıdaki araçlar bulunur.
ewfacquiıe, EWF formatında sürücü yada dosyalann imajlannı almak için kullanılan araçtır.
. Ömekkuİlanlm:e-fa.quiİe /dew/s.ıa
ewfacquirestream, stdin'den aldığı verileri EWF formatındaki imaj dosyasına yazar.
, Örnek kullan|m| cat spıit..aş.ihq l eşfacquilestİe ->Bu komut il€ RAwformathdah imaj| EwFformatına
dönüştiirülür.
e*fexport, EWF formatındaki dosyalan farklı EwF formatlanna yada RAw formata dönüştürür
ewfiııfo, EWF formatlndaki imaj dosyaslnln metadataslnl gösterir,
ewfverify, EWF imajını doğrulaı
İmajıAlma YazıIımları
@ADEo s€
cu.ity Lalrs, 2o1a www, adeo5eau rity. (om
dd kulIanımı
ISeçenekler]
bs= b1ock size (Blok boyutunu belirtir)
count=lJUM (sadece ı{tllf ile belirtilen sayıda bloğu kopyala)
skip:ııDM (l{I7iıfile belirtilen sayıda bloğu atla)
conv:noerror, syİıc (Okuma hatası olduğu zaman işlemi
sonlandırma, devam et)
ı örnek kullanım:
dd.exe Kul|anımı
dd - er.e if =IE|IE of=oEILE bs=bİoclsize count--x conv=ııoe-roİ, sfmc
lseçenekler]
b8= bloct size (Blok boyutunu belIrtir)
count=r9u}l (sadece roıı ile belirtilen sayıda bloğu kopyala)
sLiP=lgırı' (İğırile belirtilen sayıda bloğu atla)
conv-jnoclrror, 5]mc (Okuma hatası olduğu zaman işlemi sonlandırma, devam et)
--cryPt3ut! 4aghğlzre> (hashtürü = md5, sha, shalshaz55 )
--verify (hash sonucunu doğrula)
--crYPtout <fi-ı,e> (hash değerinin yazılacağı dosya)
--1og <fiıe> (log kayıtlarının yazılacağı dosya)
--1ocalİ!t (yerel sürücülere yazmaya izin ver)
--ata hpa (HPA(Host Protected Area)'yı geçici olarak devre dışl bırak)
()
(ı] Eq
iz )
@
lıi
@ADEo secUrity Labs, 2ou www.adeo5eCUrity.com
FTK@ lmager
www.adeosecurity.com
@ADEo security Labs, 2011
Ee YĞw üode 8€
b
ğ tdd Etİ€
n€g §ir[..
§ ndd 4 Attadrd De/t,s
..o F.€
h.nE.ı,ı*d.
www.ade05eaurity.com
@ADEo security Labs, 2o]1
FTK@ l mager-İmaj Alma- Devam
FEe]-] + 6
.ş]
Iıgiffi=--
|-"***
9 tğofiiğ.ç*<ĞğBti p t..don: t-3 sge
Eğeı olırltun ld( dl do§va ıek dosya ndl,nde
öfüşturUl9ıJn i§eniyorsa bu durunıda }mage tsçE Eğdil.i*j :r,t i
Fİagment size(uB) l(ı5.nlna 0 yd?,l-n llldll.
-E]
@ADEo secUrity Lab5, 2o11 www.adeosecUrity.com
|
'!izg.
ğ!.td i.E6tıY
ııiiaıı-a-ıı-ııılrıalııİaıı§İıatiİi-ıİıii
ffiH:ıı;
l
or*rı*,q .oto
Proğğ
3r,@of
'n
İ ıB (5.ğ2ıBAğJ
ıııııııırııııııııırııııiııııııı;ııiııı :
Ioff:o,
g=_jl
ı
e05lil!5:0.d@€
adtu,§f.
R!2JıDbrlOgrc3.rlodırlgrdrJ
:J
(E)
@ADEosecUrityLab5, 2o1:. wü/w.adeosecurity.com
33
Mantıksal Bölümler
Sabit disklerin imajları alındıktan sonra ilgili disk üzerindeki mantıksal
bölümlere erişilmeli ve inceleme işlemleri mantıksal bölümler üzerinde
devam etmelidir.
Bir diskteki mantıksal bölümleri öğrenmek için The SIeuth Kit GSK)
içindeki mmls uygulaması kullanılabilir.
Sektör boyutu
6=.:
=.__
, ,ı7l
bölümtlpa
B an9İç ToPlam
Bnğ seküü
Eğer mount edilecek mantıksal bolüm bir windows partition'u ise bu durumad mount komutunda
şu iki
parametre de kullanılmalıdır. show_slıs;fiIes ve streanıs_interface=windovs
E ],-.l]it-i:.L"i
l.
]
o*l
@AD ty
The Sleuth Klt (TSK)
Not
ı İncelemeler http://www. LinuxLEO .com/Files/ ablez.tar.qz ve
http:// www. Li nuxlEO.com/Files/ntfs p ract.dd.qz
adreslerinden ind iri len imaj dosyaları ile kend i hazırladığımız
FATı6, FAT3z ve NTFS imaj dosyaları üzerinde
ge rçe kleşti ri lece kti r.
ı İlgili dosyalar kurs DVD'si içinde yer almaktadır.
-:x
root€
sfFT-HorkstatioD:/forensi(s/sleuthkit* ls -al,
total 475604
drrırYxmx 2 root root 4095 20ı1-09-04 09:54
drwır-xr-x 6 root sansforerısi€
s /ı096 20ı1-09-04 99:37
-.Yxryxr-x l root root 345830400 2003-88-ı1 0l: 16 able2. dd
-ffxruxr-ı ı root root 3700 2003-88-11 11: 56 able2.tog
-rt-r__r-- 1 root root 140674956 2gg7-La-22 !8:?7
-rYxrlxr-x l root root 43 2003-08-11 01:16 ıd5. dd
_fYxryxr-x 1 root root 43 20g3-08-11 01:0iı ıd5.tdd
root@sIFT -Ho rkstatiorı l /f orensic5,/sleuthkit#
@ADEosecurity Labs, 2011 www.adeo5ecUn-ty.com
36
The Sleuth Kit (TSK) Nedir?
ı The Sleuth Kit,adli bilişim incelemelerinde kullanılabilecek
komut satırı uygulamalarından oluşan bir kitdir.
İ httD ://www. thki adresinden son sürümüne
ulaşılabilir.
* Linux, OS X, FreeBSD, OpenBSD ve Solaris işletim sistemleri
üzerinde çalışabilen bu araçlar ile FAT, NTFS, UFS, EXTzFS,
ve EXT3FS dosya sistem|eri analiz edilebilir.
= Bu kit içinde yer alan uygulamalar beş farklı ana kategoride
toplanmışlardır. Bunlar;
. File Sistem Araçları
. Volume Sistem Araçları
. İmaj DosyasıAraçları
. DiskAraçları
. DiğerAraçlar
@ADEo security Labs, 2011 www.adeoseclrity.aom
Genel OzeIlikleri
= TSK içindeki komut satırı uygulamaları dosya sistemleri üzerinde işlem
yaparken işletim sistemlerine bağımlı olmadıkları için gizlenmiş yada
silimiş dosyaları kolaylıkla tespit edebilirler.
= Tsk uygulamaları windows ve unix işletim sistemleri üzerinde çalışabilir.
" TSK araçları ile DOS bölümleri, BSD ve Mac bölümleri ile Sun slice ve
GPT diskleri incelenebiliyor.
, Raw (örneğin dd), Expert Witness (EnCase) ve AFF dosya sistemi veya
disk imajlannı analiz edilmek üzere girdi olarakTSK uygulamalarına
verilebilir.
= NTFS, FAT, UFS ı, UFS z, EXTzFS, EXT3FS ve lSO 966odosya
sistemlerini destekler.
= TSK araçları bir lncident Response sırasında canlı Windows ve Unix
sistemler üzerinde çalıştırılabiIir. Bu sayede rootkitler tarafından
gizlenmiş dosya ve dizinlerin tespiti kolaylaştırılır. Ayrıca bu araçlar ile
yapılan incelemede ilgili dosyaların erişilme zamanlarında bir güncelleme
yapılmaz.
@ADEo security Labs, 2011 www.adeosecurity,Com
3?
Genel özel i kIeri - Deva m I
ı TSK içindeki komut satırı uygulamalarının ilk harfi ilgili uygulamanın hangi
katmanda çalışacak şekilde kodlandığını 9österir.
ı TSK'nın yazarı tarafından benimsenen katman yaklaşımında aşağıdaki listede
bulunan katmanlar yer alır.
. Dosya Sistemi Katmanı (File System Layer):Bu katmanda çalışan TSK uygulamalannın adı f ile
başlar. örneğin fsstat gibi.
, veri Katmanl (Data Layer):Bu katmanda çalışan TSK uygulamalannın adı b ile başlar. Örneğin blkcat
qibi-
. Metadata Katmanı (Metadata Layer):Bu katmanda çafuşan TSK uygulamalannın adı i ile başlar.
örneğin ils gibi.
. Dosya Adl Katmanl (File Nam€ Layer):Bu katmanda çalışan TsK uygulamalannın adı f ile başlar.
örneğin fls gibi.
. Joumal Katmanl (.roumal Laye.):Bu katmanda çallşan TSK uygulamalarının adıj ile başlar. Örneğin
jcat gibi.
. MedyaYtinetim Katmanı (Media Managem€
nt Layer):Bu katmanda çalışan TSK uygulamalannın
adı m ile başlar. örneğin mmls gibi.
. Disk Katmanı (Disk Layer (sade(e Linuıcde)):Bu katmanda çallşan TSK uygulamaİannln adı disk ile
başlar. örneğin disk_stat gibi.
= Otomatize Araçlar
* tsk_comparedir: Biryerel dizin hiyerarşisini bir raw disk imajının içeriği ile
karşılaştırmak için kullanılır. Rootkitlerin tespit edilmesinde kullanılabilir.
- tsk_gettimes: Bir imaj içindeki dosya sistemlerinin metadatalarını çıkartmak
için kullanılır. Bu uygulamanın çıktısı bir BODY dosyasıdır ve girdi olarak
mactime uygulamasına verilerek bir timeline oluşturulması sağlanabilir. Bu
uygulamanın çalıştırılması, fls'nin "-m" parametresi ile ça lıştırılmasına
eşdeğerdir.
" Gk_loaddb: Bu araç imaj, volume ve dosyalara ilişkin metadata bi19ilerini bir
5OLite veritabanına kaydedilmesini sağlar. Bu veritabanıdaha sonradan başka
uygulama lar ta rafından kullanı|abilir.
. tsk_recover: Birdisk imajı içindeki unallocated (veya allocated) dosyaları yerel
bir dizine çıkaıtmak için kullanılır.
www.adeosecurity.com
@ADEosecUrity Lab5, 2o11 38
TSK-File Sistem Araçları Kategorisi-
Devam
Dosya Sistemi Katmanı Araçları
, fsstat:Dosya sistemi hakkında detay|arı ve istatistikleri
gösterir.
Dosya Adı Katmanı Araçları
. ffind:Kendisine parametre olarak verilen bir inode yada
cluster numarasına ait allocated yada unallocated dosya
isminigösterir.
- fls:Kendisine parametre olarak verilen bir inode yada
cluster numarasına ait dosya yada dizin kayıtlarını 9österir.
TSK-fsstat
fsstat, dosya sistemi hakkında genel istatistiki bilgiler
Verlr.
= Bu uygulamanın çıktısıdosya sisteminden dosya
sistemine göre farklılık gösterir.
= Parametre olarak sadece ilgili imaj dosyasının adını alır.
* Eğer girdi olarak verilen imaj dosyası bir fiziksel disk
imajı ise bu durumda mmls ile ilgilidisk imajı içindeki
partition tablosu okunmalı ve hangi bölüme ilişkin
istatistiki bi lg iler öğren ilmek isten iyorsa -o pa rametresi
ile başlangıç sektörü offset değeri olarak belirtilmelidir.
})
fsstat ile -o parametresi kullanılarak
başlangıç sektörü beliütilen partition
hakkında detaylı bilgileri öğreniyoruz
: Extz
R|e system Typ€
VolUme Nalİe:
Vo|Ume lD: 9o6ezro8oeo9ü488do116o64dal8co.4
TsK-fsstat -Devam
root@5ıFT-workstation:lforen5i.rsleuthıit; fss-tat abİe2.dd ,o coNTENT lNFoRM ATloN
xo260
FlLE sYsTEM lNFoRMATloN BlockRang€
:o-5ı299
Bloct size: 1o2{
File systemTYp€
: Eİt2 Reserved Block Before 8lock6roups: 1
volUme Name: Free Blo.ks] 9512
VoıUme ID: 9o6el77o8oeo9488do116o64dal8coc4
BLOCK GROUP INFORMAT|ON
Listw.itt€
n a* sun AUg ro a8:5o|o] 2oo3
La§ checked aİ: Tıre F€b ıı o5:ıo:o9 ı997 Nırrrıbar of BoGk Groupç: 7
lnodes perq.oup:1840
LaJt Mounted atThu Feb 13 o7:3f:o21997 Blocks pe. group: 8192
Unmounted lmProp€İly
Lasi mounted on: GrouP: o:
lnode Ranqe: 1- 1840
source 05: Linux Block Range: 1- 8192
Dynamic strırcture LayoıJt:
lncompat Features: Filetype, SuperBlock: ı - ı .,._?
Read onlycomPat FeatıJles] sparse sıJPer, Gloup Des(nPtorTable:2 - 2 ç+
Dğtabitrİıap:3-3
METADATA lNFoRMATloN lnodebitmap:4-4
lnodeTable:5 - 234
|node Range:1- a2881 Data Block5:235 - 8192
Root Di.ectory: 2 Free ınodes:789 (42%)
Fİee lnodes:5807
Total Directorie5: $
@ADEose.urity Labs, ıo11 wü,^v.ğdeo9ecUrity.(om
44
TsK-fsstat -Devam
ıE
Dosya sistemi türü: FAT16
TSK-fsstat -Devam
M€
TADATAİNFORMATİON
root@slFT_wo.lGtation:/fo.ensic5lsteüthkit# f s5tat FATr.,i;i}e.oo1
rlLE sYsTEM INt oRMAT|oN Range:2 - 16039942
RootDirectory:2
FilĞ sy5temTyF: FAT16
coNT€
NrlNFoRMATloN
oEM Namej MsDos5.o
sectorsize: 512
VolUme Labeı (lloot sedor)j NoNAME clustersiza: 8192
VolUme Labeİ {Rooİ Directory} Total cluster Range: 2 - 62688
File system Type Label: FAT16
FATcoNTENTs (in 5ecto6)
sectoG befof€ §'e syrtem: o
528-ıa83{5{6),> EoF
Fr'le system Layout (in 5eators) u84-ü99ıa6) -> EoF
TotalRange:o-ioo35ı9 1200-126](64) EoF
->
Total Range in ımage: o - 1oo2991 u64-1.343 {8o) EoF
->
* Rese ed:o-5 1]4a-]4& (44) -> EoF
** Boot sectof: o
*FATo:6,25o {88-1503 (16) ,> EoF
1504-286] (1350) -> EoF
* FAT rj 25ı - 495
* Data Areaj
2864-3151(288) -> EoF ş'
495,1oo]519 3152-]]43 (192),> EoF
*r Root Directory:496 -
** clıJ9terArea:
527 ]]44-34rl {128) -> EoF
528 - 1003519 3172-37flt24o) -> toF
]712-4079 668) -> EoF
4o8o 6831(2752) >EoF
6832-6927(95) -> €
oF
45
TSK-fsstat -Devam
TSK-fsstat -Devam
www.adeo5eculity.com
@ADEo security Labs, 2o1a 46
TsK-fsstat -Devam
İoot@sIFT-wortstation:lf orensaCg/sI eğthkit# f55tat
NTFslmage.oo1 iAttrDef Attribute Vaı jeç
rlLL sYsTtM INFoRMATloN 9_S]ANDARD_|NFORM4TIoN(16) size: 48_7i' F|ags: Rerident
,ATTRıBuTE_Lı5T(]r} "size: No Limit Flğ§:N6n-rrsident
Lile systemType: NTFs ,FaLE,tlAME (48) size:68 s78 Flags: Resadenilodex
Volı.rme Serial Numbeı: 885ADBF75ADBDFCC so8]Ecİ_lD t6a) size: 0-256 Flags: Resident
oEM Name: NTFs 55EcURıw_DEscRlPToR{8o) size: No Limit Flags: Non-
Volume Name: NTFS resident
version: window5XP şVoLuME_NAME (96) size: u -255 Flaqs: Resident
,vol UME_lNroRMATloN(ıı.ı) Size: ız.ız I-1ag5. Re5ident
METADATA lNFoRMATloN timlt t lğg5:
sDATA {128) si,,e. No
rlNDtX RooT (q1) sile.NoLimlt rlags:Relident
First cluner ofMFT: 43690 slNDFX_ALLocATloN hso) size No t imit 1-1ag5: Non-
First cluster of MFT Mirror: 2 resideat
size of MFT Entfies: 1024 bytes §B{TMAP (176) size: No Limit Flags: Non-resident
sizeoflndex Records: 4096 byte9 tREPARSE PolNT(192) size: 0-16384 Fıags: Non-fesident
Range: o -1280 tEA_lNFoRMATloN (2o8) saze: 8-8 Flags: Resident
Root Directory: 5 $LAı224) 5i7e: o 65516 Flags:
11O66ED_UTlllry_sTRrAM (?56) sile o-655Jb Fldgj Non-
CONTENT lNFORMAİON re9dent
sedorsize 512
clırstcr siz!: 4096
Totaİ cluster Renge: o - 13l'o7o
.^(b
Total sector Range: o- 1o48r4 *
TSK-blkstat
Kendisine girdi olarak verilen veri birimine ilişkin istatistiki
bilgileri gösterir.
Genellikle veri biriminin allocation durumunu ve Unix dosya
sistemlerinde bu veri biriminin hangi grubun içinde yer aldığı
bilgisiniverir.
'foJe.sics,r sl.-fi,!ki. * ı
TSK-blkIs
ı Blkls, kendisine parametre olarak verilen veri birimleri hakkında detayları
listeler.
Aynı zamanda dosya sistemindeki unallocated alanları extract etmek için
de kullanılır. Bu sayede silinmiş dosyaların kurtarılması mümkün olabilir.
ı Varsayılan olarak sadece unallocated verileri kopyalar. Bunun yanında
istenirse bütün verilerin içeriğinin kopyalanması sağlanabilir.
ı blkls ile birlikte kullanılabi|ecek anahtarlar ve anlamları şöyledir;
. -e: Bütün bloklar üzerinde işlem yap ('dd' ile yapılan işlemin aynısıdır)
. -l: Her bir blok hakkında detay göster (içerik göstermez)
, -s: FAT ve NTFS imajlarında yer alan slack space'leri göster. (Unix
tabanlı sistemlerde slack space yokur.)
" Unallocated alanlarda yapılacak bir arama işlemi daha hızlı sonuç verir. Bu
sayede siIinmiş dosyaların tespiti daha çabuk yapılmış olur.
. -s parametresi ile kullanılması halinde sadece slack space'ler extract edilebilir.
= Örnek blkls kutlanımı şu şekildedir;
#blkls NTFSlmage.oo1 > NTFSlmage.unallac
::
j-.::::.
!-1i
TSK-blkcalc
Blkls ile extact edile n unallocated alanlar içinde yapılan arama işlemi sonunda
bulanan verinin, orji nal imajda nerede olduğunu bulmamızı sağlar.
ı Blkls adresini girdi olarak alır ve çıktı olarak orjinal imaj adresini verir.
. #srch_strings --a -t d NTFslmage.unallac > NTFslmage.Unallac.str
, # 9rep j -f diğ_words.tıt NTFSlmage.unallaG.str > aramasonuclari.blkls
. #cataramasonuclan.txt
56347383 aramamoturu.com -> dirty_words,bd açinde yer alan ve imaj içinde aranacak kelimelerden olan
aramamotoru.Com'un Unallocated alanlarda neredeyeraldlğlniöğreniyoruz.
TSK- ifind
ı ifind, Block veya cluster gibi veri birimleri ile meta data adresleri
arasındaki eşleştirmeyi bulmak için kullanılır.
ı özellikle anahtar kelime arama işleminden sonra elde edilen blok bilgisi
üzerinden daha fazla detay elde etmek istendiğinde kullanılır.
ı ifind, metadata yapıları içinde arama yaparak bu metadata yapılarından
hangisinin ilgili veri birimini gösterdiğini bulur.
ı Bu sayede anahtar kelime arama yöntemi ile bir kısmını tespit ettiğimiz
dosyanın tamamını elde etme imkanımız ortaya çıkar.
ı Bazı dosya sistemlerinde dosya silinmiş dahi olsa ifind unallocated
inode'ları tanımlayabilme yeteneğine sahiptir.
3-123-1
,Mt'astrt-ı{ö!t5iaEio:1
1234 numafalI clusterın 33 numaralı MFT kaydünda yer aİan dosya taraflıdan
kullanıldığını tespit ediyoıuz.
TSK- istat
$STANDARD_l N FoRMAT| oN
521
@ADEos€
cürity Labs, 2ou www'adeo5ecUri-ty.com
51
TSK- icat
kullanılır.
= icat ile kullanılabilecek parametreIer şunlardır;
-s: Slack space'ler dahil edilsin isteniyorsa kullanılacak
parametre
-r: Dosya kurtarmayı gerçekleştir. Bu parametre özellikle
FAT dosya sistemindeki dosyaların kurtarılması için
kullanılır.
TSK- icat
al
2.
_.a
s€
Kendisine parametre olarak verilen bir inode yada cluster numarasına ait
dosya yada dizin kayıtlarını gösterir.
fls'in bu özelliği normal bir dosya 5istemi üzerinde çalışıyormuşçasına bir
imaj dosyası üzerinde işlemler yapmamıza imkan tanıyor.
Eğer girdi olarak bir inode numarası verilmezse bu durumda root dizinin
içeriğini listeler.
fl s ile birlikte kullanılabilecek parametreler
şunlardır;
-d: Sadece silinmiş kayıtlan gösterir
-r: Dizin içindeki alt dizinleri de iş|eme sok (recurse)
-p: Recurse modda dosyaların tam yollannı gösterir
-c Çıktıyı mactime girdisi formatında göster
-I; Tüm zaman ve diğer bilgileri uzun formatta gösterir.
-z: t|mezone bilgisini belirtmek için kullanılır (-l ile birlikte kullanılır,)
-s: saniye kaydırma için (sadece -lve -m ile birlikte kullanılabilir. )
TSK- fls
.oot@5lFT,
wo.kstation:,{o.€
n5i.56|eı,*tk t{ fl! /r3_ta 3: cYolurne
NTFslmage.Do1 r/r38,98,a]ad€
ose.urity lab§.ğlq
r/.4_118-4: .AttrDef r/.39.1:Bai liaiübijpg i'lil.
,r/r8-r.2a-2: jBadclG i-]
rlr ]9-.r8:} ha]ilabi.lps:zon€.ld€l1İf iei
,/İ8-128,! JBadclus:.Bad
./r5_128 11 38,tnEP r/r 37-128,ı MVP Fğll(olor_Fo,Print_t f
ri17-12a-1: tBo6t r/. 4 2-12&a: İtV_nng,Jpg
d/dt r-44_a:İExtend rl. 41 ,8_1: ifujPg
rf 2 D8-1: rlogFa|e drd u52-ı44-a: P.o.e55tr4o.İho.
dld 1255 44-6: regshot_l 8 2_5İ<_bin
,r.l,128 LMFTMii. ]Çt28 r: sEo Poüsoning v€
r.k9 128_8: rsff Ure:tsDs 'r
DlsableR€g;stryTools AnahtarAt,do.x
rrt9_14rt 1ı csecu.e:asDH r/r ]5 12a-1 §oL ln]ec|on .i ıerinden
,
r/.9-144,5: rse(ure:asll
rlr 10_a28.1; jupcas€ d/d 4]-144 6: aor Browser
d/d1280: §oryfianFiles
* İle gösterilen
dosyalar silinmiş
dosyalardır.
-d parametresi ile
kullanı|dığında
sadece silinmiş
dosyaları listeler.
TSK-ffind
ı ffind:Kendisine parametre olarak verilen bir inode yada MFT
kayıt numarasına ait allocated yada unallocated dosya ismini
gösterir.
ıı
(ıraın Kntegori
türi] ismi
§le lomufunun
çıkıında aranacak Perl
regülar exp.esgion
ifadesi
sorter KuIIanımı
, # sorter <seçenekler> -d dizin İmajDosyası
. Seçenekler:
. -e: Sadece uzantısı uyuşmayanlar
. Verileri kategori dizinlerine kaydet (-h parametresinin kullanılması
-s:
durumunda ayrıca ilgili dosyalara ait thumbnail oluşturulur)
. -d: Bilgilerin saklanacağı dizin
, -c: Konfigurasyon dosyası
. -m: mount point
. -E: Sadece kategori indeksleme yap
. -l: Detayları STDOUT'a yaz.(Hiç bir şekilde dosyalar dizine çıkartılmaz)
. -h:Detayların yer alacağı bir html dosya oluştur.
= Örnek:
sorter -h -m / -s -d /sorter/ fforensics/Sleuthkit/NTFSlmage.oo1
üıetilen htmı
dokümanlarına erişim
için index.html
dosyasını kullanıyoruz-
sorter kulIanımı
so
haEs
. foredcs/slsıı6İita[rFshagao a- !l
rlı6 {ı27ı)
Itb§ sığncd (ı35) database Category
. lro}Files {135}
. Re.]toc5t€d Nabe Fi}es (o)
/ror Bro\iser/Fl_retorPortabl€{Da
la,.lrone/cert8.db
. 'ignore' car€gory (o) Berteley DB 1,85 (Hash, verslon 2, Dadve byte-order}
Iinage /İoreDgi.s/SleuüıdvNTF'sınage.0o1 Inode: 1 181-128_1
saved to: databaselNTPsımage.Oo ı -1181-128- 1.db
. Eit.ırt!)İ, ,\ıJEd!.l!es ll53)
/Tor B rowser/T-f efoxPortaİdğData,,!ro6le/}€
y3_db
cat gri.§ (1l36ı
Beİ}.eley DB ı_85 lHash, versioD 2, ütive bytE_order)
. adobepdf (o) Imagq /ToreDsic9sıeıthkit/I\afFslmage.oo1 Inode 1 191-128_r
J
. arcr,iB (l) saved bo: datat a se/NTFslmage.oo ı,1 l91-128-1.db
. audio {o)
. bEP {0)
/Tor Brow§or/FirEforPortabl€
y'Data/proil€
y'secmod_db
Berteley DB 1_a5 (Hash, version 2, ıatiYe byE_order)
Image. /for9Dsics/sIeuthkiv§İFslmage.0o1 laode 1201_ı2&1
. c.ypto (0) saved to 1_
lhr9.İh@nĞllr - t - ilo
".q.
ı :'l-
^
.]"EGi@a! ğb,lFıl ,ı.!d.td l.ai
a (7395)
Fil€ ı6.g* /li,!d§/§ı.dtİİiİ.2dt2b9 * 11!o'
s.!td b: tb.EAıla2 dğı b!.11to'ı
Fıığ sıiE.d (5903' Inage Thumbna
GıliE4.üb,E E3\ B3:22o
. Nod.Fiı€s (5903) B ılEgt /iotdğr§httlbinİı.2d, j!9 lr.it* 1l lol
. Reaıiocabd N6.E€ s.*d b: @gğöuğı.tlne;|tİE::uı§
Ftles (7}
. 'tgno.E' caEgor, (0)
JP€
G bg. .bb" FlF r!ğd İ oİ
EıİarısıoDJ IDgğ ,forİc.9jshr6&rr6llrz6ehe t& l I loe
s.v.d r.. hAffiükz,tdl@ |llllg
. Eİt ssion Mlffatch€
s (93)
lP€
c iD{..i.tıfıP sbd.nt 13ı
,brğ .l..ür6rsİdei!a.2jdı.bg * ıı ı1o
categoriB (1,ı85) sarddb: tn cbtİ.2 db9lir to
pieJps
. archive (ı7) JPEG h.a. it tıflF 3b6d rnl
. dudio {o) h4.,fu ü.ı.i/slaleiİe-d.bg @ İİ İİ
s{.rl to: ın!thi&'
İ
a
-ı |
. crypto (o)
;ı\ cıl,Dt .b!.,Içs! rr., lo!ıaı 6{,3
:ffi*,.,
. imaoes (9)ıthumbDai]r) ı
.ş,ste.a(oı:
. E (58ı)
. unkdorüı {l3)
. ildeo (o)
nbr/r!..t .rin{5..iüair!tı
3,2 www.adeosecurity.aom
Hash Karşılaştırma
Hash veritabanları
ı Hash veritabanları bir imaj içindeki bilinen iyi yada bilinen
kötü dosyaları tan ımlamak için kullanılırlar.
ı MD5 ve SHA-ı fonksiyon|arı kullanılarak oluşturulan bu
veritabanlarının kullanımı adli bilişim inceleme|erinde
oldukça önemlidir ve hatırı sayılır bir zaman kazanılmasına
imkan tanırlar.
a En
çok bilinen hash veritabanları şunlardır;
md5sum
National Software Reference Library (NSRL)
Hashkeeper
ı Sorter uygulaması bu veritabanları içindeki dosyalara bakıp
bilinen iyi yada bilinen kötü dosyalarıtespit etmek için
kullanılır.
@ADEo secUrity Labs, 2o11 wrrw.adeo5ecurity.aom
CD'C" 8ooooooooooooooooooooo(x)oooooooooooooooo
- BFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
CD"D" COOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
- FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
md5deep
sorter ouıput
iİıailnl aldrğim|z sistemde rootkit'in bir
parçası olan netstat akt'fmiş| sisdeki
neıstat ;le rootkıt i(indekinetçtat ayn|
J
MD5 değe.i.le 5ahip.
. RE 4b.| !i.@ğb.oı
. jgım'tlD.goiy (ol
com
62
sorter ve Hash Kullanımı-Devam
Fuzzy Hashing
ssdeep
Bir dosyaya ilişkin piecewise hash değeri aşağıdaki
çıktıya benzerdir.
#ssdeep lrkn-tgz
ssdeep,ıo--blocksize: hash, hash,f ilename
98304:u9tiADBhLRbM4Te6NbyvgolTYo7hPfıGqRV4XJk6:3ABbM4itheGq36,"/forensics/Sleuthkit/lrkn.tgz'
= $ cp ornekdosya.b<t yenidosya.txt
,, $ echo ı >> yenİdosya.txt
özetO
.*iii*, i td.iğ.|
,t:
jr-**ri
E
İ
ğ
torphanFile5, sIeuthklttaraindan oluŞurulan sanal bir dizindirve tıu dizinde yer alan
dosyala. s;Iinmaş fakat rrı,etadata§ dosya sisteminden 9llinmemiş dosya|ardır. BU
doryalara kök dizin üzerinden efişilemez.
skip coğnt
:iJ]:
1-
EF.--aiilffi al
l
Fir5t cluster of MFr: 426i5
Fi6t cluster ofMFT Miİror: 63937
sectorsize:512
clırster 5ze: 4o96
Total c|usteİ R.nge o_ D7&r4
@ADEosecıJrity Lab5,
71
Senaryo3- NTFS Attributes Analizi-
Devam
al
iş d osyalğrı te5pıi ed iyoruz,
rity.com
sectorsize. §12
ou§teİsize 4096
TotaI c'Uie, Rangej o- 7&/4
:Rcaa55cR
iGt'in yardlnlıyIa ADs kulllanılarakl
l]
q zlenn! ! bıJtUn do5yaldl, tespi1
edeblllyolu7
ş
fs ile 1
svstu
Dosyö
Timeline Nedir?
The BiilGatesTlme]ine
E
€ ı--
E
Ec.b!*
ffişı
E §q=" EEEğ ş,, H? ı
=-"=,
ts* 2r!a .,::]:
GL-ı=: {
E
I
F
ğ- :-
-.-&It ğ
74
Timeline Nedir?
:H,l,
\,İr
1\
ığ8
- *ı"
ru
-ffiıt.*
:;]*-
E
trb
@ dffi. ı}ı
ffiE
ğ.-h, t ;l :";
w
i:' ,
20(§
Co,:fll
llGO Brick 5Or Anniversary Timelirıe
""ıf,il
MAC Zamanları
File Time Time
M A c B
system stored Resolution
1 sec since lnode
Ex72J3 Epoch Jan 1,1970
Modified Accessed
Changed
Modified Accessed Date Created
FAT Local Jan l,1980 (2 sec) (1 day) (10 ms)
ırFT
NTFS uTc
100 ns since
Jan l, 1601
]üodafled Accessed Modified
Created
Timezone Bilgisi
Tinıezone Coırntry Tiııezone
USAEastern EST5EDT UK GMToBST
USACentral CST6CDT Germany/France MEZ-ıMES7
USA Mountain MST7MDT Egypt EST-zEDT
USA Pacific PST8PDT UAE UAEST-4
USA Alaska NASTNADT SaudiArabia UCT-ı
Hawaii UCTıo Japan JsT
Hong Kong UCT-8 Colombia UCT5
lndonesia East UCT-9 South Africa SAST-z
lndonesia West UCT-z Thailand UCT-z
Australia (NSW) EST-ıoEDT Türkiye EET-ZEETDST
Australia (West) UCT-8 Brazil (East) EBST3EBDT
http://docs.sun.com/source/8ı6-55z3-:.o/appf. htm
@ADEosecUİityLab5, 2o11 www.adeosecUrity.aom
77
Timeline okuma
c:/fuEds.rr:s]-.!.ar
c. /ıaaİ!Eı/s-l
ı§ :m_rı.rtr.!/t!. s. E
ğE.rlD D!a,/..o.ra!@.6-!€
.lğ
&,kO/!D !ğ4/non.ğıo.6-.EnJ!,t{
Timeline dosyasındaki kayıtlar aşağıdaki gibi kolonlara ayrılmış şekilde yer alırlar.
Zaman: Aynı zamanda gerçekleşen kayıtlar tek bir zaman kaydı altında gösterilir.
Boyut: Dosyanın boyutu
m, a, c veya b: Bir önceki slaytta anlatıldıkları anlamlarıyla
İzinler: Dosya üzerindeki izinler
Kul]anıcı ve Grup: Dosyanın sahibi olan kullanıcı ve grup bilgisi
Dosya Adı: Dosyanın adı (Silinmiş dosyaların dosya isimierinin sonunda "deleted" ifadesi
yer alır.
Dikkat!
= MAc zamanlarının doğru okunması çok önemlidir.
= Örneğin bir dosyanın oluşturulma zamanı, değiştirilme zamanından sonrasını
gösterebilir. Bu durum şu 5enaryonun sonucu o|uşmuş olabilir;"NFTS
bölümündeki bir dosya üzerinde değişiklik yapıldıktan sonra bu dosya bir FAT
bölümüne kopyalanmıştır. "
* windows işletim sisteminde dosya taşındığında "kes-yapıştır" yapıldığında
dosyanın "Oluşturulma Zamanı" korunur. Eğer taşıma işlemi komut satınndan
yapılmışsa bu durumda "Oluşturulma Zamanı" değişir.
= Dosya kopyalandığında yada taşındığında dosyanın son erişilme zamanı
güncellenir. Bu durum, işletim sisteminin en son erişilme zamanını
güncellememesini sağlayacak şekilde ayarlanması durumunda dahi geçerlidir.
= Dosya zamanları her zaman doğru zaman bilgisiniyansıtmayabilir. Bunun başlıca
sebepleri şunlar olabilir;
Anti-Forensics tekniklerinin kullanılması
. Timestomp
. Touch
BirAntivirüs yazllml ile dosyaların Virüs taramaslndan geçirilmesi
o.ğirnĞı D!Şfl,,.,
.@ ]
]
DeğÇn İ D.ğışk
:E
İ
l
İ
]
]
j
,' ,"İŞiJ"",
&iiş,,., ' I
Değiş]r Değilil I
oAğş. Değişn
Değ şnea
@
i
D.ğişİ oeğişi.
..
, ..___.: i
]
GeneI Kurallar
. Dosyanın Güncelleme (Modification) zamanı dosya kopyalansa da, taşınsa da her zaman
değişmeden aynı ka|ır.
. Dosyaya ait Oluşturulma (Creation) zamanı, dosyanın kopyalanmasına yada taşınmasına
göre farklılık arzeder.
Modified - Modified -
Modifi€
d - Değişir Modified - Değişir Modified - Değişir
D.ğişrnez Değişmez
Acaess -
A(cess - Değişi,
Ac.ess - Değişi, (noatim. Ataess - Değişmez A(cess - Değaşiİ
Değişmez kUllanllmam§sa)
@AD
file-Ornek Ku!Ianım
örnek:
* ntfs_pract.dd içindeki 4 karakterden daha fazla boyuttaki ASC|l kara kter dizilerini
çıkar.
"- Offset'i decimal olarak göster.
Çıktıları ntfsJract. dd. str. asc dosyasına yaz.
* srch_strings -a -t d ntfsJİact. dd > ntfsJract.dd. str. asc
örnek:
" ntfs_pract.dd içindeki 4 karakterden daha fazla boyuttaki English UNlCODE karakter
dizilerini çıka r.
. Offset'i decimal olarak göster.
" Çıktıları ntf s-1ıract. dd. str. asc dosyasına yaz.
* srch_strings -a -t d -e 1 ntfs3ract. dd > ntfsJract. dd.. stı -uni
grep
foremost
= foremost, Amerika Hava Kuwetlerinden Agents Jesse Kornblum ve Kris Kendall
ta raf ı nda n yazı l mıştı r.
* Bir ikili dosya içindeki verileri kurtarmak için kullanılır.
" dd, Safeback, Encase gibi uygulamalar tarafından oluşturulmuş imaj dosyaları
üzerinde çalışabileceği gibi direkt olarak sabit disk sürücüsü üzerinde de
çalışabilir.
" Bu ikili dosya;
. imaj dosyası
, Swap alanı
- Unallocated alanların çıkartılmasıyla oluşan dosya
oIabilir.
* foremost veri kurtarma işlemi sırasında konfigurasyon dosyasında yer alan ve
farklı dosya tipleri için ön tanımlı olarak gelen dosya header, footer bilgilerini baz
a lır.
" Dosya türlerine ilişkin header ve footer bilgilerine
a ssler.n ra adresinden ulaşılabilir.
" son sürümüne most.sourcefo e.n adresinden ulaşılabilir.
@ADEo security Labs, 2011 www.adeosecUrity,com
85
Foremost-Devam
foremost'un kullan ım şekli şöyledir.
Foremost. conf
foremost tarafından kullanılan konfigurasyon dosyası genellikle
/usr/local/etc/foremost.conf dosyasıd ır.
foremost tarafından imaj içinde aranmasını istediğiniz dosya türüne ait
satırın başındaki # işaretini kaldırmanız gerekiyor.
Örneğin aşağıdaki konfigurasyon dosyasında png ve bmp türünde
dosyaların kurtarılması sağlayacak bir konfigurasyon örneği yer alıyor.
s 6ıF aİj JPG files l!€
fy.(oırT.İon}
(NoTE THESE FoRMAfs i]AVE BırılıN EXTRAcIloN fiJNlTıoN]
qlf Y lsJoooooo \Y4l\G9\x46u}q.ılA6l
,
\xoo\.]b
gif'.y lss!ff.o!. L47lx49\x46\İ]8}q9\X51 \İoo\İ6\rJb
ir8 y ındoo.'tüo wı'ld8büx€o\xoolxo \Çixdg
jpg y >ooooooo \üJflxd8\,'fl€, \üflxdg
ş Jpg } 2oooooo. !.ffl,d8 uffl"dg
tr PNG {05ed in web pages)
ş {NoTE THls aoRMAT HAs A BU|LTıN tXTRAcTıoN FUNcTloN}
png y 2oo.oo \x5o\x/+€ix47? \xfıxfc\fd\xte
m 1ooooo BM??\xoo\xoo\xoo
.naksimum dosyö boyğtu
kısı,ıına djk]<at ediı.
siİinrn]5 edsr.nrı a,gi,xiu
Büiük&üçük
haıf dıYar]İ
foremost kullanımı
*.
Y& do Et.€
6d.hn sğ9 b rAbFr.,n {bffire,ük tEr a be t€
tr6d.,n hğiy 6e§
.. nıroF, F.ffi& BEğ ?ra
t
,üaha önıeden l,
. a. l t;i
Autopsy-Devam
l. c.- ıaJB: Tne narB o' thı§ ilç§İdb.. |t can conraia oü bne.s. nrİlgs, ard
!..l_iL.. .
*",*,:*=::Y"k
Oluştuiiluğumu.z case iain
3. hv.rtllaıoı llrlğ: Ine ortonal bi. isim Ve not yazlyoruz.
Aynca analizi kim yada
kimlei gerçekleştiriyorsi
ö.: onjaıın isjm|erini
f. be lirt iyoruz.
'-:
Autopsy-Devam
Add A ılost Ha.ı.dti.uİ - Mozi|la airefor
'aew 'o
.,I
1-tio.iıİE't}E.am€
o'FEcrnpdılrb€
iğ ifuedig.Ed. lt@6.na. üıŞŞltğrj, Eklediğimiz host'a ait bilgileıi
girdiğimiz kısım. Bunda hoıt
isrnini v€ aalklama5ııı giıdiken
a o...ıblion:t, ort rıd oGkı. d69ition ğ,ıol€ dDglğl§@mpi,ğ
sonra Time Zone ktsmına ilgili
!r*kjMi.lnvı Bdqarala
host'Un zamön dilimini yau |yot-ıJz,
8 gı ,.ı, i, İ
www-adeo5ecıJrity.com
!a
Autopsy-Devam
ar
Fu^.tfiT*Lİğ
Autopsy-Devam
b hftprro(*!nğİ:9999/&t F9?6d_o6nb-ı] A
6. ,:. -
l}]nnpr/b(aıld9999adoPry?nı.d-oıvir-ı.^ a - ]!ıİY
t
ll
Pr.§s iıE ıbıt h.,(bn ğt ü! bcib.ı o' il€ pn!* n üli§ is @İ!ct
/rdir§i|d Vrğtasploit&leınag€
/0t _€
0ı Eğer imaj birdeı fazla dosyaya
/ıı€ l/ıbtasploıtabl€
diğ,.söd lEg€
/o1.eaz tıiilünmüş şekilde alınnışsa bu
/..{rrVğdd!.,lEla5Ploıt*lğIrag€/oı. eo3
,/ıF{irstltlı/ıetngploıı.öl€
ı..seloı,€
e.
dosyalar 5plit Image confirmation
,/Edla/ 5nd ı.,iet6şloitabl€
ır.g€
/gı - (95 başlıklı pencerede listelenir.
:
@
Autopsy-Devam
a! ür-
füyfiğ_İ lı!*t ., c aİ ı §7 ii f j
} ı,tş-ııtaıesıeeato9,yznoa-o*ı--rı a ,r - jlF
lr.
'Eklenen manttkial bölıin,ii..
l'.,-,] -1;:. i]:.ğ.:r .:..-
-,ıj: , : _.a:;l n- ]:r!i liakkında özet bilgilerin yer aldığı
pencere, ilgilicase'e başka imaj ],
|loı!ı( mn€
€ {ba .b§) ailled ylth l0 riıtr
yd(fr. im.g€ (63 to t919
€ .İ J,li edr.d İi|h lD \rola
, , {ı dosyası eklenecdkse Add Image
butonuna basıp önceki imaj ekleme
loirme ]r€
9. io 1611 859,iİ. 2,i.aded Mtr lD val]
ü4a2013
adımlaını tekraıdan yaptyoruz. ,.
'i(,
Autopsy-Devam
A
vo12
ıelrdiği pe§.ere.
balgiierin list€
P.nnıYoü, E: irı Burada yer alan Extemöl Files
ğHFb !nç Fiı. Foi,İ; §f
AEa *it!G al..al,ğ3-Jlıı9.d.&. ı.$ttıı9 fu.lr: /v kısmı intelemey başlaodığıoda b9ş
ı*.a.§tiç.l-rı,t -sııa,ğt.ül FlL s!a.aa!ıİl, : ğt olank qelir, Altta yer alan Ext "act
ıİr&...a ç.aĞ aı,..r6-ütİ9-d.üİt* st ings of Erİti.e volum€ ve
Ei.rtrJ Fi.. Extact Un3ııocatad Fragm€ nts
süilaı: k§lmıaında ye.alin işlemleİ
^scs
gerçek|eştirildikren 50nrd
tİ!do..t dE.gtİnğ:
]§}.
']:< ıscg şrırrc. or ırn ıo..ta,
oluştlırulan do5yaıal AiJtopsy
'''ia,İoa. taİaf!ndan bü,aya eklene(ektir,
sri,rg. oı tİ,.rb..i.d,
Eİğıcr sünEa ol
Etlüıt yt ı|'nc Enrac.ı ıJnıllocaıad F.rgrinta
t .dıg'nE §c{ şn ui@d. 9rağr
€
a 6ts ?.E !,ğ 6re lçrĞnl ,iqn !&6 n§ğ bo,-d rryı-d
'rdi ..rd* *!d.l.ü M
Autopsy-Devam
,i
cAsE GAI,1_EFY
Aıı.ır!eti,toouna bas.rdk §
3rıalaz 5€
,.€neklerbi
ı+
s€
çeçeğimi: Peoc€
raYı
o dı5t eı..aı-ü§t
ğ,yof6_ nzıkel d;sk
geç€
n€ğ'ni seç'gimiz tçin bı, et.aaı-63_at
0ı. €
eı ra2oı3
lonjaki ad..nda kaı!ımĞa
-
,
!,İ|.gbtFlGtrfrle)
d:...,.l.,D-@EEbnlrğd
in'!ıeıene(€
k5ekdrijn , ğl&db ]ır6!ff 1.13.5ıf
n!fi3ri9,nl,rürmberd 52 7.!.€
57d .aa&oeb 0.b.a.7d
{İ6e9rrd .ffi.
l..}.a.. ...ı .3..
Unfu hsmlna
99rd.p.
r§.a7ı] 6.766' 6d@.6ı
,..}.o__.l,....c
is€ kaç tane
sekörr]n in elrneceğ;n; 6a7İös] 52661ğ &20a572
bbcroob4 0.<d1o..
@@!20..2.3 =Oi5f4
&ğr€ nı€ fğ 6ao5f56
ğIkasli lrt9e5. 0?ü759ğ
f
@ffi@
.ğ,!ğE@{İ@o
Autopsy-Devam
op€
t thag? ln Ha.ı€
dıinu(]Ha.ılemislinul - *ozill. farcfoi
,- ,!a
eı,.€
1 4aı0)3 ı5rı359
Gaİgral D€
tal|s
tmrg. Deiijls butonunğ bar,P ]ma.j
RıElrYlrlEı§ço A'lxıa hakı nd. detayh biı9il€
.e
t
14İ.]rn3 lo: 2a909bltıar2ğ(9953:ı§19585.25d,|.
,*.-""*li
d TtF uı, 18 9:
r-ı
:a2İ2 2010
Molnted, . j:
La!t
..
EIAoATA ııfoi^Tro
Jsa55tor{D{nd€
6.€
d rdİnğ:. D95td 8 9lı t3? ,,, , _
Autopsy-Devam
azerint
Flh 8İo*slng ıaode tıklanarak sıralama
kiterini
.değiştirebilirsiniz. ..
Autopsy-Devam
-,a ,
tİEve].'.E9,c.ıffi*.Ür*
Pt€
dorined soatclr€
s
.l]l:,
*
Dğaa 5.ce.Jar rj'ra.ic. :ş|..;
da kğliot§
yaçllnıa§§a b, sn.r-€
§ ksiıl 9özükür;i nıJ
sĞar.İ€
i:JJöda ğsli ğiğmalr. 9a:jk!,.
+
s...cı!hı İo, ısc§: ı}o,,.
t
sai.İllrlc lorıhl.oö: fıo..
s.Yilrg: oon Frğürrri:2o5r95
Ara.ıan !.li,İ}e Fda if.denin
GğjP;25 bütjndUğuftaglirntı.
aııo.iton dorlrrrp
ı5
F!]igİ.rıl 5ı? (8g, 4şe0
1: 124l9rıi)}
lzr ıı,oıı
Ç ^şç!] \2a
Autopsy-Devam
İ, ,, ::: =: -:
,,..
ğ^§cll ğ ıhtad€
c@ ılğğliE q.ec i.g,.{a Eç.6i,
* ide<e UaJ}o<ated
:ıanlardaa.ama
yapılma9 d!.ıJnlunde
NoTe.]ıtırttçd:.!r.hdr!9..9o.ıs§irrE .
.dahi az hi! çlkma§l
A şta iidlçİ a!ğ İlitrğ.6l ıi İtrn b eits @.
Previous s€
arche3
Pa9dğnnod seiĞhaa
e Şı ı3? ,; .
@ADEose(UrityLabs, 2011 www.adeosecUrity.com
98
Autopsy-Devam
ıra.kcdıinqı:şa.ılenhi:ti.!İ:vol2, Mozitla Fiİ.f oİ
a9
t
Fiİa sorıing
'yP€
ta
6rlal]tıl.;dl sür(
içindeki dosyğıarln
sıj€ için sort Fi1.5 by
ü
ıre
Type ]!niıne t|kliyoııJz.
]
.d.l,.k6..ittd.EiE.ftL.ıt.iillği...nrn.tİ,Prn@'
ğ siği-F_r!,
6b.qdL.GrFt,tqa
*drğ9..ç-d.!tir
ıfufu,*dr9j&F
Autopsy-Devam
Fl!r^&İ. xlıE<lrfr Fqlrr. lue§..iG
. Au6ıakı' (;l)5li,
. t|n.ıırı!d {.{l)
Hi5h datibase kUllan,m,ndan mJksimırm
rı, sDd i.E t ; , dere(ede v€
nm aı.nabi[m$i iç;n sistemin
. Non.Fib§ ı5Eı?i ,rorünsuz,,§tab;l halin€ ilişldn hr§h '
]
İ: htrPr/taJEğ:9999/ r|
s-. .
..FEAjlısE ı(ffis.rftH fMİfi
ı 50205
]ş.ry boği: §4
g ğ!..aEd
grlo6!.d
! JO.atEd
ı alocaEd
1aıo.atsd
q&.d
ıni}jje']n.!n q *.ed
]gfu!"d İn.d€
'!ar at.nm§ fr€
. in6j. d€
tay!ğ.,rnn çğijıdüğ' b!
tf,€
€ p€
r..€
red., inoddln nangi dc5}2lı
!a İee ttıği, dosr?ıin tlJrü, d.çFnl.
işa.et €
inode'ıa, ise boşia.ıan
ğı.€
f MDl ve stlA-l ha§ı değe,i, ;nod.
1r!tğ.il.ntğrroi8z. !4 n.ğ :aman lamgilaı !e jirekt v9 in]l.ett
l! iı€
e bIol ad.ğ51€:i r alı..
Y€
!e f.e
1l t@
-ıEı!Eİ!a!,
l5EsroirıD-ğ.d.lin d f{ryRDlİ oj!aö..n 9İ ı:rı :.ı
Autopsy-Devam
öpğiİğ vol2.k çr...f 6a92ı..ı uİrol2 _ iorill. fi.€roİ
ı64]he.i-5&ae-!t-ı. a ..|-
^
q r{o.r.n
ı !İo.@ ıscll crt6l. .İ FE'r6i 2@ ü al
& rıo.*d
& !ı..*d
lq a|ocd.d ış p6
€ §116_ ..d,^6r't.Gı/*ır*_:D
EırdI_§lm, .rd,/i5^.rl^.r:o_3a
F(nT
€ crm .ctn6^.rl^.ı2(n :n
EıPGİ-§{m-.En/r6r.m.l/s.rD_, or
Eçfir §Y* .rcılı6^f^ı. ğrıdl5a3o
ii}İi+L,lı
fı&r_iiit:6ı:bb.
on.l|o.ated .la.lir
nPri.de.s!€
fi yao..ği
i.jn Ldd lhallo(at d ,|lP]..t-l]!
bUto.uıaba5ryofuı. tçsslotlo{nd"6..d F.,tr ğ, oi6.öH €
ı sğ '37
@ADEo s€
cıJrity Labs, zoıa www.adeosecurity.com
100
Autopsy-Devam
a k,r&*9.Jrjsğİ--ğdl,,,,5r.{lİt 4
'İb.{ tt .ıı.r!&riM &- ..| , !/.
st6bcl a
cA§E GAufFY
H.€ r..l6 ğ* iiii.İ. b.ürily
n n6ır{n-br.r.
d
Autopsy-Devam
a.
G
ğ Ao€
ğr Fü. ğ t ır|.etca F&3 E tİ addtsd lö hod .orfg e
c.ııralݧ uDs vaaır9
The n€
İt slep ıs lo ao,i lhe data inio a !me{,rıe...
tsEss,o§ D-6d€
fil* ıü/Fry L.fu O şı §, : 4
Autopsy-Devam
İm€
lire: H..ıed!iM:H..ı!€
nmiğ!iffi , ra@irra f ir.foİ
Ard§d gelçelil€
şe. 0 0 50210
860€ 0 ö sa212
ahr.ia go9tgEltr. l0a365 0 o jo2l3
0 0 5a21.
al2 o 0. ao2ı
la 0 o 5c216 '
0 0 ğ 11
a1,.€
ı.disk
o]y ı - 6] _4aı9l!ı
al, e€
sı,t€
l.4a2ğı3-ı677ı€
59 ....
Autopsy-Devam
AIEEİ DAİAIA]§E
s.l.'.nrm.6Ür]r.t.dd:'?.n..fu,
a. , .. kıİ.*ğ o İAğ^.E
cısĞe.,!.qY }lcrG^u:R
I*BĞlr)b§.9$!ıtsrı dFJ6i!6.rtrĞti.ltiApa-jr-{ fd.El
d,!6drırğğ,
i_rt
'k
*. r e*
^rF,
b
b b qğ!,d
!&ı|iffi İ..
!qd. ı§ajdy
-..
-:§T]].l.:,;;:'
İlgili lıash verhatranlanrrıı ne aoaçla ku|lanıldığ,ı,e mev(ri
ca5e iainde kUllan'lıacak lıasİ veı]tabailirının lokasyonlaııiiıı
yPı;ıdlğı pei{€re- case c!,lştııı.ılurlıeı herhangi b;İ tanlm
9ir!ı,,.idiĞ tai.d:rde Location klsnllnda Not coıfigured
j
ya7aİ.
hali1.ozturkci@adeo.com.tr
www.adeo.com.tr
www.twitter-com/haliIozturkci
www. adeoseCUrity. aom 210
@ ADEosecu y Labs,2oı1
106
Autopsy-Devam
sansf o.ensicsg^sIFr-workstation: -
tııeskew § eklemek.
ieage iıngl errf ioage5,/01, e01 alett_db'rğ$r|ocal/ha5h/bad.db'
i§age imgl eı.f inages,/ol. e02 .xC|ğde_db'r!5rllocaılha9h/eı(lUde_db'
image img1 eİf ina9e5./01, e03
içage imgl eYf inaqes/01. eo4 ıisPL veninbanlen lçln:e Aütop.Y'nin rUııendiği
iııage iııgl eUf image5/01. e05 dizinde yer alan (onl.pl d05yasına arağıdakt şekjlde
disk volı imgl dos i]ir yo' t3nlmın, ekl€
üeliy:z.
part vot2 ingl 63 481949 ext /L/ lNsRLDB ='fu sİrlo.al.rhashrnsrl/NsRLFile.tİt'i
ğart vol3 ilıgl 4820ı3 ı677ı859 rau 12/
strin95 vo14 vol2 output/Oı. e01-63-481949-ext. a5c -
usistrings Yol5 vol2 output/o1. e01- 63- 48l949- eıt. uni
blkls yo16 vot2 oütput/gı. e01- 63 -481949 -ext. unaltoc
strings vol? vo16 output/01. e01- 63-481949- ext. unalloc - blkls. asc
unistiiıgs yol8 v016 outplıt/al.eot-63-48t949-ext.unallo(_blkls.uni
sansf orensicsGSIFT -l{orkstation : -$
@ADEoSeCU.ity Lab5, 2011 www'ad eosecu rity- com
Autopsy-Devam
ı .i, *,.,.-,.--,.,
-"_-.,9-],_4rü.,-
]]l . 4:
^ İ }:.. - . -:::
,. .j ı
ı.<İ.{!i@:İ..ttmi.!iMJol2 - ıağrill. Fir.fi' E*. d i.^/İEfu ,.'. -iıü!6 6&İı:
cğlE
1
]94!!!!!!1
gpriEı.r,,:ll',ıö
?nığOa.2a 20ı0{+2a a 4İra.r §r ı ,ii|ı bıı
'2r:ü2l ıslı.l ?35/122 oc'Ğıİn.D.n':9;,r.,
2r1o4+?B 20lc.aa2'