Forensic Araci olarak Vmware
Is geregi zaman zaman forensic amacli sistem incelemelerine katiliyorum. Genelde katildigim inceleme seanslari disk uzerinden kaybolmus/silinmis/kazinmis verileri ortaya cikarma ya da kaydedilmis ag trafiginde ozel verileri arama uzerine(igne ile kuyu kazma misali) oluyordu.
Bu tip durumlarda genelde diskin bir kopya yedegi(RAM dahil)alinarak Encase ile inceleme yapilir ve istenilen bilgiye ulasmaya calisilir. Ya da yuklu miktarda ag trafigini parcalara bolerek aranan verinin orjinaline ulasmaya calisilir.
Bu sefer biraz daha farkli bir durum ile karsi karsiya kaldim. Amac sadece silinmis bir dosyayi arastirmak, geri getirmek degil. Sistemde son bir ayda yapilan islemleri takip etmek. Bunun icinde incelenecek sistemin birebir calisan kopyasina ihtiyacim var fakat boyle bir imkanim yoktu. Ben de calisan sistemin birebir kopyasini alip baka bir ortamda nasil calistirabilecegim konusunda dusunurken Vmware’in boyle urunu oldugu aklima geldi. Kisa bir arastirma sonrasi Vmware Converter ile istedigimi yapabilecegimi ogrendim ve ise koyuldum.
Kisitli surede bilgisayarin calisan imajini Vmware olarak kaydettik ve bilgisayari teslim ettik. Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.
Related posts:
Loading ...
This post has 14 comments
August 15th, 2007
Merhaba. Silinmiş, kazınmış verileri geri getirmekten bahsetmişsiniz. Özel yazılımlar mı kullanıyorsunuz? undelete plus, file recovery gibi yazılımlar değil herhalde? Bir de ben uygunsuz gördüğün veriyi eraser yazılımı ile yok etmeye çalışıyorum. Yukarıda bahsettigim geri getirme yazılımlarıyla eraser ile kazınmış (defalarca üzerine yazılmış) verileri kurtaramıyor.
August 15th, 2007
Alttaki yorumun devam (Pardon bir mause kazası oldu.) Asıl sorum bu eraser ya da benzeri yazılımlar ne derece işe yarıyor? Bu programlarla silinmiş veri kurtarılabilir mi? Bir de Linux’ de eraser tarzı yazılımlar varmı? Teşekkürler. Bir de Hping2 ya da benzeri yazılımlarla ilgili dersleriniz devam edecek mi? İyi çalışmalar.
August 17th, 2007
silinmis verilerle ugrasmak icin oldukca fazla ozel yazilim var. Bunlar kabiliyetlerine gore siniflandirilabilir. Bahsettiginiz yazilimlar klasik Windows ortamlarindan bilinen yontemler kullanilarak silinmis veriler icin kullaniliyor.(bildigim kadari ile). Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”. Bu isi uzmanlarina birakmak lazim:)
Hping benzeri konularin devami ilgi oldukca gelecektir.
August 18th, 2007
Cevap için teşekkürler. Bir soru soracağım. örneğin: http://www.illegalsite.com‘ u bilgisayarımda internet tarayıcımla görüntüledim. Bu sitedeki yasal olmayan içerik(metin,grafik vs.)bilgisayarıma (ram,HD, Cache vb.)yüklenmiş oldu. Biz eğer bu verileri tam anlamıyla silemiyorsak mantıken yasalar karşısında suçlu duruma düşüyoruz. Yani bu durumda olan bilgisayarıma el koyulup sizin gibi bu işin Uzmanına verseler siz yasal olmayan veriyi bulursunuz. Bende cezalandırılırım. Bu senaryomun/örneğimin gerçeklik derecesi nedir?
August 18th, 2007
Linux/Unix sistemlerde veri silici/üzerine yazıcı bir yazılımı ubuntu-tr’den “heartsmagic” adlı kullanıcının yardımıyla buldum. Aşağıdaki adreste ilgilenenler için yazılımın tanıtımı ve kullanımıyla ilgili bilgi mevcut.
http://www.tutkudalmaz.org/gunluk/?p=44
August 20th, 2007
Ben isin uzmani degilim:). Sadece konu ilgi alanim ve isimi isgal ettigi icin birseyler ogrenmeye calisiyorum.
Bilisim sucunu islemek icin kullandiginiz bilgisayarin diskini yakmadan sanirim pek kurtulus yolu yok. Vakti zamaninda basilan bir orgutun harddisklerini silahla taramasi sonucu bile bazi bilgiler o diskerlde cikarilmis diye duymustum.
sizin senaryonun gerceklesebilmesi olasiligi %100 gibi
August 17th, 2009
“Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.”
bu işlemi yapmanın bir çok yolu var. Bilgisayarın imajını aldıysanız bu imaj mount edebilir ve vmware konfigurasyon dosyalarını üretim vmware player veya vmware ws’ da açabilirsiniz ama eğer bilgisayar parola korumalı ise veya aktivasyon kodu istiyorsa bunu geçmeniz gerekir.
August 17th, 2009
August 17th, 2009
Yazistiginiz sirketler genelde bilindik ticari sirketlerse zaten belli cevaplari alamazsiniz. Kisisel tecrubem degil fakat piyasada disk bosaltma olarak adlandirilan cogu programin sonrasinda verilerin alindigini bizzat isi yapanlardan dinledim.
Tabi burada yuzlerce kere uzerine yazma meselesi onem kazaniyor, yani siz yuzlerce kere uzerine yazdiginizi dusundugunuz veriyi aslinda bir kere uzerine yaziyor olabilirsiniz.
August 17th, 2009
üzerine veri yazarak verilerin yok etmenin Amerikan Savunma Bakanlığınca hazırlanmış bir standardı(US Department of Defense clearing standard DOD 5220.22-M) var. Benim görüştüğüm şirket bir Çin firması. Yani zaten bu verileri bulsalar ürünlerini piyasaya güle oynaya sunarlar.
August 17th, 2009
DOD5220.22-M bir standarttir, adi ustunde standart. Belirli kurumlarin kisilerin uymakla yukumlu oldugu bildiriler. Standartlari dikkate almaliyiz fakat akıllı bir saldırganın stnadartlara uyarak is yapacagini dusunmemeliyiz.
Bahsettigim urunler piyasada satilamayacak turden urunler. Yani belli anlasmalar cercevesinde sadece belli kurumlara satilabiliyorlar.
August 17th, 2009
merhaba ncase diye (ismini yanlış hatırlıyor yada yazabiliyor olabilrim vardı)
adli bişimde kullanılıyordu şahit olduğum bir olay var onu paylaşmak istiyorum.
eminyetten bir pc yi incelemek için almışlardı.
amac: xxx@xxx.com adresinden hedef lokasyona herhangi mail gönderildiğini yada bu adresle msn acılıp acılmadığını test etmekdi 40 gc maxtor hdd ile 160 WD hdd değiştirildi hdd değiştirldiği halde nasıl bunu tespit etmeyi baaşrdılar üstelik yeni hdd ye işletim sistemi win xp kuruldu
Not. ram yada başka bir donanınım dğeişmedi pc kapandıktan sonra saatler hatta günler sonra ramdeki veriler okunabiliyormu yada ramde değiştirilseydi bu bilgilere ulasılamayabilrmiydi. bu konuları acıklayabilrmisniz.
August 17th, 2009
admin’ e: Dod 5220.22-M’ de bir disk üzerindeki verinin yok edilme türlerinden bahsedilir. Burada üzerine yazma yöntemleri verinin gizlilik derecesine göre yapılır. Dolayısıyla bu türden yapılan üzerine yazmalarda veri kurtarılamaz. Kurtarma varsa bile ben duymadım. Sadece bu konuda çalışmalar var diye biliyorum.
Kemal’ e: Encase kullanarak 40 Gb diski 160 GB lık bir diske birebir kopyalamışlar. Buradaki kopyalama işlemi bit bit yapılan bir kopyalama işlemidir.Yani 40 GB lık kaynak diskin 0 ncı sektöründen en son sektörüne kadar kopyalanır. Buna işletim sisteminin gördüğü dosyalar, gizli bölümler, adreslenmemiş bölümler de yani hem allocated hem de unallocated bölümler dahildir. Burada bir yer değiştirme söz konusu değildir. Ama şu olabilir. 160 GB lık sıfır bir diske siz 40 GB lık diskin birebir kopyasını restore edebilirsiniz.
Adli bilişim incelemelerinde zaten yapılan işlem tamamen birebir kopya üzerinde çalışmaktır. Birebir kopya fiziksel diskin mantıksal olarak görünmesini sağlar.
Normalde PC kapanınca RAM uçar. Ama bu konuda da çalışmalar var. Fakat RAM gibi kullanılan pagefile.sys dosyasında bir şeyle elde edilebilir. RAM’ in imajı sistem açık iken ayrıca alınmalıdır.
MSN de oturum açanlar ve bu oturum açanlara ait MSN contact listi bile çıkarılır.
August 17th, 2009
@Caner: Standartlar hakkinda konusmam genele yonelik. DOD’un diger standart dokumanlarini incelediyseniz guvenlik piyasasinin bayagi gerisinden geldigini gorebiliriz. Ornek olarak Wireless guvenligi konusu. Sonucta stnadart her detayi adresleyemez, bilinen ve teorik olarak ispatlanmis bilgiler uzerine bina edilmistir.