Forensic Araci olarak Vmware

vmc.gif Is geregi zaman zaman forensic amacli sistem incelemelerine katiliyorum. Genelde katildigim inceleme seanslari disk uzerinden kaybolmus/silinmis/kazinmis verileri ortaya cikarma ya da kaydedilmis ag trafiginde ozel verileri arama uzerine(igne ile kuyu kazma misali) oluyordu.

Bu tip durumlarda genelde diskin bir kopya yedegi(RAM dahil)alinarak Encase ile inceleme yapilir ve istenilen bilgiye ulasmaya calisilir. Ya da yuklu miktarda ag trafigini parcalara bolerek aranan verinin orjinaline ulasmaya calisilir.

Bu sefer biraz daha farkli bir durum ile karsi karsiya kaldim. Amac sadece silinmis bir dosyayi arastirmak, geri getirmek degil. Sistemde son bir ayda yapilan islemleri takip etmek. Bunun icinde incelenecek sistemin birebir calisan kopyasina ihtiyacim var fakat boyle bir imkanim yoktu. Ben de calisan sistemin birebir kopyasini alip baka bir ortamda nasil calistirabilecegim konusunda dusunurken Vmware’in boyle urunu oldugu aklima geldi. Kisa bir arastirma sonrasi Vmware Converter ile istedigimi yapabilecegimi ogrendim ve ise koyuldum.

Kisitli surede bilgisayarin calisan imajini Vmware olarak kaydettik ve bilgisayari teslim ettik. Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.

This entry was posted in Forensic. Bookmark the permalink.

14 Responses to Forensic Araci olarak Vmware

  1. Serdar says:

    Merhaba. Silinmiş, kazınmış verileri geri getirmekten bahsetmişsiniz. Özel yazılımlar mı kullanıyorsunuz? undelete plus, file recovery gibi yazılımlar değil herhalde? Bir de ben uygunsuz gördüğün veriyi eraser yazılımı ile yok etmeye çalışıyorum. Yukarıda bahsettigim geri getirme yazılımlarıyla eraser ile kazınmış (defalarca üzerine yazılmış) verileri kurtaramıyor.

  2. Serdar says:

    Alttaki yorumun devam (Pardon bir mause kazası oldu.) Asıl sorum bu eraser ya da benzeri yazılımlar ne derece işe yarıyor? Bu programlarla silinmiş veri kurtarılabilir mi? Bir de Linux’ de eraser tarzı yazılımlar varmı? Teşekkürler. Bir de Hping2 ya da benzeri yazılımlarla ilgili dersleriniz devam edecek mi? İyi çalışmalar.

  3. Huzeyfe ONAL says:

    silinmis verilerle ugrasmak icin oldukca fazla ozel yazilim var. Bunlar kabiliyetlerine gore siniflandirilabilir. Bahsettiginiz yazilimlar klasik Windows ortamlarindan bilinen yontemler kullanilarak silinmis veriler icin kullaniliyor.(bildigim kadari ile). Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”. Bu isi uzmanlarina birakmak lazim:)

    Hping benzeri konularin devami ilgi oldukca gelecektir.

  4. Serdar says:

    Cevap için teşekkürler. Bir soru soracağım. örneğin: http://www.illegalsite.com‘ u bilgisayarımda internet tarayıcımla görüntüledim. Bu sitedeki yasal olmayan içerik(metin,grafik vs.)bilgisayarıma (ram,HD, Cache vb.)yüklenmiş oldu. Biz eğer bu verileri tam anlamıyla silemiyorsak mantıken yasalar karşısında suçlu duruma düşüyoruz. Yani bu durumda olan bilgisayarıma el koyulup sizin gibi bu işin Uzmanına verseler siz yasal olmayan veriyi bulursunuz. Bende cezalandırılırım. Bu senaryomun/örneğimin gerçeklik derecesi nedir?

  5. Serdar says:

    Linux/Unix sistemlerde veri silici/üzerine yazıcı bir yazılımı ubuntu-tr’den “heartsmagic” adlı kullanıcının yardımıyla buldum. Aşağıdaki adreste ilgilenenler için yazılımın tanıtımı ve kullanımıyla ilgili bilgi mevcut.

    http://www.tutkudalmaz.org/gunluk/?p=44

  6. Huzeyfe ONAL says:

    Ben isin uzmani degilim:). Sadece konu ilgi alanim ve isimi isgal ettigi icin birseyler ogrenmeye calisiyorum.

    Bilisim sucunu islemek icin kullandiginiz bilgisayarin diskini yakmadan sanirim pek kurtulus yolu yok. Vakti zamaninda basilan bir orgutun harddisklerini silahla taramasi sonucu bile bazi bilgiler o diskerlde cikarilmis diye duymustum.

    sizin senaryonun gerceklesebilmesi olasiligi %100 gibi 🙂

  7. “Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.”

    bu işlemi yapmanın bir çok yolu var. Bilgisayarın imajını aldıysanız bu imaj mount edebilir ve vmware konfigurasyon dosyalarını üretim vmware player veya vmware ws’ da açabilirsiniz ama eğer bilgisayar parola korumalı ise veya aktivasyon kodu istiyorsa bunu geçmeniz gerekir.

  8. Caner KOCAMAZ :
    “Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”.”
    böyle bir şey pek mümkün değil. kesin konuşmak istemiyim dedim. ama araştırmalarıma göre bunu söylüyorum. ayrıca bu işle ilgilenen dünyaca ünlü şirketlerle de yazışmıştım bir zaman.

  9. admin says:

    Yazistiginiz sirketler genelde bilindik ticari sirketlerse zaten belli cevaplari alamazsiniz. Kisisel tecrubem degil fakat piyasada disk bosaltma olarak adlandirilan cogu programin sonrasinda verilerin alindigini bizzat isi yapanlardan dinledim.

    Tabi burada yuzlerce kere uzerine yazma meselesi onem kazaniyor, yani siz yuzlerce kere uzerine yazdiginizi dusundugunuz veriyi aslinda bir kere uzerine yaziyor olabilirsiniz.

  10. üzerine veri yazarak verilerin yok etmenin Amerikan Savunma Bakanlığınca hazırlanmış bir standardı(US Department of Defense clearing standard DOD 5220.22-M) var. Benim görüştüğüm şirket bir Çin firması. Yani zaten bu verileri bulsalar ürünlerini piyasaya güle oynaya sunarlar.

  11. admin says:

    DOD5220.22-M bir standarttir, adi ustunde standart. Belirli kurumlarin kisilerin uymakla yukumlu oldugu bildiriler. Standartlari dikkate almaliyiz fakat akıllı bir saldırganın stnadartlara uyarak is yapacagini dusunmemeliyiz.

    Bahsettigim urunler piyasada satilamayacak turden urunler. Yani belli anlasmalar cercevesinde sadece belli kurumlara satilabiliyorlar.

  12. Kemal says:

    merhaba ncase diye (ismini yanlış hatırlıyor yada yazabiliyor olabilrim vardı)

    adli bişimde kullanılıyordu şahit olduğum bir olay var onu paylaşmak istiyorum.
    eminyetten bir pc yi incelemek için almışlardı.
    amac: [email protected] adresinden hedef lokasyona herhangi mail gönderildiğini yada bu adresle msn acılıp acılmadığını test etmekdi 40 gc maxtor hdd ile 160 WD hdd değiştirildi hdd değiştirldiği halde nasıl bunu tespit etmeyi baaşrdılar üstelik yeni hdd ye işletim sistemi win xp kuruldu
    Not. ram yada başka bir donanınım dğeişmedi pc kapandıktan sonra saatler hatta günler sonra ramdeki veriler okunabiliyormu yada ramde değiştirilseydi bu bilgilere ulasılamayabilrmiydi. bu konuları acıklayabilrmisniz.

  13. admin’ e: Dod 5220.22-M’ de bir disk üzerindeki verinin yok edilme türlerinden bahsedilir. Burada üzerine yazma yöntemleri verinin gizlilik derecesine göre yapılır. Dolayısıyla bu türden yapılan üzerine yazmalarda veri kurtarılamaz. Kurtarma varsa bile ben duymadım. Sadece bu konuda çalışmalar var diye biliyorum.

    Kemal’ e: Encase kullanarak 40 Gb diski 160 GB lık bir diske birebir kopyalamışlar. Buradaki kopyalama işlemi bit bit yapılan bir kopyalama işlemidir.Yani 40 GB lık kaynak diskin 0 ncı sektöründen en son sektörüne kadar kopyalanır. Buna işletim sisteminin gördüğü dosyalar, gizli bölümler, adreslenmemiş bölümler de yani hem allocated hem de unallocated bölümler dahildir. Burada bir yer değiştirme söz konusu değildir. Ama şu olabilir. 160 GB lık sıfır bir diske siz 40 GB lık diskin birebir kopyasını restore edebilirsiniz.

    Adli bilişim incelemelerinde zaten yapılan işlem tamamen birebir kopya üzerinde çalışmaktır. Birebir kopya fiziksel diskin mantıksal olarak görünmesini sağlar.

    Normalde PC kapanınca RAM uçar. Ama bu konuda da çalışmalar var. Fakat RAM gibi kullanılan pagefile.sys dosyasında bir şeyle elde edilebilir. RAM’ in imajı sistem açık iken ayrıca alınmalıdır.
    MSN de oturum açanlar ve bu oturum açanlara ait MSN contact listi bile çıkarılır.

  14. admin says:

    @Caner: Standartlar hakkinda konusmam genele yonelik. DOD’un diger standart dokumanlarini incelediyseniz guvenlik piyasasinin bayagi gerisinden geldigini gorebiliriz. Ornek olarak Wireless guvenligi konusu. Sonucta stnadart her detayi adresleyemez, bilinen ve teorik olarak ispatlanmis bilgiler uzerine bina edilmistir.

Leave a Reply

Your email address will not be published. Required fields are marked *

7 + 13 =