« Web sunuculara ddos saldırıları, netstat ve TCP oturum detaylari | Home | Vmware ile Laboratuvar ortami(Ag Uygulamalari icin) »
Forensic Araci olarak Vmware
By Huzeyfe ONAL | August 14, 2007
Is geregi zaman zaman forensic amacli sistem incelemelerine katiliyorum. Genelde katildigim inceleme seanslari disk uzerinden kaybolmus/silinmis/kazinmis verileri ortaya cikarma ya da kaydedilmis ag trafiginde ozel verileri arama uzerine(igne ile kuyu kazma misali) oluyordu.
Bu tip durumlarda genelde diskin bir kopya yedegi(RAM dahil)alinarak Encase ile inceleme yapilir ve istenilen bilgiye ulasmaya calisilir. Ya da yuklu miktarda ag trafigini parcalara bolerek aranan verinin orjinaline ulasmaya calisilir.
Bu sefer biraz daha farkli bir durum ile karsi karsiya kaldim. Amac sadece silinmis bir dosyayi arastirmak, geri getirmek degil. Sistemde son bir ayda yapilan islemleri takip etmek. Bunun icinde incelenecek sistemin birebir calisan kopyasina ihtiyacim var fakat boyle bir imkanim yoktu. Ben de calisan sistemin birebir kopyasini alip baka bir ortamda nasil calistirabilecegim konusunda dusunurken Vmware’in boyle urunu oldugu aklima geldi. Kisa bir arastirma sonrasi Vmware Converter ile istedigimi yapabilecegimi ogrendim ve ise koyuldum.
Kisitli surede bilgisayarin calisan imajini Vmware olarak kaydettik ve bilgisayari teslim ettik. Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.
Topics: Forensic |
August 15th, 2007 at 2:35 am
Merhaba. Silinmiş, kazınmış verileri geri getirmekten bahsetmişsiniz. Özel yazılımlar mı kullanıyorsunuz? undelete plus, file recovery gibi yazılımlar değil herhalde? Bir de ben uygunsuz gördüğün veriyi eraser yazılımı ile yok etmeye çalışıyorum. Yukarıda bahsettigim geri getirme yazılımlarıyla eraser ile kazınmış (defalarca üzerine yazılmış) verileri kurtaramıyor.
August 15th, 2007 at 2:43 am
Alttaki yorumun devam (Pardon bir mause kazası oldu.) Asıl sorum bu eraser ya da benzeri yazılımlar ne derece işe yarıyor? Bu programlarla silinmiş veri kurtarılabilir mi? Bir de Linux’ de eraser tarzı yazılımlar varmı? Teşekkürler. Bir de Hping2 ya da benzeri yazılımlarla ilgili dersleriniz devam edecek mi? İyi çalışmalar.
August 17th, 2007 at 8:56 am
silinmis verilerle ugrasmak icin oldukca fazla ozel yazilim var. Bunlar kabiliyetlerine gore siniflandirilabilir. Bahsettiginiz yazilimlar klasik Windows ortamlarindan bilinen yontemler kullanilarak silinmis veriler icin kullaniliyor.(bildigim kadari ile). Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”. Bu isi uzmanlarina birakmak lazim:)
Hping benzeri konularin devami ilgi oldukca gelecektir.
August 18th, 2007 at 3:20 am
Cevap için teşekkürler. Bir soru soracağım. örneğin: http://www.illegalsite.com‘ u bilgisayarımda internet tarayıcımla görüntüledim. Bu sitedeki yasal olmayan içerik(metin,grafik vs.)bilgisayarıma (ram,HD, Cache vb.)yüklenmiş oldu. Biz eğer bu verileri tam anlamıyla silemiyorsak mantıken yasalar karşısında suçlu duruma düşüyoruz. Yani bu durumda olan bilgisayarıma el koyulup sizin gibi bu işin Uzmanına verseler siz yasal olmayan veriyi bulursunuz. Bende cezalandırılırım. Bu senaryomun/örneğimin gerçeklik derecesi nedir?
August 18th, 2007 at 3:21 am
Linux/Unix sistemlerde veri silici/üzerine yazıcı bir yazılımı ubuntu-tr’den “heartsmagic” adlı kullanıcının yardımıyla buldum. Aşağıdaki adreste ilgilenenler için yazılımın tanıtımı ve kullanımıyla ilgili bilgi mevcut.
http://www.tutkudalmaz.org/gunluk/?p=44
August 20th, 2007 at 9:31 am
Ben isin uzmani degilim:). Sadece konu ilgi alanim ve isimi isgal ettigi icin birseyler ogrenmeye calisiyorum.
Bilisim sucunu islemek icin kullandiginiz bilgisayarin diskini yakmadan sanirim pek kurtulus yolu yok. Vakti zamaninda basilan bir orgutun harddisklerini silahla taramasi sonucu bile bazi bilgiler o diskerlde cikarilmis diye duymustum.
sizin senaryonun gerceklesebilmesi olasiligi %100 gibi