Comments on: Forensic Araci olarak Vmware

By: admin

admin — Mon, 17 Aug 2009 19:28:07 +0000

@Caner: Standartlar hakkinda konusmam genele yonelik. DOD’un diger standart dokumanlarini incelediyseniz guvenlik piyasasinin bayagi gerisinden geldigini gorebiliriz. Ornek olarak Wireless guvenligi konusu. Sonucta stnadart her detayi adresleyemez, bilinen ve teorik olarak ispatlanmis bilgiler uzerine bina edilmistir.

By: Caner KOCAMAZ

Caner KOCAMAZ — Mon, 17 Aug 2009 19:22:46 +0000

admin’ e: Dod 5220.22-M’ de bir disk üzerindeki verinin yok edilme türlerinden bahsedilir. Burada üzerine yazma yöntemleri verinin gizlilik derecesine göre yapılır. Dolayısıyla bu türden yapılan üzerine yazmalarda veri kurtarılamaz. Kurtarma varsa bile ben duymadım. Sadece bu konuda çalışmalar var diye biliyorum.

Kemal’ e: Encase kullanarak 40 Gb diski 160 GB lık bir diske birebir kopyalamışlar. Buradaki kopyalama işlemi bit bit yapılan bir kopyalama işlemidir.Yani 40 GB lık kaynak diskin 0 ncı sektöründen en son sektörüne kadar kopyalanır. Buna işletim sisteminin gördüğü dosyalar, gizli bölümler, adreslenmemiş bölümler de yani hem allocated hem de unallocated bölümler dahildir. Burada bir yer değiştirme söz konusu değildir. Ama şu olabilir. 160 GB lık sıfır bir diske siz 40 GB lık diskin birebir kopyasını restore edebilirsiniz.

Adli bilişim incelemelerinde zaten yapılan işlem tamamen birebir kopya üzerinde çalışmaktır. Birebir kopya fiziksel diskin mantıksal olarak görünmesini sağlar.

Normalde PC kapanınca RAM uçar. Ama bu konuda da çalışmalar var. Fakat RAM gibi kullanılan pagefile.sys dosyasında bir şeyle elde edilebilir. RAM’ in imajı sistem açık iken ayrıca alınmalıdır.
MSN de oturum açanlar ve bu oturum açanlara ait MSN contact listi bile çıkarılır.

By: Kemal

Kemal — Mon, 17 Aug 2009 10:12:36 +0000

merhaba ncase diye (ismini yanlış hatırlıyor yada yazabiliyor olabilrim vardı)

adli bişimde kullanılıyordu şahit olduğum bir olay var onu paylaşmak istiyorum.
eminyetten bir pc yi incelemek için almışlardı.
amac: [email protected] adresinden hedef lokasyona herhangi mail gönderildiğini yada bu adresle msn acılıp acılmadığını test etmekdi 40 gc maxtor hdd ile 160 WD hdd değiştirildi hdd değiştirldiği halde nasıl bunu tespit etmeyi baaşrdılar üstelik yeni hdd ye işletim sistemi win xp kuruldu
Not. ram yada başka bir donanınım dğeişmedi pc kapandıktan sonra saatler hatta günler sonra ramdeki veriler okunabiliyormu yada ramde değiştirilseydi bu bilgilere ulasılamayabilrmiydi. bu konuları acıklayabilrmisniz.

By: admin

admin — Mon, 17 Aug 2009 08:20:45 +0000

DOD5220.22-M bir standarttir, adi ustunde standart. Belirli kurumlarin kisilerin uymakla yukumlu oldugu bildiriler. Standartlari dikkate almaliyiz fakat akıllı bir saldırganın stnadartlara uyarak is yapacagini dusunmemeliyiz.

Bahsettigim urunler piyasada satilamayacak turden urunler. Yani belli anlasmalar cercevesinde sadece belli kurumlara satilabiliyorlar.

By: Caner KOCAMAZ

Caner KOCAMAZ — Mon, 17 Aug 2009 07:44:25 +0000

üzerine veri yazarak verilerin yok etmenin Amerikan Savunma Bakanlığınca hazırlanmış bir standardı(US Department of Defense clearing standard DOD 5220.22-M) var. Benim görüştüğüm şirket bir Çin firması. Yani zaten bu verileri bulsalar ürünlerini piyasaya güle oynaya sunarlar.

By: admin

admin — Mon, 17 Aug 2009 05:19:46 +0000

Yazistiginiz sirketler genelde bilindik ticari sirketlerse zaten belli cevaplari alamazsiniz. Kisisel tecrubem degil fakat piyasada disk bosaltma olarak adlandirilan cogu programin sonrasinda verilerin alindigini bizzat isi yapanlardan dinledim.

Tabi burada yuzlerce kere uzerine yazma meselesi onem kazaniyor, yani siz yuzlerce kere uzerine yazdiginizi dusundugunuz veriyi aslinda bir kere uzerine yaziyor olabilirsiniz.

By: Caner KOCAMAZ

Caner KOCAMAZ — Mon, 17 Aug 2009 05:14:47 +0000

Caner KOCAMAZ : “Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”.” böyle bir şey pek mümkün değil. kesin konuşmak istemiyim dedim. ama araştırmalarıma göre bunu söylüyorum. ayrıca bu işle ilgilenen dünyaca ünlü şirketlerle de yazışmıştım bir zaman.

By: Caner KOCAMAZ

Caner KOCAMAZ — Sun, 16 Aug 2009 21:56:37 +0000

“Bundan sonraki tum islemleri Vmware uzerinde tipki o bilgisayarda calisiyormuscasina yapabilecegiz.”

bu işlemi yapmanın bir çok yolu var. Bilgisayarın imajını aldıysanız bu imaj mount edebilir ve vmware konfigurasyon dosyalarını üretim vmware player veya vmware ws’ da açabilirsiniz ama eğer bilgisayar parola korumalı ise veya aktivasyon kodu istiyorsa bunu geçmeniz gerekir.

By: Huzeyfe ONAL

Huzeyfe ONAL — Mon, 20 Aug 2007 06:31:11 +0000

Ben isin uzmani degilim:). Sadece konu ilgi alanim ve isimi isgal ettigi icin birseyler ogrenmeye calisiyorum.

Bilisim sucunu islemek icin kullandiginiz bilgisayarin diskini yakmadan sanirim pek kurtulus yolu yok. Vakti zamaninda basilan bir orgutun harddisklerini silahla taramasi sonucu bile bazi bilgiler o diskerlde cikarilmis diye duymustum.

sizin senaryonun gerceklesebilmesi olasiligi %100 gibi 🙂

By: Serdar

Serdar — Sat, 18 Aug 2007 00:21:45 +0000

Linux/Unix sistemlerde veri silici/üzerine yazıcı bir yazılımı ubuntu-tr’den “heartsmagic” adlı kullanıcının yardımıyla buldum. Aşağıdaki adreste ilgilenenler için yazılımın tanıtımı ve kullanımıyla ilgili bilgi mevcut.

http://www.tutkudalmaz.org/gunluk/?p=44