SlideShare a Scribd company logo

Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

BGA Cyber Security
BGA Cyber Security

ISTSEC 2013 Konferansında Konuşmacılardan Halil ÖZTÜRKCİ'nin anlatmış olduğu sunumdur.

1 of 53
Download to read offline
Halil  ÖZTÜRKCİ   Microsoft  MVP   CISSP,  CISA,  CEH,  CHFI,  CCNP   ADEO  Bilişim  Danışmanlık  Hizmetleri   halil.ozturkci@adeo.com.tr  
¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ADEO  Kurucu  Ortak  &  Güvenlik  Birimi  Yöneticisi   Güvenlik  TV  Yapımcı  ve  Sunucusu   IstSec  ve  AnkaSec    Organizatörü   Bahçeşehir  Üniversitesi  ve  Bilgi  Üniversitesi  Öğretim   Görevlisi   Adli  Bilişim  Derneği  Başkan  Yardımcısı   Microsoft  MVP,  Enterprise  Security   Adli  Bilişim  Uzmanı  /  Profesyonel  Penetration  Tester   SANS  Mentor  (www.sans.org)   CISSP,  GPEN,  GCFA,  CHFI,  CEH...   www.halilozturkci.com   www.twitter.com/halilozturkci   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Bu  sunumda  bir  adli  bilişim  labaratuarında  ihtiyaç   duyulabilecek  ve  adli  analizi  sürecinde  uzmanlara  yardımcı   olabilecel  açık  kaynak  kodlu  veya  ücretsiz  yazılımlardan  bir   kısmı  yer  almaktadır.   Bu  sunumda  yer  almayan  bir  çok  uygulama  daha  mevcuttur.   Bir  adli  bilişim  labaratuarının  donanımsal  olarak  da  bir  takım   ihtiyaçları  vardır  ve  sunumda  bu  ihtiyaçlardan   bahsedilmemiştir.   Sunumda  yer  alan  uygulamalar  adli  analiz  sırasında  izlenen   adımların  sıralamasıyla  parallellik  gösterecek  şekilde  ele   alınmıştır.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  Müdahale  edilen  bilişim  sistemi  çalışır  durumdayken  bu  sistem   üzerindeki  sayısal  delilleri  elde  etmek  önemlidir.   Daha  sonrada  nelde  edilmesi  imkansız  ya  da  çok  zor  olan  sayısal   delilleri,  bu  delillerin  yer  aldığı  sistem  çalışır  durumdayken  elde   etmek  çok  daha  kolaydır.   Olay  müdahalesi  sırasında  kullanılacak  araç  setlerinin  önceden   hazırlanması  ve  farklı  işletim  sistemleri  için  önceden  test  edilmesi   tavsiye  edilir.   Hafızanın  imajının  alınmasıda  bu  aşamada  gerçekleştirilir.   Araç  seti  seçilirken  mümkün  mertebe  delil  toplanacak  sistemde  en   az  değişikliğe  sebep  olacak  araçlar  seçilmeli  ve  bu  araçların  ne  tür   değişiklikler  yapabileceği  konusunda  bilgi  sahibi  olunması  tavsiye   edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  Tr3Secure  Data  Collection  Script,  Corey  Harrell  tarafından  geliştirilen  ve   bir  Windows  işletim  sistemi  üzerinde  gerçekleştirilecek  olay  müdahalesi   sırasında  kullanılması  tavsiye  edilen  araçların  belirli  bir  sırayla  ve  belirli  bir   formatta  çıktı  üretecek  şekilde  çalıştırılmasını  sağlayan  bir  betiktir.   Son  sürümüne  http://code.google.com/p/jiir-­‐resources/downloads/list   adresinden  erişilebilir.   Kullanım  şekli  özetle  aşağıdaki  gibidir;   §  tr3-­‐collect.bat  [vakıa  numarası]  [toplanacak  verilerin  kaydedileceği  sürücü]  [menu  seçimi#]   ▪  [vakıa  numarası]  =  Vakıayı  tekil  olarak  ifade  edebilecek  bir  numara   ▪  [Toplanacak  verilerin  kaydedileceği  sürücü]  =  Toplanacak  verilerin  kaydedileceği   sürücü  harfi   ▪  [menu  seçimi]  =  Aşağıdaki  listede  yer  alan  seçeneklerden  birisi:   ▪                 1  =  Acquire  Memory  Forensic  Image   ▪                 2  =  Acquire  Volatile  Data   ▪                 3  =  Acquire  Non-­‐Volatile  Data   ▪                 4  =  Acquire  Volatile  and  Non-­‐Volatile  Data  (default)   ▪                 5  =  Acquire  Memory  Forensic  Image,  Volatile,  and  Non-­‐Volatile  Data   @ADEO Security Labs, 2011 www.adeosecurity.com
  @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  MoonSols  Windows  Memory  Toolkit  içindeki  win32dd  ve   win64dd,  Windows  işletim  sistemleri  üzerinde  hafızanın   imajını  almak  için  kullanılabilecek  araçlardır.   http://moonsols.com/wp-­‐content/plugins/download-­‐ monitor/download.php?id=1  adresinden  bu  kitin   Community  Edition  versiyonu  ücretsiz  olarak  indirilebilir.   Hafıza  imajı  alınacak  bilgisayar  üzerinde  Administrator   haklarına  sahip  olunması  gerekiyor.   Hafıza  imajının  şüphelinin  bilgisayarının  yerel  disklerine   değil,  network  üzerinden  ulaşılabilen  yazılabilir  bir   paylaşılmış  dizine  ya  da  taşınabilir  bir  medyaya  alınması   tavsiye  edilir.  
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  Volatility,  hafıza  (RAM)  imajı  üzerinde  analiz  gerçekleştirip,  olası  sayısal  delilleri   çıkartmak  için  kullanılabilecek  bir  framework’dür.   Desteklediği  işletim  sistemlerinin  listesi  aşağıda  yer  almaktadır.   https://code.google.com/p/volatility/  adresinden  son  sürümüne   ulaşılabilir.   Python  ile  yazılan  framework,  açık  kaynak  kodu  esasına  göre  dağıtılıyor.   Volatiliy  ile  bir  hafıza  imajından  öğrenilebilen  bilgilerden  bazıları   şunlardır;   §  İmajın  alındığı  tarih  ve  saat  bilgisi   §  Çalışan  uygulamalar/prosesler   §  Açık  network  soketleri   §  Açık  network  bağlantıları   §  Her  bir  uygulama/proses  tarafından  yüklenen  DLL  dosyaları   §  Her  bir  uygulama/proses  tarafından  açılan  dosyalar   §  Her  bir  uygulama/proses  tarafından  açılan  registry  anahtarları   §  İşletim  sistemindeki  kernel  modülleri   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  Halihazırda  yazılmış  bir  çok  eklenti  ile  daha  esnek  bir    şekilde  çalışılabiliyor.   Eklentilerden  bazıları  (Eklentilerin  tamamı  için  http://www.forensicswiki.org/wiki/ List_of_Volatility_Plugins  adresine  bakılabilir.)     §  §  §  §  §  §  ¡  cachedump:  Registry'de  tutulan  domain  hash  değerlerini  getirir.   cryptoscan:  Hafıza  imajı  içerisinde  TrueCrypt  passphrass'larını  arar.   hasdump:  Registry'de  tutulan  LM  ve  NT  hash  değerlerini  getirir.   hivedump:  Registry  hive'lerini  CSV  formatında  dışarı  almaya  yarar.   lsadump:  LSA  keylerini  registry'den  çıkartır.   malfind:    Hafıza  imajı  içindeki  çalıştırılabilir  dosyaları  bulup  rebulild  edebiliyor.   Desteklenen  işletim  sistemlerinin  listesi  aşağıdaki  tabloda  yer  alıyor.   32-­‐bit  Windows  XP  Service  Pack  2  and  3   32-­‐bit  Windows  2003  Server  Service  Pack  0,  1,  2   32-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   32-­‐bit  Windows  2008  Server  Service  Pack  1,  2   32-­‐bit  Windows  7  Service  Pack  0,  1   64-­‐bit  Windows  XP  Service  Pack  1  and  2   64-­‐bit  Windows  2003  Server  Service  Pack  1  and  2     @ADEO Security Labs, 2011 64-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   64-­‐bit  Windows  2008  Server  Service  Pack  1  and  2   64-­‐bit  Windows  2008  R2  Server  Service  Pack  0  and  1   64-­‐bit  Windows  7  Service  Pack  0  and  1   (new)  32-­‐bit  Linux  kernels  2.6.11  to  3.5   (new)  64-­‐bit  Linux  kernels  2.6.11  to  3.5     www.adeosecurity.com
¡  ¡  ¡  Canlı  İnceleme  ve  Olay  Müdahalesinde  kullanılabilecek  bir   araç  kitidir.   http://www.deftlinux.net/2013/05/14/dart-­‐2-­‐beta-­‐ready-­‐for-­‐ download/  adresinden  indirilebilir.   Bu  kitin  içinde  200’den  fazla  araç  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Windows  ortamında  canlı  inceleme  yapmak  için  kullanılabilecek   araçların  bir  araya  getirildiği  bir  CD  imajıdır.   Bu  CD/DVD  imajı  içinde  yer  alan  uygulamaların  çalışması   sunucunda  oluşturulan  raporun  bir  USB  diske  yazılması  sağlanır.   http://www.win-­‐ufo.org/  adresinden  son  sürümüne  ulaşılabilir.   Çalıştırılan  her    bir  uygulama  ait  çıktılar  ayrı  bir  rapor  dosyası   halinde  saklanır.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡    Mac  OS  X  işletim  sistemleri  üzerinde  olay  müdahalesi  sırasında   kullanılabilecek  bir  uygulamadır.   USB  üzerinden  çalışacak  şekilde  dizayn  edilmiştir.   http://sud0man.blogspot.fr/2013/09/pac4mac-­‐forensics-­‐framework-­‐for-­‐ mac-­‐os.html  adresinden  son  sürümüne  ulaşılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Canlı  inceleme  sırasında  disk  şifrelemenin   kullanıldığı  bir  sabit  diske  rastlanabilir.   Disk  şifrelenemin  kullanıldığı  bir  diskin   imajını  sistem  canlı  iken  almak  süreci   hızlandırır.  (  Sistem  kapandıktan  sonra   alınacak  disk  imajını  okumak  için   şifrelmede  kullanılan  şifreye  ihtiyaç   duyulur.)   Encrypted  Disk  Detector  (EDD)  ile   inceleme  yapılan  bilgisayarda  TrueCrypt,   PGP®  veya  Bitlocker®  ile  şifrelenmiş  lokal   disklerin  olup  olmadığı  öğrenilebilir.   http://info.magnetforensics.com/ encrypted-­‐disk-­‐detector  adresinden   indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Şüpheli  sisteme  ait  disklerin  imajının  alınması  sırasında  bu  disklere   herhangi  bir  şekilde  yazma  işlemi  gerçekleştirilmesin  diye  donanımsal   veya  yazılımsal  olarak  bir  yazma  koruması  kullanılmalıdır.   USB  Write  Blocker  uygulaması  Windows  sistemlerdeki  Registry   anahtarları  üzerinde  yaptığı  değişikliklerle  ilgili  sisteme  USB  portları   üzerinden  bağlanan  disklere  yazma  işlemi  gerçekleştirilmesini  engeller.   Donanımsal  bir  yazma  koruması  çözümü  her  zaman  tercih  edilmeli,   yazılımsal  yazma  koruması  en  son  alternatif  olarak  düşünülmelidir.   USB  Write  Blocker  uygulamasını   http://dsicovery.com/dsicovery-­‐software/usb-­‐write-­‐blocker/  adresinden   indirebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  dd’nin  geliştirilmiş  ve  yeni  özellikler  eklenmiş   versiyonudur.   ¡  [Seçenekler] §  progress=on §  hash=<type> §  hashlog=filename (İlerleme  çubuğunu  göster)    (hashtürü  =  md5,  sha,  sha1,sha256  )    (İmaj  alma  sırasında  ve  log  dosyasına   yazma  sırasında  bütünlük  doğruluma  yap)   §  hashwindow=NUM (Her  num  ile  belirtilen  miktarda  byte  işleminden   sonra  MD5  hash  hesaplaması  yap)   # ./dc3dd if=/dev/sda of=/mnt/Davalar/sda.img hash=md5 progress=on hashlog=/mnt/Davalar/sda.log @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  FTK  Imager,  AccessData  firması  tarafından  ücretsiz  olarak   sunulan  bir  uygulamadır.   http://www.accessdata.com/support/product-­‐downloads   adresinden  indirilebilir.   İmaj  almanın  yanında  temel  manada  analiz  işlemi   yapılmasına  da  imkan  tanır.   Silme  yapıldıktan  sonra  üzerine  herhangi  bir  şekilde  yazma   işlemi  gerçekleştirilmemiş  dosyaların  kurtarılmasını  da   sağlar.   Image  mounting  özelliği  sayesinde  sabit  disk  imajlarını   Windows  ortamında  sadece-­‐okunabilir  formatta  bir  sürücü   olarak  gösterebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  EnCase  Forensics  Imager   http://www1.guidancesoftware.com/Order-­‐Forensic-­‐Imager.aspx   adresinden  indirilebilir.   Yereldeki  sabit  disk,  hafıza  kartı  ve  hafızanın  anlık  görüntüsünü  sunar  ve   bunların  imajının  alınmasına  imkan  tanır.   Desteklediği  delil  formatları  aşağıdadır..   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ¡  Legacy  EnCase  evidence  files  (.E01)   Legacy  logical  evidence  files  (.L01)   Current  EnCase  evidence  files  (.Ex01)   Current  logical  evidence  files  (.Lx01)     DD  images   VMware  files  (.vmdk)   Virtual  PC  files  (.vhd)   LinEn  ile  birlikte  kullanıldığında  network  üzerinden  imaj  alınmasına   imkan  tanır.(Özellikle  RAID  yapıların  imajını  almada  tercih  edilir.)   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  Guymager,  Linux  altında  çalışan  bir  imaj  alma  yazılımıdır.   http://guymager.sourceforge.net/  adresinden  son  sürümüne   ulaşılabilir.   (dd),  EWF  (E01)  ve  AFF  formatında  imajlar  oluşturabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  Dd  formatında  imajı  alınmış  diskleri  Windows  ortamında  mount  etmek   için  kullanılabilecek  bir  yazılımdır.   http://www.osforensics.com/tools/mount-­‐disk-­‐images.html  adresinden   indirilebilir.   Desteklediği  formatlar;   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Disk  imajları  içindeki  volume  ve  dosya  sistemleri  üzerinde  analiz   gerçekleştirmek  için  kullanılabilecek  komut  satırı  uygulamalarından   oluşmuş  bir  settir.   http://www.sleuthkit.org/sleuthkit/  adresinden  indirilebilir.   Girdi  olarak  raw  (dd),  Expert  Witness    (EnCase)  ve  AFF  dosya  türlerini   destekler.   Analiz  yapabildiği  dosya  sistemleri  ise  şunlardır;   §  NTFS,  FAT,  UFS  1,  UFS  2,  EXT2FS,  EXT3FS,  Ext4,  HFS,  ISO  9660,  YAFFS2   ¡  Bu  kit  içinde  yer  alan  uygulamalar  beş  farklı  ana  kategoride   toplanmışlardır.  Bunlar;   ▪  ▪  ▪  ▪  ▪  File  Sistem  Araçları   Volume  Sistem  Araçları   İmaj  Dosyası  Araçları   Disk  Araçları   Diğer  Araçlar   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Autopsy  komut  satırı  uygulamalarını  çalıştırmak  için  geliştirilen  bir  grafik   arayüzdür.   Arka  planda  TSK  (The  Sleuth  Kit)  araçlarını  ve  bazı  standart  Unix   uygulamalarını  kullanır.   Son  sürümüne  www.sleuthkit.org/autopsy/  adresinen  ulaşılabilir.   Temel  özellikleri:   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  Timeline  Analysis     Keyword  Search   Web  Artifacts   Registry  Analysis   LNK  File  Analysis   Email  Analysis   EXIF   File  Type  Sortin   Media  Playback   Thumbnail  viewer   Hash  Set  FilteringTags   Unicode  Strings  Extraction   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  foremost,  Amerika  Hava  Kuvvetlerinden  Agents  Jesse  Kornblum  ve  Kris  Kendall   tarafından  yazılmıştır.   Bir  ikili  dosya  içindeki  verileri  kurtarmak  için  kullanılır.   dd,  Safeback,  Encase  gibi  uygulamalar  tarafından  oluşturulmuş  imaj  dosyaları   üzerinde  çalışabileceği  gibi  direkt  olarak  sabit  disk  sürücüsü  üzerinde  de   çalışabilir.   Bu  ikili  dosya;   §  İmaj  dosyası   §  Swap  alanı   §  Unallocated  alanların  çıkartılmasıyla  oluşan  dosya          olabilir.   ¡  foremost  veri  kurtarma  işlemi  sırasında  konfigurasyon  dosyasında  yer  alan  ve   farklı  dosya  tipleri  için  ön  tanımlı  olarak  gelen  dosya  header,  footer  bilgilerini  baz   alır.   ¡  Dosya  türlerine  ilişkin  header  ve  footer  bilgilerine   http://www.garykessler.net/library/file_sigs.html  adresinden  ulaşılabilir.   ¡  Son  sürümüne  http://foremost.sourceforge.net/  adresinden  ulaşılabilir.     @ADEO Security Labs, 2011 www.adeosecurity.com
 cat  /foremost-­‐outtput/audit.txt  |less     5071  FILES  EXTRACTED     gif:=  35   gif:=  31   jpg:=  10   jpg:=  3680   png:=  1288   bmp:=  27   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  OSForensics,  Windows  ortamında  adli  bilişim  incelemesi   gerçekleştirebileceğiniz  ve  profesyonel  sürümüne  oranla   belirli  özellikleri  kırpılmış  fakat  buna  rağmen  yine  de  oldukça   başarılı  ve  gelişmiş  özelliklere  sahip  bir  analiz  yazılımıdır.    http://www.osforensics.com/osforensics.html  adresinden   son  sürümüne  ulaşılabilir.   İndex  oluşturma  ve  index  üzerinden  arama  yapılmasına   imkan  tanıma,  silinmiş  dosyaları  kurtarma,  kullanıcının   aktivitelerini  hızlıca  ortaya  çıkarma,  Volume  Shadow   kopyaları  üzerinde  çalışma  gibi  bir  çok  özelliğe  sahiptir.   Dahili  olarak  registry  görüntüleme,  dosya  görüntüleme  ve  e-­‐ posta  görüntüleme  özelliğine  sahiptir.     @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  ¡  ¡  Windows  sistemlerdeki  kullanıcıların  aktivitelerini  ortaya  çıkarmak  adına   registry  anahtarları  üzerinde  analiz  gerçekleştirmeye  imkan  tanıyan  bir   yazılımdır.   Eklenti  bazlı  çalışır.(Plug-­‐in)   Sadece  kullanıcılar  hakkında  değil,  analiz  edilen  sistem  hakkında  da  bir   çok  bilgiye  registry  anahtarları  üzerinden  erişilmesine  imkan  tanır.   Son  sürümüne  https://code.google.com/p/regripper/  adresinden   ulaşılabilir.   Harlan  Carvey  tarafından  yazılmıştır.   Eklentilerin  tamamı  RegRipper’ın  plugins  klasöründe  yer  alır.   Her  bir  eklenti  dosyasında  RegRipper’ın  hangi  hive  üzerinde  hangi   anahtar  ve  değerler  bakacağı  ve  bu  anahtar  ve  değerleri  bulduğunda  ne   yapması  gerektiği  bilgisi  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Alınan  dd  formatındaki  imajlar  bir  sanal  makinaya   bağlanarak  disk  üzerindeki  işletim  sistemi   çalıştırılabilir  ve  ekstra  analiz  gerçekleştirilebilir.   Bunun  için  Live  View  uygulaması  kullanılabilir.   Live  View  ile  imajı  alınan  bilgisayarın  interaktif   modda  analizi  yapılırken  arka  plandaki  disklerin   üzerinde  herhangi  bir  değişiklik  yapılmaz.   http://www.sei.cmu.edu/digitalintelligence/tools/ liveview/index.cfm  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡    SANS  tarafından  hazırlanan  ve  içeriğinde  bir  çok  açık  kaynak  kodlu  adli  bilişim   yazılımını  barındıran  sanal  makinedir.   2.14  sürümünü  http://computer-­‐forensics.sans.org/community/downloads   adresinden  indirebilirsiniz.   File  system  support     •  Windows  (MSDOS,  FAT,  VFAT,  NTFS)   •  MAC  (HFS+)   •  Solaris  (UFS)   •  Linux  (EXT2/3/4)         Evidence  Image  Support     •  Expert  Witness  (E01)   •  RAW  (dd)   •  Advanced  Forensic  Format  (AFF)     @ADEO Security Labs, 2011 Software  Includes     •  The  Sleuth  Kit  (File  system  Analysis  Tools)   •  log2timeline  (Timeline  Generation  Tool)   •  ssdeep  &  md5deep  (Hashing  Tools)   •  Foremost/Scalpel  (File  Carving)   •  WireShark  (Network  Forensics)   •  Vinetto  (thumbs.db  examination)   •  Pasco  (IE  Web  History  examination)   •  Rifiuti  (Recycle  Bin  examination)   •  Volatility  Framework  (Memory  Analysis)   •  DFLabs  PTK  (GUI  Front-­‐End  for  Sleuthkit)   •  Autopsy  (GUI  Front-­‐End  for  Sleuthkit)   •  PyFLAG  (GUI  Log/Disk  Examination)   •  DFF  (Digital  Forensic  Framework)     www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  İçerisinde  yüzlerde  adli  bilişim  yazılımının  yer  aldığı  bir  Linux  dağıtımıdır.   Bu  dağıtım  sık  güncellenir  ve  son  sürümüne   http://www.deftlinux.net/download/  adresinden  erişilebilir.   Yaklaşık  100  sayfalık  kullanım  dokümanında  bir  çok  aracın  kullanımı   örnekleriyle  anlatılmış  durumda.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  Windows  ortamında  çalışan  bir    Network  Forensic  Analysis   uygulamasıdır.   Free  ve  Professional  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu   http://sourceforge.net/projects/networkminer/files/latest   adresinden  indirilebilir.   Hem  canlı  ağ  trafiği  üzerinde  hemde  pcap  dosyaları  üzerinde   analiz  gerçekleştirilebilir.   Professional  versiyonu  bir  USB  flash  üzerinde  gelir  ve  direkt   olarak  olay  müdahalesinin  yapılacağı  bilgisayarda   çalıştırılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  Virtual  Box  formatında  hazırlanmış  sanal  makina  hali   http://sourceforge.net/projects/xplico/files/VirtualBox %20images/  adresinden  indirilebilir.   DEFT’in  son  versiyonu  içinde  de  yüklü  gelir.   Diğer  adli  bilişim  yazılımlarında  olduğu  gibi  Xplico’da  da  Case   mantığı  vardır.   Xplico’ya  login  olurken  kullanılabilecek  admin  yetkisine  sahip   kullanıcının  adı  şifre  ikilisi  şöyledir;   §  admin/xplico   ¡  Admin  olarak  oturum  açıldıktan  sonra  işlem  yapmak  üzere   sistem  üzerinde  bir  kullanıcı  oluşturulması  tavsiye  edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
İnternet  üzerinden   gerçekleştirilen  sohbetlere  ilişkin   elde  edilebilen  detaylar  bu   kısımda  toplanmış  durumda.   @ADEO Security Labs, 2011 Facebook  üzerinden   gerçekleştirilen  sohbet     detayları   www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  ¡  ¡  Oturum  tabanlı  (Session-­‐Based)  bir  network  forensics  yazılımıdır.   Ücretsiz  sürümü  http://www.netwitness.com/products-­‐services/ investigator-­‐freeware  adresinden  indirilebilir.   Ücretsiz  sürümünde  boyutu  1  GB’a  kadar  olan  capture  dosyaları  analiz   edilebiliyor.     Çok  gelişmiş  bir  filtreleme  imkanı  sunuyor.   Kablolu  yada  kablosuz  ağlar  üzerinden  akan  Raw  paketleri  yakalayabilme   yeteneğine  sahip  olduğu  gibi,  başka  araçlar  kullanılarak  yakalanmış  pcap   dosyalarını  import  edebiliyor.   Patentli    port-­‐agnostic    teknolojisi  sayesinde  varsayılan  portlarından   farklı  portları  kullansalar  bile  protokolleri  doğru  tespit  edebiliyor.   Aşağıdaki  üç  farklı  kategoriyi  çok  iyi  anlamak  gerekiyor;   §  Packet  Collectors   §  Protocol  Analyzers   §  Network  Forensics  Tools   @ADEO Security Labs, 2011 www.adeosecurity.com
1 2 3 4 @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ¡  ¡  ¡  ¡  Splunk,  cihazlar  veya  uygulamalar  (websiteleri,  uygulamalar,  sunucular,   ağ  cihazları  mobil  cihazlar  vb)  tarafından  üretilen  log  kayıtları  üzerinde   analiz,  izleme  ve  arama  yapma  imkanı  sunan  ve  uygulamadır.   http://www.splunk.com/download  adresinden  indirilebilir.   Kullanıcı  bütün  işlemlerini  web  tabanlı  arayüzden  gerçekleştirir.   Free  ve  Enterprise  versiyon  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu  günlük  500  MB  log  işleyebilir.   Desteklediği  işletim  sistemlerinin  listesi;   Gereksinimler  için   http://docs.splunk.com/Documentation/Splunk/4.3.3/Installation/ Systemrequirements  adresine  bakılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
Arama  yapılacak  ifadeleri  Search   kısmına  yazıyoruz.  Alt  tarafta  toplam   event  sayısı  ve  ilk  ve  son  event   zamanları  gösterilmiştir.   Ön  tanımlı  zaman  aralıklarını   seçerek  sorguların  zaman  aralıkları   ile  oynayabiliyoruz.   Splunk  kullanarak   Directory  Traversal   saldırı  girişimlerini   görüntülüyoruz.   Splunk  kullanarak  XSS  saldırı   girişimlerini  görüntülüyoruz.   Eklenen  veri  kaynaklarının  listesi   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  ADEL,  Android  cihazlarda  yer  alan  ve  adli  bilişim  açısından  önemli   verilerin  tutulduğu  SQLite  formatındaki  veritabanlarına  ulaşıp  bu   veritabanları  içindeki  verileri  extract  eden  bir  uygulamadır.   http://forensics.spreitzenbarth.de/adel/  adresinden  son  sürümüne   ulaşılabilir.   Mevcut  sürümü  aşağıdaki  bilgileri  elde  etmenize  imkan  tanır.   §  Telefon  ve  SIM  kartı  bilgileri  (örneğin  IMSI  ve  seri  numarası)   §  Telefon  defteri  ve  arama  listeleri   §  Takvim  kayıtları   §  SMS  mesajları   §  Telefonda  yer  alan  GPS  kayıtları   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  Android  cihazlar  üzerinden  logical  extraction  yöntemi  ile  Çağrı   detaylarını,  SMS  mesajlarını  ve  Kontak  listesini  elde  etmenize  imkan   tanıyan  ücretsiz  bir  yazılım.   http://www.signalsec.com/saft/  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
¡  ¡  ¡  İncilenen  bilgisayarda  yer  alan  iOS  yedekleri  üzerinde  işlem   yapmanıza  imkan  tanır.   http://www.iphonebackupextractor.com  adresinden  ücretsiz   olarak  indirilebilir.    iPhone,  iPod  Touch,  iPad,  iPhone  3G,  iPhone  3GS,  iPhone  4,   iPhone  4S,  iPhone  5  yedeklerini  destekler.  Yedek  dosyaları   içinden  aşağıdaki  kategorilerde  yer  alan  verilerin  elde   edilmesini  sağlar.   Fotoğraflar   Kontaklar   Videolar   Takvim   Notlar     @ADEO Security Labs, 2011   SMS’ler   Arama  Geçmişi   Ses  Kayıtları   Lokasyon  Bilgileri   www.adeosecurity.com
Şifreli  yedek   http://www.iphonebackupextractor.com @ADEO Security Labs, 2011 www.adeosecurity.com
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

Recommended

Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 

Recommended

Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıAhmet Gürel
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugayFuat Ulugay, CISSP
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBGA Cyber Security
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest HizmetiBGA Cyber Security
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 

More Related Content

What's hot

Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıAhmet Gürel
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugayFuat Ulugay, CISSP
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 

What's hot (20)

Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat Ulugay
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 

Viewers also liked

Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Ağ Protokollerine Yönelik Adli Bilişim Analizi
Ağ Protokollerine Yönelik Adli Bilişim AnaliziAğ Protokollerine Yönelik Adli Bilişim Analizi
Ağ Protokollerine Yönelik Adli Bilişim AnaliziBGA Cyber Security
 
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiWeb Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiBGA Cyber Security
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiBGA Cyber Security
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriBGA Cyber Security
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarBGA Cyber Security
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıBGA Cyber Security
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiAPT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiBGA Cyber Security
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"BGA Cyber Security
 
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik AyarlarıTwitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik AyarlarıBGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerİstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerBGA Cyber Security
 

Viewers also liked (20)

Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta Sistemi
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Ağ Protokollerine Yönelik Adli Bilişim Analizi
Ağ Protokollerine Yönelik Adli Bilişim AnaliziAğ Protokollerine Yönelik Adli Bilişim Analizi
Ağ Protokollerine Yönelik Adli Bilişim Analizi
 
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiWeb Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
 
Hping, TCP/IP Paket Üretici
Hping, TCP/IP Paket ÜreticiHping, TCP/IP Paket Üretici
Hping, TCP/IP Paket Üretici
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin Anlamı
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
 
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiAPT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"
 
Syn Flood DDoS Saldırıları
Syn Flood DDoS SaldırılarıSyn Flood DDoS Saldırıları
Syn Flood DDoS Saldırıları
 
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik AyarlarıTwitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerİstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
 

Similar to Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Android ROM Geliştirme
Android ROM GeliştirmeAndroid ROM Geliştirme
Android ROM GeliştirmeMuharrem Tac
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAhmet Gürel
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Windows 8 Ögretim Materyali
Windows 8 Ögretim MateryaliWindows 8 Ögretim Materyali
Windows 8 Ögretim MateryaliCaner Öztürkten
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysisAttaporn Ninsuwan
 

Similar to Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son (20)

Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
Android ROM Geliştirme
Android ROM GeliştirmeAndroid ROM Geliştirme
Android ROM Geliştirme
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Liferay
LiferayLiferay
Liferay
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Windows 8 Ögretim Materyali
Windows 8 Ögretim MateryaliWindows 8 Ögretim Materyali
Windows 8 Ögretim Materyali
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 

Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son

  • 1. Halil  ÖZTÜRKCİ   Microsoft  MVP   CISSP,  CISA,  CEH,  CHFI,  CCNP   ADEO  Bilişim  Danışmanlık  Hizmetleri   halil.ozturkci@adeo.com.tr  
  • 2. ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ¡  ADEO  Kurucu  Ortak  &  Güvenlik  Birimi  Yöneticisi   Güvenlik  TV  Yapımcı  ve  Sunucusu   IstSec  ve  AnkaSec    Organizatörü   Bahçeşehir  Üniversitesi  ve  Bilgi  Üniversitesi  Öğretim   Görevlisi   Adli  Bilişim  Derneği  Başkan  Yardımcısı   Microsoft  MVP,  Enterprise  Security   Adli  Bilişim  Uzmanı  /  Profesyonel  Penetration  Tester   SANS  Mentor  (www.sans.org)   CISSP,  GPEN,  GCFA,  CHFI,  CEH...   www.halilozturkci.com   www.twitter.com/halilozturkci   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 3. ¡  ¡  ¡  ¡  Bu  sunumda  bir  adli  bilişim  labaratuarında  ihtiyaç   duyulabilecek  ve  adli  analizi  sürecinde  uzmanlara  yardımcı   olabilecel  açık  kaynak  kodlu  veya  ücretsiz  yazılımlardan  bir   kısmı  yer  almaktadır.   Bu  sunumda  yer  almayan  bir  çok  uygulama  daha  mevcuttur.   Bir  adli  bilişim  labaratuarının  donanımsal  olarak  da  bir  takım   ihtiyaçları  vardır  ve  sunumda  bu  ihtiyaçlardan   bahsedilmemiştir.   Sunumda  yer  alan  uygulamalar  adli  analiz  sırasında  izlenen   adımların  sıralamasıyla  parallellik  gösterecek  şekilde  ele   alınmıştır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 4. ¡  ¡  ¡  ¡  ¡  Müdahale  edilen  bilişim  sistemi  çalışır  durumdayken  bu  sistem   üzerindeki  sayısal  delilleri  elde  etmek  önemlidir.   Daha  sonrada  nelde  edilmesi  imkansız  ya  da  çok  zor  olan  sayısal   delilleri,  bu  delillerin  yer  aldığı  sistem  çalışır  durumdayken  elde   etmek  çok  daha  kolaydır.   Olay  müdahalesi  sırasında  kullanılacak  araç  setlerinin  önceden   hazırlanması  ve  farklı  işletim  sistemleri  için  önceden  test  edilmesi   tavsiye  edilir.   Hafızanın  imajının  alınmasıda  bu  aşamada  gerçekleştirilir.   Araç  seti  seçilirken  mümkün  mertebe  delil  toplanacak  sistemde  en   az  değişikliğe  sebep  olacak  araçlar  seçilmeli  ve  bu  araçların  ne  tür   değişiklikler  yapabileceği  konusunda  bilgi  sahibi  olunması  tavsiye   edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 5. ¡  ¡  ¡  Tr3Secure  Data  Collection  Script,  Corey  Harrell  tarafından  geliştirilen  ve   bir  Windows  işletim  sistemi  üzerinde  gerçekleştirilecek  olay  müdahalesi   sırasında  kullanılması  tavsiye  edilen  araçların  belirli  bir  sırayla  ve  belirli  bir   formatta  çıktı  üretecek  şekilde  çalıştırılmasını  sağlayan  bir  betiktir.   Son  sürümüne  http://code.google.com/p/jiir-­‐resources/downloads/list   adresinden  erişilebilir.   Kullanım  şekli  özetle  aşağıdaki  gibidir;   §  tr3-­‐collect.bat  [vakıa  numarası]  [toplanacak  verilerin  kaydedileceği  sürücü]  [menu  seçimi#]   ▪  [vakıa  numarası]  =  Vakıayı  tekil  olarak  ifade  edebilecek  bir  numara   ▪  [Toplanacak  verilerin  kaydedileceği  sürücü]  =  Toplanacak  verilerin  kaydedileceği   sürücü  harfi   ▪  [menu  seçimi]  =  Aşağıdaki  listede  yer  alan  seçeneklerden  birisi:   ▪                 1  =  Acquire  Memory  Forensic  Image   ▪                 2  =  Acquire  Volatile  Data   ▪                 3  =  Acquire  Non-­‐Volatile  Data   ▪                 4  =  Acquire  Volatile  and  Non-­‐Volatile  Data  (default)   ▪                 5  =  Acquire  Memory  Forensic  Image,  Volatile,  and  Non-­‐Volatile  Data   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 6.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 7. ¡  ¡  ¡  ¡  MoonSols  Windows  Memory  Toolkit  içindeki  win32dd  ve   win64dd,  Windows  işletim  sistemleri  üzerinde  hafızanın   imajını  almak  için  kullanılabilecek  araçlardır.   http://moonsols.com/wp-­‐content/plugins/download-­‐ monitor/download.php?id=1  adresinden  bu  kitin   Community  Edition  versiyonu  ücretsiz  olarak  indirilebilir.   Hafıza  imajı  alınacak  bilgisayar  üzerinde  Administrator   haklarına  sahip  olunması  gerekiyor.   Hafıza  imajının  şüphelinin  bilgisayarının  yerel  disklerine   değil,  network  üzerinden  ulaşılabilen  yazılabilir  bir   paylaşılmış  dizine  ya  da  taşınabilir  bir  medyaya  alınması   tavsiye  edilir.  
  • 8. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 9. ¡  ¡  ¡  ¡  ¡  Volatility,  hafıza  (RAM)  imajı  üzerinde  analiz  gerçekleştirip,  olası  sayısal  delilleri   çıkartmak  için  kullanılabilecek  bir  framework’dür.   Desteklediği  işletim  sistemlerinin  listesi  aşağıda  yer  almaktadır.   https://code.google.com/p/volatility/  adresinden  son  sürümüne   ulaşılabilir.   Python  ile  yazılan  framework,  açık  kaynak  kodu  esasına  göre  dağıtılıyor.   Volatiliy  ile  bir  hafıza  imajından  öğrenilebilen  bilgilerden  bazıları   şunlardır;   §  İmajın  alındığı  tarih  ve  saat  bilgisi   §  Çalışan  uygulamalar/prosesler   §  Açık  network  soketleri   §  Açık  network  bağlantıları   §  Her  bir  uygulama/proses  tarafından  yüklenen  DLL  dosyaları   §  Her  bir  uygulama/proses  tarafından  açılan  dosyalar   §  Her  bir  uygulama/proses  tarafından  açılan  registry  anahtarları   §  İşletim  sistemindeki  kernel  modülleri   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 10. ¡  ¡  Halihazırda  yazılmış  bir  çok  eklenti  ile  daha  esnek  bir    şekilde  çalışılabiliyor.   Eklentilerden  bazıları  (Eklentilerin  tamamı  için  http://www.forensicswiki.org/wiki/ List_of_Volatility_Plugins  adresine  bakılabilir.)     §  §  §  §  §  §  ¡  cachedump:  Registry'de  tutulan  domain  hash  değerlerini  getirir.   cryptoscan:  Hafıza  imajı  içerisinde  TrueCrypt  passphrass'larını  arar.   hasdump:  Registry'de  tutulan  LM  ve  NT  hash  değerlerini  getirir.   hivedump:  Registry  hive'lerini  CSV  formatında  dışarı  almaya  yarar.   lsadump:  LSA  keylerini  registry'den  çıkartır.   malfind:    Hafıza  imajı  içindeki  çalıştırılabilir  dosyaları  bulup  rebulild  edebiliyor.   Desteklenen  işletim  sistemlerinin  listesi  aşağıdaki  tabloda  yer  alıyor.   32-­‐bit  Windows  XP  Service  Pack  2  and  3   32-­‐bit  Windows  2003  Server  Service  Pack  0,  1,  2   32-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   32-­‐bit  Windows  2008  Server  Service  Pack  1,  2   32-­‐bit  Windows  7  Service  Pack  0,  1   64-­‐bit  Windows  XP  Service  Pack  1  and  2   64-­‐bit  Windows  2003  Server  Service  Pack  1  and  2     @ADEO Security Labs, 2011 64-­‐bit  Windows  Vista  Service  Pack  0,  1,  2   64-­‐bit  Windows  2008  Server  Service  Pack  1  and  2   64-­‐bit  Windows  2008  R2  Server  Service  Pack  0  and  1   64-­‐bit  Windows  7  Service  Pack  0  and  1   (new)  32-­‐bit  Linux  kernels  2.6.11  to  3.5   (new)  64-­‐bit  Linux  kernels  2.6.11  to  3.5     www.adeosecurity.com
  • 11. ¡  ¡  ¡  Canlı  İnceleme  ve  Olay  Müdahalesinde  kullanılabilecek  bir   araç  kitidir.   http://www.deftlinux.net/2013/05/14/dart-­‐2-­‐beta-­‐ready-­‐for-­‐ download/  adresinden  indirilebilir.   Bu  kitin  içinde  200’den  fazla  araç  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 12. ¡  ¡  ¡  ¡  Windows  ortamında  canlı  inceleme  yapmak  için  kullanılabilecek   araçların  bir  araya  getirildiği  bir  CD  imajıdır.   Bu  CD/DVD  imajı  içinde  yer  alan  uygulamaların  çalışması   sunucunda  oluşturulan  raporun  bir  USB  diske  yazılması  sağlanır.   http://www.win-­‐ufo.org/  adresinden  son  sürümüne  ulaşılabilir.   Çalıştırılan  her    bir  uygulama  ait  çıktılar  ayrı  bir  rapor  dosyası   halinde  saklanır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 13. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 14. ¡  ¡  ¡    Mac  OS  X  işletim  sistemleri  üzerinde  olay  müdahalesi  sırasında   kullanılabilecek  bir  uygulamadır.   USB  üzerinden  çalışacak  şekilde  dizayn  edilmiştir.   http://sud0man.blogspot.fr/2013/09/pac4mac-­‐forensics-­‐framework-­‐for-­‐ mac-­‐os.html  adresinden  son  sürümüne  ulaşılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 15. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 16. ¡  ¡  ¡  ¡  Canlı  inceleme  sırasında  disk  şifrelemenin   kullanıldığı  bir  sabit  diske  rastlanabilir.   Disk  şifrelenemin  kullanıldığı  bir  diskin   imajını  sistem  canlı  iken  almak  süreci   hızlandırır.  (  Sistem  kapandıktan  sonra   alınacak  disk  imajını  okumak  için   şifrelmede  kullanılan  şifreye  ihtiyaç   duyulur.)   Encrypted  Disk  Detector  (EDD)  ile   inceleme  yapılan  bilgisayarda  TrueCrypt,   PGP®  veya  Bitlocker®  ile  şifrelenmiş  lokal   disklerin  olup  olmadığı  öğrenilebilir.   http://info.magnetforensics.com/ encrypted-­‐disk-­‐detector  adresinden   indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 17. ¡  ¡  ¡  ¡  Şüpheli  sisteme  ait  disklerin  imajının  alınması  sırasında  bu  disklere   herhangi  bir  şekilde  yazma  işlemi  gerçekleştirilmesin  diye  donanımsal   veya  yazılımsal  olarak  bir  yazma  koruması  kullanılmalıdır.   USB  Write  Blocker  uygulaması  Windows  sistemlerdeki  Registry   anahtarları  üzerinde  yaptığı  değişikliklerle  ilgili  sisteme  USB  portları   üzerinden  bağlanan  disklere  yazma  işlemi  gerçekleştirilmesini  engeller.   Donanımsal  bir  yazma  koruması  çözümü  her  zaman  tercih  edilmeli,   yazılımsal  yazma  koruması  en  son  alternatif  olarak  düşünülmelidir.   USB  Write  Blocker  uygulamasını   http://dsicovery.com/dsicovery-­‐software/usb-­‐write-­‐blocker/  adresinden   indirebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 18. ¡  dd’nin  geliştirilmiş  ve  yeni  özellikler  eklenmiş   versiyonudur.   ¡  [Seçenekler] §  progress=on §  hash=<type> §  hashlog=filename (İlerleme  çubuğunu  göster)    (hashtürü  =  md5,  sha,  sha1,sha256  )    (İmaj  alma  sırasında  ve  log  dosyasına   yazma  sırasında  bütünlük  doğruluma  yap)   §  hashwindow=NUM (Her  num  ile  belirtilen  miktarda  byte  işleminden   sonra  MD5  hash  hesaplaması  yap)   # ./dc3dd if=/dev/sda of=/mnt/Davalar/sda.img hash=md5 progress=on hashlog=/mnt/Davalar/sda.log @ADEO Security Labs, 2011 www.adeosecurity.com
  • 19. ¡  ¡  ¡  ¡  ¡  FTK  Imager,  AccessData  firması  tarafından  ücretsiz  olarak   sunulan  bir  uygulamadır.   http://www.accessdata.com/support/product-­‐downloads   adresinden  indirilebilir.   İmaj  almanın  yanında  temel  manada  analiz  işlemi   yapılmasına  da  imkan  tanır.   Silme  yapıldıktan  sonra  üzerine  herhangi  bir  şekilde  yazma   işlemi  gerçekleştirilmemiş  dosyaların  kurtarılmasını  da   sağlar.   Image  mounting  özelliği  sayesinde  sabit  disk  imajlarını   Windows  ortamında  sadece-­‐okunabilir  formatta  bir  sürücü   olarak  gösterebilirsiniz.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 20. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 21. ¡  ¡  ¡  ¡  EnCase  Forensics  Imager   http://www1.guidancesoftware.com/Order-­‐Forensic-­‐Imager.aspx   adresinden  indirilebilir.   Yereldeki  sabit  disk,  hafıza  kartı  ve  hafızanın  anlık  görüntüsünü  sunar  ve   bunların  imajının  alınmasına  imkan  tanır.   Desteklediği  delil  formatları  aşağıdadır..   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ¡  Legacy  EnCase  evidence  files  (.E01)   Legacy  logical  evidence  files  (.L01)   Current  EnCase  evidence  files  (.Ex01)   Current  logical  evidence  files  (.Lx01)     DD  images   VMware  files  (.vmdk)   Virtual  PC  files  (.vhd)   LinEn  ile  birlikte  kullanıldığında  network  üzerinden  imaj  alınmasına   imkan  tanır.(Özellikle  RAID  yapıların  imajını  almada  tercih  edilir.)   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 22. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 23. ¡  ¡  ¡  Guymager,  Linux  altında  çalışan  bir  imaj  alma  yazılımıdır.   http://guymager.sourceforge.net/  adresinden  son  sürümüne   ulaşılabilir.   (dd),  EWF  (E01)  ve  AFF  formatında  imajlar  oluşturabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 24. ¡  ¡  ¡  Dd  formatında  imajı  alınmış  diskleri  Windows  ortamında  mount  etmek   için  kullanılabilecek  bir  yazılımdır.   http://www.osforensics.com/tools/mount-­‐disk-­‐images.html  adresinden   indirilebilir.   Desteklediği  formatlar;   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 25. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 26. ¡  ¡  ¡  ¡  Disk  imajları  içindeki  volume  ve  dosya  sistemleri  üzerinde  analiz   gerçekleştirmek  için  kullanılabilecek  komut  satırı  uygulamalarından   oluşmuş  bir  settir.   http://www.sleuthkit.org/sleuthkit/  adresinden  indirilebilir.   Girdi  olarak  raw  (dd),  Expert  Witness    (EnCase)  ve  AFF  dosya  türlerini   destekler.   Analiz  yapabildiği  dosya  sistemleri  ise  şunlardır;   §  NTFS,  FAT,  UFS  1,  UFS  2,  EXT2FS,  EXT3FS,  Ext4,  HFS,  ISO  9660,  YAFFS2   ¡  Bu  kit  içinde  yer  alan  uygulamalar  beş  farklı  ana  kategoride   toplanmışlardır.  Bunlar;   ▪  ▪  ▪  ▪  ▪  File  Sistem  Araçları   Volume  Sistem  Araçları   İmaj  Dosyası  Araçları   Disk  Araçları   Diğer  Araçlar   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 27. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 28. ¡  ¡  ¡  ¡  Autopsy  komut  satırı  uygulamalarını  çalıştırmak  için  geliştirilen  bir  grafik   arayüzdür.   Arka  planda  TSK  (The  Sleuth  Kit)  araçlarını  ve  bazı  standart  Unix   uygulamalarını  kullanır.   Son  sürümüne  www.sleuthkit.org/autopsy/  adresinen  ulaşılabilir.   Temel  özellikleri:   ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  ▪  Timeline  Analysis     Keyword  Search   Web  Artifacts   Registry  Analysis   LNK  File  Analysis   Email  Analysis   EXIF   File  Type  Sortin   Media  Playback   Thumbnail  viewer   Hash  Set  FilteringTags   Unicode  Strings  Extraction   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 29. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 30. ¡  ¡  ¡  ¡  foremost,  Amerika  Hava  Kuvvetlerinden  Agents  Jesse  Kornblum  ve  Kris  Kendall   tarafından  yazılmıştır.   Bir  ikili  dosya  içindeki  verileri  kurtarmak  için  kullanılır.   dd,  Safeback,  Encase  gibi  uygulamalar  tarafından  oluşturulmuş  imaj  dosyaları   üzerinde  çalışabileceği  gibi  direkt  olarak  sabit  disk  sürücüsü  üzerinde  de   çalışabilir.   Bu  ikili  dosya;   §  İmaj  dosyası   §  Swap  alanı   §  Unallocated  alanların  çıkartılmasıyla  oluşan  dosya          olabilir.   ¡  foremost  veri  kurtarma  işlemi  sırasında  konfigurasyon  dosyasında  yer  alan  ve   farklı  dosya  tipleri  için  ön  tanımlı  olarak  gelen  dosya  header,  footer  bilgilerini  baz   alır.   ¡  Dosya  türlerine  ilişkin  header  ve  footer  bilgilerine   http://www.garykessler.net/library/file_sigs.html  adresinden  ulaşılabilir.   ¡  Son  sürümüne  http://foremost.sourceforge.net/  adresinden  ulaşılabilir.     @ADEO Security Labs, 2011 www.adeosecurity.com
  • 31.  cat  /foremost-­‐outtput/audit.txt  |less     5071  FILES  EXTRACTED     gif:=  35   gif:=  31   jpg:=  10   jpg:=  3680   png:=  1288   bmp:=  27   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 32. ¡  ¡  ¡  ¡  OSForensics,  Windows  ortamında  adli  bilişim  incelemesi   gerçekleştirebileceğiniz  ve  profesyonel  sürümüne  oranla   belirli  özellikleri  kırpılmış  fakat  buna  rağmen  yine  de  oldukça   başarılı  ve  gelişmiş  özelliklere  sahip  bir  analiz  yazılımıdır.    http://www.osforensics.com/osforensics.html  adresinden   son  sürümüne  ulaşılabilir.   İndex  oluşturma  ve  index  üzerinden  arama  yapılmasına   imkan  tanıma,  silinmiş  dosyaları  kurtarma,  kullanıcının   aktivitelerini  hızlıca  ortaya  çıkarma,  Volume  Shadow   kopyaları  üzerinde  çalışma  gibi  bir  çok  özelliğe  sahiptir.   Dahili  olarak  registry  görüntüleme,  dosya  görüntüleme  ve  e-­‐ posta  görüntüleme  özelliğine  sahiptir.     @ADEO Security Labs, 2011 www.adeosecurity.com
  • 33. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 34. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Windows  sistemlerdeki  kullanıcıların  aktivitelerini  ortaya  çıkarmak  adına   registry  anahtarları  üzerinde  analiz  gerçekleştirmeye  imkan  tanıyan  bir   yazılımdır.   Eklenti  bazlı  çalışır.(Plug-­‐in)   Sadece  kullanıcılar  hakkında  değil,  analiz  edilen  sistem  hakkında  da  bir   çok  bilgiye  registry  anahtarları  üzerinden  erişilmesine  imkan  tanır.   Son  sürümüne  https://code.google.com/p/regripper/  adresinden   ulaşılabilir.   Harlan  Carvey  tarafından  yazılmıştır.   Eklentilerin  tamamı  RegRipper’ın  plugins  klasöründe  yer  alır.   Her  bir  eklenti  dosyasında  RegRipper’ın  hangi  hive  üzerinde  hangi   anahtar  ve  değerler  bakacağı  ve  bu  anahtar  ve  değerleri  bulduğunda  ne   yapması  gerektiği  bilgisi  yer  alır.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 35. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 36. ¡  ¡  ¡  ¡  Alınan  dd  formatındaki  imajlar  bir  sanal  makinaya   bağlanarak  disk  üzerindeki  işletim  sistemi   çalıştırılabilir  ve  ekstra  analiz  gerçekleştirilebilir.   Bunun  için  Live  View  uygulaması  kullanılabilir.   Live  View  ile  imajı  alınan  bilgisayarın  interaktif   modda  analizi  yapılırken  arka  plandaki  disklerin   üzerinde  herhangi  bir  değişiklik  yapılmaz.   http://www.sei.cmu.edu/digitalintelligence/tools/ liveview/index.cfm  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 37. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 38. ¡  ¡    SANS  tarafından  hazırlanan  ve  içeriğinde  bir  çok  açık  kaynak  kodlu  adli  bilişim   yazılımını  barındıran  sanal  makinedir.   2.14  sürümünü  http://computer-­‐forensics.sans.org/community/downloads   adresinden  indirebilirsiniz.   File  system  support     •  Windows  (MSDOS,  FAT,  VFAT,  NTFS)   •  MAC  (HFS+)   •  Solaris  (UFS)   •  Linux  (EXT2/3/4)         Evidence  Image  Support     •  Expert  Witness  (E01)   •  RAW  (dd)   •  Advanced  Forensic  Format  (AFF)     @ADEO Security Labs, 2011 Software  Includes     •  The  Sleuth  Kit  (File  system  Analysis  Tools)   •  log2timeline  (Timeline  Generation  Tool)   •  ssdeep  &  md5deep  (Hashing  Tools)   •  Foremost/Scalpel  (File  Carving)   •  WireShark  (Network  Forensics)   •  Vinetto  (thumbs.db  examination)   •  Pasco  (IE  Web  History  examination)   •  Rifiuti  (Recycle  Bin  examination)   •  Volatility  Framework  (Memory  Analysis)   •  DFLabs  PTK  (GUI  Front-­‐End  for  Sleuthkit)   •  Autopsy  (GUI  Front-­‐End  for  Sleuthkit)   •  PyFLAG  (GUI  Log/Disk  Examination)   •  DFF  (Digital  Forensic  Framework)     www.adeosecurity.com
  • 39. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 40. ¡  ¡  ¡  İçerisinde  yüzlerde  adli  bilişim  yazılımının  yer  aldığı  bir  Linux  dağıtımıdır.   Bu  dağıtım  sık  güncellenir  ve  son  sürümüne   http://www.deftlinux.net/download/  adresinden  erişilebilir.   Yaklaşık  100  sayfalık  kullanım  dokümanında  bir  çok  aracın  kullanımı   örnekleriyle  anlatılmış  durumda.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 41. ¡  ¡  ¡  ¡  ¡  Windows  ortamında  çalışan  bir    Network  Forensic  Analysis   uygulamasıdır.   Free  ve  Professional  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu   http://sourceforge.net/projects/networkminer/files/latest   adresinden  indirilebilir.   Hem  canlı  ağ  trafiği  üzerinde  hemde  pcap  dosyaları  üzerinde   analiz  gerçekleştirilebilir.   Professional  versiyonu  bir  USB  flash  üzerinde  gelir  ve  direkt   olarak  olay  müdahalesinin  yapılacağı  bilgisayarda   çalıştırılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 42. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 43. ¡  ¡  ¡  ¡  Virtual  Box  formatında  hazırlanmış  sanal  makina  hali   http://sourceforge.net/projects/xplico/files/VirtualBox %20images/  adresinden  indirilebilir.   DEFT’in  son  versiyonu  içinde  de  yüklü  gelir.   Diğer  adli  bilişim  yazılımlarında  olduğu  gibi  Xplico’da  da  Case   mantığı  vardır.   Xplico’ya  login  olurken  kullanılabilecek  admin  yetkisine  sahip   kullanıcının  adı  şifre  ikilisi  şöyledir;   §  admin/xplico   ¡  Admin  olarak  oturum  açıldıktan  sonra  işlem  yapmak  üzere   sistem  üzerinde  bir  kullanıcı  oluşturulması  tavsiye  edilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 44. İnternet  üzerinden   gerçekleştirilen  sohbetlere  ilişkin   elde  edilebilen  detaylar  bu   kısımda  toplanmış  durumda.   @ADEO Security Labs, 2011 Facebook  üzerinden   gerçekleştirilen  sohbet     detayları   www.adeosecurity.com
  • 45. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Oturum  tabanlı  (Session-­‐Based)  bir  network  forensics  yazılımıdır.   Ücretsiz  sürümü  http://www.netwitness.com/products-­‐services/ investigator-­‐freeware  adresinden  indirilebilir.   Ücretsiz  sürümünde  boyutu  1  GB’a  kadar  olan  capture  dosyaları  analiz   edilebiliyor.     Çok  gelişmiş  bir  filtreleme  imkanı  sunuyor.   Kablolu  yada  kablosuz  ağlar  üzerinden  akan  Raw  paketleri  yakalayabilme   yeteneğine  sahip  olduğu  gibi,  başka  araçlar  kullanılarak  yakalanmış  pcap   dosyalarını  import  edebiliyor.   Patentli    port-­‐agnostic    teknolojisi  sayesinde  varsayılan  portlarından   farklı  portları  kullansalar  bile  protokolleri  doğru  tespit  edebiliyor.   Aşağıdaki  üç  farklı  kategoriyi  çok  iyi  anlamak  gerekiyor;   §  Packet  Collectors   §  Protocol  Analyzers   §  Network  Forensics  Tools   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 46. 1 2 3 4 @ADEO Security Labs, 2011 www.adeosecurity.com
  • 47. ¡  ¡  ¡  ¡  ¡  ¡  ¡  Splunk,  cihazlar  veya  uygulamalar  (websiteleri,  uygulamalar,  sunucular,   ağ  cihazları  mobil  cihazlar  vb)  tarafından  üretilen  log  kayıtları  üzerinde   analiz,  izleme  ve  arama  yapma  imkanı  sunan  ve  uygulamadır.   http://www.splunk.com/download  adresinden  indirilebilir.   Kullanıcı  bütün  işlemlerini  web  tabanlı  arayüzden  gerçekleştirir.   Free  ve  Enterprise  versiyon  olmak  üzere  iki  versiyonu  vardır.   Ücretsiz  versiyonu  günlük  500  MB  log  işleyebilir.   Desteklediği  işletim  sistemlerinin  listesi;   Gereksinimler  için   http://docs.splunk.com/Documentation/Splunk/4.3.3/Installation/ Systemrequirements  adresine  bakılabilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 48. Arama  yapılacak  ifadeleri  Search   kısmına  yazıyoruz.  Alt  tarafta  toplam   event  sayısı  ve  ilk  ve  son  event   zamanları  gösterilmiştir.   Ön  tanımlı  zaman  aralıklarını   seçerek  sorguların  zaman  aralıkları   ile  oynayabiliyoruz.   Splunk  kullanarak   Directory  Traversal   saldırı  girişimlerini   görüntülüyoruz.   Splunk  kullanarak  XSS  saldırı   girişimlerini  görüntülüyoruz.   Eklenen  veri  kaynaklarının  listesi   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 49. ¡  ¡  ¡  ADEL,  Android  cihazlarda  yer  alan  ve  adli  bilişim  açısından  önemli   verilerin  tutulduğu  SQLite  formatındaki  veritabanlarına  ulaşıp  bu   veritabanları  içindeki  verileri  extract  eden  bir  uygulamadır.   http://forensics.spreitzenbarth.de/adel/  adresinden  son  sürümüne   ulaşılabilir.   Mevcut  sürümü  aşağıdaki  bilgileri  elde  etmenize  imkan  tanır.   §  Telefon  ve  SIM  kartı  bilgileri  (örneğin  IMSI  ve  seri  numarası)   §  Telefon  defteri  ve  arama  listeleri   §  Takvim  kayıtları   §  SMS  mesajları   §  Telefonda  yer  alan  GPS  kayıtları   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 50. ¡  ¡  Android  cihazlar  üzerinden  logical  extraction  yöntemi  ile  Çağrı   detaylarını,  SMS  mesajlarını  ve  Kontak  listesini  elde  etmenize  imkan   tanıyan  ücretsiz  bir  yazılım.   http://www.signalsec.com/saft/  adresinden  indirilebilir.   @ADEO Security Labs, 2011 www.adeosecurity.com
  • 51. ¡  ¡  ¡  İncilenen  bilgisayarda  yer  alan  iOS  yedekleri  üzerinde  işlem   yapmanıza  imkan  tanır.   http://www.iphonebackupextractor.com  adresinden  ücretsiz   olarak  indirilebilir.    iPhone,  iPod  Touch,  iPad,  iPhone  3G,  iPhone  3GS,  iPhone  4,   iPhone  4S,  iPhone  5  yedeklerini  destekler.  Yedek  dosyaları   içinden  aşağıdaki  kategorilerde  yer  alan  verilerin  elde   edilmesini  sağlar.   Fotoğraflar   Kontaklar   Videolar   Takvim   Notlar     @ADEO Security Labs, 2011   SMS’ler   Arama  Geçmişi   Ses  Kayıtları   Lokasyon  Bilgileri   www.adeosecurity.com
  • 52. Şifreli  yedek   http://www.iphonebackupextractor.com @ADEO Security Labs, 2011 www.adeosecurity.com