Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
1. Halil
ÖZTÜRKCİ
Microsoft
MVP
CISSP,
CISA,
CEH,
CHFI,
CCNP
ADEO
Bilişim
Danışmanlık
Hizmetleri
halil.ozturkci@adeo.com.tr
2. ¡
¡
¡
¡
¡
¡
¡
¡
¡
¡
¡
ADEO
Kurucu
Ortak
&
Güvenlik
Birimi
Yöneticisi
Güvenlik
TV
Yapımcı
ve
Sunucusu
IstSec
ve
AnkaSec
Organizatörü
Bahçeşehir
Üniversitesi
ve
Bilgi
Üniversitesi
Öğretim
Görevlisi
Adli
Bilişim
Derneği
Başkan
Yardımcısı
Microsoft
MVP,
Enterprise
Security
Adli
Bilişim
Uzmanı
/
Profesyonel
Penetration
Tester
SANS
Mentor
(www.sans.org)
CISSP,
GPEN,
GCFA,
CHFI,
CEH...
www.halilozturkci.com
www.twitter.com/halilozturkci
@ADEO Security Labs, 2011
www.adeosecurity.com
3. ¡
¡
¡
¡
Bu
sunumda
bir
adli
bilişim
labaratuarında
ihtiyaç
duyulabilecek
ve
adli
analizi
sürecinde
uzmanlara
yardımcı
olabilecel
açık
kaynak
kodlu
veya
ücretsiz
yazılımlardan
bir
kısmı
yer
almaktadır.
Bu
sunumda
yer
almayan
bir
çok
uygulama
daha
mevcuttur.
Bir
adli
bilişim
labaratuarının
donanımsal
olarak
da
bir
takım
ihtiyaçları
vardır
ve
sunumda
bu
ihtiyaçlardan
bahsedilmemiştir.
Sunumda
yer
alan
uygulamalar
adli
analiz
sırasında
izlenen
adımların
sıralamasıyla
parallellik
gösterecek
şekilde
ele
alınmıştır.
@ADEO Security Labs, 2011
www.adeosecurity.com
4. ¡
¡
¡
¡
¡
Müdahale
edilen
bilişim
sistemi
çalışır
durumdayken
bu
sistem
üzerindeki
sayısal
delilleri
elde
etmek
önemlidir.
Daha
sonrada
nelde
edilmesi
imkansız
ya
da
çok
zor
olan
sayısal
delilleri,
bu
delillerin
yer
aldığı
sistem
çalışır
durumdayken
elde
etmek
çok
daha
kolaydır.
Olay
müdahalesi
sırasında
kullanılacak
araç
setlerinin
önceden
hazırlanması
ve
farklı
işletim
sistemleri
için
önceden
test
edilmesi
tavsiye
edilir.
Hafızanın
imajının
alınmasıda
bu
aşamada
gerçekleştirilir.
Araç
seti
seçilirken
mümkün
mertebe
delil
toplanacak
sistemde
en
az
değişikliğe
sebep
olacak
araçlar
seçilmeli
ve
bu
araçların
ne
tür
değişiklikler
yapabileceği
konusunda
bilgi
sahibi
olunması
tavsiye
edilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
5. ¡
¡
¡
Tr3Secure
Data
Collection
Script,
Corey
Harrell
tarafından
geliştirilen
ve
bir
Windows
işletim
sistemi
üzerinde
gerçekleştirilecek
olay
müdahalesi
sırasında
kullanılması
tavsiye
edilen
araçların
belirli
bir
sırayla
ve
belirli
bir
formatta
çıktı
üretecek
şekilde
çalıştırılmasını
sağlayan
bir
betiktir.
Son
sürümüne
http://code.google.com/p/jiir-‐resources/downloads/list
adresinden
erişilebilir.
Kullanım
şekli
özetle
aşağıdaki
gibidir;
§
tr3-‐collect.bat
[vakıa
numarası]
[toplanacak
verilerin
kaydedileceği
sürücü]
[menu
seçimi#]
▪ [vakıa
numarası]
=
Vakıayı
tekil
olarak
ifade
edebilecek
bir
numara
▪ [Toplanacak
verilerin
kaydedileceği
sürücü]
=
Toplanacak
verilerin
kaydedileceği
sürücü
harfi
▪ [menu
seçimi]
=
Aşağıdaki
listede
yer
alan
seçeneklerden
birisi:
▪
1
=
Acquire
Memory
Forensic
Image
▪
2
=
Acquire
Volatile
Data
▪
3
=
Acquire
Non-‐Volatile
Data
▪
4
=
Acquire
Volatile
and
Non-‐Volatile
Data
(default)
▪
5
=
Acquire
Memory
Forensic
Image,
Volatile,
and
Non-‐Volatile
Data
@ADEO Security Labs, 2011
www.adeosecurity.com
7. ¡
¡
¡
¡
MoonSols
Windows
Memory
Toolkit
içindeki
win32dd
ve
win64dd,
Windows
işletim
sistemleri
üzerinde
hafızanın
imajını
almak
için
kullanılabilecek
araçlardır.
http://moonsols.com/wp-‐content/plugins/download-‐
monitor/download.php?id=1
adresinden
bu
kitin
Community
Edition
versiyonu
ücretsiz
olarak
indirilebilir.
Hafıza
imajı
alınacak
bilgisayar
üzerinde
Administrator
haklarına
sahip
olunması
gerekiyor.
Hafıza
imajının
şüphelinin
bilgisayarının
yerel
disklerine
değil,
network
üzerinden
ulaşılabilen
yazılabilir
bir
paylaşılmış
dizine
ya
da
taşınabilir
bir
medyaya
alınması
tavsiye
edilir.
9. ¡
¡
¡
¡
¡
Volatility,
hafıza
(RAM)
imajı
üzerinde
analiz
gerçekleştirip,
olası
sayısal
delilleri
çıkartmak
için
kullanılabilecek
bir
framework’dür.
Desteklediği
işletim
sistemlerinin
listesi
aşağıda
yer
almaktadır.
https://code.google.com/p/volatility/
adresinden
son
sürümüne
ulaşılabilir.
Python
ile
yazılan
framework,
açık
kaynak
kodu
esasına
göre
dağıtılıyor.
Volatiliy
ile
bir
hafıza
imajından
öğrenilebilen
bilgilerden
bazıları
şunlardır;
§ İmajın
alındığı
tarih
ve
saat
bilgisi
§ Çalışan
uygulamalar/prosesler
§ Açık
network
soketleri
§ Açık
network
bağlantıları
§ Her
bir
uygulama/proses
tarafından
yüklenen
DLL
dosyaları
§ Her
bir
uygulama/proses
tarafından
açılan
dosyalar
§ Her
bir
uygulama/proses
tarafından
açılan
registry
anahtarları
§ İşletim
sistemindeki
kernel
modülleri
@ADEO Security Labs, 2011
www.adeosecurity.com
10. ¡
¡
Halihazırda
yazılmış
bir
çok
eklenti
ile
daha
esnek
bir
şekilde
çalışılabiliyor.
Eklentilerden
bazıları
(Eklentilerin
tamamı
için
http://www.forensicswiki.org/wiki/
List_of_Volatility_Plugins
adresine
bakılabilir.)
§
§
§
§
§
§
¡
cachedump:
Registry'de
tutulan
domain
hash
değerlerini
getirir.
cryptoscan:
Hafıza
imajı
içerisinde
TrueCrypt
passphrass'larını
arar.
hasdump:
Registry'de
tutulan
LM
ve
NT
hash
değerlerini
getirir.
hivedump:
Registry
hive'lerini
CSV
formatında
dışarı
almaya
yarar.
lsadump:
LSA
keylerini
registry'den
çıkartır.
malfind:
Hafıza
imajı
içindeki
çalıştırılabilir
dosyaları
bulup
rebulild
edebiliyor.
Desteklenen
işletim
sistemlerinin
listesi
aşağıdaki
tabloda
yer
alıyor.
32-‐bit
Windows
XP
Service
Pack
2
and
3
32-‐bit
Windows
2003
Server
Service
Pack
0,
1,
2
32-‐bit
Windows
Vista
Service
Pack
0,
1,
2
32-‐bit
Windows
2008
Server
Service
Pack
1,
2
32-‐bit
Windows
7
Service
Pack
0,
1
64-‐bit
Windows
XP
Service
Pack
1
and
2
64-‐bit
Windows
2003
Server
Service
Pack
1
and
2
@ADEO Security Labs, 2011
64-‐bit
Windows
Vista
Service
Pack
0,
1,
2
64-‐bit
Windows
2008
Server
Service
Pack
1
and
2
64-‐bit
Windows
2008
R2
Server
Service
Pack
0
and
1
64-‐bit
Windows
7
Service
Pack
0
and
1
(new)
32-‐bit
Linux
kernels
2.6.11
to
3.5
(new)
64-‐bit
Linux
kernels
2.6.11
to
3.5
www.adeosecurity.com
11. ¡
¡
¡
Canlı
İnceleme
ve
Olay
Müdahalesinde
kullanılabilecek
bir
araç
kitidir.
http://www.deftlinux.net/2013/05/14/dart-‐2-‐beta-‐ready-‐for-‐
download/
adresinden
indirilebilir.
Bu
kitin
içinde
200’den
fazla
araç
yer
alır.
@ADEO Security Labs, 2011
www.adeosecurity.com
12. ¡
¡
¡
¡
Windows
ortamında
canlı
inceleme
yapmak
için
kullanılabilecek
araçların
bir
araya
getirildiği
bir
CD
imajıdır.
Bu
CD/DVD
imajı
içinde
yer
alan
uygulamaların
çalışması
sunucunda
oluşturulan
raporun
bir
USB
diske
yazılması
sağlanır.
http://www.win-‐ufo.org/
adresinden
son
sürümüne
ulaşılabilir.
Çalıştırılan
her
bir
uygulama
ait
çıktılar
ayrı
bir
rapor
dosyası
halinde
saklanır.
@ADEO Security Labs, 2011
www.adeosecurity.com
14. ¡
¡
¡
Mac
OS
X
işletim
sistemleri
üzerinde
olay
müdahalesi
sırasında
kullanılabilecek
bir
uygulamadır.
USB
üzerinden
çalışacak
şekilde
dizayn
edilmiştir.
http://sud0man.blogspot.fr/2013/09/pac4mac-‐forensics-‐framework-‐for-‐
mac-‐os.html
adresinden
son
sürümüne
ulaşılabilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
16. ¡
¡
¡
¡
Canlı
inceleme
sırasında
disk
şifrelemenin
kullanıldığı
bir
sabit
diske
rastlanabilir.
Disk
şifrelenemin
kullanıldığı
bir
diskin
imajını
sistem
canlı
iken
almak
süreci
hızlandırır.
(
Sistem
kapandıktan
sonra
alınacak
disk
imajını
okumak
için
şifrelmede
kullanılan
şifreye
ihtiyaç
duyulur.)
Encrypted
Disk
Detector
(EDD)
ile
inceleme
yapılan
bilgisayarda
TrueCrypt,
PGP®
veya
Bitlocker®
ile
şifrelenmiş
lokal
disklerin
olup
olmadığı
öğrenilebilir.
http://info.magnetforensics.com/
encrypted-‐disk-‐detector
adresinden
indirilebilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
17. ¡
¡
¡
¡
Şüpheli
sisteme
ait
disklerin
imajının
alınması
sırasında
bu
disklere
herhangi
bir
şekilde
yazma
işlemi
gerçekleştirilmesin
diye
donanımsal
veya
yazılımsal
olarak
bir
yazma
koruması
kullanılmalıdır.
USB
Write
Blocker
uygulaması
Windows
sistemlerdeki
Registry
anahtarları
üzerinde
yaptığı
değişikliklerle
ilgili
sisteme
USB
portları
üzerinden
bağlanan
disklere
yazma
işlemi
gerçekleştirilmesini
engeller.
Donanımsal
bir
yazma
koruması
çözümü
her
zaman
tercih
edilmeli,
yazılımsal
yazma
koruması
en
son
alternatif
olarak
düşünülmelidir.
USB
Write
Blocker
uygulamasını
http://dsicovery.com/dsicovery-‐software/usb-‐write-‐blocker/
adresinden
indirebilirsiniz.
@ADEO Security Labs, 2011
www.adeosecurity.com
18. ¡ dd’nin
geliştirilmiş
ve
yeni
özellikler
eklenmiş
versiyonudur.
¡
[Seçenekler]
§ progress=on
§ hash=<type>
§ hashlog=filename
(İlerleme
çubuğunu
göster)
(hashtürü
=
md5,
sha,
sha1,sha256
)
(İmaj
alma
sırasında
ve
log
dosyasına
yazma
sırasında
bütünlük
doğruluma
yap)
§ hashwindow=NUM
(Her
num
ile
belirtilen
miktarda
byte
işleminden
sonra
MD5
hash
hesaplaması
yap)
# ./dc3dd if=/dev/sda of=/mnt/Davalar/sda.img
hash=md5 progress=on hashlog=/mnt/Davalar/sda.log
@ADEO Security Labs, 2011
www.adeosecurity.com
19. ¡
¡
¡
¡
¡
FTK
Imager,
AccessData
firması
tarafından
ücretsiz
olarak
sunulan
bir
uygulamadır.
http://www.accessdata.com/support/product-‐downloads
adresinden
indirilebilir.
İmaj
almanın
yanında
temel
manada
analiz
işlemi
yapılmasına
da
imkan
tanır.
Silme
yapıldıktan
sonra
üzerine
herhangi
bir
şekilde
yazma
işlemi
gerçekleştirilmemiş
dosyaların
kurtarılmasını
da
sağlar.
Image
mounting
özelliği
sayesinde
sabit
disk
imajlarını
Windows
ortamında
sadece-‐okunabilir
formatta
bir
sürücü
olarak
gösterebilirsiniz.
@ADEO Security Labs, 2011
www.adeosecurity.com
23. ¡
¡
¡
Guymager,
Linux
altında
çalışan
bir
imaj
alma
yazılımıdır.
http://guymager.sourceforge.net/
adresinden
son
sürümüne
ulaşılabilir.
(dd),
EWF
(E01)
ve
AFF
formatında
imajlar
oluşturabilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
24. ¡
¡
¡
Dd
formatında
imajı
alınmış
diskleri
Windows
ortamında
mount
etmek
için
kullanılabilecek
bir
yazılımdır.
http://www.osforensics.com/tools/mount-‐disk-‐images.html
adresinden
indirilebilir.
Desteklediği
formatlar;
@ADEO Security Labs, 2011
www.adeosecurity.com
26. ¡
¡
¡
¡
Disk
imajları
içindeki
volume
ve
dosya
sistemleri
üzerinde
analiz
gerçekleştirmek
için
kullanılabilecek
komut
satırı
uygulamalarından
oluşmuş
bir
settir.
http://www.sleuthkit.org/sleuthkit/
adresinden
indirilebilir.
Girdi
olarak
raw
(dd),
Expert
Witness
(EnCase)
ve
AFF
dosya
türlerini
destekler.
Analiz
yapabildiği
dosya
sistemleri
ise
şunlardır;
§ NTFS,
FAT,
UFS
1,
UFS
2,
EXT2FS,
EXT3FS,
Ext4,
HFS,
ISO
9660,
YAFFS2
¡
Bu
kit
içinde
yer
alan
uygulamalar
beş
farklı
ana
kategoride
toplanmışlardır.
Bunlar;
▪
▪
▪
▪
▪
File
Sistem
Araçları
Volume
Sistem
Araçları
İmaj
Dosyası
Araçları
Disk
Araçları
Diğer
Araçlar
@ADEO Security Labs, 2011
www.adeosecurity.com
30. ¡
¡
¡
¡
foremost,
Amerika
Hava
Kuvvetlerinden
Agents
Jesse
Kornblum
ve
Kris
Kendall
tarafından
yazılmıştır.
Bir
ikili
dosya
içindeki
verileri
kurtarmak
için
kullanılır.
dd,
Safeback,
Encase
gibi
uygulamalar
tarafından
oluşturulmuş
imaj
dosyaları
üzerinde
çalışabileceği
gibi
direkt
olarak
sabit
disk
sürücüsü
üzerinde
de
çalışabilir.
Bu
ikili
dosya;
§ İmaj
dosyası
§ Swap
alanı
§ Unallocated
alanların
çıkartılmasıyla
oluşan
dosya
olabilir.
¡ foremost
veri
kurtarma
işlemi
sırasında
konfigurasyon
dosyasında
yer
alan
ve
farklı
dosya
tipleri
için
ön
tanımlı
olarak
gelen
dosya
header,
footer
bilgilerini
baz
alır.
¡ Dosya
türlerine
ilişkin
header
ve
footer
bilgilerine
http://www.garykessler.net/library/file_sigs.html
adresinden
ulaşılabilir.
¡ Son
sürümüne
http://foremost.sourceforge.net/
adresinden
ulaşılabilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
32. ¡
¡
¡
¡
OSForensics,
Windows
ortamında
adli
bilişim
incelemesi
gerçekleştirebileceğiniz
ve
profesyonel
sürümüne
oranla
belirli
özellikleri
kırpılmış
fakat
buna
rağmen
yine
de
oldukça
başarılı
ve
gelişmiş
özelliklere
sahip
bir
analiz
yazılımıdır.
http://www.osforensics.com/osforensics.html
adresinden
son
sürümüne
ulaşılabilir.
İndex
oluşturma
ve
index
üzerinden
arama
yapılmasına
imkan
tanıma,
silinmiş
dosyaları
kurtarma,
kullanıcının
aktivitelerini
hızlıca
ortaya
çıkarma,
Volume
Shadow
kopyaları
üzerinde
çalışma
gibi
bir
çok
özelliğe
sahiptir.
Dahili
olarak
registry
görüntüleme,
dosya
görüntüleme
ve
e-‐
posta
görüntüleme
özelliğine
sahiptir.
@ADEO Security Labs, 2011
www.adeosecurity.com
34. ¡
¡
¡
¡
¡
¡
¡
Windows
sistemlerdeki
kullanıcıların
aktivitelerini
ortaya
çıkarmak
adına
registry
anahtarları
üzerinde
analiz
gerçekleştirmeye
imkan
tanıyan
bir
yazılımdır.
Eklenti
bazlı
çalışır.(Plug-‐in)
Sadece
kullanıcılar
hakkında
değil,
analiz
edilen
sistem
hakkında
da
bir
çok
bilgiye
registry
anahtarları
üzerinden
erişilmesine
imkan
tanır.
Son
sürümüne
https://code.google.com/p/regripper/
adresinden
ulaşılabilir.
Harlan
Carvey
tarafından
yazılmıştır.
Eklentilerin
tamamı
RegRipper’ın
plugins
klasöründe
yer
alır.
Her
bir
eklenti
dosyasında
RegRipper’ın
hangi
hive
üzerinde
hangi
anahtar
ve
değerler
bakacağı
ve
bu
anahtar
ve
değerleri
bulduğunda
ne
yapması
gerektiği
bilgisi
yer
alır.
@ADEO Security Labs, 2011
www.adeosecurity.com
36. ¡
¡
¡
¡
Alınan
dd
formatındaki
imajlar
bir
sanal
makinaya
bağlanarak
disk
üzerindeki
işletim
sistemi
çalıştırılabilir
ve
ekstra
analiz
gerçekleştirilebilir.
Bunun
için
Live
View
uygulaması
kullanılabilir.
Live
View
ile
imajı
alınan
bilgisayarın
interaktif
modda
analizi
yapılırken
arka
plandaki
disklerin
üzerinde
herhangi
bir
değişiklik
yapılmaz.
http://www.sei.cmu.edu/digitalintelligence/tools/
liveview/index.cfm
adresinden
indirilebilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
40. ¡
¡
¡
İçerisinde
yüzlerde
adli
bilişim
yazılımının
yer
aldığı
bir
Linux
dağıtımıdır.
Bu
dağıtım
sık
güncellenir
ve
son
sürümüne
http://www.deftlinux.net/download/
adresinden
erişilebilir.
Yaklaşık
100
sayfalık
kullanım
dokümanında
bir
çok
aracın
kullanımı
örnekleriyle
anlatılmış
durumda.
@ADEO Security Labs, 2011
www.adeosecurity.com
41. ¡
¡
¡
¡
¡
Windows
ortamında
çalışan
bir
Network
Forensic
Analysis
uygulamasıdır.
Free
ve
Professional
olmak
üzere
iki
versiyonu
vardır.
Ücretsiz
versiyonu
http://sourceforge.net/projects/networkminer/files/latest
adresinden
indirilebilir.
Hem
canlı
ağ
trafiği
üzerinde
hemde
pcap
dosyaları
üzerinde
analiz
gerçekleştirilebilir.
Professional
versiyonu
bir
USB
flash
üzerinde
gelir
ve
direkt
olarak
olay
müdahalesinin
yapılacağı
bilgisayarda
çalıştırılabilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
43. ¡
¡
¡
¡
Virtual
Box
formatında
hazırlanmış
sanal
makina
hali
http://sourceforge.net/projects/xplico/files/VirtualBox
%20images/
adresinden
indirilebilir.
DEFT’in
son
versiyonu
içinde
de
yüklü
gelir.
Diğer
adli
bilişim
yazılımlarında
olduğu
gibi
Xplico’da
da
Case
mantığı
vardır.
Xplico’ya
login
olurken
kullanılabilecek
admin
yetkisine
sahip
kullanıcının
adı
şifre
ikilisi
şöyledir;
§ admin/xplico
¡
Admin
olarak
oturum
açıldıktan
sonra
işlem
yapmak
üzere
sistem
üzerinde
bir
kullanıcı
oluşturulması
tavsiye
edilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
44. İnternet
üzerinden
gerçekleştirilen
sohbetlere
ilişkin
elde
edilebilen
detaylar
bu
kısımda
toplanmış
durumda.
@ADEO Security Labs, 2011
Facebook
üzerinden
gerçekleştirilen
sohbet
detayları
www.adeosecurity.com
45. ¡
¡
¡
¡
¡
¡
¡
Oturum
tabanlı
(Session-‐Based)
bir
network
forensics
yazılımıdır.
Ücretsiz
sürümü
http://www.netwitness.com/products-‐services/
investigator-‐freeware
adresinden
indirilebilir.
Ücretsiz
sürümünde
boyutu
1
GB’a
kadar
olan
capture
dosyaları
analiz
edilebiliyor.
Çok
gelişmiş
bir
filtreleme
imkanı
sunuyor.
Kablolu
yada
kablosuz
ağlar
üzerinden
akan
Raw
paketleri
yakalayabilme
yeteneğine
sahip
olduğu
gibi,
başka
araçlar
kullanılarak
yakalanmış
pcap
dosyalarını
import
edebiliyor.
Patentli
port-‐agnostic
teknolojisi
sayesinde
varsayılan
portlarından
farklı
portları
kullansalar
bile
protokolleri
doğru
tespit
edebiliyor.
Aşağıdaki
üç
farklı
kategoriyi
çok
iyi
anlamak
gerekiyor;
§ Packet
Collectors
§ Protocol
Analyzers
§ Network
Forensics
Tools
@ADEO Security Labs, 2011
www.adeosecurity.com
47. ¡
¡
¡
¡
¡
¡
¡
Splunk,
cihazlar
veya
uygulamalar
(websiteleri,
uygulamalar,
sunucular,
ağ
cihazları
mobil
cihazlar
vb)
tarafından
üretilen
log
kayıtları
üzerinde
analiz,
izleme
ve
arama
yapma
imkanı
sunan
ve
uygulamadır.
http://www.splunk.com/download
adresinden
indirilebilir.
Kullanıcı
bütün
işlemlerini
web
tabanlı
arayüzden
gerçekleştirir.
Free
ve
Enterprise
versiyon
olmak
üzere
iki
versiyonu
vardır.
Ücretsiz
versiyonu
günlük
500
MB
log
işleyebilir.
Desteklediği
işletim
sistemlerinin
listesi;
Gereksinimler
için
http://docs.splunk.com/Documentation/Splunk/4.3.3/Installation/
Systemrequirements
adresine
bakılabilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
48. Arama
yapılacak
ifadeleri
Search
kısmına
yazıyoruz.
Alt
tarafta
toplam
event
sayısı
ve
ilk
ve
son
event
zamanları
gösterilmiştir.
Ön
tanımlı
zaman
aralıklarını
seçerek
sorguların
zaman
aralıkları
ile
oynayabiliyoruz.
Splunk
kullanarak
Directory
Traversal
saldırı
girişimlerini
görüntülüyoruz.
Splunk
kullanarak
XSS
saldırı
girişimlerini
görüntülüyoruz.
Eklenen
veri
kaynaklarının
listesi
@ADEO Security Labs, 2011
www.adeosecurity.com
49. ¡
¡
¡
ADEL,
Android
cihazlarda
yer
alan
ve
adli
bilişim
açısından
önemli
verilerin
tutulduğu
SQLite
formatındaki
veritabanlarına
ulaşıp
bu
veritabanları
içindeki
verileri
extract
eden
bir
uygulamadır.
http://forensics.spreitzenbarth.de/adel/
adresinden
son
sürümüne
ulaşılabilir.
Mevcut
sürümü
aşağıdaki
bilgileri
elde
etmenize
imkan
tanır.
§ Telefon
ve
SIM
kartı
bilgileri
(örneğin
IMSI
ve
seri
numarası)
§ Telefon
defteri
ve
arama
listeleri
§ Takvim
kayıtları
§ SMS
mesajları
§ Telefonda
yer
alan
GPS
kayıtları
@ADEO Security Labs, 2011
www.adeosecurity.com
50. ¡
¡
Android
cihazlar
üzerinden
logical
extraction
yöntemi
ile
Çağrı
detaylarını,
SMS
mesajlarını
ve
Kontak
listesini
elde
etmenize
imkan
tanıyan
ücretsiz
bir
yazılım.
http://www.signalsec.com/saft/
adresinden
indirilebilir.
@ADEO Security Labs, 2011
www.adeosecurity.com
51. ¡
¡
¡
İncilenen
bilgisayarda
yer
alan
iOS
yedekleri
üzerinde
işlem
yapmanıza
imkan
tanır.
http://www.iphonebackupextractor.com
adresinden
ücretsiz
olarak
indirilebilir.
iPhone,
iPod
Touch,
iPad,
iPhone
3G,
iPhone
3GS,
iPhone
4,
iPhone
4S,
iPhone
5
yedeklerini
destekler.
Yedek
dosyaları
içinden
aşağıdaki
kategorilerde
yer
alan
verilerin
elde
edilmesini
sağlar.
Fotoğraflar
Kontaklar
Videolar
Takvim
Notlar
@ADEO Security Labs, 2011
SMS’ler
Arama
Geçmişi
Ses
Kayıtları
Lokasyon
Bilgileri
www.adeosecurity.com