Blog

Manuel Windows Forensic

 


Daha önceki yazılarımda bilişim suçları kapsamında işlenen suçların tespit edilmesinde, kanıtlanmasında veya suçsuzluğun ispat edilmesinde kullanılan yöntem ve araçlardan bahsetmiştim.
Şimdi ise adli  dijital delil niteliğinde olan üzerinde Windows işletim sistemi koşan bir bilgisayar imajı içerisinde manuel olarak sistem ve kullanıcılar hakkında bilgi edinebileceğimiz dosya/klasör dizin yapılarından ve erişim yollarından bahsedeceğim.

Genel olarak Regedit kayıtları içerisinde ki bilgilerin yollarından bahsederken bunların yanısıra dahili disk üzerinde kurulu işletim sisteminin sistem dosyalarının içerisinde de incelemeler yapabilmek amacıyla bu dosya / dizin yollarından bahsedip bu yapılara da değineeğiz.

  • TimeZoneInformation

    İncelemesi yapılacak olan dijital delilin kullanmakta olduğu bölge ve saat dilimi bilgileri imaj inceleme esnasında büyük önem taşır.Delil niteliğinde olan cihazın mevcut saat dilimi incelemecinin mevcut saati ile uyumsuz ise bu birçok delil kaybına yol açabilir.Bu durum ise ilgili davanın seyrini değiştirebilir ve mahkemeyi yanıltabilir nitelikte olabililmektedir.Sistem bölge ve saat dilimi bilgileri nasıl ulaşabiliriz ?İşletim sistemi Registry kayıtlarına girdikten sonra (windows+R kombinasyonu ardından çalıştır penceresine regedit yazarak registry kayıtlarına erişebiliriz. ) aşağıdaki yolu takip ederek bu bilgiyi elde edebiliriz.

    HKLM\SYSTEM\ControlSet###\Control\TimeZoneInformation


    Görselde timezoneinformation seçeneğine tıkladığımız zaman TimeZoneKeyName değerinin Turkey Standart Time olduğunu görmekteyiz.

  • Bilgisayar Adı

    İncelemekte olduğumuz bilgisayarın tanımlanmış isim bilgisini elde etmek için registry kayıtlarında aşağıdaki yolu izleyebiliriz.

HKLM\SYSTEM\ControlSet###\Control\ComputerName\ComputerName

Burada belirttiğimiz kısımda ComputerName dosyanını altında ComputerName değeri bilgisayar ismini bize vermektedir.

  • Sistemin kaydedilmiş en son kapatılma tarihi

İnceleme yapılan bilgisayarın en son kapatılma tarihi şüphelinin ifadeleri doğrultusunda bize dava hakkında çıkarımlar yapabilme fırsatı verir hatta yapılan çıkarımları güçlendirebilir veya tam aksine hepsini çöp haline getirebilir.Aynı zamanda ilgili suçun işlenme tarihiyle karşılaştırılarak buradan bir fikir yürütülebilir.Delil niteliğindeki bilgisayarın son kapatılma tarihini yine registry kayıtlarından aşağıda yolu izleyerek kolaylıkla öğrenebiliriz.

HKLM\SYSTEM\ControlSet###\Control\Windows \ ShutDownTime


ShutdownTime değeri binary olarak bize bilgisayarın son kapatılma tarihini vermektedir.

  • DHCP tarafından atanan IP adres bilgileri ve Tüm Ağ Arabirimlerine Ait Bilgiler

    Şüphelinin bilgisarının hangi ortamlarda bulunduğunun tespit edilmesi, hangi ağlara bağlantı sağlandığının tespit edilmesi, ilgili ağların incelenmesini ve dava kapsamında bilgi edilmesi açısından önemlidir

    HKLM\SYSTEM\ControlSet###\Services\Tcpip\Parameters\Interfaces


    Interfaces kısmında tüm ağ arayüzleri ayrı ayrı gösterilmektedir.Her Bir ağ arayüzü için klasörlerin içerisinde detaylı bilgiler yer almaktadır.

  • İşletim Sistemi Kurulduktan Sonra Yüklenen Tüm Programlar

    İncelenen bilgisayara işletim sistemi kurulduktan sonra  ne tür programların kurulduğunu öğrenebiliriz.Bu bilgileri liste halinde registry kayıtlarının içerisinde bulabiliriz.Elde edilen bilgiler dahilindde şüphelinin üzerine atılı olan suçu işleyio işlemediği hakkında çıkarımlar yapabiliriz.Eğer hacking vs. için kullanılan yazılımlar sistemde tespit edilmişse bu programların profesyonellik seviyesine bakılarak şüphelinin bilgisi hakkında bilgi elde edebiliriz.
    Regedit içerisinde iki farklı konumdan bu bilgileri edinebilmekteyiz.

    1) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    2) HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall


    Yukarıdaki ekran görüntüsünde bilgisayara yüklenen (sonradan silinmiş olanlarda görülür.) programların neler olduğunu açıkça görebilmekteyiz.

  • Windows Günlük Kayıtları ~ Kullanıcılara Ait Tüm Açılış/Kapanış Bilgileri

    Windows event logları (günlük kayıtları) bilgisayardaki tüm kullanıcıların ne zaman sistemi açtığını ve ne zaman kapattığının bilgilerini tutmaktadır.Burada bellli başlı sayısal değerler görmekteyiz. Event Loglarını görüntüledikten sonra çıkarım yapabilmek, verileri yorumlayabilmek için bu sayısal değerlerin karşılık geldiği işlemleri bilmeliyiz.
    Burada kullanıcılar için Açılış / Kapanış zamanlarını görmek istiyoruz.Açılış ve kapanış değerleri şu şekildedir ;

    4608  —>  Windows Başlatılıyor.
    1100   —>  Servis Kapatma
    4624  —>  Başarılı Oturum Açma
    4634  —> Oturum Kapatma
    4625  —> Başarısız Oturum Açma
    4647  —> Bir Kullanıcının Oturum Kapatma İşlemini Başlatması

    Önemli Not : Günlük dosyalarından edinilen bilgiler %100 tutarlı olmayabilir.Bu yüzden elde edilen tüm bilgiler göz önünde tutularak bir çıkarım yapılabilir.

    Bahsetttiğimiz bilgilere ulaşmak için Windows Güvenlik Olay Kayıtlarını (Event Viewer) Görüntülememiz gerekmetedir.Bunun için aşağıdaki adımlar uygulanır.

    1-) Windows_Tuşu  +  R
    2-) eventvwr yazıp Tamam seçeneğini tıklıyoruz.

    Karşımıza gelen ekran  ( Olay Görüntüleyicisi ) ;


    Bu kısımdan istedğimiz bilgilere ilgili seçeneklerden ulaşabiliriz.

  • Kullanılan Web Tarayıcılarının Hangileri Olduğunun Bilgisi


    Şüphelinin bilgisayarında hangi web tarayıcılarını kullandığını tespit etmek web üzerinden işlenilen suçlarda davanın seyrini değiştirebilecek ve inceleme sonucunda elde edilecek olan bulguların tutarlılığını ve sayısını önemli ölçüde etkileyecektir.

    1-) HKCU\Software\Mozilla (opsiyonel) ( versiyon değeri)
    2-) HKLM\SOFTWARE\Microsoft\Internet Explorer (değer: svcVersion (svc versiyon değeri)

  • Kullanılan Tarayıcının Dosya Yolu (Patch/Hiyerarşi)
    Kullanılan tarayıcının geçmiş verileri/bilgileri silinmiş olabilir. Bu durumda manuel olarak geçmiş bilgilerini elde etme imkanımız olabilrmektedir.Bunun için ilgili tarayıcı yazılımın konumunda araştırma yapmamız gerekmektedir.C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

    Exchange EDB Viewer benzeri üçüncü yazılımları kullarak .edb (exchange database) dosyalarını görüntüleyebilirsiniz.

  • Tüm Kullanıcıların Windows Explorer Arama Çubuğunda Tarattığı Anahtar Kelimelerin Bilgisi

    Şüphelinin bilgisayarında yapılan index,anahtar kelime taramalarında kişinin yoğunlaştığını bir alan, kısım var mı diye kontrol edilir.
    Windows Explorer aramalarında sistem içerisinde yapılan bir arama söz konusu olduğu için imajın incelenmesi esnasında göz atabileceğimiz yerler hakkında bu kısımdan ipuçları toplayabilir ve böylelikle kısmi olarak dijital delillere nokta atışı yapabilme fırsatımız olur.

    HKU\[Kullanıcı_Adı]\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery\

     

  • E-Posta Haberleşmesi İçin Hangi Uygulama/Yazılımın Kullanıldığının Bilgisiİnaj incelemesinde birçok vakada olduğu gibi e-posta incelemeleri ve haberleşme tespitleri çok büyük arz etmektedir.
    Şüphelinin kimlerle irtibat halinde olduğu, iletişim kurduğu kişilerin bilgileri, iletişim içerikleri incelemeci tarafından detaylı olarak incelenmelidir.Bu kısımda Oxygen Forensic yazılımının güzel bir görsel ile bize bu bilgileri getirdiğini hatırlatmadan geçmeyelim.
    Aşağıda dosya yolları sayesinde Oxygen Yazılımının yaptığı işi manuel olarak biz yapacağız.1-) HKLM\SOFTWARE\Classes\mailto\shell\open\command
    2-) HKLM\SOFTWARE\Clients\Mail
    3-) HKU\[Kullanıcı_Adı]\Software\Microsoft\Office\15.0\Outlook

                                                                                                                  (Görsel – 1)

                                                                                                                      (Görsel – 2)

    Görsel – 2 görünen Mail dizinin altında Hotmail, Microsoft Outlook ve Windows Mail haberleşmelerine ait kayıtlı ve loglanmış olan verileri detaylarıyla görüntüleyebiliriz.

  • Kullanıcı E-Posta Bilgilerinin Saklandığı Yer

     

    E-posta bilgilerinin tutulduğu dosyalara erişmek için izlemeniz gereken hiyerarşi/yol ;

    C:\ Kullanıcılar \ [Kullanıcı_Adı] \AppData \Local \Microsoft \Outlook

  • OST Dosyalarının Önemi Hakkında Kısa Bir BilgiOST Dosyaları Outlook veri dosyalarıdır.E-mail, takvim, hatırlatmalar gibi benzer bilgilere OST dosyalarına erişip buradan ulaşabiliriz.
  • Bilgisayara Bağlanmış/Takılmış Olan Harici Depolama Birimleri

     

    Bilgisayara daha önceden takılmış olan usb bellek, harici harddisk vb. portatif taşınabilir depolama birimlerinin neler olduğunu ve bunlar hakkında bilgileri edinmemiz mümkündür.
    Bu bilgilere ulaşabilmek için birkaç kayıt dosyası mevcuttur.Bunlardan bazıları ;
    1-) “setupapi.dev.log” dosyası
    2-) HKLM\SYSTEM\MountedDevices\
    3-)HKLM\SYSTEM\ControlSet??\Enum\USBSTOR\
    4-)HKLM\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache\
    5-)Windows\System32\winevt\Logs\Systen.evtx (Olay ID’leri içeririr.)

     

                                            (Günlük Olay Görüntüleyici)

     

                  (VolumeInfoCache)

     

                                                      (USBSTOR)

 

                                                                                                        (Mounted_Devices)

 

 

  •   Ağ Sürücüsünden Geçen / Açılan Tüm Dosya Hiyerarşi Bilgisi

    Ağ üzerinden haberleşme kullanılarak açılan,görüntülenen kısaca ağ paylaşımıyla kullanılan erişilen dosyaların bilgisine ulaşabileceğim kısımın yolu;
    HKU\{USER}\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\8\0\~

  • CD-R Yazılmış mı ? Yazılmışsa (yakılmışsa) bu işlem hangi yöntem ve yazılım kullanılarak yapılmıştır ?

    Dosya Yolu —>  C:\Windows\System32\winevt\Logs\

Yukarıda bahsettiğimiz ve dosya yollarını belirttiğimiz alanlar dışında adli inceleme esnasında araştırılması gereken tabikide birçok dosya ve dizin bulunmaktadır.
Burada neredeyse tüm adli incelemelerde gözatılan dosya/dizin hiyerşileri verilmiş olup bu kısımlar mutlaka ve mutlaka dikkatli bir şekilde incelenmelidir.

 


 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir