TRİYAJ (TRIAGE) ARAÇLARI VE TEKNİKLERİ · BİLGİSAYAR ADLİ İNCELEMELERİ TRİYAJ (TRIAGE)...
5
1 Adli veri incelemelerinde triyaj (triage) ilk adımdır ve canlı triyaj (live triage) ve ölü triyaj (post-mortem triage, dead box triage) olarak iki farklı türü vardır. Açık bilgisayar üzerinde ve sahada yapılan canlı triajın amacı özellikle uçucu (volatile) potansiyel kaynaklardan (Örneğin, RAM üzerindeki veriler) mümkün olduğunda fazla veriyi hızlıca toplamak ve değerlendirmektir. Ölü triyaj ise genellikle laboratuvar ortamında yapılır ve ana amacı incelenecek imaj dosyasının içerisinde söz konusu dava ile ilgili spesifik kanıtların varlığını hızlıca görmek ve sonrasında yapılacak detaylı inceleme için plan oluşturmaktır. Verilerin detaylı adli incelemesi oldukça zaman alan bir işlemdir ve bu nedenle incelemecilerin iş yoğunluğuna bağlı olarak sırada bekleyen işler listesi uzamaktadır. Triyaj, bu kapsamda spesifik kanıtların arandığı dava dosyalarında incelemelerimizi hızlıca yapmamızı sağlayacak bir yöntemdir. Gordon E. Moore (Intel firmasının kurucu ortağı) 19 Nisan 1965 tarihinde “Electronics Magazine” dergisinde yayınlanan makalesinde, her 18 ayda bir tümleşik devre üzerine yerleştirilebilecek bileşen sayısının iki katına çıkacağını ve bunun bilgisayarların işlem kapasitelerinde büyük artışlar yaratacağını ön görmüştü. Bu öngörünün yorumlanması yıllar içinde bilgisayar geliştirmedeki diğer uzun vadeli eğilimleri, özellikle de depolama kapasitesini tanımlamak için genişledi. Harcanan birim değer başına işlem hızı, bellek ve depolama kapasitesi iki yılda bir yaklaşık iki katına çıktı. Günümüzde ise, Ocak 2020 itibariyle, 1TB boyutunda Micro SD kartlar tüketiciler tarafından kullanılabilmektedir. Kasım 2018 tarihli IDC tarafından hazırlanan bir raporda ise 2018’de 33 zettabyte olan küresel veri dünyasının, 2025’te 175 zettabyte’a yükseleceği belirtilmektedir. (Zetta =1021 , 1ZB = 1 000 000 000 terabytes) BİLGİSAYAR ADLİ İNCELEMELERİ TRİYAJ (TRIAGE) ARAÇLARI VE TEKNİKLERİ Gazi Üniversitesi Fizik (BSc) ve Anadolu Üniversitesi İşletme (BBA) lisanlarını tamamlayan Serkan KÜÇÜK; 2000’li yılların başından itibaren Bilişim Suçları, Adli Bilişim ve Sayısal Veri İnceleme konularında çalışmaktadır. Bilgisayar Sistemleri ve Mobil Cihazların adli veri incelemesi konularında dünyadaki sayılı yetkili eğiticilerden biridir, yurtiçinde ve yurtdışında özel şirketlere ve kolluk kuvvetlerine çok sayıda eğitim vermiş ve danışmanlık yapmıştır. Alanında tüm dünyada büyük saygı gören yirmiye yakın sertifikaya sahip olan Serkan KÜÇÜK, uzun süre Ankara mahkemelerinde bilirkişi hizmeti vererek birçok önemli dosyanın çözümüne katkıda bulunmuştur. Halen EMT Elektronik Ltd.’de Genel Müdür Yardımcılığı görevini yürütmektedir. https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf Genel Müdür Yardımcısı
Transcript of TRİYAJ (TRIAGE) ARAÇLARI VE TEKNİKLERİ · BİLGİSAYAR ADLİ İNCELEMELERİ TRİYAJ (TRIAGE)...
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
1
Adli veri incelemelerinde triyaj (triage) ilk adımdır ve canlı triyaj (live triage) ve ölü triyaj (post-mortem triage, dead box triage) olarak iki farklı türü vardır. Açık bilgisayar üzerinde ve sahada yapılan canlı triajın amacı özellikle uçucu (volatile) potansiyel kaynaklardan (Örneğin, RAM üzerindeki veriler) mümkün olduğunda fazla veriyi hızlıca toplamak ve değerlendirmektir. Ölü triyaj ise genellikle laboratuvar ortamında yapılır ve ana amacı incelenecek imaj dosyasının içerisinde söz konusu dava ile ilgili spesifik kanıtların varlığını hızlıca görmek ve sonrasında yapılacak detaylı inceleme için plan oluşturmaktır.
Verilerin detaylı adli incelemesi oldukça zaman alan bir işlemdir ve bu nedenle incelemecilerin iş yoğunluğuna bağlı olarak sırada bekleyen işler listesi uzamaktadır. Triyaj, bu kapsamda spesifik kanıtların arandığı dava dosyalarında incelemelerimizi hızlıca yapmamızı sağlayacak bir yöntemdir.
Gordon E. Moore (Intel firmasının kurucu ortağı) 19 Nisan 1965 tarihinde “Electronics Magazine” dergisinde yayınlanan makalesinde, her 18 ayda bir tümleşik devre üzerine yerleştirilebilecek bileşen sayısının iki katına çıkacağını ve bunun bilgisayarların işlem kapasitelerinde büyük artışlar yaratacağını ön görmüştü. Bu öngörünün yorumlanması yıllar içinde bilgisayar geliştirmedeki diğer uzun vadeli eğilimleri, özellikle de depolama kapasitesini tanımlamak için genişledi. Harcanan birim değer başına işlem hızı, bellek ve depolama kapasitesi iki yılda bir yaklaşık iki katına çıktı. Günümüzde ise, Ocak 2020 itibariyle, 1TB boyutunda Micro SD kartlar tüketiciler tarafından kullanılabilmektedir.
Kasım 2018 tarihli IDC tarafından hazırlanan bir raporda ise 2018’de 33 zettabyte olan küresel veri dünyasının, 2025’te 175 zettabyte’a yükseleceği belirtilmektedir. (Zetta =1021 , 1ZB = 1 000 000 000 terabytes)
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
Gazi Üniversitesi Fizik (BSc) ve Anadolu Üniversitesi İşletme (BBA) lisanlarını tamamlayan Serkan KÜÇÜK; 2000’li yılların başından itibaren Bilişim Suçları, Adli Bilişim ve Sayısal Veri İnceleme konularında çalışmaktadır.
Bilgisayar Sistemleri ve Mobil Cihazların adli veri incelemesi konularında dünyadaki sayılı yetkili eğiticilerden biridir, yurtiçinde ve yurtdışında özel şirketlere ve kolluk kuvvetlerine çok sayıda eğitim vermiş ve danışmanlık yapmıştır.
Alanında tüm dünyada büyük saygı gören yirmiye yakın sertifikaya sahip olan Serkan KÜÇÜK, uzun süre Ankara mahkemelerinde bilirkişi hizmeti vererek birçok önemli dosyanın çözümüne katkıda bulunmuştur. Halen EMT Elektronik Ltd.’de Genel Müdür Yardımcılığı görevini yürütmektedir.
https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf
Genel Müdür Yardımcısı
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
2
Dolayısı ile hem üzerinde adli inceleme yapılacak olan sayısal cihazların çeşitlenmesi (masaüstü bilgisayarlar, laptoplar, notebooklar, akıllı telefonlar, USB flash diskler, medya kartlar, dronlar, vs.) hem de depolama kapasitelerinin artması triyaj yönteminin ileride daha sıklıkla kullanılacağını bize işaret etmektedir.
Örneğin; olay yerinde bulunan on tane bilgisayarın sürücü imajı alınmış ve bunlardan sadece bir tanesinde incelenen dava ile ilgili veri var ise, triyaj ile hedefe hızlıca ulaşılabilir ve daha az veri (örneğimizde onda bir) daha detaylı bir şekilde incelenebilir.
Konunun daha iyi anlaşılması için ölü triyaj (post-mortem triage, dead box triage) çalışması seçtik. Örnek çalışmamızda adli bilişim konusunda çalışan ya da ilgi duyan herkesin internet üzerinden ücretsiz olarak ulaşabileceği araçlar ve kaynaklar seçtik. Tabii, bizim bu çalışmada kullanacağımız araç ve çözümlerin dışında ücretli veya ücretsiz birçok farklı yazılım ve çözüm bulunmaktadır.
pc.E01, pc.E02, pc.E03 ve pc.E04 örnek imaj dosyalarını indirdikten sonra, Arsenal Image Mounter ile bilgisayarımıza ekliyoruz.
“ArsenalImageMounter.exe” dosyasını yönetici yetkisi ile açmamız gereklidir.
“OK” düğmesine basarak devam ediyoruz. (Driver (sürücü) güncellemesi gerekir ise yine ekrana çıkacak olan pencerede “OK” diyerek sürücülerin güncellemesini sağlıyoruz.)
1. ADIM
1.1
1.2
Sadece “Personal Computer (PC) – ‘EnCase’ Image” kısmında yer alan pc.E01, pc.E02, pc.E03 ve pc.E04 dosyaları kullanılacaktır. (Toplam 7.28 GB sıkıştırılmış)https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
Örnek imaj dosyaları:
Arsenal Image Mounterhttps://arsenalrecon.com/downloads/
Örnek imaj ekleme yazılımı:
Kroll Artifact Parser And Extractor (KAPE)
https://www.kroll.com/en/services/cyber-risk/investigate-and-respond/kroll-artifact-parser-extractor-kape
Örnek triyaj aracı:
Örnek çalışma:
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
3
“File>Mount disk image file” ile indirdiğimiz imaj dosyalarını tanıtıyoruz. (Dosyalar *.e01 formatında olduğundan ilk dosyayı tanıtmamız yeterlidir. Diğer e02, e03 ve e04 uzantılı dosyalar otomatik olarak eklenecektir.)
1.3
Ekleme seçeneklerinden “Write temporary disk device” seçilebilir. Asıl imaj dosyası üzerinde değişiklik olmayacaktır. “OK” düğmesine basarak devam ediyoruz.
1.4
İmajımız başarılı bir şekilde eklendiğinde (mount edildiğinde) aşağıdaki gibi bir pencere ile karşılaşacağız.1.5
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
4
2. ADIM“Kroll Artifact Parser And Extractor (KAPE)” aracını çalıştırarak spesifik sorulara triyaj yöntemi ile cevap arayacağız.
Soru 1: 4C530012450531101593 ve 4C530012550531106501 numaralı USB Flash Diskler bu bilgisayara takılmış mıdır?
Soru 2: İmajı alınan bilgisayarın zaman dilimi nedir?
“gkape.exe” dosyasını yönetici yetkisi ile açmamız gereklidir.2.1
Açılan arayüzde “module” kısmını seçerek, öncelikle “Module source” olarak yukarıdaki birinci adımda eklediğimiz imajın içerisinde yer alan ana bölümün kök dizinini yazılıma gösteriyoruz. (Örneğimizde, F:\) Sonrasında çıktıların kaydedileceği “Module destination” dizinini yazılıma gösteriyoruz (Örneğimizde, C:\ içerisinde kendi oluşturduğumuz) bir klasör.
Soruların cevaplanması için “Event logs” ve “SYSTEM Registry Hive” bilgileri bize yeterli olacağından, “Mini_Timeline” ve “RECmd” modüllerini seçiyoruz ve sağ alt da yer alan “Execute” düğmesine tıklayarak işlemi başlatıyoruz.
Kısa bir süre içerisinde kendi belirlediğimiz “Module destination” dizinini içerisinde “Registry” ve “Timeline” klasörleri oluşacaktır.
2.2
BİLGİSAYAR ADLİ İNCELEMELERİT R İ Y A J ( T R I A G E ) A R A Ç L A R I V E T E K N İ K L E R İ
Soru 1 : 4C530012450531101593 ve 4C530012550531106501 numaralı USB Flash Diskler bu bilgisayara takılmış mıdır?
Soru 2 : İmajı alınan bilgisayarın zaman dilimi nedir?
Cevap 1: “Timeline” klasörü içerisinde yer alan “evtx_for_timeline.csv” dosyasında bu iki numarayı aradığımızda; “F:\Windows\System32\winevt\Logs\System.evtx” kayıtları içerisinden anlamlandırılmış olarak 4C530012450531101593 numaralı sürücünün 23.3.2015 tarihinde saat 18:31 de, 4C530012550531106501 numaralı sürücünün ise 24.03.2015 tarihinde saat 13:58 de bu bilgisayara bağlandığı görebiliyoruz. Cevabımız “evet”.
Cevap 2: SYSTEM Registry (Registry klasörü içerisinde yer alan XXXX_TimeZoneInfo_X_Windows_System32_config_SYSTEM.csv) kayıtları incelendiğinde “Eastern Standart Time (EST)” zaman diliminde olduğu gözükmektedir.
Başında da belirttiğimiz üzere triyaj yaklaşımının daha iyi anlaşılması için basit bir çalışma yaptık ve spesifik iki sorumuza hızlıca cevap alabilmek için KAPE içerisinde sadece belli modülleri seçtik.
Triyaj metodu ya da yaklaşımı burada anlatılanlardan çok daha kapsamlıdır. Dijital cihaz türlerinin ve depolama kapasitelerinin artması, adli veri incelemelerinde daha verimli çalışmak için triyaj gibi çeşitli yaklaşımlar ve metodolojiler ihtiyaçları ortaya çıkarmaktadır. Uluslararası kabul gören adli yöntemlerle verilerin toplanması ve değerlendirilmesi triyaj içinde çok önemlidir. Triyaj ile üzerinde çalışılan dava ile ilgili bazı önemli deliller/bulgular toplanmayabilir (örneğin, silinmiş veya artık alanlardan elde edilebilecek önemli veriler). Dolayısı ile triyaj çalışmalarında dikkatli davranılmalı ve hiçbir zaman tam bir inceleme yerine geçebileceği düşünülmemelidir. Her adli inceleme çalışmasında olduğu gibi elde edilen sonuçlar en azından ikinci bir araç ile teyit edilmelidir.
Burada bahsedilen araçları ve imaj dosyasını kullanarak sizlerde çeşitli çalışmalar ve denemeler yapabilir, daha farklı sorulara kendiniz cevaplar bulabilirsiniz. Örneğin, CCLEANER yazılımı bu bilgisayara kurulmuş mudur?
TimeZoneKeyName : Eastern Standard Time ActiveTimeBias : 240Bias : 300DaylightBias : -60
CEVAPLAR
SONUÇ
EMT Elektronik Mühendislik
+90 (312) 472 20 [email protected]
Çamlıca Mah., Anadolu Blv., No: 16Regnum Tic. Merkezi, B Blok, No: 5/106200 Yenimahalle, Ankara - TURKEY
Bir EMT Elektronik markasıdır.
Copyright © 2020, Tüm Hakları Saklıdır EMT Elektronik
