/uploads/Adli_Bilisim_2_K_c95d49bd01.png/uploads/Adli_Bilisim_Desktop_0311d282bd.png/uploads/Adli_Bilisim_afb063d443.png

Adli Bilişim Hizmetleri: Dijital Delil Analizi

Adli bilişim ve siber güvenlik, dijital çağın suçlarıyla mücadelede hayati öneme sahiptir. DrDisk Lab olarak, dijital delillerin toplanması, analiz edilmesi ve raporlanması süreçlerinde uzman bir kadro ile profesyonel destek sunmaktayız. Gelişmiş teknolojilerle donatılmış altyapımız ve yüksek gizlilik prensiplerine bağlı çalışma anlayışımız, kurumların güvenlik ihtiyaçlarını karşılamada güçlü bir çözüm ortağı olmamızı sağlamaktadır. Siber saldırılara karşı güvenlik danışmanlığından, mahkemelere sunulacak bilirkişi raporlarına kadar geniş bir yelpazede sunduğumuz adli bilişim hizmetleriyle, güvenilir sonuçlara ulaşmanız için yanınızdayız.

Adli Bilişim Nedir?

Adli bilişim, dijital ortamlardaki delillerin bilimsel yöntemlerle toplanması, korunması, analizi ve mahkemeye sunulması sürecidir. Bilgisayarlar, cep telefonları, hafıza kartları ve kameralar gibi dijital cihazlar, suçların çözülmesinde kritik öneme sahip delilleri barındırabilir. Adli bilişim uzmanları, bu cihazlardan güvenli ve yasalara uygun şekilde veri çıkararak, suçların aydınlatılmasına katkı sağlar.

Adli Bilişim Hizmetlerimiz

Sunduğumuz adli bilişim hizmetleri şunlardır:

  • Siber Olaylara Müdahale Danışmanlığı: Siber saldırı veya veri ihlali yaşayan kurumlara hızlı müdahale ederek delilleri korur ve analizini gerçekleştiririz.

  • Siber Suç İnceleme ve Analizi: Dijital delilleri toplar, analiz eder ve kapsamlı raporlar sunarız.

  • Dijital Delil Toplama: Bilgisayarlar, cep telefonları ve diğer dijital cihazlardan güvenli şekilde delil toplarız.

  • Adli Kopya İnceleme: Dijital cihazların adli kopyalarını detaylıca inceleyerek delillerin analizini yaparız.

  • Bilirkişi Raporu Hazırlama: Mahkemelere ve savcılıklara sunulmak üzere teknik bilirkişi raporları hazırlarız.

Adli Bilişim Hizmetlerinin Önemi

Adli bilişim hizmetleri, suçların çözülmesinde ve suçluların adalet önüne çıkarılmasında hayati bir öneme sahiptir. Dijital deliller, suçluların kimliğinin tespit edilmesi, suçun işlenme şeklinin belirlenmesi ve suçla ilgili önemli bilgilerin ortaya çıkarılmasında büyük rol oynar.

Adli Bilişim Hizmetlerinin Başlıca Faydaları:

  • Suçların Çözümü: Dijital deliller sayesinde suçlular tespit edilir ve cezalandırılır.

  • Mağdurların Hakları Korunur: Mağdurların yaşadıkları zarar belgelenir ve hukuki süreçlerde delil olarak kullanılır.

  • Suçların Önlenmesi: Adli bilişim, suçluların yöntemlerini analiz ederek suçların önlenmesine katkıda bulunur.

Adli Bilişim Uzmanları Kimdir?

Adli bilişim uzmanları, dijital dünyada suçluların izini süren dedektifler gibidir. Dijital cihazlarda bulunan delilleri toplar, analiz eder ve mahkemeye sunar. Bu uzmanlar, teknik becerilerin yanı sıra analitik düşünme, problem çözme ve güçlü iletişim becerilerine sahip olmalıdır. Dijital çağın karmaşık suçlarını çözmek için gereken bilgi ve donanıma sahiptirler.

Siber Güvenlik ve Adli Bilişim Hizmetlerinin Önemi

Adli bilişim ve siber güvenlik, modern dünyada suçlarla mücadelede önemli bir yere sahiptir. DrDisk Lab olarak sunduğumuz hizmetler, siber saldırılara karşı kurumların güvenliğini sağlarken, aynı zamanda delillerin toplanması ve analiz edilmesi süreçlerinde de profesyonel destek sunar.

DrDisk Lab’ın Sunduğu Avantajlar:

  • Uzman Kadro: Adli bilişim ve siber güvenlik alanında uzman bir ekip.

  • Gelişmiş Teknoloji: En son teknolojiyle donatılmış adli bilişim ekipmanları.

  • Gizlilik ve Güven: Yüksek gizlilik prensiplerine bağlı ve güvenilir hizmet.

DrDisk Lab ile Adli Bilişim Hizmetlerinde Çözüm Ortağınız

DrDisk Lab, adli bilişim ve siber güvenlik alanlarında yılların tecrübesiyle yanınızdadır. Dijital ortamda işlenen suçlara dair delil toplama, analiz ve inceleme süreçlerinde profesyonel destek sağlıyoruz. Dijital suçlarla mücadelede güvenilir bir partner arıyorsanız, bizimle iletişime geçmekten çekinmeyin.

Sunduğumuz Diğer Hizmetler:

  • Tüm dijital medyaların incelenmesi ve raporlanması

  • HTS ve CGNAT kayıtlarının incelenmesi ve analizi

  • Görüntü ve ses kayıtlarının düzeltilmesi, anlamlandırılması ve analizi

  • Modem, router, switch ve benzeri ağ bileşenlerinin incelenmesi

  • Soruşturma ya da dava dosyası içerisindeki teknik hususların açıklığa kavuşturulması

  • ByLock, Eagle, Signal, Wickr gibi programlarının çözüm analizleri

  • Sosyal medya hesaplarının analizi ve çözümü

  • Açık kaynak ve istihbarat araştırması

  • Siber suç kapsamında yer alan vakaların teknik ve hukuki danışmanlığı

  • Şifrelenmiş ve bozulmuş muhasebe kayıtlarının Gelir ve Vergi Dairelerine sunulmak üzere rapor hazırlanması

  • Hukuk bürolarının ve avukatların bakmış olduğu dosyalara yönelik teknik bilgi danışmanlığı

Adli bilişim ve siber güvenlik hizmetleri, dijital suçların çözümünde ve adaletin sağlanmasında vazgeçilmezdir.

Hizmetler
Hizmetler
Adli Bilişim Araçları
Adli Bilişim

En İyi Adli Bilişim Araçları Listesi

Digital Forensic, mahkemeler, kolluk kuvvetleri ve adli bilişim uzmanları tarafından kullanılabilecek dijital kanıtların korunması, tanımlanması, çıkarılması ve belgelenmesini sağlayan bir bilim dalıdır. Bu işlemi basit ve kolay hale getirmenize yardımcı olan birçok araç vardır. Bu araçlarla, yasal prosedürler için kullanılabilecek raporlar hazırlanır. Bu yazımızda, popüler özellikleri ile bilinen adli bilişim araçlarının bir listesi bulunmaktadır. Liste hem ücretli hem de ücretsiz yazılımları içerir…

ProDiscover, 2001 yılından beri adli bilişim alanında kullanılan ve uzun bir geçmişe sahip, güçlü bir dijital delil arama ve analiz aracıdır. Özellikle uzaktan kullanım özelliğine sahip ilk adli bilişim araçlarından biri olmasıyla öne çıkan ProDiscover, 70’den fazla ülkede siber suçlarla ilgili yüksek profilli ve karmaşık soruşturmalarda kullanılmıştır

  • Disklerde Kapsamlı Arama: ProDiscover, bir diskteki tüm verileri bulmanızı ve analiz etmenizi sağlar. Bu sayede, istenen bilgilere hızlı ve kolay bir şekilde ulaşabilirsiniz.
  • Kaliteli Raporlama: ProDiscover, yasal prosedürler için kullanılabilecek yüksek kaliteli raporlar oluşturmanıza yardımcı olur. Bu raporlar, delil bulgularını ve analiz sonuçlarını net ve concise bir şekilde sunar.
  • JPEG Dosyalarından EXIF Bilgileri: ProDiscover, JPEG dosyalarından EXIF (Değiştirilebilir Görüntü Dosyası Biçimi) bilgilerini ayıklamanıza olanak tanır. Bu bilgiler, fotoğrafın çekildiği tarih, saat, konum ve kamera ayarları gibi önemli verileri içerir.
  • Uzaktan Kullanım: ProDiscover’ın en önemli özelliklerinden biri de uzaktan kullanım özelliğidir. Bu sayede, delil bulunan bilgisayara fiziksel olarak erişmeden de inceleme yapabilirsiniz.
  • Kullanıcı Dostu Arayüz: ProDiscover, kullanımı kolay bir arayüze sahiptir. Bu sayede, adli bilişim uzmanı olmasanız bile aracı kolayca kullanabilirsiniz.

ProDiscover, adli bilişim alanında birçok farklı amaç için kullanılabilir. Başlıca kullanım alanları şunlardır:

  • Siber Suç Soruşturmaları: ProDiscover, siber suçlarla ilgili soruşturmalarda dijital delilleri bulmak ve analiz etmek için kullanılabilir.
  • Veri Kurtarma: ProDiscover, silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: ProDiscover, elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: ProDiscover, kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
  • Güçlü ve kapsamlı bir arama yeteneği
  • Yüksek kaliteli raporlama
  • JPEG dosyalarından EXIF bilgileri ayıklama
  • Uzaktan kullanım özelliği
  • Kullanıcı dostu arayüz
  • Ücretli bir yazılım olması
  • Bazı özel işlevlerin kullanımının karmaşık olabilmesi

Dijital adli bilişim alanında, delillerin toplanması, analizi ve raporlanması için kullanılan iki önemli araç Sleuth Kit ve Autopsy birlikte çalışır. Bu ikili, birbirini tamamlayarak kapsamlı bir adli inceleme süreci yürütmenizi sağlar.

Sleuth Kit:

  • İşlev: Sleuth Kit, bir dizi komut satırı araçları ve C kütüphanesinden oluşan bir koleksiyon niteliğindedir.
  • Ne Yapar? Disk imajlarını analiz eder ve bu imajlardan dosya kurtarılmasına imkan tanır.
  • Arka Planda Çalışır: Sleuth Kit, Autopsy gibi grafiksel arayüzlü araçların ve birçok diğer adli bilişim yazılımının arka planında çalışarak onlara temel fonksiyonlar sağlar.

Autopsy:

  • İşlev: Autopsy, Sleuth Kit üzerine inşa edilmiş, kullanımı kolay ve grafiksel bir arayüze sahip bir platformdur.
  • Ne Yapar? Sabit diskleri, akıllı telefonları ve diğer dijital cihazları etkili bir şekilde analiz etmenizi sağlar. E-postalar, internet geçmişi, resimler, belgeler gibi çeşitli dijital verileri inceleyebilir ve raporlayabilirsiniz.
  • Kullanıcı Dostu: Karmaşık komutlardan ziyade, menüler ve pencereler aracılığıyla sezgisel bir kullanım sunar. Bu sayede, adli bilişim konusunda uzman olmasanız bile Autopsy’yi kullanabilirsiniz.
  • Eklenti Mimarisi: Autopsy, geniş bir yelpazede adli eklentileri destekler. Bu eklentiler, belirli dosya formatlarını incelemek, belirli işletim sistemlerinden veri kurtarmak gibi özel işlevler kazandırır.

Sleuth Kit ve Autopsy’nin Birlikte Sağladığı Avantajlar:

  • Kapsamlı Analiz: Sleuth Kit’in güçlü alt yapısı ile Autopsy’nin grafiksel arayüzü birleşerek, dijital ortamın derinlemesine incelenmesine olanak tanır.
  • Çoklu Platform Desteği: Hem Windows hem de Linux işletim sistemlerinde kullanılabilir.
  • Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.
  • Geniş Eklenti Desteği: Farklı dosya formatları ve işletim sistemleri için özelleştirilmiş eklentiler sayesinde inceleyebileceğiniz veri yelpazesi genişler.

Sleuth Kit ve Autopsy’nin Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.

CAINE, adli bilişim uzmanlarının dijital delilleri toplama, analiz etme ve raporlama sürecini kolaylaştıran bir Linux tabanlı işletim sistemidir. “Computer Aided Investigative Environment” (Bilgisayar Destekli Soruşturma Ortamı) kısaltmasını taşıyan CAINE, eksiksiz bir adli ortam sunarak tek bir platformda çeşitli işlemleri gerçekleştirmenize olanak sağlar.

CAINE’nin Önemli Özellikleri:

  • Linux Distrosu Temelli: Ubuntu tabanlı bir işletim sistemi olması, kararlılık ve güvenlik sağlarken, aynı zamanda açık kaynaklı olması nedeniyle özelleştirilebilirlik imkanı sunar.
  • Modüler Yapı: Farklı yazılım araçlarından oluşan modüler bir yapıya sahiptir. Bu sayede, ihtiyaca göre modülleri ekleyerek veya kaldırarak özelleştirilebilir bir çalışma ortamı oluşturulabilir.
  • Silinen Veri Kurtarma: Silinmiş veya biçimlendirilmiş verileri kurtarmak için çeşitli araçlar içerir. Bu sayede, potansiyel olarak kaybolan delillerin kurtarılmasına imkan tanır.
  • Çok Alanlı Destek: Ağ adli bilişimi, mobil adli bilişimi ve Windows adli bilişimi gibi farklı alanlarda inceleme yapabilmek için özel araçlar barındırır.
  • Kullanıcı Dostu Arayüz: Karmaşık komut satırları yerine, grafiksel bir arayüz sunarak kullanıcılara kolaylık sağlar.
  • Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.

CAINE’nin Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
  • Adli Bilişim Eğitimleri: Kullanıcı dostu arayüzü ve kapsamlı araç seti sayesinde, adli bilişim eğitimlerinde sıklıkla tercih edilir.

CAINE Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

PALADIN, adli bilişim uzmanlarının dijital delil toplama, canlı inceleme, derinlemesine analiz ve raporlama süreçlerini hızlandıran bir yazılım setidir. Çalıştırılabilir DVD ve USB sürümleri sayesinde fiziksel ortama ihtiyaç duymadan da kullanılabilir olması, PALADIN’ın önemli bir avantajıdır.

PALADIN Temel Özellikleri:

  • Çok Yönlü Araç Seti: 100’den fazla araç içeren PALADIN, disk klonlama, dosya kurtarma, internet geçmişi analizi, kayıt defteri incelemesi, bellek analizi gibi geniş bir yelpazede adli işlemleri gerçekleştirmenizi sağlar.
  • Hızlı ve Etkili: PALADIN, otomasyon özellikleri sayesinde incelemeleri hızlandırır ve manuel işlemleri en aza indirerek zamandan kazandırır.
  • Kategoriye Göre Düzenlenmiş Araçlar: 33’ten fazla kategoriye ayrılmış araçları sayesinde aradığınız aracı kolayca bulabilir ve inceleme sürecini akıcı bir şekilde yürütebilirsiniz.
  • Canlı Sistem İncelemesi: Canlı sistemlerde çalışan işlemleri, ağ trafiğini ve bellek dökümlerini inceleyerek potansiyel tehditleri tespit etmenize olanak tanır.
  • Çalıştırılabilir DVD ve USB Sürümleri: PALADIN, ayrı bir işletim sistemine ihtiyaç duymadan çalıştırılabilir DVD veya USB sürümleriyle birlikte gelir. Bu sayede, adli incelemeleri herhangi bir bilgisayarda gerçekleştirebilirsiniz.
  • Raporlama: PALADIN, inceleme sonuçlarını ayrıntılı raporlar halinde sunarak delilleri net bir şekilde sunmanıza yardımcı olur.

PALADIN Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
  • Dijital Forensics Eğitimleri: PALADIN’ın sunduğu çok yönlü araç seti, adli bilişim eğitimlerinde de sıklıkla kullanılır.

PALADIN Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

PALADIN Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Çok yönlü araç seti sayesinde tek bir platformda birçok işlemi gerçekleştirebilme
  • Çalıştırılabilir DVD ve USB sürümleri sayesinde fiziksel ortama ihtiyaç duymadan kullanabilme
  • Hızlı ve otomasyon özellikleri sayesinde zamandan kazandırma

Dezavantajlar:

  • Ücretli bir yazılım olması
  • Bazı karmaşık işlemler için ileri düzey adli bilişim bilgisi gerektirebilme

EnCase, dijital veri inceleme ve analiz alanında adeta bir endüstri standardı haline gelmiş güçlü bir yazılımdır. Guidance Software tarafından geliştirilen EnCase, özellikle delil inceleme ve delillerin birbirleriyle olan ilişkilerini ortaya çıkarma konusunda kendini kanıtlamıştır.

EnCase’in Önemli Özellikleri:

  • Kapsamlı Delil İncelemesi: EnCase, sabit diskler, mobil cihazlar, bulut uygulamaları gibi farklı kaynaklardan gelen dijital verileri derinlemesine inceleyebilmenizi sağlar.
  • Hızlı Arama ve Tarama: Veriler içerisinde aradığınız kelimeleri, dosya türlerini veya belirli kriterlere uygun bilgileri hızla bulmanıza yardımcı olur.
  • Delil Önceliklendirme: Farklı kriterlere göre delilleri önceliklendirebilir ve karmaşık soruşturmalarda öncelikle en önemli delillere odaklanmanızı sağlar.
  • Şifreli Delil Açma: EnCase, çeşitli şifreleme yöntemlerini kullanarak şifrelenmiş dosyalara erişmenizi ve içeriklerini incelemenizi sağlar.
  • Mobil Cihaz Analizi: Akıllı telefonlar ve tabletler gibi mobil cihazlardan veri toplayabilir ve analiz edebilirsiniz.
  • Raporlama: EnCase, inceleme sonuçlarını ayrıntılı ve profesyonel raporlar şeklinde sunmanıza olanak tanır.
  • Veri Görselleştirme: Karmaşık ilişkileri ve veriler arasındaki bağlantıları görselleştirerek daha anlaşılır hale getirmenizi sağlar.

EnCase Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
  • Entelektüel Mülkiyet Koruma: Entelektüel mülkiyet haklarının ihlalini araştırmak ve delilleri toplamak için kullanılabilir.

EnCase Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

EnCase Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Dijital veri inceleme ve analiz konusunda endüstri standardı olması
  • Kapsamlı veri inceleme yetenekleri
  • Hızlı arama, tarama ve önceliklendirme özellikleri
  • Şifreli delil açma ve mobil cihaz analizi imkanı
  • Profesyonel raporlama ve veri görselleştirme araçları

Dezavantajlar:

  • Diğer bazı adli bilişim araçlarına kıyasla daha yüksek maliyetli olması
  • Karmaşık işlevlerin kullanımı için ileri düzey bilgi gerektirebilmesi

SANS SIFT, SANS Institute tarafından geliştirilen ve adli bilişim ile olay yeri incelemeleri için kullanılan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. SIFT, adli bilişim uzmanlarının ihtiyaç duyduğu birçok aracı tek bir platformda bir araya getirerek inceleme sürelerini hızlandırır ve kolaylaştırır.

SANS SIFT’in Önemli Özellikleri:

  • Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.
  • 64-bit Sistem Desteği: 64-bit işletim sistemi mimarisini destekleyerek modern bilgisayarların tüm donanım gücünden yararlanmanıza olanak tanır.
  • DFIR Paketlerinin Otomatik Güncellemeleri: SIFT, adli bilişim ve olay yeri incelemeleri (DFIR) ile ilgili paketleri otomatik olarak güncel tutar. Bu sayede, her zaman en yeni araçlara ve tekniklere sahip olursunuz.
  • Zengin Araç Seti: SANS SIFT, disk klonlama, dosya kurtarma, bellek analizi, ağ adli bilişimi, internet geçmişi analizi gibi birçok farklı adli bilişim aracını içerisinde barındırır.
  • Canlı Sistem İncelemesi: SIFT, doğrudan bir CD veya USB sürücüden çalıştırılabilir. Bu sayede, potansiyel delilleri kirletmeden inceleme yapabilirsiniz.

SANS SIFT’in Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
  • Adli Bilişim Eğitimleri: SANS SIFT, ücretsiz ve açık kaynak olması nedeniyle adli bilişim eğitimlerinde sıklıkla tercih edilir.

SANS SIFT Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Adli bilişim öğrencileri

SANS SIFT’i Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Ücretsiz ve açık kaynaklı olması
  • Otomatik güncellemeler sayesinde en yeni araçlara erişim
  • Çok sayıda adli bilişim aracını tek bir platformda sunması
  • Canlı sistem incelemesi imkanı

Dezavantajlar:

  • Diğer bazı ticari adli bilişim araçlarına kıyasla daha az sayıda gelişmiş özelliğe sahip olabilmesi
  • Belirli işlemler için komut satırını kullanma gerekliliği duyulabilir

FTK Imager, adli bilişim uzmanlarının dijital ortamı güvenli bir şekilde kopyalayarak ve görüntü oluşturarak inceleme süreçlerini başlatan önemli bir araçtır. AccessData tarafından geliştirilen FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan bit-by-bit kopyalar oluşturarak, delillerin bütünlüğünü korumayı sağlar.

FTK Imager Temel Özellikleri:

  • Disk ve Dosya Görüntüleme: FTK Imager, sabit diskler, bölümler, ve hatta tek tek dosyaların bit-by-bit kopyalarını oluşturabilir. Bu kopyalar, orijinal veri kaynağının aynısı niteliğindedir ve adli incelemeler için güvenilir bir temel oluşturur.
  • Veri Kaynağı Seçimi: FTK Imager, çeşitli veri kaynaklarından görüntü oluşturabilir. Sabit disklerin yanı sıra, USB bellekler, hafıza kartları ve hatta ağ üzerinden bağlı cihazlardan da görüntü elde edebilirsiniz.
  • Olay Yeri Desteği: FTK Imager, olay yerinde delil toplama işlemlerini kolaylaştırır. Taşınabilir olması sayesinde, doğrudan olay yerinde görüntü oluşturma imkanı sağlar.
  • Esneklik ve Kontrol: FTK Imager, görüntü oluşturma işlemini özelleştirmenize olanak tanır. Dosya boyutu, piksel boyutu ve veri türü gibi ölçütler belirleyerek, yalnızca ihtiyacınız olan verilerin kopyalanmasını sağlayabilirsiniz.
  • Siber Suç Tespiti: FTK Imager, görüntü oluşturma işlemi sırasında siber suçlara dair ipuçlarını tespit eden sihirbaz odaklı bir yaklaşım sunar. Bu sayede, inceleme sürecine yön verebilecek önemli bilgiler elde edebilirsiniz.
  • Uyumlu İşletim Sistemleri: FTK Imager, Windows ve Linux işletim sistemlerinde çalışabilir.

FTK Imager Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital ortamın güvenli bir şekilde kopyalanarak ve görüntü oluşturularak incelemeye hazırlanması.
  • Veri Kurtarma: Silinmiş veya hasar görmüş verilerin kurtarma işlemlerinden önce güvenli bir kopyasının oluşturulması.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verilerin güvenli bir şekilde kopyalanarak incelenmesi.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırırken dijital ortamın güvenli bir şekilde kopyalanması.

FTK Imager Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

FTK Imager’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Orijinal kanıtlarda değişiklik yapmadan güvenli görüntü oluşturma
  • Esneklik ve görüntü oluşturma işlemini özelleştirme imkanı
  • Siber suç tespitine yönelik sihirbaz odaklı yaklaşım
  • Çeşitli veri kaynaklarından görüntü oluşturma desteği
  • Windows ve Linux işletim sistemleri ile uyumluluk

Dezavantajlar:

  • Karmaşık görüntü oluşturma işlemleri için ileri düzey bilgi gerektirebilir

Magnet RAM Capture, dijital adli incelemelerde önemli bir yere sahip bir araçtır. RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan, tipik olarak geçici olan verilerin kopyalanmasını sağlar. Bu sayede, bilgisayar kapatıldığında kaybolan ancak inceleme için kritik olabilecek veriler elde edilebilir.

Magnet RAM Capture Öne Çıkan Özellikleri:

  • Uçucu Kanıt Yakalama: RAM üzerinde duran ve bilgisayar kapatıldığında silinen verileri yakalayarak, potansiyel olarak kaybolan delilleri kurtarma imkanı sunar.
  • Hızlı ve Verimli Çalışma: RAM capture işlemini hızlı bir şekilde gerçekleştirir ve minimal sistem kaynakları kullanarak inceleme sürecini aksatmaz.
  • Minimalist Tasarım: Kullanıcı dostu arayüzü sayesinde karmaşık komutlar yerine basit bir şekilde RAM capture işlemini başlatabilirsiniz.
  • Esneklik: Farklı segment boyutlarında görüntü oluşturma seçeneği sunarak, yalnızca ihtiyacınız olan verileri yakalamanıza olanak tanır.
  • Çoklu Platform Desteği: Windows işletim sisteminin çeşitli versiyonları ile uyumludur.

Magnet RAM Capture Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda şüphelinin bilgisayarının RAM’ında bulunan geçici verileri (açık uygulamalar, geçmiş aramalar, şifreler) yakalayarak delil toplamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verilerin kurtarma işlemlerinden önce RAM’ın kopyalanarak, silinen ancak hala RAM üzerinde bulunabilen verilerin kurtarılma ihtimalini artırır.
  • Malware Analizi: Kötü amaçlı yazılımların (malware) çalışma şeklini anlamak ve tespit etmek için RAM’ın incelenmesi gerekir. Magnet RAM Capture, bu incelemelerde kritik bir rol oynar.

Magnet RAM Capture Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri

Magnet RAM Capture Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Uçucu verileri yakalayarak potansiyel delil kaybını önler
  • Hızlı, verimli ve kullanıcı dostu arayüz
  • Esnek görüntü oluşturma seçenekleri
  • Ücretsiz olarak kullanılabilir

Dezavantajlar:

  • Yalnızca Windows işletim sistemlerini destekler
  • Karmaşık soruşturmalarda diğer adli bilişim araçlarıyla birlikte kullanılması daha etkili sonuçlar verebilir

X-Ways Forensics, dijital adli incelemeler için tasarlanmış kapsamlı bir yazılımdır. Hem Windows işletim sistemlerinde hem de özel olarak optimize edilmiş 64-bit versiyonuyla kullanılabilir. X-Ways Forensics, karmaşık soruşturmalarda ihtiyaç duyabileceğiniz birçok özelliği bünyesinde barındırır.

X-Ways Forensics Önemli Özellikleri:

  • Disk Kopyalama ve Görüntüleme: X-Ways Forensics, sabit diskler, CD/DVD’ler, USB bellekler ve diğer dijital ortamın güvenli bir şekilde kopyalanmasını ve görüntü oluşturulmasını sağlar.
  • Dosya ve Klasör Kurtarma: Silinmiş veya biçimlendirilmiş dosya ve klasörleri kurtarmak için çeşitli teknikler sunar.
  • Veri Analizi: X-Ways Forensics, hex editör, dosya ve klasör yapısı görüntüleyici, internet geçmişi analizi gibi birçok araçla verileri derinlemesine incelemenize olanak tanır.
  • Veri Arama: X-Ways Forensics, anahtar kelimeler, dosya türleri, tarih aralıkları gibi farklı kriterlere göre veriler içerisinde hızlı bir şekilde arama yapabilmenizi sağlar.
  • Karmaşık İşlemler: X-Ways Forensics, veri kurtarma, şifre çözme, veri imhası gibi karmaşık işlemleri de gerçekleştirebilir.
  • Raporlama: X-Ways Forensics, inceleme sonuçlarını ayrıntılı raporlar halinde sunarak delilleri net bir şekilde sunmanıza yardımcı olur.

X-Ways Forensics Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
  • E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
  • Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.

X-Ways Forensics Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

X-Ways Forensics Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Kapsamlı veri analizi yetenekleri
  • Karmaşık işlemleri gerçekleştirebilme
  • Hem Windows hem de özel 64-bit versiyon ile platform bağımsızlığı
  • Ücretsiz deneme sürümü mevcuttur

Wireshark, dijital dünyanın vazgeçilmez ağ analizi araçlarından biridir. Ücretsiz ve açık kaynaklı olmasıyla öne çıkan Wireshark, ağ trafiğini gerçek zamanlı olarak yakalayıp inceleyerek network sorunlarını gidermede, güvenlik açıklarını tespit etmede ve yazılım geliştirme süreçlerinde size yardımcı olur.

Wireshark Önemli Özellikleri:

  • Ağ Trafiği Yakalama: Wireshark, bilgisayarınızın bağlı olduğu ağ üzerinden geçen tüm veri paketlerini yakalayarak analiz etmenizi sağlar. Bu sayede ağdaki veri akışını ayrıntılı bir şekilde görebilirsiniz.
  • Protokol Desteği: Wireshark, TCP/IP protokolü başta olmak üzere çok sayıda ağ protokolünü destekler. Yakalanan veri paketlerinin içeriklerini protokol seviyelerine göre ayrıştırarak anlamlı hale getirir.
  • Filtreleme: Ağ trafiği genellikle yoğun olur. Wireshark, belirli IP adresleri, port numaraları veya protokollere göre filtreleme yaparak aradığınız spesifik trafiği kolayca bulmanıza yardımcı olur.
  • Veri Görselleştirme: Wireshark, yakalanan verileri grafiksel olarak temsil ederek ağ trafiğini görselleştirir. Bu sayede veri akışını ve potansiyel sorunları daha kolay bir şekilde anlayabilirsiniz.
  • Paket İnceleme: Wireshark, yakaladığınız veri paketlerinin her birini ayrıntılı bir şekilde incelemenize olanak tanır. Paket başlıklarını, payload’u (faydalı yük) ve diğer bilgileri inceleyerek ağ iletişiminin içeriğini derinlemesine anlayabilirsiniz.

Wireshark Kullanım Alanları:

  • Ağ Sorun Giderme: Ağ performans sorunlarını teşhis etmek, bant genişliği kullanımını analiz etmek ve ağ üzerinden taşınan verileri inceleyerek network problemlerini çözmede kullanılır.
  • Siber Güvenlik Analizi: Ağ trafiğini izleyerek şüpheli aktiviteleri tespit etmek, güvenlik açıklarını bulmak ve siber saldırıları araştırmak için kullanılır.
  • Yazılım Geliştirme: Ağ protokollerini kullanan uygulamaların geliştirilmesi ve test edilmesi aşamasında ağ trafiğini inceleyerek hata ayıklama ve doğrulama yapmak için kullanılır.
  • Eğitim: Ağ teknolojileri ve protokolleri hakkında eğitim almak isteyen kişiler, Wireshark’ı kullanarak ağın işleyişini yakından inceleyebilir.

Wireshark Kimler İçin Uygundur?

  • Ağ yöneticileri
  • Siber güvenlik uzmanları
  • Yazılım geliştiriciler
  • Ağ öğretim görevlileri ve öğrenciler

Wireshark’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Ücretsiz ve açık kaynaklı olması
  • Geniş protokol desteği
  • Filtreleme ve veri görselleştirme özellikleri sayesinde kolay kullanım
  • Çok platformlu olması (Windows, macOS, Linux)

Dezavantajlar:

  • Karmaşık ağ trafiğini incelemek için ileri düzey bilgi gerektirebilir
  • Ağ trafiğini yakalama yeteneği bilgisayarın ağ kartına bağlıdır

Registry Recon, adli bilişim uzmanlarının bilgisayar kayıt defterlerini kurtarma ve incelemelerinde kullandığı güçlü bir araçtır. Arsenal Recon tarafından geliştirilen Registry Recon, silinmiş veya bozulmuş kayıt defteri verilerini bulup ortaya çıkararak geçmişte bilgisayarın kullanımına dair önemli ipuçları elde etmeyi sağlar.

Registry Recon’ın Öne Çıkan Özellikleri:

  • Silinen Veri Kurtarma: Registry Recon, tipik olarak kalıcı olarak silinen kayıt defteri verilerini bile kurtarma potansiyeline sahiptir. Bu sayede, olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler açığa çıkarılabilir.
  • Eski Kayıt Defterleri Rekonstrüksiyonu: Registry Recon, geçmişte var olan ancak silinen kayıt defteri yapısını yeniden oluşturarak sistemin geçmişteki durumuna dair bilgi edinmenizi sağlar.
  • Ayrıntılı Analiz: Kurtarılan veya var olan kayıt defteri verilerini ayrıntılı bir şekilde inceleyebilirsiniz. Registry Recon, anahtarlar, değerler, zaman damgaları gibi bilgileri analiz ederek anlamlı hale getirir.
  • Kullanıcı Aktivitesi Takibi: Registry Recon, geçmişte yüklenen programlar, ziyaret edilen web siteleri, yapılan arama sorguları gibi kullanıcı aktivitelerine dair kayıtları kurtararak dijital olayların zaman çizelgesini oluşturmanıza yardımcı olur.
  • Çok Yönlü Destek: Registry Recon, Windows işletim sisteminin farklı versiyonlarından elde edilen kayıt defterlerini kurtarmayı ve analiz etmeyi destekler.

Registry Recon’ın Kullanım Alanları:

  • Siber Suç Soruşturmaları: Silinen dosyaları veya geçmiş kullanıcı aktivitelerini açığa çıkararak siber suçluların bıraktığı izleri takip etmede kullanılabilir.
  • Veri Kurtarma: Silinmiş veya zarar görmüş kayıt defterlerini kurtararak kaybolan verilerin bulunma ihtimalini artırabilir.
  • Kurumsal Soruşturmalar: Şirket bilgisayarlarında yaşanan veri ihlallerini veya suistimalleri araştırırken silinen kayıt defteri verilerini kurtararak delil toplamada kullanılabilir.

Registry Recon Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Veri kurtarma uzmanları
  • Siber güvenlik araştırmacıları
  • Kolluk kuvvetleri

Registry Recon’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Silinen kayıt defteri verilerini kurtarma yeteneği
  • Eski kayıt defteri yapısını rekonstrüksiyon imkanı
  • Ayrıntılı analiz ve kullanıcı aktivitesi takibi özellikleri
  • Farklı Windows versiyonları için destek

Dezavantajlar:

  • Ücretli bir yazılım olması
  • Karmaşık veri kurtarma işlemleri için ileri düzey bilgi gerektirebilir
  • Diğer adli bilişim araçlarıyla birlikte kullanıldığında daha kapsamlı sonuçlar elde edilebilir

Volatility Framework, dijital adli incelemelerde bilgisayarın RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan verileri incelemeye olanak tanıyan güçlü bir araçtır. Bellek, bilgisayar kapatıldığında silinen ancak uçucu veriler içerebilir. Bu veriler, olay yeri incelemelerinde ve siber suç soruşturmalarında kritik deliller barındırabilir.

Volatility Framework Önemli Özellikleri:

  • Uçucu Veri Analizi: RAM üzerinde bulunan geçici verileri (açık uygulamalar, geçmiş aramalar, şifreler) analiz ederek, bilgisayar kapatıldığında kaybolan potansiyel delilleri elde etmeyi sağlar.
  • Platform Bağımsız Çalışma: Volatility Framework, Python programlama dili ile yazıldığı için farklı işletim sistemlerinde (Windows, Linux, macOS) çalışabilir.
  • Çok Yönlü Bellek Profilleri: Farklı işletim sistemleri ve bellek yapıları için çeşitli profiller sunar. Bu sayede, hangi işletim sistemi kullanılmış olursa olsun RAM içeriğini doğru bir şekilde yorumlamanıza olanak tanır.
  • Esneklik ve Komut Satırı Arayüzü: Komut satırı arayüzü sayesinde karmaşık işlemleri gerçekleştirmek ve otomasyon scriptleri yazmak için esneklik sağlar.
  • Plug-in Desteği: Farklı geliştiriciler tarafından oluşturulan plug-in’ler ile Volatility Framework’ün yeteneklerini genişletebilirsiniz. Bu plug-in’ler sayesinde bellekte bulunan belirli veri türlerini (e-posta, internet geçmişi, sohbet geçmişi) daha kolay bir şekilde analiz edebilirsiniz.

Volatility Framework Kullanım Alanları:

  • Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda şüphelinin bilgisayarının RAM’ında bulunan geçici verileri inceleyerek delil toplamak için kullanılabilir.
  • Malware Analizi: Kötü amaçlı yazılımların (malware) çalışma şeklini anlamak ve tespit etmek için RAM’ın incelenmesi gerekir. Volatility Framework, bu incelemelerde kritik bir rol oynar.
  • Veri Kurtarma: Silinmiş veya kaybolmuş verilerin kurtarma işlemlerinden önce RAM’ın kopyalanarak, silinen ancak hala RAM üzerinde bulunabilen verilerin kurtarılma ihtimalini artırır.

Volatility Framework Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri

Volatility Framework’ün Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Ücretsiz ve açık kaynaklı olması
  • Platform bağımsız çalışma imkanı
  • Çok yönlü bellek profilleri ve esneklik
  • Plug-in desteği ile genişletilebilir yetenekler

Dezavantajlar:

  • Komut satırı arayüzü yeni başlayanlar için karmaşık olabilir
  • Karmaşık incelemeler için ileri düzey bilgi gerektirebilir
  • Diğer adli bilişim araçlarıyla birlikte kullanıldığında daha kapsamlı sonuçlar elde edilebilir

e-fense, dijital forensics (adli bilişim) ve incident response (olay yeri inceleme) alanlarında faaliyet gösteren bir firmadır. Kolluk kuvvetleri, siber güvenlik uzmanları ve kurumsal güvenlik ekipleri için kapsamlı yazılım çözümleri sunar. e-fense’nin ürünleri, dijital delillerin toplanması, analizi, raporlanması ve sunulması sürecinde uzmanlara destek olur.

e-fense’nin Önde Gelen Ürünleri:

  • Helix3: Windows tabanlı bir adli inceleme platformudur. Disk klonlama, dosya kurtarma, bellek analizi, internet geçmişi incelemesi gibi birçok adli işleve sahiptir.
  • Live Response: USB bellekten çalışan canlı sistem inceleme aracıdır. Potansiyel delilleri kirletmeden inceleme imkanı sağlar.
  • Aperio: Mobil cihaz forensiği yazılımıdır. Akıllı telefonlar ve tabletlerden veri toplama ve analiz etme yetenekleri sunar.
  • Helix3 Enterprise: Kurumsal ihtiyaçlar için tasarlanmış, merkezi yönetim imkanı sunan bir platformdur. E-keşif süreçlerinde de kullanılabilir.

e-fense’nin Sunduğu Avantajlar:

  • Kapsamlı Çözümler: Farklı ihtiyaçlara yönelik çeşitli yazılımlar sunarak tek noktadan temin imkanı sağlar.
  • Canlı Sistem İncelemesi: Verileri potansiyel kirlenmelerden koruyarak güvenli inceleme ortamı oluşturur.
  • Mobil Cihaz Desteği: Akıllı telefon ve tabletlerin giderek artan önemini göz önünde bulundurar dijital incelemelerde mobil cihazları da kapsar.
  • Kurumsal Uygunluk: E-keşif gibi yasal süreçleri destekleyen çözümler sunar.

e-fense Kimler İçin Uygun?

  • Kolluk kuvvetleri
  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kurumsal güvenlik ekipleri
  • Hukuk birimleri

e-fense Diğer Araçlarla Karşılaştırıldığında

e-fense, EnCase ve X-Ways Forensics gibi ticari adli bilişim yazılımlarının güçlü bir rakibidir. Ancak bazı kullanıcılar için dezavantajlar oluşturabilecek unsurlar şunlar olabilir:

  • Fiyat: Ticari yazılımlar genellikle ücretsiz araçlara kıyasla daha yüksek maliyetli olabilir.
  • Karmaşıklık: Bazı e-fense ürünleri, yeni başlayanlar için karmaşık görünebilir.

CrowdStrike, siber güvenlik alanında bulut tabanlı uç nokta koruma (endpoint protection) çözümleriyle ön plana çıkan bir Amerikan şirketidir. Uç nokta, ağa bağlı herhangi bir cihazı temsil eder (dizüstü bilgisayarlar, laptoplar, tabletler, akıllı telefonlar, sunucular vb.). CrowdStrike, geleneksel güvenlik yazılımlarının ötesine geçerek siber tehditlerin önlenmesi, tespiti, yanıtlanması ve iyileştirilmesi (EDR – Endpoint Detection and Response) için kapsamlı bir platform sunar.

CrowdStrike Önemli Özellikleri:

  • Bulut Tabanlı Mimari: Geleneksel güvenlik yazılımlarının aksine, kurulum ve güncelleme gerektirmeyen bulut tabanlı bir mimariye sahiptir. Bu sayede merkezi yönetim kolaylığı sağlar ve altyapı yükünü azaltır.
  • Yapay Zeka Destekli Koruma: CrowdStrike Falcon platformu, yapay zeka (AI) ve makine öğrenmesi (ML) teknolojilerini kullanarak gelişmiş tehdit tespit ve önleme yetenekleri sunar. Bilinen zararlı yazılımları (malware) tespit etmenin yanı sıra sıfırıncı gün (zero-day) saldırıları gibi yeni tehditleri de başarılı bir şekilde bloke edebilir.
  • Hızlı Yanıtlama: CrowdStrike, tehditlere gerçek zamanlı olarak yanıt vererek siber saldırıların yayılmasını engeller ve hasarı minimize eder.
  • Uç Nokta Kontrolü ve Uygulama Beyaz Listeleme: Uç noktalardaki uygulamaları merkezi olarak kontrol ederek yalnızca izin verilen uygulamaların çalışmasına izin verir. Bu sayede kötü amaçlı yazılımların çalışmasını önler.
  • EDR Yetenekleri: CrowdStrike Falcon platformu, uç noktalarda şüpheli aktiviteleri tespit ederek güvenlik uzmanlarının hızlı bir şekilde müdahale etmelerine olanak tanır.

CrowdStrike Kullanım Alanları:

  • Siber Saldırı Önleme: İşletmeleri fidye yazılımları, veri hırsızlığı ve diğer siber tehditlere karşı korur.
  • Uç Nokta Güvenliği Yönetimi: Uç noktalardaki güvenlik risklerini merkezi olarak yöneterek BT ekiplerinin iş yükünü azaltır.
  • Soruşturma ve Yanıtlama: Siber saldırıların araştırılması ve olaylara hızlı bir şekilde müdahale edilmesi süreçlerini hızlandırır.
  • Uygunluk Yönetimi: PCI DSS, HIPAA gibi uyumluluk standartlarının gereklerini yerine getirmede yardımcı olur.

CrowdStrike Kimler İçin Uygundur?

  • Kurumların BT (Bilgi Teknolojileri) ekipleri
  • Siber güvenlik uzmanları
  • Güvenlik operasyon merkezleri (SOC) ekipleri
  • Orta ve büyük ölçekli işletmeler

CrowdStrike Diğer Siber Güvenlik Araçlarına Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Bulut tabanlı mimari sayesinde kolay kurulum ve yönetim
  • Yapay zeka destekli tehdit tespiti ve önleme
  • Hızlı yanıtlama ve etkin koruma
  • Uç nokta kontrolü ve uygulama beyaz listeleme
  • EDR yetenekleri ile kapsamlı siber güvenlik çözümü

Dezavantajlar:

  • Geleneksel güvenlik yazılımlarına kıyasla daha yüksek maliyetli olabilir.
  • Bulut tabanlı olması nedeniyle bazı kurumlar verilerin bulutta saklanması konusunda çekince duyabilir.

UFED (Universal Forensic Extraction Device) Cellebrite, mobil cihazlardan dijital veri toplama ve inceleme alanında kullanılan bir araç setidir. Cellebrite, İsrail merkezli bir güvenlik ve bilişim şirketidir ve UFED, mobil cihaz forensiği alanında en çok bilinen çözümlerden biridir.

UFED Cellebrite Önemli Özellikleri:

  • Geniş Cihaz Desteği: UFED, akıllı telefonlar, tabletler, drone’lar, akıllı saatler gibi geniş bir yelpazedeki mobil cihazlardan veri toplayabilir. Farklı işletim sistemlerini (iOS, Android) destekler.
  • Fiziksel ve Mantıksal Toplama: UFED hem fiziksel hem de mantıksal toplama imkanı sunar. Fiziksel toplama, cihazın dahili depolama alanındaki tüm verilerin bir kopyasını oluştururken, mantıksal toplama ise yalnızca kullanılabilir verileri toplar.
  • Silinen Veri Kurtarma: UFED, silinmiş veya biçimlendirilmiş verileri kurtarma potansiyeline sahiptir. Bu sayede olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler elde edilebilir.
  • Şifre Analizi: UFED, bazı durumlarda cihazın şifresini kırmaya çalışarak parola korumalı verilere erişim sağlamaya çalışabilir.
  • Veri Analizi ve Raporlama: UFED, toplanan verileri detaylı bir şekilde inceleyebileceğiniz ve raporlar oluşturabileceğiniz araçlar sunar.

UFED Cellebrite Kullanım Alanları:

  • Siber Suç Soruşturmaları: Mobil cihazlardaki mesajlaşmalar, arama geçmişleri, fotoğraflar, videolar gibi dijital veriler suçluların izlerini takip etmede ve delil toplamada kullanılabilir.
  • Veri Kurtarma: Silinen fotoğraflar, mesajlar veya diğer verilerin kurtarılması için kullanılabilir.
  • Kurumsal Soruşturmalar: Şirket cihazlarında yaşanan veri ihlallerini veya suistimalleri araştırırken mobil cihazlardan delil toplamada kullanılabilir.

UFED Cellebrite Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri

UFED Cellebrite Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Geniş cihaz desteği ve farklı toplama yöntemleri
  • Silinen veri kurtarma potansiyeli
  • Şifre analizi seçenekleri
  • Veri analizi ve raporlama araçları

Dezavantajlar:

  • Yalnızca yetkili kişiler tarafından kullanılabilir
  • Karmaşık işlemler için uzmanlık gerektirebilir
  • Ücretli bir çözümdür

Oxygen Forensic, mobil cihazlar, bilgisayarlar ve bulut platformlarından kapsamlı dijital veri toplama, analiz ve raporlama imkanı sunan bir yazılımdır. Adli bilişim uzmanları ve kolluk kuvvetleri tarafından, siber suç soruşturmaları, veri kurtarma ve kurumsal soruşturmalarda sıklıkla tercih edilir.

Oxygen Forensic Önemli Özellikleri:

  • **Çoklu Cihaz Desteği: **Akıllı telefonlar, tabletler, bilgisayarlar, drone’lar, bulut uygulamaları gibi geniş bir yelpazedeki cihaz ve platformlardan veri toplayabilir. Farklı işletim sistemlerini (iOS, Android, Windows, macOS) destekler.
  • Fiziksel, Mantıksal ve Uzaktan Toplama: Farklı senaryolara uygun veri toplama yöntemleri sunar. Fiziksel toplama cihazın dahili depolama alanının kopyasını oluştururken, mantıksal toplama yalnızca kullanılabilir verileri hedefler. Uzaktan toplama ise bulut uygulamalarından veri elde etmeyi sağlar.
  • Silinen Veri Kurtarma: Silinmiş veya biçimlendirilmiş verileri kurtarma potansiyeline sahiptir. Bu sayede olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler açığa çıkarılabilir.
  • Şifre Kırma ve Parola Analizi: Bazı durumlarda cihazın şifresini kırmaya çalışarak parola korumalı verilere erişim sağlamaya yardımcı olur.
  • Kapsamlı Veri Analizi: Metin mesajları, arama geçmişleri, fotoğraflar, videolar, uygulamaların verileri gibi birçok farklı veri türünü inceleyebilir.
  • Kişiselleştirilebilir Raporlama: Toplanan verilerden ayrıntılı raporlar oluşturmanıza olanak tanır. Raporlar, hukuki süreçlerde delil olarak kullanıma uygundur.

Oxygen Forensic Kullanım Alanları:

  • Siber Suç Soruşturmaları: Mobil cihazlarda ve bulut uygulamalarında bulunan dijital delilleri toplama ve analiz ederek suçluların izlerini takip etmeyi ve delil oluşturmayı sağlar.
  • Veri Kurtarma: Silinen verilerin kurtarılması için kullanılabilir.
  • Kurumsal Soruşturmalar: Şirket cihazlarında yaşanan veri ihlallerini veya suistimalleri araştırırken mobil cihazlardan ve bulut uygulamalarından delil toplamada kullanılabilir.
  • E-Keşif: Hukuki süreçlerde dijital verilerin toplanması, analizi ve sunulması aşamalarında kullanılabilir.

Oxygen Forensic Kimler İçin Uygundur?

  • Adli bilişim uzmanları
  • Siber güvenlik araştırmacıları
  • Veri kurtarma uzmanları
  • Kolluk kuvvetleri
  • Hukuk birimleri

Oxygen Forensic Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

  • Geniş cihaz ve platform desteği
  • Farklı veri toplama yöntemleri
  • Silinen veri kurtarma ve şifre kırma potansiyeli
  • Kapsamlı veri analizi ve kişiselleştirilebilir raporlama
  • Kullanıcı dostu arayüz ve arayüz dilleri desteği (Türkçe dahil)

Dezavantajlar:

  • Ücretli bir yazılımdır
  • Karmaşık işlemler için bazı durumlarda uzmanlık gerekebilir
Adli Bilişim

Pompompurin Hacker: Bir OSINT & Tehdit İstihbaratı Analizi

Raidforum'dan Intelxbroker'a

Tehdit istihbaratı ve OSINT (Açık Kaynak İstihbaratı), özellikle BreachForums gibi hacker forumlarında, çevrimiçi takma adların veya takma adların arkasındaki kişileri tanımlamada güçlü araçlardır. OSINT, gizli kimlikleri ortaya çıkarmak için sosyal medya profilleri, gönderiler ve çevrimiçi etkileşimler gibi halka açık verilerin analizine dayanır. BreachForums örneğinde, araştırmacılar teknik ve sosyal istihbaratın bir kombinasyonunu kullanarak "pompompurin" ve "IntelBroker" gibi kilit figürlerin faaliyetlerini izleyebilirler. Veri sızıntılarının çapraz referanslanması, sosyal mühendislik ve çevrimiçi davranışların izlenmesi, bu takma adların arkasındaki gerçek dünya bireylerini tanımlamaya yol açan değerli ipuçları sağlayabilir.

Kolluk kuvvetleri BreachForums gibi forumları hedef aldığında, kullanıcıların hem normal ağındaki hem de karanlık ağdaki ayak izlerini takip etmek için genellikle gelişmiş tehdit istihbarat tekniklerini kullanırlar. Örneğin, "pompompurin "i tanımlamak için dijital adli bilişim, iletişim kalıplarını izleme ve güvenliği ihlal edilmiş sistemleri analiz etme yöntemlerinin bir karışımı kullanılmıştır. VPN'lerin, şifreli sohbetlerin ve takma adların kullanımı zorluklar yaratmaktadır, ancak doğru istihbarat çerçeveleri ve OSINT stratejileri ile araştırmacılar, Fitzpatrick'in tutuklanması ve cezalandırılmasında görüldüğü gibi, siber suçlulara karşı yasal işlem başlatmak için genellikle yeterli bilgiyi bir araya getirebilmektedir.

Osint - Osint'in Kapsamı

Açık Kaynak İstihbaratı (OSINT), kamuya açık olan bilgilerin toplanması ve analiz edilmesi anlamına gelir. Kamuya açık kayıtlarda, sosyal medya platformlarında, web sitelerinde, haber makalelerinde ve diğer kamuya açık kaynaklarda bulunan verileri kapsar. OSINT, ulusal güvenlik, kolluk kuvvetleri, kurumsal güvenlik ve gazetecilik dahil olmak üzere çeşitli alanlarda paha biçilmez bir varlık haline gelmiştir. OSINT diğer istihbarat toplama yöntemlerinden farklıdır çünkü yalnızca açık bilgi kaynaklarına dayanır. Bu kaynaklar genel olarak kategorize edilebilir:

  • Medya : Gazeteler, dergiler, radyo ve televizyon yayınları.
  • İnternet : Web siteleri, bloglar, sosyal medya ve çevrimiçi forumlar.
  • Kamu Kayıtları : Devlet raporları, mali açıklamalar, mahkeme kayıtları ve diğer resmi belgeler
  • Profesyonel ve Akademik Yayınlar : Dergiler, konferans bildirileri ve araştırma çalışmaları.
Soruşturmalarda OSINT'in Önemi

Kalabalık bir şehirde, Ana adında bir dedektif, siber suçlulardan oluşan bir ağı ortaya çıkarmakla görevlendirildi. Kapsamlı gizli operasyonlar için kaynakları olmadığından, Açık Kaynak İstihbaratına (OSINT) başvurdu. Halka açık sosyal medya profillerini, haber makalelerini ve çevrimiçi forumları analiz ederek şüphelilerin dijital ayak izlerini bir araya getirdi. Bu uygun maliyetli yaklaşım sadece zaman ve kaynak tasarrufu sağlamakla kalmadı, aynı zamanda gerçek zamanlı içgörüler sağlayarak suçluların faaliyetlerini izlemesine ve bir sonraki hamlelerini tahmin etmesine olanak tanıdı.

Bir gün Ana, görünüşte zararsız bir blog yazısı aracılığıyla çok önemli bir ipucu keşfetti. Bunu kamu kayıtları ve diğer çevrimiçi verilerle çapraz referanslandırarak, siber suçlular tarafından kullanılan gizli bir sunucunun yerini tespit etti. Bu buluş, ağın çökertilmesinde çok önemli bir rol oynadı ve OSINT'in büyük miktarda kamusal bilgiye erişme ve analiz etme becerisiyle modern soruşturmalarda nasıl güçlü bir araç olabileceğini gösterdi.

Soruşturmalarda Tehdit İstihbaratının Rolü Tehdit istihbaratı, bir kuruluşun güvenliğine yönelik potansiyel veya mevcut tehditler hakkındaki verilerin toplanmasını, analiz edilmesini ve yorumlanmasını içerir. Bu bilgiler tehditleri anlamak ve azaltmak için kullanılır ve siber saldırılara karşı proaktif bir savunma sağlar.

Soruşturmalarda tehdit istihbaratı, siber tehditlerin kritik yönlerinin ortaya çıkarılmasında çok önemli bir rol oynar. Araştırmacılar tehdit istihbaratını analiz ederek siber saldırıları etkili bir şekilde belirleyebilir ve belirli tehdit aktörlerine atfedebilirler. Bu, onların motivasyonlarını, metodolojilerini ve kullandıkları araçları anlamayı içerir. Ayrıca tehdit istihbaratı, yasal ve kolluk kuvvetleri işlemlerini destekleyen önemli veriler sağlayarak hayati bir kanıt kaynağı olarak hizmet eder. Atfetmenin ötesinde, tehdit ortamının kapsamlı bir görünümünü sunarak araştırmacıların farklı olayları birbirine bağlamasına ve siber tehditlerin faaliyet gösterdiği daha geniş bağlam hakkında daha derin bir anlayış kazanmasına olanak tanır. Bu bağlamsal anlayış, soruşturmaların etkinliğini artırarak siber olaylara kapsamlı ve bilinçli müdahaleler yapılmasını sağlar.

Kötü şöhretli Pompompurin hacker'ını araştırırken, tehdit istihbaratının çok değerli olduğu kanıtlandı. Araştırmacılar tehdit verilerini titizlikle analiz ederek Pompompurin'in kimliğini, güdülerini ve yöntemlerini bir araya getirebildiler. Bu analiz, bilgisayar korsanı tarafından kullanılan benzersiz kalıpları ve araçları ortaya çıkararak çok sayıda siber saldırının doğrudan Pompompurin'e atfedilmesini sağladı. Toplanan istihbarat kritik kanıtlar sağlayarak yasal işlem ve kolluk kuvvetlerinin katılımı için sağlam bir temel oluşturdu. Dahası, tehdit istihbaratı daha geniş tehdit ortamının kapsamlı bir şekilde anlaşılmasını sağladı. Araştırmacıların görünüşte ilgisiz olayları birbirine bağlamasına ve Pompompurin ile bağlantılı karmaşık faaliyetler ağını ortaya çıkarmasına olanak sağladı. Bu bağlamsal farkındalık, bilgisayar korsanının ağının haritasını çıkarmada çok önemliydi ve Pompompurin'i adalete teslim etme arayışında çevrilmemiş hiçbir taş bırakılmamasını sağladı.

Breachforum'un Geçmişi;

Çalıntı veri ticareti için en önde gelen yeraltı forumlarından biri olan RaidForums, "Omnipotent" olarak bilinen bir siber suçlu tarafından kuruldu. Platform, sızdırılmış veritabanlarına, bilgisayar korsanlığı araçlarına ve yasadışı hizmetlere ev sahipliği yaparak popülerlik kazandı. Ancak, 2022'nin başlarında, yıllar süren soruşturmanın ardından, FBI da dahil olmak üzere kolluk kuvvetleri RaidForums'u başarıyla ele geçirdi. Omnipotent tutuklandı ve hapse mahkum edildi; bu da siber güvenlik uzmanları ve kolluk kuvvetleri için önemli bir zafer anlamına geliyordu. Forumun kaldırılmasına yol açan operasyon, bu tür platformlarda yer alan faaliyetleri ve kişileri izlemek için Açık Kaynak İstihbaratı (OSINT) ve Tehdit İstihbaratı kullanan küresel yetkililer arasındaki işbirliğinin önemli bir örneğiydi.

RaidForums'un kapatılmasının ardından, Pompompurin olarak bilinen bir başka kötü şöhretli siber suçlu, BreachForums'u yaratarak karanlık web'deki boşluğa hızla yanıt verdi. Pompompurin attığı bir tweet'te bilgisayar korsanlarını ve eski RaidForums kullanıcılarını BreachForums'a katılmaya davet ederek bu platformu artık feshedilmiş olan platformun halefi olarak konumlandırdı. BreachForums, siber suçluların çalıntı veri ticareti yapmaları ve yasadışı faaliyetlerde bulunmaları için yeni bir merkez olarak hızla ilgi gördü. Ancak, 2023'ün başlarında FBI bir kez daha müdahale ederek karanlık web pazarlarına yönelik devam eden baskının bir parçası olarak BreachForums'u ele geçirdi. Bu eylem Pompompurin'in tutuklanmasına yol açarak forumun faaliyetlerini geçici olarak durdurdu.

Pompompurin'in tutuklanmasının ardından, "Baphomet" olarak bilinen başka bir kullanıcı BreachForums'un faaliyetlerine yeni bir alan adı altında devam etti. Baphomet'in çabaları forumun kısa bir süre için faaliyetlerini sürdürmesine yardımcı oldu, ancak forum sonunda kolluk kuvvetlerinin artan baskısıyla karşı karşıya kaldıktan sonra eski üst düzey alan adı (TLD) altında sonlandırıldı.

Forumun feshedilmesine rağmen, "IntelBroker" kullanıcısı BreachForums'un faaliyeti ve sürekliliği hakkında övünmeye başladı ve siber suç topluluğunun kesintilere rağmen çalışmaya devam edeceğini ima etti. Bu olaylar dizisi, siber suç forumlarının sürekli evrimini ve kolluk kuvvetleri ile dark web aktörleri arasında devam eden mücadeleyi vurgulamaktadır.

Pompompurin'in Araştırılması Gerçek adı Conor Brian Fitzpatrick olan Pompompurin, siber suçluların çalıntı verileri alıp sattığı önde gelen bir dark web forumu olan BreachForums'un yöneticisiydi. Pompompurin'e yönelik soruşturma, bu yasadışı pazarı ortadan kaldırmak ve veri ihlallerinin mağdurlarını korumak için dünya çapında kolluk kuvvetleri tarafından yürütülen büyük bir girişimdi.

  • Bir Siber Suç Merkezini Bozmak: Amaç, çalınan verilerin paylaşıldığı, bilgisayar korsanlığı tekniklerinin kullanıldığı ve saldırıların planlandığı bir merkez olarak hizmet veren BreachForums'u kapatmaktı.
  • Büyük Bir Oyuncuyu Adalete Teslim Etmek: Pompompurin, dark web suç ekosisteminde kilit bir figürdü ve çok sayıda veri ihlalinden ve savunmasız bireylerin ve işletmelerin sömürülmesinden sorumluydu.
  • Uluslararası İşbirliği: Soruşturma, siber suçların küresel niteliği nedeniyle FBI ve uluslararası kolluk kuvvetleri arasında işbirliği gerektirmiştir:

Veri Toplama Teknikleri

  • Web Kazıma: Web sitelerinden ve sosyal medyadan veri toplamak için kullanılan yöntemler ve araçlar
  • Kamu Kayıtları Analizi: Bilgi için kamuya açık belge ve kayıtlardan yararlanma
  • İlgili konuşmalar ve trendler için sosyal medya platformlarını takip etme

Sızıntı istihbaratı, özellikle siber suçluların belirlenmesi ve izlenmesi söz konusu olduğunda, modern tehdit soruşturmalarında çok önemli bir rol oynamaktadır. OSIVE (Açık Kaynak İstihbarat Görselleştirme Motoru) gibi araçlar ve OSINTLeak gibi platformlar, veri sızıntılarını ve ele geçirilmiş veri tabanlarını analiz ederek araştırmacılara kritik bilgiler sağlar. OSIVE, şu adresten edinilebilir OSINTLeakaraştırmacıların dark web forumlarında veya yeraltı pazarlarında bulunan e-posta adresleri, şifreler ve diğer kişisel bilgiler gibi sızdırılmış istihbaratı toplamasına ve görselleştirmesine yardımcı olur. Tehdit istihbaratı analistleri bu araçları kullanarak ilişkileri haritalandırabilir, dijital kimlikleri izleyebilir ve tehdit aktörlerinin davranışlarını ve ağlarını daha iyi anlamak için birden fazla sızıntıdaki verileri ilişkilendirebilir.

Pompompurin hakkında bilgi bulmak için kullanılan önemli veritabanlarından biri, aşağıdaki gibi platformlar aracılığıyla erişilebilen BreachForums veritabanıdır Breach.vip. Pompompurin kolluk kuvvetlerinin hedefi haline geldiğinde, bilgisayar korsanlarının büyük miktarlarda çalıntı veri ticareti yaptığı BreachForums'a katılımı, onu sızıntı istihbaratı soruşturmalarına karşı savunmasız hale getirdi. OSINT araştırmacıları, BreachForums'un arşivlerindeki kullanıcı faaliyetlerini, sızdırılan kimlik bilgilerini ve diğer meta verileri çapraz referanslandırarak Pompompurin'e kadar uzanan kalıpların izini sürebilmektedir. BreachForums'un ilk kaldırılmasından sonra bile, veritabanının kullanılabilirliği, devam eden soruşturmalar için zengin bir bilgi sağlar. OSIVE gibi OSINT araçlarının entegrasyonu ve BreachForums gibi veri tabanlarına erişim, araştırmacılar Pompompurin gibi yüksek profilli figürlerin maskesini düşürmeye çalışırken, siber suçluların ağlarını haritalandırmak ve kimliklerini ortaya çıkarmak için çok önemli yetenekler sunuyor. Peter Kleissner ile RaidForums ve BreachForums arasındaki çatışma BreachForum, RaidForum ve IntelX'in sahibi Peter Kleissner arasındaki çatışma, dark web toplulukları ve açık kaynaklı istihbarat (OSINT) platformları arasında artan gerilimin bir simgesi. Avusturyalı bir siber güvenlik uzmanı ve IntelX'in kurucusu olan Kleissner, veri ihlallerinden kaynaklanan hassas bilgileri açığa çıkaran, sızdırılmış veri tabanlarında derinlemesine arama sağlayan hizmetler sunuyor. Bu durum onu, çalışmalarını anonimliklerine ve operasyonlarına doğrudan bir tehdit olarak gören BreachForum ve RaidForum gibi yeraltı forumlarının üyeleriyle karşı karşıya getirdi.

Pompompurin tarafından yönetilen BreachForum ve daha önce Omnipotent tarafından yönetilen RaidForum, saldırıya uğramış verilerin, kişisel bilgilerin ve yasadışı hizmetlerin alışverişini kolaylaştırmakla ünlendi. IntelX, kullanıcıların geçmiş veri ihlallerini aramasına izin verdiğinden, OSINT soruşturmaları için güçlü bir araç haline geldi ve siber suçluların izlenmesinde kolluk kuvvetlerine ve özel sektör araştırmacılarına yardımcı oldu. Bu durum, Kleissner'in platformunu yetkililerin dijital ayak izlerini takip etmeleri için bir geçit olarak gören dark web forum kullanıcılarının önemli ölçüde düşmanlığına yol açtı. Bu forumların üyeleri Peter Kleissner'a doxxing yaparak misilleme yapmış ve adres, telefon numarası ve aile bilgileri gibi kişisel bilgilerini platformlarına sızdırmışlardır. Bu eylemler, onu siber suç topluluğu içinde bir hedef olarak konumlandırarak gözünü korkutmayı ve itibarsızlaştırmayı amaçlıyordu. Doxxing, dark web kullanıcılarının tespit edilmekten kaçmak için güvendikleri anonimliği zayıflatan IntelX gibi OSINT platformlarına direnmeye yönelik daha geniş bir çabanın parçasıydı.

Bu çatışma, yasadışı faaliyetlere ışık tutmayı amaçlayan IntelX gibi platformlar ile gizlilik ve veri sömürüsü üzerine kurulu dark web forumları arasındaki temel ayrımı vurgulamaktadır. Kolluk kuvvetleri bu yeraltı pazarlarını çökertmeye devam ettikçe, IntelX gibi OSINT sağlayıcılarının rolü giderek daha kritik hale geliyor ve siber suçlular ile istihbarat uzmanları arasındaki gerilimi daha da tırmandırıyor.

https://doxbin.net/upload/PeterKleissnerIntelx

https://t.me/intelxio/238 https://t.me/intelxio/260

Analiz Yöntemleri
  • Veri korelasyonu: Örüntüleri ve bağlantıları belirlemek için toplanan verileri ilişkilendirme teknikleri
  • Duygu Analizi: Kamuoyu duyarlılığını ve tepkilerini ölçmek için doğal dil işleme (NLP) kullanımı
  • Ağ Analizi: Ağları ortaya çıkarmak için veri içindeki ilişkileri ve etkileşimleri haritalama
Adım 1: Kimlik Doğrulama ve Geçmiş Kontrolü

Önemli Veri Noktaları:

  • İsim: Conor Brian Fitzpatrick
  • DOB: 26 Eylül 2002
  • SSN: 081-92-4399
  • Sürücü Belgesi: 507274801
  • Adres: 531 Union Ave, Peekskill, NY 10566
  • Telefon Numaraları: +1 9146423144, +1 9144025399, +1 9146999668

Araçlar ve Yöntemler:

  • Kamu Kayıtları Arama: Kimliği doğrulamak ve adres, SSN ve DOB gibi ayrıntıları çapraz kontrol etmek için Whitepages, Spokeo veya Pipl gibi kamu kayıtları arama motorlarını kullanın. Sürücü Belgesi Arama (yerel düzenlemelere bağlı olarak, bazı web siteleri araç kaydı veya ehliyet kontrolleri sunar).
  • Adres Doğrulama: 531 Union Ave, Peekskill, NY adresindeki fiziksel konumu onaylamak için sağlanan bağlantıyla Google Haritalar'ı kullanın. Sokak görünümü ve adres bilgileri konutun görsel olarak tanımlanmasına yardımcı olacaktır.
  • Telefon Numarası Arama: Verilen telefon numaralarının geçerli ve kişiye kayıtlı olup olmadığını belirlemek için TrueCaller, NumLookup veya SpyDialer gibi ters telefon arama hizmetlerini kullanın. Verizon Wireless ve Cablevision Lightpath gibi hizmet sağlayıcıları çapraz kontrol edin.
Adım 2: Sosyal Medya ve Çevrimiçi Ayak İzi Analizi

Önemli Veri Noktaları:

  • E-postalar: pom@pompur.in
  • Twitter: https://twitter.com/xml
  • Telgraf: https://t.me/paste
Araçlar ve Yöntemler:
  • E-posta Takibi: Hunter.io, EmailRep veya HaveIBeenPwned gibi e-posta arama araçlarını kullanarak pom@pompur.in e-postasının herhangi bir genel veri ihlaliyle veya diğer çevrimiçi hizmetlerle bağlantılı olup olmadığını belirleyin. Bu e-postanın hangi hizmetlerde kayıtlı olduğunu da belirleyebilirsiniz.
  • Twitter Analizi: Twitonomy veya TweetBeaver gibi araçları kullanarak bir Twitter tanıtıcısı analizi gerçekleştirin. Bu, tweet kalıplarını, bağlantıları, takipçileri ve kişisel veya yasadışı faaliyetleri ortaya çıkarabilecek herhangi bir tweet geçmişini haritalandırmaya yardımcı olur.
  • Telegram Grup Kazıma: Kullanıcının Telegram etkinliğini araştırmak için Telegago veya Telegram OSINT Aracını kullanın. Grup üyeliklerini, paylaşılan dosyaları veya dark web forumlarına veya suç topluluklarına olası bağlantıları arayın.
Adım 3: Akrabalar ve Aile Bağlantıları

Önemli Veri Noktaları:

  • Anne: Mary McCarra Fitzpatrick (DOB: 1967)
  • Baba: Mark E. Fitzpatrick (DOB: 1961)
  • Küçük Kardeş: Brendan Fitzpatrick
  • İleri Derecede Otistik Kardeş: Aiden Fitzpatrick

Araçlar ve Yöntemler:

  • Aile Arama Araçları: Aile geçmişinin izini sürmek ve sağlanan ilişkileri doğrulamak için FamilyTreeNow veya Ancestry.com gibi soybilim web sitelerini kullanın. Bu, kişisel bağlantıları doğrulamaya yardımcı olur ve ek akrabaları ortaya çıkarabilir.
  • Sosyal Medya Araması: Tam adlarını ve doğum tarihlerini kullanarak Facebook, LinkedIn veya Instagram'da aile üyelerini arayın. Bu, ailenin sosyal bağlantılarını, alışkanlıklarını ve hedefin faaliyetleriyle görünür bağlarını haritalandırmanıza yardımcı olabilir.
  • Kamu Kayıt Doğrulaması: MyHeritage veya PeopleFinders gibi hizmetleri kullanarak adresleri, telefon numaralarını veya aile üyeleriyle bağlantılı önceki sabıka kayıtlarını arayın.
Adım 4: Yasal Belgeler ve Mahkeme Kayıtları

Önemli Veri Noktaları:

  • İsim: Conor Brian Fitzpatrick
  • FBI Tutuklaması: Bilgisayar suçlarıyla ilgili, muhtemelen BreachForums operasyonu nedeniyle.

Araçlar ve Yöntemler:

  • Mahkeme Belge Arama: CourtListener, PACER (Mahkeme Elektronik Kayıtlarına Kamusal Erişim) veya Justia Dockets kullanarak kamuya açık mahkeme belgelerini arayın. Bu platformlar yasal dosyalara, iddianamelere ve ilgili dava materyallerine erişim sağlayabilir.
  • Örnek: FBI tutuklamasıyla ilgili kayıtların aranması, kesin suçlamaları, mahkeme işlemlerini ve cezayı ortaya çıkarabilir.
  • Medya Raporları: Conor Brian Fitzpatrick'in tutuklanmasıyla ilgili medya raporlarını toplamak için Google Haberler ve Factiva gibi araçları kullanın. Krebs on Security veya Bloomberg (daha önce bağlantı verildiği gibi) gibi saygın kaynaklardan makaleler, suç faaliyetleri ve soruşturmalar hakkında ayrıntılı bilgiler sunar.
Adım 5: Dark Web ve Yeraltı Forumlarında Arama

Önemli Veri Noktaları:

  • Takma Ad/Kullanıcı Adı: Pompompurin
  • Çevrimiçi Varlık: BreachForums, Skidbin ve diğer dark web topluluklarının yöneticisi.

Araçlar ve Yöntemler:

  • Karanlık Web İzleme: DarkOwl, IntelX veya Recorded Future gibi OSINT araçlarını kullanarak dark web forumlarını ve pazar yerlerini "Pompompurin" veya diğer bağlantılı takma adlardan bahsedilip bahsedilmediğini izlemek için kullanın. Bu platformlar genellikle dark web faaliyetlerini indeksler ve zengin bilgi sağlayabilir.
  • Forum Analizi: Pompompurin tarafından yapılan gönderileri bulmak için BreachForums'u ve kalan Skidbin arşivlerini araştırın. Yasa dışı faaliyetlerle ilgili verileri çıkarmak için forum kazıma tekniklerini veya özel sorguları kullanın.
  • Yeraltı bağlantılarına ve diğer siber suçlularla olası bağlara dikkat edin.
Adım 6: Veri İhlali Araştırması ve Finansal Bilgiler

Önemli Veri Noktaları:

  • SSN: 081-92-4399
  • E-postalar ve Diğer Hesaplar

Araçlar ve Yöntemler:

  • HaveIBeenPwned: SSN, e-posta veya ilgili hesapların geçmiş veri ihlallerinde sızdırılıp sızdırılmadığını görmek için bu aracı kullanın. Bu, kişinin verilerinin tehlikede olup olmadığını belirlemeye yardımcı olur.
  • Finansal Takip: BeenVerified veya LexisNexis gibi hizmetleri kullanarak finansal geçmiş, potansiyel iflas kayıtları ve hedefle ilgili varlık sahipliğini içeren geçmiş kontrolleri yapabilirsiniz.

Bulgular & Tehdit İstihbaratı

Yakın zamanda yaşanan bir olayda, siber güvenlik dünyası FBI'ın dark web'de yasadışı faaliyetler için kötü şöhretli bir merkez olan Breach Forum'a yaptığı kararlı baskınlarla sarsıldı. Sonrasında ortaya çıkan karmaşık bir istismar ağı, tehlikeye atılmış kimlik bilgileri ve beklenmedik güvenlik açıkları, siber suç ağlarının iç işleyişine ışık tuttu. gov.uscourts.vaed.535542.2.0.pdf

Bulgular ve Tehdit İstihbaratı - Carie

  • Belirlenen Tehditler
  • Soruşturma sırasında ortaya çıkarılan potansiyel tehditlerin özeti
  • Atıf ve Kaynak Doğrulama
  • Toplanan verilerin güvenilirliğini ve kaynağını doğrulama yöntemleri
  • Risk Değerlendirmesi
  • Belirlenen tehditlerin potansiyel etkisinin ve olasılığının değerlendirilmesi

Raporlama ve Tavsiyeler - Carie

  • Bulguların Raporlanması
  • Araştırma sonuçlarının derlenmesi ve sunulması için en iyi uygulamalar
  • Hafifletme Stratejileri
  • Belirlenen tehditlerin ele alınması ve azaltılması için önerilen eylemler
  • Gelecek İzleme
  • Gelecekteki sorunları önlemek için sürekli izleme süreçlerinin oluşturulması

Güvenlik Araştırmacısı

https://www.linkedin.com/in/sashwin-0xp4tcher

Adli Bilişim

Windows ShellBags

ShellBags, Windows işletim sisteminde kullanıcıların dosya gezgini tercihlerini saklayan Registry kayıtlarıdır. Bu görünüşte basit yapılar, adli bilişim uzmanları için kullanıcı davranışlarını, erişilen kaynakları ve zaman çizelgelerini belirlemede altın değerinde bilgiler barındırır. Bu makale, ShellBags'in yapısını, adli bilişim analizinde nasıl kullanıldığını ve anti-forensic tekniklere karşı nasıl değerlendirilebileceğini incelemektedir.

ShellBags, kullanıcıların Windows Dosya Gezgini'nde klasörleri nasıl görüntülediğine dair tercihlerini kaydeden Registry tabanlı artifactlerdir. Bu bilgiler şunları içerir:

  • Klasörlerin görünüm modu (liste, ayrıntılar, büyük simgeler, vb.)
  • Sütun genişlikleri ve sütun yapılandırmaları
  • Pencere konumu ve boyutu
  • Dosya sıralama kriterleri
  • Klasör yapılandırmasıyla ilgili diğer özelleştirmeler

Bu veriler, kullanıcı deneyimini iyileştirmek ve kişiselleştirilmiş bir arayüz sunmak için tasarlanmıştır. Kullanıcılar bir klasörü tekrar açtığında, Windows bu bilgileri kullanarak klasörü son tercih edilen görünümde sunar.

Windows sürümlerine göre hafif farklılıklar gösterse de, ShellBags bilgileri temel olarak dört ana Registry konumunda saklanır:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

ShellBags verilerinin yapısı karmaşık ancak anlaşılabilir bir hiyerarşiye sahiptir:

BagMRU alt anahtarları, dosya sistemindeki klasör yapısını yansıtan hiyerarşik bir düzene sahiptir:

  • Kök anahtar: BagMRU
    • Alt anahtarlar: 0, 1, 2, ... (Her bir rakam farklı bir klasör seviyesini temsil eder)
      • Değerler: MRUListEx (Erişim sıralamasını içeren değer)
      • Alt anahtarlar: 0, 1, 2, ... (Alt klasörleri temsil eder)

Her alt anahtar, belirli bir klasörün benzersiz bir tanımlayıcısını (Shell ID) içerir ve bu tanımlayıcı, görünüm bilgilerinin saklandığı ilgili "Bags" kaydına bağlanır.

Bags anahtarı, her bir klasörün görünüm ayarlarını saklayan yapıdır:

  • Kök anahtar: Bags
    • Alt anahtarlar: [Shell ID]
      • Alt anahtar: Shell
        • Değerler: FolderType, Mode, Vid (Klasör görünüm ayarlarını içerir)

ShellBags kayıtları binary formatta saklanır ve doğru analiz için deşifre edilmesi gerekir:

  • Shell ID: Klasörün benzersiz tanımlayıcısı
  • ItemPos Binary: Klasör konumu ve diğer metaveriler
  • MRUListEx: Son erişilen klasörlerin indeks sıralaması

ShellBags kayıtları, dosya sisteminden tamamen silinmiş klasör ve dosyaların varlığının kanıtlanmasında kritik rol oynar:

  • Kalıcı Kayıt Özelliği: Dosya sistemi üzerindeki bir klasör silindiğinde, ShellBags kaydı Registry'de kalır.
  • Silinen Harici Cihaz İçeriğinin Tespiti: Sistemden çıkarılmış harici depolama aygıtlarındaki klasör yapıları tespit edilebilir.
  • Yeniden Adlandırma ve Taşıma İşlemlerinin Takibi: Klasörlerin yeniden adlandırılması veya taşınması durumunda, eski yapı ShellBags kayıtlarında izlenebilir.

ShellBags, kullanıcı aktivitelerinin zaman çizelgesini oluşturmada değerli bilgiler sunar:

  • Son Erişim Zamanları: MRUListEx değerleri, klasörlere erişim sıralamasını gösterir.
  • Zaman Damgaları: Her kayıt, klasörlere erişim zamanı hakkında bilgi içerir.
  • Kullanım Sıklığı: Sık ziyaret edilen klasörler, MRU listesinde daha üst sıralarda yer alır.

ShellBags kayıtları, harici cihazların kullanımıyla ilgili zengin veriler sağlar:

  • Cihaz Tanımlama: Volume Serial Number ve cihaz adı gibi tanımlayıcı bilgiler.
  • Bağlantı Geçmişi: Cihazın ne zaman bağlandığı ve kullanıldığı.
  • İçerik Yapısı: Cihazda bulunan klasör hiyerarşisi.
  • Dosya Türleri: Cihazda bulunan dosya türleri hakkında bilgiler.

Uzak kaynaklara erişimin izleri ShellBags'te saklanır:

  • Ağ Paylaşımları: Erişilen ağ paylaşımlarının tam yolları.
  • Sunucu Bağlantıları: Bağlanılan sunucuların isimleri ve IP adresleri.
  • Bulut Depolama: OneDrive, Dropbox gibi bulut depolama erişimleri.
  • FTP Bağlantıları: FTP sunucularına yapılan bağlantılar ve erişilen dosyalar.

ShellBags zaman damgalarının diğer sistem artifactleri ile korelasyonu:

  • USN Journal: Dosya sistemi değişiklik kayıtları ile karşılaştırma.
  • Event Logs: Sistem olayları ile zaman uyumu analizi.
  • Prefetch/Superfetch: Uygulama çalıştırma verileri ile karşılaştırma.
  • NTFS $MFT: Dosya sistemi kayıtları ile zamanlama korelasyonu.

Silinen veya erişilemeyen klasörlerin yapısının yeniden oluşturulması:

  • Hiyerarşik Yapı Çıkarımı: BagMRU anahtarlarından klasör hiyerarşisinin çıkarılması.
  • İsim Çözümleme: Shell ID değerlerinden klasör isimlerinin elde edilmesi.
  • İlişkisel Analiz: Klasörler arası ilişkilerin belirlenmesi.
  • Zaman Bazlı Sıralama: Oluşturma ve erişim zamanlarına göre kronolojik sıralama.

Kullanıcı davranışlarının ortaya çıkarılması ve profillenmesi:

  • Erişim Sıklığı Analizi: En sık erişilen klasörlerin belirlenmesi.
  • Tercih Edilen Görünüm Modları: Kullanıcının klasörleri nasıl görüntülemeyi tercih ettiği.
  • Dosya Organizasyon Yapısı: Kullanıcının dosyaları nasıl organize ettiği.
  • Zaman Bazlı Aktivite Modelleri: Kullanıcının hangi zamanlarda aktif olduğu.

Faillar tarafından ShellBags kayıtlarının silinmesi veya değiştirilmesi:

  • Özel Registry Temizleyiciler: CCleaner, BleachBit gibi araçlar
  • Registry Editor Kullanımı: Doğrudan Registry üzerinden manuel silme
  • PowerShell/VBS Betikleri: Otomatize edilmiş silme betikleri
  • DLL Enjeksiyonu: Registry API çağrılarını engelleyici araçlar

İleri düzey manipülasyon teknikleri:

  • Offline Registry Düzenleme: Windows dışında Registry hive dosyalarını düzenleme
  • Hexadecimal Editörler: Doğrudan binary düzeyde manipülasyon
  • Hive Değiştirme: Eski bir Registry hive dosyasıyla değiştirme
  • Seçici Silme: Yalnızca belirli kayıtları hedefleyen müdahaleler

İşletim sistemi düzeyindeki anti-forensic teknikler:

  • Kullanıcı Profili Yeniden Oluşturma: Profili tamamen silip yeniden oluşturma
  • Windows Sıfırlama: "PC'yi Sıfırla" veya "Windows'u Yeniden Yükle" seçenekleri
  • Taşınabilir İşletim Sistemleri: LiveCD/USB üzerinden işlem yaparak iz bırakmama
  • Sanal Makineler: İzole ortamlarda çalışarak ana sisteme iz bırakmama

Yanıltıcı kayıt oluşturma teknikleri:

  • Sahte Zaman Damgaları: Yanıltıcı zaman damgaları oluşturma
  • Aktivite Simülasyonu: Olmayan klasörlere erişim kaydı oluşturma
  • Zaman Çarpıtma: Sistem saatini değiştirerek yanlış zaman kayıtları oluşturma
  • Dosya Sistemi Katmanı: Klasörleri dosya sisteminde görünür kılmadan ShellBags oluşturma

Anti-forensic faaliyetlerin tespit edilmesi için zaman bazlı analizler:

  • İlişkili Artifactler Arasında Tutarsızlık: ShellBags zaman damgaları ile diğer sistem kayıtları arasındaki uyumsuzluklar
  • Registry Son Yazma Zamanı: Registry hive'larının son yazma zamanındaki anormallikler
  • Sistem Restore Noktaları: Restore noktalarıyla Registry zaman damgaları arasındaki tutarsızlıklar
  • Event Log Korelasyonu: Event Log kayıtları ile Registry değişikliklerinin zamansal uyumu

Silinmiş veya değiştirilmiş Registry verilerinin kurtarılması:

  • Unallocated Space Analizi: Disk üzerindeki ayrılmamış alanlarda Registry parçalarının aranması
  • Registry Hive Transaction Logs: Registry işlem günlüklerinden kayıt kurtarma
  • Memory Forensics: RAM içeriğinden Registry kayıtlarının elde edilmesi
  • Volume Shadow Copy: VSS'den eski Registry hive'larının kurtarılması

Sistemin bütünsel olarak değerlendirilmesi:

  • Çapraz Artifact Doğrulama: ShellBags verilerinin diğer artifactlerle doğrulanması
  • Timeline Analizi: Tüm sistem aktivitelerinin birleşik zaman çizelgesi analizi
  • Anomali Tespiti: Normal aktivite modellerinden sapmaların belirlenmesi
  • UserAssist, SRUM, JumpLists: Alternatif kullanıcı aktivite kayıtlarıyla karşılaştırma

ShellBags analizinde kullanılan en gelişmiş araçlar:

  • ShellBags Explorer (Eric Zimmerman): Görsel ShellBags analizi ve navigasyon
  • ShellBag Parser (TZWorks): Kapsamlı ShellBags çözümleme ve raporlama
  • RegRipper (Harlan Carvey): ShellBags pluginleri ile hızlı analiz
  • KAPE (Kroll Artifact Parser and Extractor): Otomatize ShellBags toplama ve analiz

Kapsamlı analiz platformları:

  • X-Ways Forensics: Güçlü Registry analiz yetenekleri ile ShellBags inceleme
  • Magnet AXIOM: Kullanıcı aktivitesi modülü ile ShellBags analizi
  • EnCase Forensic: ShellBags için özel EnScript modülleri
  • FTK (Forensic Toolkit): Registry görselleştirme ve ShellBags raporlama

Son teknoloji yaklaşımlar:

  • Makine Öğrenimi: Normal kullanıcı davranışlarını modelleyerek anormallikleri tespit etme
  • GPU Hızlandırmalı Analiz: Büyük veri setlerinde hızlı ShellBags analizi
  • Otomatize Zaman Çizelgesi Oluşturma: Yapay zeka destekli olay rekonstrüksiyonu
  • Cloud-Based Analysis: Bulut tabanlı entegre ShellBags analiz platformları

Senaryo: Bir şirket çalışanının gizli şirket verilerini USB belleğe kopyaladıktan sonra işten ayrılması

ShellBags Bulgular:

  • USB belleğe aktarılan klasörlerin ShellBags kayıtları tespit edildi
  • Çalışanın iş saatleri dışında şirket verilerine eriştiği belirlendi
  • Silinen klasörlerin isimleri ve yapısı ShellBags'ten çıkarıldı

Sonuç: ShellBags kayıtları sayesinde hangi verilerin çalındığı tam olarak belgelendi ve yasal süreçte delil olarak kullanıldı.

Senaryo: Bir sistem yöneticisinin, yetkisi olmayan kullanıcı klasörlerine erişimi ve kanıtları silme girişimi

ShellBags Bulgular:

  • Anti-forensic araçların kullanımına rağmen eski ShellBags kayıtları kurtarıldı
  • Registry temizleme araçlarının çalıştırıldığı zamanlar tespit edildi
  • Yöneticinin eriştiği kullanıcı klasörleri ShellBags kayıtlarından belirlendi

Sonuç: ShellBags analiziyle yöneticinin hangi kullanıcı verilerine eriştiği ve kanıtları silme girişimi belgelendi.

Senaryo: Hedefli bir APT saldırısında kötü amaçlı yazılımın sistemde hareket yolu ve erişilen veriler

ShellBags Bulgular:

  • Kötü amaçlı yazılımın dosya sisteminde gezindiği yollar ShellBags'ten çıkarıldı
  • Saldırganların özellikle ilgilendikleri klasörler ve dosyalar belirlendi
  • Saldırı zaman çizelgesi, ShellBags ve diğer sistem artifactleri kullanılarak oluşturuldu

Sonuç: ShellBags analiziyle APT grubunun davranış biçimi ve hedefleri belgelenerek, benzer sistemlerin korunması için önlemler alındı.

ShellBags analizinin adli bilişim alanındaki önemi giderek artmaktadır. Bu Registry tabanlı artifactler, anti-forensic girişimlere rağmen kalıcı ve değerli izler bırakır. ShellBags, kullanıcı aktivitelerini takip etmede, silinen verilerin varlığını kanıtlamada ve şüpheli davranışları tespit etmede kritik bir rol oynar.

Adli bilişimcilerin ShellBags analizinde başarılı olabilmesi için:

  1. ShellBags'in karmaşık yapısını ve hiyerarşisini anlamaları
  2. En güncel analiz araçlarını ve tekniklerini kullanmaları
  3. Anti-forensic tekniklere karşı stratejiler geliştirmeleri
  4. ShellBags verilerini diğer sistem artifactleriyle birleştirerek bütünsel analizler yapmaları gerekir

Gelecekte, işletim sistemi güncellemeleri ve yeni teknolojilerle ShellBags yapısı değişebilir. Adli bilişim uzmanları, bu değişikliklere ayak uydurmak ve yeni analiz yöntemleri geliştirmek için sürekli öğrenme ve araştırma yapmalıdır.

ShellBags analizi, adli bilişim alanında "her silinme işlemi bir iz bırakır" prensibinin en iyi örneklerinden biridir. Faillar tarafından izlerini silme çabaları, ustalıkla uygulanan adli bilişim teknikleriyle tespit edilebilir, böylece dijital gerçeklik tam olarak ortaya çıkarılabilir.

Adli Bilişim

USBSTOR Kayıtları: Adli Bilişim Perspektifinden Detaylı Teknik Analiz

USBSTOR kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının bağlantılarını, kullanımlarını ve özelliklerini belirlemek için kritik öneme sahip adli bilişim artifactlarıdır. Bu kayıtlar, forensic incelemelerde cihaz bağlantı zamanları, cihaz türleri, seri numaraları ve kullanım geçmişi gibi değerli bilgileri ortaya çıkarır. Bu teknik analiz dokümanı, USBSTOR kayıtlarının mimari yapısını, veri içeriğini, analiz yöntemlerini ve adli bilişim perspektifinden önemini detaylı olarak incelemektedir.

USBSTOR, Windows işletim sistemlerinde USB Mass Storage Class (MSC) sürücüsünün bir bileşeni olarak, USB depolama cihazlarının tanımlanması, yüklenmesi ve yönetilmesi amacıyla kullanılan anahtar Registry yapısıdır. Bu sürücü, Windows PnP (Plug and Play) mimarisi içinde konumlandırılmış olup, USB depolama aygıtlarıyla iletişimi sağlayan katmanlı bir yapının parçasıdır.

USB aygıt tanımlama katmanları:

  • Hardware Abstraction Layer (HAL) → USB Host Controller Interface
  • USB Core Stack → USB Hub Sürücüleri → USB Mass Storage Sürücüsü → USBSTOR
  • Storage Class Driver → Disk Sürücü Katmanı → Mantıksal Birim Sürücüsü

Windows işletim sistemi, bir USB depolama cihazı bağlandığında, aşağıdaki işlem akışını izler:

  1. USB cihaz fiziksel olarak bağlanır ve elektriksel olarak tanımlanır
  2. Hub sürücüsü cihazdan tanımlayıcı bilgileri alır
  3. PnP yöneticisi uygun sürücüyü belirler (USBSTOR.SYS)
  4. USBSTOR sürücüsü yüklenir ve cihaz ile iletişim kurar
  5. Windows Registry'de cihaz bilgileri ve özellikleri kaydedilir
  6. Mantıksal disk sürücüleri (disk.sys) yüklenir ve birimler bağlanır
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Bu konum, PnP alt sisteminin USB depolama cihazlarının donanım kimliklerini ve kurulum parametrelerini sakladığı hiyerarşik veritabanıdır. CurrentControlSet aktif sistem yapılandırmasına işaret eden dinamik bir bağlantıdır ve gerçekte aşağıdaki konumlardan birine yönlendirilir:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002

Windows başlangıç süreci sırasında, LastKnownGood yapılandırması temelinde hangi ControlSet'in kullanılacağı belirlenir ve bu yapılandırma CurrentControlSet sembolik bağlantısı ile erişilebilir hale getirilir.

2.1. USB Aygıt Tanımlama ve İlişkilendirme

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

Bu alt anahtar, sistem tarafından tanımlanan tüm USB aygıtlarının Vendor ID (VID) ve Product ID (PID) bilgilerini içerir. Her USB aygıtı, benzersiz bir VID/PID kombinasyonuyla ve Interface Descriptor bilgileriyle temsil edilir.

2.2. Mantıksal Birim Bağlantıları

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Biçimlendirilmiş bölümlerin mantıksal sürücü harflerine eşleştirildiği binary veri yapılarını içerir. Her değer, Volume GUID ve sürücü harfi atamaları için binary disk tanımlayıcı veri yapılarını (disk signature, partition offset) barındırır.

2.3. Sürücü Yükleme Parametreleri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

USB depolama sürücüsünün yükleme parametrelerini, Windows başlangıç davranışını ve çalışma modlarını tanımlar.

2.4. Cihaz Sınıfı Eşleştirmeleri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

Cihaz arabirim GUID'lerine (örn. {53f56307-b6bf-11d0-94f2-00a0c91efb8b} - disk cihazları için) göre gruplandırılmış, tüm bağlanan cihazların kapsamlı bir veritabanını içerir.

2.5. Cihaz Güvenlik Politikaları

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

USB depolama cihazlarıyla ilgili yazma koruması, erişim kısıtlamaları gibi sistem genelindeki politikaları tanımlar.

2.6. USB Cihaz Erişim Denetleyicileri

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Portable Devices

USB taşınabilir cihazlar için WPD (Windows Portable Devices) arabirim ve erişim bilgilerini içerir.

USBSTOR altındaki anahtar isimleri katı bir hiyerarşik yapı şablonu takip eder:

Disk&Ven_{VendorID}&Prod_{ProductID}&Rev_{RevisionCode}\{UniqueInstanceID}

Bu yapıyı oluşturan bileşenler şu şekilde elde edilir:

  • Ven_{VendorID}: USB descriptor'ından alınan Vendor String (ASCII)
  • Prod_{ProductID}: USB descriptor'ından alınan Product String (ASCII)
  • Rev_{RevisionCode}: USB descriptor'ından alınan bcdDevice değerinin formatlanmış hali
  • {UniqueInstanceID}: Cihaz seri numarası veya şu formatta otomatik oluşturulan değer: xxxxxxxxxx&0
    • Windows 7 öncesi: 8 karakterli seri numarası
    • Windows 7 ve sonrası: 12+ karakterli genişletilmiş seri numarası

Örnek bir USBSTOR anahtar yapısı:

USBSTOR\Disk&Ven_SanDisk&Prod_Ultra&Rev_1.00\0123456789ABCDEF&0

Bu örnekte:

  • Disk: Aygıt sınıfı
  • Ven_SanDisk: Üretici bilgisi (SanDisk)
  • Prod_Ultra: Ürün modeli (Ultra)
  • Rev_1.00: Firmware/donanım sürümü
  • 0123456789ABCDEF&0: Benzersiz cihaz tanımlayıcısı (seri numarası)

USBSTOR kayıtlarındaki her benzersiz cihaz kimliği, aşağıdaki yapıda alt anahtarlar içerir:

2.1. Properties Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Properties

Bu anhtarın altında {83da6326-97a6-4088-9453-a1923f573b29} şeklinde GUID değerleri bulunur ve bu değerler belirli property kategorilerine işaret eder:

  • 0x0064: DeviceData kategorisi
    • 0x0001 (REG_SZ): Service
    • 0x0002 (REG_SZ): Enumeration Type
    • 0x0003 (REG_BINARY): Hardware IDs
    • 0x0004 (REG_BINARY): Compatible IDs
    • 0x0006 (REG_BINARY): ContainerID
  • 0x0066: Device Driver kategorisi
    • 0x0002 (REG_SZ): Driver Date
    • 0x0003 (REG_SZ): Driver Version
    • 0x0004 (REG_BINARY): Driver Description
  • 0x0065: Device Setup kategorisi
    • 0x0002 (REG_BINARY): DeviceInstallDate - Cihazın ilk takıldığı tarih bilgisini içerir
    • 0x0003 (REG_BINARY): FirstInstallDate - İşletim sisteminde cihazın ilk kurulum tarihi

Bu veri yapıları binary formatta saklanır ve genellikle FILETIME formatında kodlanmış zaman damgalarını içerir.

2.2. Device Parameters Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Device Parameters

Bu anahtar, depolama cihazının fiziksel ve mantıksal özelliklerini tanımlayan parametreleri içerir:

  • Partmgr DeviceDesc (REG_SZ): Aygıt tanımlayıcı bilgisi
  • Partmgr DeviceType (REG_DWORD): Cihaz türü kodu (genellikle 0x00000007 sabit disk için)
  • Partmgr DeviceStatus (REG_DWORD): Cihaz durumu kodu

2.3. LogConf Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\LogConf

Bu anahtar, cihazın kaynak atama yapılandırması ile ilgili bilgileri içerir ve genellikle depolama cihazları için boş olur.

3.1. Temel Tanımlayıcı Değerler

  • DeviceDesc (REG_SZ): Kullanıcı tarafından görülebilen aygıt tanımlayıcısı
  • HardwareID (REG_MULTI_SZ): PnP cihaz tanımlama dizesi
  • CompatibleIDs (REG_MULTI_SZ): Sürücü uyumluluğu için alternatif tanımlama dizeleri
  • ParentIdPrefix (REG_SZ): Fiziksel USB port kimliğini belirleyen alfanumerik tanımlayıcı
  • Service (REG_SZ): Sürücü hizmet adı (genellikle "USBSTOR")
  • Driver (REG_SZ): Cihaz sürücüsünün INF dosyasına yönelik referans

3.2. Advanced Forensic Değerleri

LastWrite Zaman Damgası Analizi

Registry anahtarlarının LastWrite zamanları, $STANDARD_INFORMATION veri yapısında saklanır ve USB cihazıyla ilgili aktivitelerin zamanlamasını belirlemek için kritik öneme sahiptir. Aşağıdaki zaman türleri analiz edilmelidir:

  • {UniqueInstanceID} Anahtarı LastWrite: Cihazın en son oturum açma zamanı
  • {UniqueInstanceID} Anahtarından Önce Yer Alan Son Seviye LastWrite: İlk USB bağlantı zamanı

LastWrite zamanları, Windows registry hücre yapısında depolanan 64-bit FILETIME değerleridir ve 1601-01-01 UTC'den itibaren geçen 100 nanosaniyelik aralıkları temsil eder. Bu zamanlar, USB cihaz aktivitesinin adli zaman çizelgesinde temel noktaları oluşturur.

ContainerID Analizi

Windows 7 ve sonrası işletim sistemlerinde, ContainerID GUID değeri, farklı arayüzler veya sürücüler arasında aynı fiziksel cihazı ilişkilendirmek için kullanılır. Bu, bir USB cihazın içindeki birden fazla fonksiyon (örn. depolama + kart okuyucu) arasında ilişki kurmak için kritik öneme sahiptir.

ContainerID, Windows'un çeşitli registry konumlarında cihaz ilişkilendirmelerini izleme ve birden çok arabirime sahip tek bir fiziksel cihazı tanımlama amacıyla kullanılır.

  • USBSTOR kayıtları basit bir hiyerarşik yapıda saklanır
  • Cihaz seri numaraları genellikle 8 karakterle sınırlıdır
  • Properties alt anahtar yapısı yoktur
  • Zaman damgalarına erişim sınırlıdır
  • Properties alt anahtar yapısı ve GUID temelli organizasyon tanıtıldı
  • DeviceInstallDate ve FirstInstallDate gibi tarih bilgileri eklendi
  • ContainerID kavramı henüz tam olarak uygulanmadı
  • Genişletilmiş seri numarası desteği (12+ karakter)
  • Tam ContainerID desteği
  • DeviceClasses entegrasyonu
  • GUID temelli yapısal organizasyon tam olarak uygulandı
  • USBSTOR.SYS sürücüsü güvenlik düzeltmeleri
  • USB 3.0 cihazlar için geliştirilmiş özellikler
  • Hızlı başlatma (Fast Startup) nedeniyle USB bağlantı zamanları değişimleri
  • USB cihaz engelleme ve kısıtlama politikaları geliştirildi
  • Unified Extensible Firmware Interface (UEFI) Secure Boot entegrasyonu
  • Windows Hello ile USB güvenlik cihazları entegrasyonu
  • ETW (Event Tracing for Windows) USB olay izleme
  • Thunderbolt ve USB-C cihazları için genişletilmiş registry yapıları

1.1. Raw Registry Hive Analizi

USBSTOR kayıtlarını analiz etmek için, sistem SYSTEM hive dosyası adli kopyasının (%WINDIR%\System32\config\SYSTEM) aşağıdaki yöntemlerle incelenmesi gerekir:

  1. Offline Registry Parsing: Registry hive dosyasının doğrudan parse edilmesi
    • Yapi: regf başlık yapısı (4KB)
    • Hücre yapısı: 4B boyut + veri (negatif boyut değeri tahsis edilmiş, pozitif değer serbest hücreyi gösterir)
    • Anahtar Düğüm Yapısı (nk kayıtları): Zaman damgası, alt anahtar sayısı, değer sayısı bilgilerini içerir
  2. Cell Data Kurtarma: Silinmiş Registry hücrelerinin kurtarılması
    • Slack space analizi: Registry hive içindeki tahsis edilmemiş alanlar
    • Registry fragmentlerinin yeniden yapılandırılması
    • Hbin blok analizleri: 4KB bloklarda düzenlenmiş Registry içeriği

1.2. Advanced Timeline Oluşturma

Forensic zaman çizelgesi oluşturmak için şu veri noktaları çıkarılmalıdır:

  1. USBSTOR Anahtarları LastWrite Zamanları
    • Birincil anahtar (%Registry_Offset%\USBSTOR)
    • Cihaza özgü anahtarlar (Disk&Ven_...)
    • Benzersiz örnek kimlikleri ({UniqueInstanceID})
  2. Device Setup Sınıf Kayıtları
    • DeviceInstallDate değeri (\Properties{83da6326-97a6-4088-9453-a1923f573b29}\0065\00002)
    • FirstInstallDate değeri (\Properties{83da6326-97a6-4088-9453-a1923f573b29}\0065\00003)

Bu zamanlar, FILETIME formatında (64-bit değer, 100 nanosaniyelik aralıklar, 1601-01-01 GMT'den beri) saklanır ve forensic analiz için epoch zamanı veya insan tarafından okunabilir bir formata dönüştürülmelidir.

2.1. GUID ve Benzersiz Tanımlayıcı Korelasyonu

Aşağıdaki GUID ve tanımlayıcılar, farklı Registry konumlarındaki USB cihaz verilerini ilişkilendirmek için kullanılır:

  • ContainerID GUID: Aynı fiziksel cihaza ait birden çok arabirimi ilişkilendirir
  • Instance ID: Benzersiz donanım örneği tanımlayıcısı
  • Volume GUID: Biçimlendirilmiş bölüm için benzersiz tanımlayıcı (MountedDevices içinde)
  • Hardware Hash: USB cihazları için oluşturulan hızlı arama tanımlayıcısı

2.2. ParentIdPrefix Analizi ve USB Topology Yapılandırması

ParentIdPrefix değeri, cihazın hangi fiziksel USB portuna bağlandığını belirlemek için kullanılır:

  • İlk karakter, USB hub numarasını (örn. '1', '7')
  • Sonraki karakterler, port indeksi ve yolunu (örn. '&0', '&1&0')

Örnek: 8&21F39B80&0 ParentIdPrefix değerini analiz etmek:

  • '8': Hub controller numarası (8. hub)
  • '21F39B80': Hub instance ID'sinin hash değeri
  • '0': Port indeksi (Hub'ın 0. portu)

3.1. MountedDevices Binary Yapısı Çözümleme

MountedDevices anahtarındaki binary veriler, sürücü harflerini fiziksel cihazlara bağlayan kritik bilgileri içerir. Bu verilerin formatı:

\DosDevices\X: = [Binary Data]

Binary veri yapısı (Windows Vista ve sonrası):

  • İlk 4 bayt (0x00-0x03): Signature tipi kodlaması
    • 0x00000000: MBR veya GPT disk imzası
    • 0x00000001: NTFS yükselme sayısı
    • 0x00000002: FAT volume ID
  • Sonraki baytlar:
    • MBR diskleri için (0x00000000):
      • 0x04-0x07: 32-bit MBR disk imzası
      • 0x08-0x0F: 8-byte başlangıç ofset
    • GPT diskleri için (0x00000000):
      • 0x04-0x13: GPT bölüm GUID (128-bit)
    • NTFS için (0x00000001):
      • 0x04-0x07: 32-bit NTFS yükselme sayısı
    • FAT için (0x00000002):
      • 0x04-0x07: 32-bit Volume ID

3.2. Volume Serial Number ve Disk İmza Korelasyonu

USB cihazlar için çapraz doğrulama yapmak üzere şu değerler analiz edilmelidir:

  • Disk İmzası: MBR'nin ilk sektöründeki ofset 0x01B8'de bulunan 4 baytlık değer
  • Volume Serial Number: Başlangıç sektöründeki çeşitli ofsetlerde bulunan değer
    • NTFS: 0x048'den başlayan 8 bayt
    • FAT32: 0x043'den başlayan 4 bayt
    • FAT16: 0x027'den başlayan 4 bayt
  • Partition Table: MBR'nin ilk sektöründeki ofset 0x01BE'den başlayan yapı

Windows Olay Günlükleri, USB cihazların takılması ve çıkarılmasına ilişkin önemli olayları kaydeder ve USBSTOR Registry kayıtlarıyla ilişkilendirilebilir:

1.1. Microsoft-Windows-DriverFrameworks-UserMode/Operational

  • Olay ID 2003: USB cihazın takılması
  • Olay ID 2100: USB cihazın çıkarılması
  • Olay ID 2102: Cihaz sürücüsünün yüklenmesi

1.2. Microsoft-Windows-Kernel-PnP/Configuration

  • Olay ID 400: Cihaz ilk kurulumu
  • Olay ID 410: Cihaz konfigürasyonu değişikliği

2.1. Microsoft-Windows-USB-USBHUB3/Operational

  • Olay ID 43: USB cihaz bağlantısı
  • Olay ID 44: USB cihaz ayrılması
  • Olay ID 76: USB cihaz durumu değişikliği

2.2. Microsoft-Windows-DeviceSetupManager/Admin

  • Olay ID 112: Cihaz kurulumu başlatılması
  • Olay ID 121: Cihaz kurulumu tamamlanması
  • Olay ID 131: Cihaz kurulumu hatası

Bu olay kayıtları, USBSTOR Registry kayıtlarında bulunan zamanlar ile eşleştirilerek, cihaz bağlantısı ve kullanımı hakkında daha kesin bir adli zaman çizelgesi oluşturulmasına olanak tanır.

1.1. Doğrudan Binary Düzenleme Yöntemleri

  • Registry File Header Manipulation: regf başlık alanının değiştirilmesi
  • Cell Allocation Manipulation: Hücre tahsis bayraklarının değiştirilmesi
  • Checkpoint Manipulation: Registry transaction log ve checkpoint verilerinin değiştirilmesi

1.2. Dolaylı Manipülasyon Teknikleri

  • PnP Hizmet Konfigürasyonu: USB cihaz algılamasının devre dışı bırakılması
  • Driver Manipulation: USBSTOR.SYS ve DISK.SYS sürücülerinin modifikasyonu
  • Registry Filter: RegFilter sürücüsü kullanarak gerçek zamanlı Registry erişimini değiştirme
  • Shadow Registry: Asıl Registry'nin yanında alternatif Registry oluşturma

2.1. Zorunlu Artefact Paternleri

USB manipülasyon araçlarının kullanımı, şu artefactları bırakır:

  • Log Entries: setupapi.dev.log'daki eksik veya değiştirilmiş kayıtlar
  • USBOblivion Registry Artefacts: Silinen USBSTOR anahtarlarının izleri
  • Timestomping Izleri: LastWrite zamanlarında tutarsızlıklar veya toplu değişimler
  • Registry Transaction Log Anomalileri: \System32\config\SYSTEM.LOG dosyasındaki tutarsızlıklar

2.2. Registry Anomali Tespiti ve İstatistiksel Analiz

Anormal Registry davranışlarını tespit etmek için şu metrikleri izleyin:

  • LastWrite Zaman Kümeleşmesi: Belirli bir zaman diliminde çok sayıda Registry anahtarının LastWrite zamanlarının değişmesi
  • USB Bağlantı Zamanlarının Dağılımı: USB aktivitesinin zamansal dağılımındaki anormallikler
  • DeviceDesc ve FriendlyName Tutarsızlıkları: Aynı cihaz için farklı tanımlayıcılar
  • Eksik Korelasyon: USBSTOR kayıtları ile DeviceClasses arasındaki eksik ilişkiler

3.1. Multi-Kaynak Timeline Analizi

Anti-forensic teknikleri aşmak için, şu kaynaklardan oluşturulan zaman çizelgelerini karşılaştırın:

  • Registry LastWrite Zamanları: USBSTOR, DeviceClasses, USB anahtarlarından
  • Dosya Sistemi Zaman Damgaları: setupapi.dev.log, driver.cab dosyaları
  • Windows Olay Günlükleri: Plug and Play olayları, USB bağlantı olayları
  • Volume Shadow Copy TimeStamps: VSC anlık görüntülerindeki Registry değişiklikleri
  • $MFT Zaman Damgaları: USB ile ilişkili sistemde oluşturulan dosyaların zaman damgaları

3.2. Registry Temporal Rekonstrüksiyon

Registry yapısını geçmiş zamanlardan yeniden oluşturmak için:

  1. Volume Shadow Copy Extraction: VSC içinden Registry hive dosyalarını çıkarma
  2. Registry Transaction Log Analizi: .LOG ve .LOG1/2 dosyalarından işlem kayıtlarını analiz etme
  3. Deleted Cell Recovery: Silinmiş hücreleri kurtarma ve arşivlenen Registry dosyalarını eski sürümlerle karşılaştırma
  4. Alternate Data Stream Analizi: ADS akışlarında saklanan Registry yedeklerini inceleme

Windows Setup API, cihaz kurulumlarını %windir%\inf\setupapi.dev.log dosyasında kaydeder. Bu günlükler, aşağıdaki bilgileri içerir:

  • USB cihazının takıldığı zaman damgası
  • Cihaz tanımlayıcı bilgileri (VID, PID, seri numarası)
  • Sürücü kurulum adımları ve sonuçları

Prefetch dosyaları (%windir%\Prefetch\*.pf), USB sürücülerden çalıştırılan uygulamaların izlerini şu bilgilerle birlikte içerebilir:

  • Çalıştırılan uygulamanın adı ve yolu
  • Son çalıştırma zamanı ve çalıştırma sayısı
  • Erişilen dosya ve dizin yolları (USB yolu dahil)

Windows Explorer kısayol (LNK) dosyaları, USB cihazlardan erişilen dosyalara dair önemli bilgiler içerir:

  • Hedef dosya yolu (sürücü harfi dahil)
  • İlk ve son erişim zamanları
  • Hedef dosyanın MAC adresi ve volüm seri numarası

Windows 7 ve sonrası için JumpList dosyaları, USB cihazlara ilişkin kullanım geçmişini kaydeder:

  • AutomaticDestinations ve CustomDestinations dosyaları
  • USB cihazlardaki dosyalara yapılan erişimler
  • Uygulama spesifik USB kullanım geçmişi

Windows Explorer görünüm ayarları (ShellBags), USB cihazların kullanımını gösteren kanıtlar içerir:

  • USB sürücülerin görüntülenme şekli ve zamanı
  • USB içeriğinin gezinilme geçmişi
  • Klasör görünüm tercihleri ve konumları

Web tarayıcıları ve uygulamalar, USB cihazlardan açılan dosyalar veya cihazlarla ilgili erişim izleri içerebilir:

  • Tarayıcı indirme geçmişi (USB sürücülere indirilmiş dosyalar)
  • Dosya seçim diyaloglarında gezinme geçmişi
  • Uygulama günlükleri ve son kullanılan dosya listeleri

Windows, USB depolama cihazlarının otomatik başlatma davranışlarını da kaydeder:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 anahtarı
  • Otomatik çalıştırma tercihleri ve geçmişi
  • Cihaz tanımlama bilgileri ve kullanıcı tercihleri

Windows Etkinlik Günlüğü ve PowerShell komut geçmişi, USB cihazlarla ilgili ekstra veriler sağlayabilir:

  • USB cihazlarla etkileşimde bulunan PowerShell komutları
  • Get-WmiObject kullanılarak USB cihazların sorgulanma kayıtları
  • Etkinlik izleyici ile USB olaylarının izlenmesi
  • RegRipper: USBSTOR anahtarlarını otomatik olarak ayıklar ve analiz eder
  • USBDeview: Bağlanan USB cihazlarının bilgilerini görüntüler
  • Bulk Extractor: Elektronik ortamlardan USB tanımlayıcıları çıkarır
  • Hindsight: Chrome/Chromium tarayıcı geçmişinden USB ile ilgili erişimleri analiz eder
  • EnCase Forensic: Kapsamlı USB artefakt analizi ve timeline oluşturma
  • X-Ways Forensics: Gelişmiş Registry analizi ve USB cihaz analizi
  • FTK (Forensic Toolkit): USB cihaz kullanım verileri ayıklama ve analizi
  • AXIOM: Otomatik USB analizi ve ilişkilendirme
  1. Hierarchical Registry Structure Extraction: Registry hiyerarşisinin tam olarak dokümantasyonu
  2. Device Timeline Construction: Cihaz bağlantı, kurulum ve kullanım zamanlarının kronolojik dokümantasyonu
  3. Cross-Source Validation: USBSTOR kayıtlarının diğer kaynaklarla (olay günlükleri, dosya sistemi) çapraz doğrulanması
  • USB cihaz tanımlayıcıları (VID, PID, seri numarası)
  • Cihaz ilk kurulum ve son bağlantı zamanları
  • İlişkili kullanıcı hesapları ve aktiviteleri
  • Erişilen dosyalar ve dosya aktiviteleri
  • Cihaz özellikleri (kapasite, bölümler, dosya sistemi)
  • Anti-forensic belirtileri veya anormallikler
  • Cihaz sahipliği ve kullanım kanıtı olarak
  • Veri hırsızlığı ve sızıntıları incelemelerinde
  • Yasaklı cihaz kullanımı tespitinde
  • Bilişim suçlarında zaman çizelgesi oluşturmada
  • Registry LastWrite zamanlarının manipülasyon olasılıkları
  • USB cihaz tanımlayıcılarının taklit edilebilirliği
  • Zaman damgası güvenilirliği ve sistem zamanı değişikliklerinin etkisi
  • Multi-faktör kanıt gerekliliği ve çapraz doğrulama önemi

USBSTOR Registry kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının adli analizinde kritik öneme sahiptir. Bu kayıtlar, cihaz tanımlama bilgileri, bağlantı zamanları ve kullanım geçmişi gibi değerli adli bilişim verilerini içerir.

Gelecekteki araştırma alanları şunları içerebilir:

  • USB Type-C ve Thunderbolt cihazları için genişletilmiş Registry yapılarının analizi
  • Bulut entegrasyonlu USB cihazların (Wi-Fi destekli USB sürücüler) adli analizi
  • Şifreli USB depolama cihazlarının tespit ve analiz yöntemleri
  • Windows 11 ve sonrası işletim sistemlerinde USBSTOR yapısındaki değişiklikler
  • USB depolama cihazlarında kullanılan anti-forensic tekniklere karşı geliştirilmiş tespit yöntemleri

Bu doküman, USBSTOR kayıtlarının yapısını, içeriğini ve adli bilişim analizinde kullanımını detaylı olarak açıklamaktadır. Adli bilişim uzmanları için kapsamlı bir referans kaynağı olarak hazırlanmıştır.

  1. Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
  2. Carvey, H. (2014). Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8. Syngress.
  3. Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.
  4. Microsoft Corporation. (2021). Windows Registry Structure and Function Documentation.
  5. SANS Institute. (2019). USB Forensics and Analysis in Windows Operating Systems.
  6. Altheide, C., & Carvey, H. (2011). Digital Forensics with Open Source Tools. Syngress.
  7. National Institute of Standards and Technology. (2018). Guide to Computer Forensics and Investigations.
  8. Russinovich, M., Solomon, D., & Ionescu, A. (2012). Windows Internals. Microsoft Press.