1.
ADLİ BİLİŞİM
TEKNİKLERİNE
GİRİŞ EĞİTİMİ

2.
EĞİTİM KONULARI
I. Bilgisayar Analizi
II. Ağ Temelli Analiz
III. Adli Bilişim Altyapısı için Hazırlık

3.
Eğitim Kapsamı ve Temel Kavramlar
• Kapsam: Teknik Analiz Teknikleri
• Temel Kavramlar:
– Canlı Analiz
– Ölü Analiz
– Kriptografi (hashing)

4.
Eğitim Kapsamı ve Temel Kavramlar
Olay Müdahale Stratejisi
• Alınabilecek kararlar:
– Sistem hemen izole edilmeli mi / saldırganın aktiviteleri izlenmeli mi (saldırganın
kullandığı araçların ve eriştiği kaynakların tespiti ihtiyacı / saldırganın zarar vermeye
devam etme riski)
– Sistem üzerinde ölü analiz mi yapılmalı / canlı analiz mi yapılmalı (sistem
kapatıldığında yok olacak proses ve ağ aktivitelerini tespit etme ihtiyacı / kanıtların
geçerlilik kaybı veya kanıt kararma riski)
– Kamuya ve/veya otoritelere duyuru yapılmalı mı / gizli mi tutulmalı (düzenlemelere
uyum veya etkilenebilecek tarafları zamanında haberdar etme ihtiyacı / kurum
itibarının zedelenme riski)
– Sistem - cihaz üzerinde güvenlik olayına karşı gerekli konfigürasyon ayarları yapılmalı
veya yedeği ile değiştirilmeli mi / sistem - cihaz üzerinde adli bilişim analizi
gerçekleştirilmeli mi (hizmet süreklilik ihtiyacı / suçluların belirlenmesi ve
cezalandırılması ihtiyacı)

5.
Eğitim Kapsamı ve Temel Kavramlar
Olay Müdahale Stratejisi
• Değerlendirmede kullanılabilecek sorular:
– Etkilenen sistemler ne kadar kritik?
– İfşa olan veya çalınan bilgiler ne kadar hassas?
– Potansiyel saldırganlar kimler?
– Güvenlik olayı kamu tarafından biliniyor mu?
– Saldırganın ulaştığı erişim seviyesi hangi düzeyde?
– Saldırganın yetenekleri ne seviyede görünüyor?
– Olay nedeniyle yaşanan sistem ve kullanıcı hizmet kesinti süresi ne kadar gerçekleşti?
– Toplam mali kayıp ne düzeyde?

6.
OTURUM 1
Bilgisayar Analizi

7.
CANLI ANALİZ
Unix Sistemlerde Canlı Analiz
Unix sistemler için önemli veri ve komutlar:
• Sisteme bağlı kullanıcılar: w, who, last
• Sistem zamanı: date
• Çalışan prosesler: ps -ef (tüm prosesler için)
• Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anp
• IP adresleri, MAC adresleri ve ağ arayüzleri statüsü (promiscuous mod'da
arayüz olup olmadığının tespiti için): ifconfig -a
• /proc dizini altındaki kernel data structure'ları: Bazı Unix'lerde /proc dizini
altında her bir proses için prosess ID'si (PID) ile bir dizin açılır. Bu dizin altındaki
kernel veri yapıları içinde exe linki (çalıştırılan kod silinmiş olsa bile halen
çalışıyorsa tekrar oluşturulmasına imkan verir), fd dizini (file descriptor:
prosesin açtığı tüm dosyaları içerir) ve cmdline dosyası (kod çalıştırılırken
komut satırında verilen parametreleri içerir) gibi kaynaklar analize katkı
sağlayabilir.

8.
CANLI ANALİZ
Windows Sistemlerde Canlı Analiz
Windows sistemler için önemli veri ve komutlar:
• Sisteme bağlı kullanıcılar: PsLoggedOn (sysinternals)
• Sistem zamanı: date /t, time /t
• Çalışan prosesler: PsList (sysinternals)
• Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anb / fport
(foundstone)
• Mevcut ve yakın zamanda gerçekleşmiş bağlantılar: arp -a, nbtstat -c
• Memory dump analizi (en güncel kaynakların incelenmesi gerekir)
• (İhtiyaç duyulabilecek durumlarda) mevcut shell'den işletilen komutların listesi:
doskey /history
• Zamanlı işler: at

9.
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk analiz katmanları
• Fiziksel disk analizi
• Volume (partition) analizi (Volume'lara neden ihtiyacımız var?)
• File System analizi
• İşletim sistemi ve uygulama analizi
Disk analizinde data structure'ların analizi için faydalı araç: R-Studio

10.
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk adresleme birimleri
• Fiziksel adresleme (CHS - Cylinder, Head, Sector ve LBA - Logical Block Address)
• Sector (genellikle 512byte)
• Cluster (veya Block)

11.
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk arayüz ve kablolama standartları
• ATA (IDE) Diskler: ATA-1, ATA-3, ATAPI-4, ATAPI-6, ATAPI-7
• SATA Diskler: Serial ATA (ATA-7 spesifikasyonunda belirtilmiştir) Kablo alan
avantajı nedeniyle Laptop'larda genellikle gözlenir
• SCSI Diskler: SCSI, Fast SCSI, Ultra/2/3/160/320 SCSI (sinyal tipleri SE-Single
Ended, LVD-Low Voltage Differential, HVD-High Voltage Differential - HVD
kablolar SE cihazlara zarar verebilir)

12.
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Diskte kullanılmayan alanlar:
• Slack space (File Slack, RAM Slack)
• Unallocated space
• Free space

13.
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Bilgisayar boot süreci
• ROM kodu
• Bootable disk'in ilk sektöründe bulunan MBR-Master Boot Record (partition
table'ı da içerir)
• Sistem diski (partition'ı)'nin ilk sektöründe bulunan kod
• File sistem içinde bulunan işletim sistemi kodu

14.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Adli Bilişim Kopyalama
– Fiziksel disk bazında (dd, dcfldd - Department of Defence Computer Forensics
Laboratory version of dd)
– Volume bazında
• Gizli fiziksel alanlar: Host Protected Area, Device Configuration Overlay alanları
• İmaj bütünlük kontrolü
• Bütünlük kontrolünün uygulanma aralığı (imaj bazlı, volume bazlı, dosya bazlı,
v.b.)

15.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Delil diski forensic bilgisayarına bağlamadan yapılabilecek kopyalamalar (delil
bilgisayarın özel boot diskleri ile açılmasını ve forensic bilgisayarında da ilgili
yazılımın çalışmasını gerektirir):
– Network üzerinden
– Paralel veya seri portlar üzerinden
• Forensic imaj araçları için yapılan yeterlilik test sonuçlarına
http://www.cftt.nist.gov/disk_imaging.htm adresinden ulaşılabilir

16.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Write Blocker'lar:
– Donanım bazlı write blocker'lar (BIOS'u bypass eden erişimleri de engeller) (Donanım
bazlı write blocker yeterlilik test sonuçlarına
http://www.cftt.nist.gov/hardware_write_block.htm adresinden ulaşılabilir)
– Yazılım bazlı write blocker'lar (Donanım bazlı write blocker yeterlilik test sonuçlarına
http://www.cftt.nist.gov/software_write_block.htm adresinden ulaşılabilir)
• Alınan imajın read-only yapılması: chmod 440 imaj.bin
• Alınan imajın inceleme için loopback device olarak read-only mount edilmesi:
mount -r -t vfat /dev/loopa /mnt/evidence

17.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Bilinen İyi Dosyalar (Known Good Files)
– Bilinen iyi dosyalar veritabanları (ör: http://www.nsrl.nist.gov)
• Dosya tipi ile uzantısı uyuşmayan dosyaların analizi (Unix'teki file komutu dosya
magic numaralarına göre dosya analizi yapmak için kullanılabilir)
• Dosya (CRUD – “Create Read Update Delete” tarih analizi (Windows imajları
için R-Studio'nun File Mask özelliği kullanılabilir))

18.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Anahtar Kelime Arama
• Anahtar kelime arama tekniğinin önündeki temel engeller şunlardır:
– Kriptolanmış veya sıkıştırılmış dosyalar (kırılmaları ve açılmaları gerekir)
– Özel dosya formatları içinde saklanan kayıtlar (.ost, .pst, veritabanı kayıtları, registry
dosyaları, event logları, browser history dosyaları v.b.)
– Büyük saklama alanları (her bir kelime arama tekrar tarama gerektireceğinden
başlangıçta yapılacak bir indeksleme büyük fayda sağlayacaktır)
– Unallocated ve free space'lerde tespit edilen kelimeler (carving yapılarak dosya yapısı
oluşturulmaya çalışılır)

19.
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Silinen dosyaların recover edilmesi:
– File system data structure'larından faydalanılarak
– Dosya magic number'larından (header ve/veya footer değerlerinden) faydalanılarak
file carving yöntemi ile

20.
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Konfigürasyon dosyaları:
– Trust ilişkilerinin tanımlandığı dosyalar: /etc/hosts.equiv ve kullanıcı home
dizinlerinde bulunan .rhosts dosyaları
– Tcpwrapper konfigürasyon dosyaları: /etc/hosts.allow ve /etc/hosts.deny dosyaları
– Inetd daemon'ı tarafından kullanılan konfigürasyon dosyaları: /etc/services ve
/etc/inetd.conf (veya inetd daemon'una linklenmiş tcpwrapper kullanılıyorsa
/etc/xinetd.conf) dosyaları
– Zamanlı işler için "crontab" dosyaları: /var/spool/cron, /usr/spool/cron gibi dizinlerde
bulunabilirler
– Unix boot startup dosyaları: /etc/rc.d veya benzeri dizinler altında bulunurlar
– Kullanıcı startup dosyaları: Sistem türüne bağlı olarak kullanıcı home dizinleri altında
bulunan .profile, .login, .bashrc, cshrc, .exrc gibi dosyalardır
– NFS dizin paylaşımları: /etc/exports
– Lokal DNS kayıtları: /etc/hosts
20

21.
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Kullanıcı ve grup dosyaları:
– Kullanıcı bilgileri ve parola hash'lerinin tutulduğu dosyalar: /etc/passwd ve
/etc/shadow
– Kullanıcı grup bilgilerinin tutulduğu dosya: /etc/group
21

22.
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Analiz açısından önemli olabilecek diğer dosyalar:
– Shell history dosyaları: .bash_history
– Yüksek haklara sahip çalıştırılabilir dosyalar: SUID ve SGID dosyaları (özellikle /tmp
dizini ve diğer anormal ve gizli dizinler içindekiler)
– Normal olmayan gizli dizin ve dosyalar: Unix'te "." ile başlayan dizin ve dosyalar
normal "ls" komutunda görünmez
– /tmp dizini altındaki dosyalar: Öntanımlı olarak world writable olan /tmp dizini
saldırgan tarafından dosyalarını saklama amaçlı kullanılabilir

23.
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Anahtar kelime arama
– İlgili Unix araçları: grep, find, strings

24.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• Registry dosyaları ve içerikleri:
– NTUSER.DAT: Protected storage for user, MRU lists, User’s preference settings.
– DEFAULT: System settings set during initial install of operating system.
– SAM: Security settings and user account management.
– SECURITY: Security settings.
– SOFTWARE: All installed programs on the system and their settings associated with
them.
– SYSTEM: System settings.

25.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• Registry dosyalarının yerleri:
– HKEY_USERS: Documents and SettingsUser ProfileNTUSER.DAT
– HKEY_USERS/.DEFAULT: WINDOWSsystem32configdefault
– HKEY_LOCAL_MACHINE/SAM: WINDOWSsystem32configSAM
– HKEY_LOCAL_MACHINE/SECURITY: WINDOWSsystem32configSECURITY
– HKEY_LOCAL_MACHINE/SOFTWARE: WINDOWSsystem32configsoftware
– HKEY_LOCAL_MACHINE/SYSTEM: WINDOWSsystem32configsystem

26.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• İlginç olabilecek registry anahtarları:
– Genel kullanıcı bilgileri
– Time Zone bilgisi
– Share edilmiş dizinler
– Autorun anahtarları
– Most Recently Used (MRU) listeleri (ör: Run diyaloğundan çalıştırılan komutlar, MS
Office uygulamaları ile açılmış son dosyalar, Map'lenmiş ağ paylaşımları, Start
Menü'de son açılmış uygulamalar, Remote Desktop ile son yapılan bağlantılar,
Windows Explorer ile araştırılmış bilgisayarlar, UserAssist anahtarında saklanan
uygulama isimleri ve kullanım sayıları bilgileri v.b.)
– Wireless Networks bilgileri
– LAN Computers: Paylaşımlarına bağlanılmış bilgisayarlar
– USB cihazları ve Mount edilmiş cihazlar
– Internet Explorer aktiviteleri (ör: TypedURLs, DownloadDirectory)

27.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• İlginç olabilecek registry anahtarları (devamı):
– Windows Passwords (ör: protected storage'da saklanan parolalar: outlook tarafından
saklanan POP3 parolaları, autocomplete parolaları, v.d. - bu parolalar PassView gibi
araçlarla kırılabilmektedir)
– Unread Mail: Tanımlı Outlook ve Outlook Express kullanıcıları ve okunmamış mail
sayıları
– Exchange sunucu ve kullanıcı ad bilgileri
• Not: Bazı anahtarlar için ROT13 encoding yöntemi kullanılmaktadır. Bu
kodlamayı decode etmek için bir anahtara ihtiyaç bulunmamakta ve online pek
çok kaynak kullanılarak decode edilebilmektedir.

28.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Sistem kullanıcılarının ve gruplarının analizi için SAM dosyasının analizi
• SID - Security ID (ör SID: S-1-5-21-1935655697-1659004503-725345543-500):
• Son rakam RID - Relative Identifier olarak anılır. Bilinen RID'lere örnekler:
– 500 (Administrator)
– 501 (guest)
– Normal kullanıcı RID'leri 1000'den başlar
• LM parolala hash'lerinin kırılması: pwdump (türevleri), John the Ripper,
L0phtcrack, PRTK (ticari)
• Rainbow tabloları: http://www.objectif-securite.ch/en/products.php

29.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Windows autostart dosyalarının incelenmesi:
– Autostart dizinleri (XP için C:Documents and Settings[user_name]Start
MenuProgramsStartUp): Sistem başlatıldığında veya bir kullanıcı logon olduğunda
çalıştırılacak zararlı yazılım veya zararlı yazılım linki bulunabilir
– Win.ini (XP için C:Windowswin.ini): Yöntem-1: run=[backdoor] veya
load=[backdoor], Yöntem-2: bir suffix'i (ör: .docx) zararlı bir yazılımla eşleştirmek
– System.ini (XP için C:WindowsSystem.ini): shell=[zararlı yazılım.exe]. WinNT ve
sonrasında bu parametre dikkate alınmaz
– Wininit.ini (XP için C:WindowsWininit.ini): Yazılım kurulumlarında sistem reboot
ettikten sonra çalıştırılacak kodlar için kullanılır.

30.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Recycle bin'deki dosyaların incelenmesi:
– Recycle edilebilecek dosyalar (uzaktan silinen, komut satırından silinen dosyalar
edilemez) her partition root'unun altında yer alan RECYCLER dizini altında ilgili dosyayı
silen kullanıcı SID'sinden oluşan dizinler altında saklanır
– Dosya isimleri şu formatta değiştirilir: D<orjinal sürücü harfi-ör: C><#>.<orjinal dosya
uzantısı>
– Dosya isim ve orjinal yer bilgisi INFO2 dosyasında belli bir formatta tutulur

31.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Daha önceden kurulmuş ancak silinmiş uygulamaların analizi:
– Kopmuş linklerin analizi (uygulama silinmiş ancak linki kalmış olabilir): chklnks.exe
(resource kit)
– Registry anahtarları arasında uygulama adının aranması (uygun biçimde uninstall
edilmemiş yazılımların registry anahtarları halen registry'de bulunabilir)

32.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Browser history dosyalarının analizi:
– History dosyaları. Ör: Internet Explorer için:
– %systemdir%Documents and Settings%username%Cookies
– %systemdir%Documents and Settings%username%Local
SettingsHistoryhistory.ie5 (altındaki index.dat dosyası)
– Cache'lenmiş dosyalar (ör: Internet Explorer için %systemdir%Documents and
Settings%username%Local SettingsTemporary Internet FilesContent.ie5 (altındaki
index.dat dosyası))
– Download dizinleri (ör: FireFox için %systemdir%Documents and
Settings%username%My DocumentsDownloads)

33.
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Anormal ve gizli dosyaların analizi:
– Hidden attribute'lü dosyalar
– Alternate data stream'ler: SFind, streams
– Dosya uzantısı ve dosya tipi karşılaştırmaları (dosya magic numaraları, header, footer
değerlerini kullanarak)
– Good Known File Filters (hash değerleri) kullanılarak sistem dosyaları veya ismi sistem
dosyasına benzeyen dosyaların orjinal olup olmadıklarının incelenmesi
(http://www.nsrl.nist.gov/)

34.
ÖLÜ ANALİZ
Önde Gelen Araçlar
• Ticari yazılımlar:
– EnCase
– FTK ve PRTK
• Açık kaynak kodlu yazılımlar
– The Sleuth Kit (ve web arayüz uygulaması Autopsy): String ve regular expression
aramayı, silinmiş dosyaları recover etmeyi, dosya zaman bilgileri ile zaman çizgisi
analizi yapmayı, known-good dosya hashleri ile karşılaştırma yapmayı destekler

35.
ZARARLI YAZILIM ANALİZİ
Statik Analiz
• strings komutu
• MiTec ExeExplorer (import edilen fonksiyonlar, stringler, hex görüntü)
• Decompiling - Disassembling
– IDA Pro (Disassembler)
– Dis#
– JD Java Decompiler

36.
ZARARLI YAZILIM ANALİZİ
Dinamik Analiz
• Sysinternals – Process Monitor, aşağıdaki aktiviteleri izler:
– Registry
– File system
– Network
– Process
• Registry farkı alma (http://sourceforge.net/projects/regshot/)
• Debug etme:
– Windows için: SoftICE
– Unix için: strace
• Dinamik analiz için online sandbox ortamı
– http://mwanalysis.org

37.
LOG ANALİZİ
Unix Logları
syslog altyapısı
• /etc/syslog.conf
• Log konfigürasyon formatı:
– Facility.Priority Action
– Örnek: *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
• auth mesajları (genellikle güvenlikle ilgilidir)
• Uzaktaki bir sunucuda loglama ayarı
– ör: auth.* @10.10.10.1

38.
LOG ANALİZİ
Unix Logları
Proseslere özel loglar
• cron job logları (örnek lokasyon: /var/cron/log)
• su (switch user) logları (bazı sistemlerde syslog altyapısı kullanılır)
• xferlog (xftpd daemon'u için log dosyası, genellikle /usr/adm/xferlog
lokasyonunda bulunur)

39.
LOG ANALİZİ
Unix Logları
Process accounting
• "accton" komutu veya "startup" komutu (genellikle /usr/lib/acct/startup olarak
bulunur) kullanılarak başlatılır
• Process accounting log dosyaları binary formatta olduğundan "lastcomm" veya
"acctcomm" komutları ile görüntülenebilir
• Sistem yöneticisi tarafından değiştirilme riskleri düşüktür ancak silinebilirler

40.
LOG ANALİZİ
Unix Logları
Kullanıcı bağlantı logları
• Aşağıdaki log dosyaları binary formatta tutulur:
– utmp dosyası: “w” utility'si ile erişilir, o anda sisteme bağlı kullanıcıları içerir
– wtmp dosyası: “last” utility'si ile erişilir, sistem kullanıcılarının login ve logout
history'sini içerir
– btmp dosyası: “lastb” utility'si ile erişilir, başarısız login denemelerini içerir
40

41.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows 9 ana kategori altında log tutar:
– Logon/logoff - Lokal logon olayları, erişilen makinede gerçekleşen olaylar (kişisel
bilgisayarıma kim logon etmiş / terminal server makinesine kimler uzaktan logon
oldu?)
– Account logon - Kimlik doğrulama olayları (domain'e kim ne zaman logon etmiş?)
– Account management - Kullanıcı veya grup hesaplarında yapılan işlemler
– Policy change - Audit Policy'de yapılan değişikliklerin takibi
– System - Shutdown, startup gibi sistem olaylarının takibi
– Process tracking - Uygulamaların ne zaman kim tarafından çalıştırıldığının takibi
(belirtilen uygulamayı kim / ne zaman çalıştırdı?)
– Object access - Sistem kaynaklarına yapılan erişimlerin takibi; Registry, File, Directory.
Bu kaynaklara yapılan erişimler genellikle Event ID 560 ile takip edilir. (kim belirtilen
dosyaya erişti / sildi?) Not: Object access loglarının tutulması için bu seçeneğin açık
olması ve ilgili nesneler için de log konfigürasyonu yapılması gerekir. Öntanımlı olarak
nesnelerin erişim logları otomatik olarak tutulmaz.

42.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows 9 ana kategori altında log tutar (devamı):
– DS Object Access - Active Directory'ye erişimle ilgili olaylar
– Privilege use - Kullanıcının sistem üzerinde yaptığı kalıcı değişiklikler, örneğin sistem
tarihinin değiştirilmesi

43.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Eventlog dosyaları
– Loglar Vista öncesi sistemlerde %WINDIR%System32config dizini altındaki ".evt"
uzantılı dosyalarda, Vista'dan itibaren %WINDIR%System32winevtLogs dizini
altında saklanır
– Event loglarına Windows çalışırken sadece WIN32 API ve EventViewer uygulaması ile
ulaşılabilir
• Log tutma politikası
– Maximum log size (300MB'ı geçmemesi önerilir, sınır 2GB'tır)
– When maximum log size is reached (Overwrite events as needed önerilir)

44.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows EventID'leri
– Vista ve sonrası için EventID formülü: EventID(WS03) + 4096 = EventID(WS08)
• İstisnalar:
– Logon success event'leri: (540, 528) -> 4624 (=528+4096)
– Logon failure event'leri: (529-537, 539) -> 4625 (=529+4096)

45.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• İlginç eventler
– 512 / 4608 Startup
– 513 / 4609 Shutdown
– 528 / 4624 Logon
– 538 / 4634 Logoff
– 551 / 4647 Begin_Logoff (kullanıcı
logoff başlattı)
– N/A / 4778 Session_Reconnected
– N/A / 4779 Session_Disconnected
– N/A / 4800 Workstation_Locked
– N/A / 4801 Workstation_Unlocked
– N/A / 4802 Screensaver_Invoked
– N/A / 4803 Screensaver_Dismissed

46.
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Kullanıcı yönetimiyle ilgili eventler:
– 624: Yeni kullanıcı tanımlama
– 626: Kullanıcıyı enable etme
– 636: Bir kullanıcı grubunda değişiklik yapma (ör: Administrators grubuna kullanıcı
ekleme)
– 642: Kullanıcı hesabında değişiklik

47.
LOG ANALİZİ
Windows Logları
• Logon tipleri
– 2 tip kullanıcı hesabı bulunur:
– Lokal hesaplar
– Active Directory (Domain) hesapları
– 2 tip logon yapılır:
– Interactive (etkileşimli)
– Network (uzak)

48.
LOG ANALİZİ
Windows Logları
• Domain kullanıcısı ile kişisel bilgisayara giriş ve file server'a erişme senaryosu:
– A/D'de "Account Logon" eventi (680)
– Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538)
– File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538)
• Lokal kullanıcı ile kişisel bilgisayara ve file server'a giriş senaryosu:
– Kullanıcı bilgisayarında "Account Logon" eventi (680)
– Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538)
– File serverda "Account Logon" eventi (680)
– File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538)

49.
LOG ANALİZİ
Windows Logları
• Windows event loglarının uzakta saklanması
– Windows Vista altındaki sistemler syslog logları gibi uzakta saklama imkanı sağlamaz.
Bunun için üçüncü taraf yazılımlar kullanılması gereklidir. Windows Vista ve üzeri
işletim sistemleri event loglarını gönderme imkanı sağlarlar
(http://technet.microsoft.com/en-us/library/cc748890.aspx)
• Windows firewall loglarının analizi:
– Firewall log dosyası genellikle C:WINDOWSpfirewall.log dosyasında bulunur

50.
LOG ANALİZİ
Uygulama Seviyesindeki Loglar
• Web sunucu logları. Örnek loglanabilir alanlar:
– Client IP Address
– Server IP Address
– Server Port
– Method
– URI Stem
– URI Query
– HTTP Status
– Bytes Sent
– Bytes Received
– Host
– User Agent
– Cookie
– Referrer

51.
LOG ANALİZİ
Uygulama Seviyesindeki Loglar
• DHCP logları. DHCP log alanları:
– ID
– Date
– Time
– Description
– IP Address
– Host Name
– MAC Address

52.
OTURUM 2
Ağ Temelli Analiz

53.
AĞ TEMELLİ ANALİZ
Ağ Teknolojisi ve Dinleme
• TCP/IP
• Ağ Servisleri
• Sniffer’lar
• Sessiz Sniffer (yüksek güvenlik ihtiyaçları için)
– Adres çözümleme yapan yazılımlar ARP, NetBIOS, DNS trafiği üretir
– Sniffer yazılımlarının da açıklıkları vardır
– Yazılım çözümleme yapmayacak şekilde konfigüre edilebilir
– Ağ arayüzünde ARP, NetBIOS protokolleri geçersiz hale getirilebilir
– Transmit tellerinin iptal edilmiş kablolar kullanılabilir

54.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analizin Hedefleri
• Olay sonrası için:
– Bir bilgi güvenliği olayı ile ilgili şüpheleri doğrulamak veya ortadan kaldırmak
– Adli bilişim analizi için ek bilgi temin etmek
– Saldırının eriştiği hedef kapsamını belirlemek
– Saldırıya karışan tarafları tespit etmek
– Ağ üzerinde olan olayların zaman çizgisini oluşturmak
• Olay tespiti için:
– Ağ üzerindeki anormallikleri analitik yöntemlerle (istatistiksel değişimlerle) ve alarm
verisi ile tespit etmek

55.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Alarm Verisi
• IDS alarmları
• Örnek Snort kuralı:
– alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd
access";)
– alert tcp 172.16.1.7 any -> any any (msg: "Outbound connection attemp from Web
server"; flags: S;)

56.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Oturum Verisi
• Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Gönderilen Veri, Alınan Veri,
Bağlantı Durumu
• Ağ kullanım istatistikleri: MRTG, NTOP, v.b.
• Flow veri formatları:
– Cisco Netflow verisi
– Argus Flow verisi (açık kaynak kodlu)
• Tam içerik verisinden oturum bilgisi çıkarma: Wireshark, argus gibi ağ
interface'ini dinleyerek oturum verisi üretebilen araçlar ve tcptrace gibi araçlar
tam içerik verisini barındıran dosyaları okuyarak oturum verisi üretebilir

57.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Araçlar:
– Tcpdump
– wireshark (GUI), tshark (Command Line, yani scriptable)
• Tüm ethernet frame'inin kaydedilmesi için "tcpdump" için "-s 1514"
opsiyonunun kullanılması gerekir. Öntanımlı paket kayıt boyutu 68 byte'tır.
• "tcpdump" kullanımında "-n" opsiyonunun kullanılması name resolution'ı
(reverse DNS sorgularını) ve port numaralarının bilinen servis isimlerine
çevrimini engelleyerek sadece numerik verileri görüntülemesini sağlayacaktır

58.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Unix platformlar için ayrıntılar:
– Unix sistemlerde arp desteği olmadan bir arayüzü ayağa kaldırmak için: ifconfig eth0
up -arp
– Unix sistemlerde bir prosesi background'da çalıştırmak için: komut sonuna "&" işareti
eklenir
– Unix sistemlerde komutun ilgili kullanıcı logout olması durumunda dahi çalışması için:
"nohup komut &" şeklinde komutun çalıştırılması

59.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Ağ üzerinden iletilen verinin yeniden oluşturulması
– TCPFlow (ör: # tcpflow -v -r sample1.lpc port 21)
– Wireshark (Follow TCP Stream aracı)
– Networkminer (http://www.netresec.com/?page=NetworkMiner)
– Dataecho (http://sourceforge.net/projects/data-echo/)

60.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Tam içerik hacminin takibi için:
– Unix sistemlerde: df –h
– Windows sistemlerde: treesizefree (DEFT-Extra içinde de yer almaktadır)
• CPU kullanım oranlarını izlemek için:
– Unix sistemlerde: top
– Windows sistemlerde: TaskManager

61.
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Genel kabul görmüş paket saklama formatı
– pcap (libpcap ve winpcap kullanan yazılımlarca üretilir)
– Paket dosyalarını zaman aralığı veya dosya büyüklüğüne göre bölerek saklama
• Sniffer filtreleri (Berkeley Packet Filter formatı)
– Basit örnek:
– ip host ace and not helios (ace sunucusunun gönderici veya alıcı olduğu ancak helios
sunucusunun gönderici veya alıcı olmadığı IP paketlerini yakalamak için)
– Daha ince detaylı örnek:
– gateway snup and ip[2:2] > 576 (gateway "snup" aracılığı ile gönderilmiş ve
uzunluğu 576 byte'tan daha yüksek IP paketlerini yakalamak için)

62.
AĞ TEMELLİ ANALİZ
Ağ Cihazları Logları
• AAA logları (TACACS ve RADIUS sunucuların kullanıldığı durumlarda)
• Syslog logları
• snmp ile toplanan bilgiler
• Firewall logları

63.
OTURUM 3
Adli Bilişim Altyapısı
İçin Hazırlık

64.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Donanım ihtiyaçları
• Temiz ve yeterli büyüklükte saklama cihazları
• Write-blocker
• Delil disklere uygun connector ve kablolar
• Fotoğraf makinesi
• Delil saklamak için uygun antistatik torbalar, kasalar, etiketler
• CPU gücü ve RAM kapasitesi yüksek bilgisayar(lar)
• Hızlı CD / DVD sürücüleri / yazıcıları
• Gerekirse yedek kasetleri ve yedek sürücüleri
• Elektrik kablo uzatma araçları
• Çokça Cat5 veya üzeri kablo ve hub'lar

65.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Donanım ihtiyaçları
• Çokça yazılabilir CD ve DVD
• Etiketler / CD kalemi
• Bilgisayar tornavida seti
• Yedek güç araçları (UPS, yedek laptop pili, v.b.)
• Kanıt saklama zinciri (chain of custody) formları
• Yedek çantalar
• Donanım temini için adres: http://www.forensic-computers.com/

66.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Forensic duplication yazılımları
• Forensic analiz yazılımları
• Canlı analiz için güvenilir işletim sistemi komutları (Unix komutları için
mümkünse statik linklenmiş) ve analiz uygulamaları
– Unix için hazırlanabilecek örnek uygulamalar / komutlar: ls, dd, des, file, pkginfo, find,
icat, lsof, md5sum, netcat veya cryptcat, netstat, pcat, perl, ps, strace, strings, truss,
df, vi, cat, more, gzip, last, w, rm, script, bash, modinfo, lsmod, ifconfig
– Windows için hazırlanabilecek örnek uygulamalar / komutlar: cmd.exe, PsLoggedOn
(sysinternals), rausers (resource kit), netstat, FPort (foundstone), PsList (sysinternals),
ListDLLs (sysinternals) ya da Process Explorer (proses ve ilişkileri analiz için GUI
uygulama - sysinternals), nbtstat, arp, kill (resource kit), md5sum (cygwin), rmtshare
(resource kit), netcat veya cryptcat, PsLogList (sysinternals), ipconfig, PsInfo
(sysinternals), PsFile (sysinternals), PsService (sysinternals), auditpol (resource kit),
doskey

67.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Bootable linux dağıtımları (DEFT, Helix veya diğer linux dağıtımları)
• Canlı analiz için geliştirilmiş özel yazılımlar:
– Nirsoft (ör: IEHistoryView, USBDeview, WhatInStartup, PassView)
– Sysinternals (ör: Process Monitor, AccessEnum, PsTools)
– Foundstone (ör: Fport, BinText, Rifiuti)
– Registry fark takibi için yardımcı uygulamalar (ör: regshot)
– Password dumper yazılımlar (ör: LSASecretsDump, pwdump6, VNCPassView)
• Windows Resource Kit uygulamaları (ör: rausers, rmtshare, auditpol, kill gibi)
• Port scanner, application mapper yazılımlar
• Parola kırma yazılımları, rainbow tabloları r (ör: LSASecretsDump, pwdump6,
VNCPassView)

68.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Dosya kripto kırma yazılımları
• Çeşitli formatta imajları görüntüleyebilen viewer uygulamalar
• Çeşitli formatta e-posta arşivlerini açabilen e-posta istemcileri
• Online kaynaklara erişebilmek ve araştırma yapabilmek için internet bağlantısı
• Canlı analiz için önceden hazırlanmış script'ler (Windows ve Unix ortamlar için)
• Sanal makine ortamları (ör: VMWare)
• Raw (ör: OSFMount) ve sanal makine imajlarını (VMWare Disk Mount) mount
etmek için yardımcı yazılımlar
• Raw imajları VMWare disklerine çevirmek için ProDiscover Basic
• Registry analizi için: AccessData (ticari) Registry Viewer, Prodiscover Basic
Registry Viewer (Windows dizini üzerinden seçilir), RegRipper scriptleri

69.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Saldırıya hazırlık için kritik dosyalar için bütünlük kontrollerinin yapılması
• Kritik dosya hash'lerinin saklanması
• Host based IDS'ler

70.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Donanım ihtiyaçları
• Monitor port ayarı yapılabilecek güçlü switchler
• Tap cihazları
• Sniffer yazılımını çalıştıracak ve gelen ağ genişliğini karşılayabilecek interface'e
sahip bilgisayar
• Tam veri analizi yapabilmek için yeterli büyüklükte saklama ortamı

71.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Yazılım ihtiyaçları
• Alarm verisi üretmek için IDS yazılımı
• Oturum verisi üretmek için flow verisi (Cisco netflow veya farklı flow verisi
üretebilir) üreten yazılım
• İçerik verisi analizi ve/veya ağ üzerinden iletilen veri ve dosyaların
oluşturulabilmesi için gerekli yazılımlar

72.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
İzlenebilir bir ağ topolojisi
• Ağ bölümlemesi
• Erişim kontrolleri
• Choke point'ler (http trafiğinin proxy üzerinden geçirilmesi gibi)
• Ağ erişim kontrolü (NAC)
• Merkezi loglama altyapısı (TACACS, RADIUS, v.b.)

73.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Ekip ve eğitim imkanları
• Temel ağ yönetimi ve güvenliği eğitimi
• Disk temelli forensic teori ve araç kullanım eğitimleri
• Olay müdahale süreç eğitimi
73

74.
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Log ve sistem altyapısı
• Ortak zaman sunucu kullanımı
• Log korelasyonu ve anahtar kelime arama imkanları
• Sistemlerden bağımsız saklama ortamı kullanma
• Log normalizasyonu, IP, NetBIOS ve diğer isimlendirmelerin kullanımı
• Active Directory'den karşılığı alınan SID'ler için isim bilgilerinin saklanması
(Event Viewer SID tutar ve kullanıcı adı bilgisini görüntülendiğinde AD'den
sorgular)
• Log yedekleme altyapısının oluşturulması
• Sistem ve konfigürasyon yedeklerinin saklanması

75.
BTRisk Hakkında
2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim
Hizmetleri bilgi güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda
çözüm üretmektedir.
BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını
mümkün hale getirmektedir.
BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir
hale getirmiştir.
Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir:
Pentest Hizmetleri
Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Bilgi Güvenliği Operasyon Hizmetleri
Teknik Güvenlik Denetim Eğitimleri
Yönetişim ve Denetim Eğitimleri
Özgün ürünlerimiz aşağıdaki gibidir:
5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola
Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü

76.
blog.btrisk.com @btrisk /btrisktv /btrisk