İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
İnformation Gathering - Bilgi Toplama (Cyber Security - Siber Güvenlik))
1. 1 / 23
Aktif Ve Pasif Bilgi Toplama
KTUSEC WORKSHOP SERİES 1
2. 2 / 23
Nedir bu bilgi toplamak?
● Aklımızdaki kişi, sistem, website yani herhangi bir
hedef hakkında dolaylı yollardan ya da direkt olarak
bilgi edinmek amacıyla günümüz tabiriyle de ‘stalk’
lamak diyebiliriz
3. 3 / 23
Arama motorları ile hangi bilgilere
ula abiliriz?ş
● Hassas dizinler
● Kullanıcı adı, parola, e-posta adresi, tc kimlik
numarası, sicil numarası,
● Sunucu veya sistem zaafiyetleri
● Kritik bilgi içeren dosyalar
● Kullanıcı giriş sayfaları
4. 4 / 23
Google Dork ve küçük bir örnek
● Google dork araması, pasif bir saldırı yöntemi
olarak, kullanıcı adı ve parolaları, e-posta listelerini,
hassas bilgileri, kişisel olarak tanımlanabilir finansal
bilgileri(PIFI) ve web sitelerin güvenlik açıklarını
karşınıza cevap olarak döndürebilir.
● intitle: index of pdf
● Link:index.php?id =
● mücahid doğan site:ktu.edu.tr ext:pdf numrange:
00000-99999
5. 5 / 23
Peki bunu nasıl yaparız?
● En basitinden google search aracılığıyla istediğimiz
kelimeyi, kişiyi, siteyi, hedefimizi rahatça aratıp
bulabiliriz. Ama bulduğumuz hedefimiz hakkında
olan bilgiyi esas olarak aktif ve pasif şekilde bilgi
toplama adı altında ayırıyoruz.
6. 6 / 23
Aktif Bilgi T. Pasif Bilgi T.
Hedef ile doğrudan temasa geçilerek
toplanan bilgi türüne diyoruz.
Hedef ile doğrudan temasa geçilmeden
bilgi edinme türüne diyoruz.
*Pasif bilgi toplamadan çok daha fazla
ve net bilgi elde edilir.
*Karşıda oturan biri hakkında
yanımızdaki kişiye soru sormak...
*İz bırakırız => log kayıtları(Firewall,
IDS)
*WHOİS
*archive.com
*wolframalpha.com
....
*DNS protokolü ile
*Banner yakalama
*Dmitry ile
*Port ve Servis taramaları
*netcraft
*centralops
*İp location
*shodan.io
*Nmap Hedef Belirleme
***SYN Scan
*google dork
7. 7 / 23
Pasif Bilgi Toplama
● Bir hedef lazım gerisi sadece tool...
● 1 => whois;
*Bir alan adının ya da ip adresinin sahibiyle ilgili
bilgileri önümüze döker.
● 2 => archive.org;
– 1996 ‘dan beri tüm interneti kayıt altına alan bir
sistemdir. Sayfaların gün gün görüntüsünü
görebilirsiniz.
8. 8 / 23
● Wolframalpha.com;
– arama kriterleri oldukça detaylı anonim arama
motoru
● Netcraft.com;
– Sorgulanan ip adresi ya da alan adı üzerinden
işletim sistemi, ilk kurulduğu zaman gibi bilgileri
önünüze döker.
9. 9 / 23
Shodan.io
● country: Belirtilen ülke kodunda arama yapar.
● city: Belirtilen şehirde filtreleme yapar.
● geo: Koordinatlarda arama yapar.
● hostname: Hostname yada domain bilgisine
göre filtreleme yapar.
● net: Özel IP yada subnet aralığında filtreleme
yapar.
● os: İşletim sistemine göre filtreleme yapar.
● port: Port bilgisine göre filtreleme yapar.
● before / after: Belirtilen tarih öncesi yada
sonrasında yapılan taramaları filtreler.
11. 11 / 23
● Pipl;
– Normal arama motorlarında bulunmayan insan,
dosya yada data’ ların çok daha kapsamla bir
şekilde araştırılıp bulunduğu internet sitesi.
12. 12 / 23
Aktif Bilgi Toplama
● DNS Sorgulama Nmap
● Dnsenum W3AF(WAS)
● Dnsmap REDHAWK
● Dnswalk Theharvester
● Dnsrecon
● Dnsdict6
● Maltego
● Dmitry
13. 13 / 23
Nmap
● Sisteme göre ve sistemde çalışan servislere,
güvenlik duvarlarına göre farklı tarama çeşitleri
gerçekleştirilebilir.
14. 14 / 23
Host Ke fiş
● Bir ağdaki veya network’ teki host ları keşfetmek
gayet önemlidir. Bunun için kullanacağımız
parametre
– Nmap -sP -T4 192.168.227.0/24(0-255 host)
15. 15 / 23
Hedefleri bir txt dosyasından
almak istersek
● Nmap -sV -iL root/Masaüstü/hosts.txt
– -iL ile host.txt dosyasından aldığımız hostların
-sV parametresi ile taranmasını sağladık.
16. 16 / 23
TCP SYN SCAN
Gelişmiş bilgisayar ağlarında paket anahtarlamalı
bilgisayar iletişiminde kayıpsız veri gönderimi
sağlayabilmek için TCP protokolü yazılmıştır.
● Burda hedefe TCP Syn paketi gönderilerek SYN-
Ack mesajını yanıt olarak döndüren portlarda açık
olduğu anlaşılır. Tarama bittikten sonra hedefe Rst
paketi yollanarak sistem resetlendiği için ip
adresimizin karşı tarafa geçme şansını azaltmış
oluruz.
● Nmap -sS 192.168.227.131
19. 19 / 23
SQL VEİ
● Sql zaafiyeti bulunduran siteleri bulmamıza yarar.
● Python ile yazılmıştır.
20. 20 / 23
Breacher
● Web sitelerinin admin panellerini bulmamıza
yarayan araçtır.
● Python ile yazılmıştır.
21. 21 / 23
ReconDog
● Whois Bilgisi
● CloudFlare Tespiti
● Zone Transferi takibi
● Web site ve sunucularda port taraması
● HTTP başlık bilgilerini elde etmek
● Ağda honeypot tespiti yapmak
● İp adresinden lokasyon tespiti