Windows Forensics öğrenmek isteyen herkese selamlar 🙂 23 konu başlığı şekilde Windows Forensics Blog yazı serisini uzun bir süre sonra tamamlamış bulunmaktayım. Sıralı şekilde blog yazsı serisi okuyabilirsiniz. 1- Olay Müdahale ve Süreçleri Incident Response Plan 2- İmaj Alma Yöntemleri Forensics Image (Adli İmaj) 3- Registry Forensics Windows Registry Nedir (Registry Forensics Bölüm -1) Windows …
Event Log Oluşan bir hatanın, durumun, olayın zaman damgası ile birlikte kayıt altına alınmasına log denilmektedir. Ortaya çıkan, oluşan durum ilgi çeken veya çekebilecek nitelikte olan her türlü işe ise event denilmektedir. Log kayıtları sayesinde sistem üzerinde uygulamalar, servisler ve donanımların stabil çalışıp çalışmadıkları öğrenebiliriz ve hatanın nedenini öğrenilmesini sağlandığından kritik bir değere sahiptir. Gelişen teknolojiyle …
AutoRun Analizi AutoRuns; Windows ön yükleme sırasında başlamak için işlemleri aradığı konumları ifade etmek için kullanılan bir terimdir. Yani herhangi bir kullanıcı tarafından kasıtlı başlatılmadan otomatik olarak çalışan yazılıma denir. Bu yazılım türü, bilgisayar başlatıldığında başlayan sürücüleri ve hizmetleri içerir. Dosya sistemindeki ve registry de toplam 200 den fazla konum Windows’sun otomatik başlatmalarını yapılandırmasına izin …
NTFS $I30 Files Attributes Analizi NTFS dosya sistemi analizi konusunda $MFT dosyasının nasıl parse edilip analiz edildiğinden bahsettim (https://www.muhammedaygun.com/2022/08/ntfs-new-technologies-file-system-dosya.html) Bu blog yazımda ise FTK Imagerda bazı dizinlerin içerisinde görmüş olduğumuz $I30 dosyasının ne olduğu ve nasıl parse edilip analiz edildiği hakkında bilgi vereceğim. NTFS Index Attributes olarak bilinen $I30 , dosyası Microsoft tarafından NTFS …
NTFS (New Technologies File System) Dosya Sistem Analizi 1. Dosya Sistemleri Nedir? 2. Dosya Sisteminin Görevleri Nelerdir? 3. Dosya Sistemleri Nelerdir? 4. NTFS Nedir? 5. NTFS Analizi Nasıl Yapılır? NTFS dosya sistem analizi konusuna değinmeden önce temel dosya sistemi bilgisinden biraz bahsetmemiz analiz anlamamız açısında daha faydalı olacaktır. Dosya Sistemi Nedir? Disk veya …
UserAssist UserAssit Windows registry keylerinde bulunan bir diğer önemli key olarak bilinir. Windows NT sürümünde itibaren kullanılmaya başlanılmıştır. Kullanıcının eriştiği kısa yollar, programlar ve denetim masasındaki nesneleri bilgilerini içerir. En sık kullanılan uygulamalara kısa bir kısa yol listesi sağlayarak uygulamanın başlatılmasına yardımcı olmak amacıyla Microsoft tarafından uygulanmaya alınmıştır. Windows sistemde oturum açan kullanıcının çalıştırmış …
Web Browser Forensics Web Browser yani internet tarayıcı uygulamaları, işletim sistemi kurulduğu anda browser kurulumunu da gerçekleştiririz. Bilgisayar kullanan her kullanıcının olmazsa olmazlarından biridir yani genel anlamda internette gezinmek, işletim sistemine ait dosyaları görüntülemek için Web Browserları kullanılmaktadır. Hepimizin kullanmış olduğu bu browser kendi içerisinde arama sorguları, kullanıcı adı, parola, form verileri, e-posta, kredi …
Background Activity Moderator (BAM) BAM arka plan uygulamaların etkinliğini kontrol eden bir Windows servisidir. Bu servis Windows 10 1709 güncellemesinden sonra kullanılmaktadır. Sistemde çalıştırılan dosyanın tam yolunu ve son çalışma zaman damgasını sağlar. Bu artifack registry’de bulunur; HKLMSYSTEMCurrenControlSetServicesbamStateUserSettings{SID} Desktop Activity Moderator (DAM) Masaüstü işlemlerini yöneten DAM, “Connected Standby” (ekran kapalıyken ancak cihaz açıkken) …
Most Recently Used (MRU) Analizi Most Recently Used (MRU) –En Son Kullanılan – Analizi Windows registry forensics konusundan, işletim sisteminde kurulu olan kullanıcılar donanım cihazları ve uygulamalarla ilgili bilgileri içerdiğinden bahsettim. Kullanıcı etkinliğini izlemek için bir dizi Registry keylerini’de kullanabiliriz. Bir kullanıcı belirli bir eylemi gerçekleştirdiğinde erişilen alanlar tespit etmek için registry’de bulunan MRU …
Recycle Bin Forensics ($RecyleBin Analizi) Çoğumuzun bildiği gibi geri dönüş kutusu (Recycle Bin) masaüstünde bulunan geri dönüş ikonu üzerinde barındıran mahsun bir dosya 🙂 Windows bir sistem kurulduğunda hatta bizi masa üstümüzde karşılayan ilk dosyamız. Recycle Bin dosyası Microsoft tarafından Windows sistemlerde silinen dosya ve dizinlerin geçici olarak depolandığı dosyadır. Windows sistemlerle beraber gelir …
