Temmuz 2021

14 Temmuz 2021 Çarşamba

Incident Response Plan


 

Incident Response Plan

 

Günümüzde neredeyse her gün karşılaşmış olduğumuz siber saldırıların yıkıcı etkisi her geçen gün artmaktadır, bu siber saldırılara karşı meydan okumak, müdahale adımlarını belirlemek ve nasıl bir yol izlemek gerektiğini bilmek saldırıdan en az hasarla kurtulma konusunda önemli bir yere sahiptir.

Bilişim sistemlerinde güvenliği ihlal edilmiş, veri hırsızlı veya siber saldırıyla karşılaşılması durumunda yapılması gereken adımların belirlenmesine, olayın türünü belirlenmesinden başlayarak tespit edilip gerekli önemler ve aksiyonlar alınmasına kadar takip edilen süreç Olay müdahalesi olarak tanımlanır. Olay müdahale süreçleri Incident Response Plan olarak bilinir. Incident response, bir siber güvenlik olay sürecini yönetmeye yönelik bir yaklaşımdır. Bu yaklaşımdaki amaç karşılaşılan vakayı etkili bir şekilde yönetmek ve farklı olaylara karşı aksiyon alınması gereken adımları belirlemektedir. Olay müdahalesi sayesinde sistemdeki zarar minimuma indirilmesi ve işleyiş olduğu gibi devam eder. Farklı vakalar ile karşılaşılabileceği için sadece bir olay müdahalesi sürecine bağlı kalmak doğru olmaz. Bunun nedeni ise bir malware ile içeriden erişim hakkı olan ya da networksel saldırılara için farklı senaryolar takip edilmelidir. Kısacası Siber olay yaşandığında sistematik ilerlemek için bir siber olay müdahale planına ihtiyaç vardır.

Incident Response planları NIST ve SANS tarafında belirlenen belirli bir standarta oturtulmuştur. Bu standart başlıklar altında saldırılara ilişkin playbook’ların hazırlanması önerilmektedir.  .

 



NIST ve SANS Incident Response bileşenleri yan yana karşılaştırdığımız zaman bileşenlerin hemen hemen aynı olduğunu ancak ifade ve gruplamaların farklılık olduğunu söyleyebiliriz. En önemli fark NIST’in sınırlama, yok etme ve kurtarmanın benzer olduğuna savunduğu 3.adımı birleştirdiğini görebiliriz yani NIST’e göre ortandan kaldırmaya başlamadan önce tüm tehditleri içermeyi beklememeliyiz. Bazıları bu tür karşılaştırmayı sürekli olarak tartışmaktadır ancak bu bir tercih meselesi ve kuruluşun kaynaklarına bağlıdır.

 

SANS Incident Response

SANS Enstitüsüne göre etkili bir Incident Response Plan göre 6 adımdan oluşmaktadır. 6 adımın her adımı bir önceki adım üzerine kurulduğu için sırala takip edilmelidir.

1-     Preparation (Hazırlık)

2-     Identification (Tanımlama)

3-     Scope (Kapsam)

4-     Eradication (Eradikasyon)

5-     Recovery (İyileştirme)

6-     Lessons Learned Alınan dersler)

 



 

Preparation

Olay müdahalesinin en önemli aşamasıdır. Kuruluş bir saldırı durumunda ne kadar iyi yanıt verebileceğini belirlediği aşamadır. Bu aşama olmadığı zaman diğer aşamalara geçmek zor ve zaman gerektirmektedir. Kuruluşun bir olayı ele alabilmesini sağlamak için birkaç temel unsurun uygulanması gerekir.

1.      Policy yani politika belirlenmeli, bir kuruluş içinde yazılı bir dizi ilke, kural veya uygulama sağlar. Vaka oluştuğunda rehberli sunan önemli bir eylemdir.

2.      Response planı/stratejisi: Müdahale planın tek bir iş istasyonunun başarısız olması gibi küçük olaydan sunucunun çökmesi orta bir riske veya bir departmandan veri çalınması gibi yüksek riskli konulara kadar organizasyonel etkiye dayalı olarak olayların önceliklendirilmesini içermesi gerekir. Olaya müdahale edecek ekibin envanter hakkında bilgi sahibi olmalıdır, Cihazlar, işletim sistemleri, yama sürümleri ve kritik durum gibi bilgilerin olduğu belge bulunmalıdır.

3.      İletişim, olaya müdahale edecek ekibin kiminle, ne zaman ve neden iletişim kuracağını bilmesini saplamak için önemlidir. İletişim hazırlığı sayesinde doğru kişiler hızlı bir şekilde ulaşıp hızlı müdahaleler sağlanacaktır. Güvenli iletişim ortamı kurum networkünden bağımsız iletişim kanalı oluşturulmalıdır.  

4.      Erişim kontrolü, olaya müdahale edecek ekibin uygun izinlere sahip olması gerekir. Olaya müdahale edecek ekibin görev ve sorumlulukları belirlenir.

5.      Toollar, yazılım ve donanım olaya müdahale edecek ekibe yardımcı olacaktır. Hazırlık aşamasında, merkezi noktandan yönetim oluşturulması gerekmektedir yani bir monitoring tool kullanılmalıdır bu monitoring tool sayesinde elde edilen eventları (alarm log kayıtları vs.) tek bir noktadan incelenmesi zaman tasarrufu açısından önemlidir bilgisayarın parça sökmesine yarayacak tornavida setine kadar bulunmalıdır.

 

Identification

Bir vakanın meydana gelip gelmediğini tespit etmek ve belirlemekle ilgilidir. Bu kararı vermek için Muhtemel bir şüpheli olay için olayla ilgili ön bilgiler toplanmalıdır izinsiz giriş tespit sistemler, network trafiği, log dosyaları, memory imajı, artifackler log dosyalarını, monitoring araçlarını, hata mesajlarını ve firewall logları toplanmalıdır. Hızlı bir şekilde olayın belirlenmesi maliyetleri ve zararlı azaltmak için olayın tespit edildiği süreçtir. Ardından durum değerlendirmesi yapılmalıdır.  Olaya müdahalesinde bulunacak ekibin olayı ve kapsamını belirlemek için gereken veriler toplanmalıdır,

 

Scope

Vaka değerlendirmesi soncunda tehdit tespit edildiğinde kuruluşa olan zararlı sınırlamalı ve önlemelidir. Sınırlamanın asıl amacı hasarı kontrol etmek ve daha fazla yayılmasını engellemektir. Bir vakanın zararlını azaltma ve saldırganın erişimlerinin kesilmesini sağlamak için birkaç gerekli adım vardır;

1-     Kısa süreli sınırlama; Bu hasarı olabildiğince çabuk sınırlamayı amcalar. Güvenliği ihlal edilen makinenin izole edilmesi

2-     Sistem yedekleme; Forensics teknikleri uygulanılarak kanıtları korumak ve sistemin nasıl ele geçirildiğini anlamak için gerekli triyajları almak

3-     Uzun süreli sınırlama:  Temiz sistemin yeniden kurulması, saldırgan tarafından ele geçirilen ve oluşturulan hesapların sıfırlanıp silinmesi, kalıcılık mekanizmaların temizlenmesi, ip engellemesi gibi önemlerin alınması.

4-     Olayın karakterize edilmesi gerekmektedir, örneğin sisteme malware bulaşması, veri sızıntısı olmuş olması gibi durumlar belirlenmelidir.

 

Eradication

Root cause belirlenmeli ardından saldırganın tüm kalıcılıklar sistemden atılmalıdır. Savunmayı geliştirilmesi işletim sistemleri kullanılan uygulamalar, network alanlardaki savunma eksikleri belirlenmeli ve nasıl iyileştirme yapılacağı konusunda çalışmalar yapılmalıdır. Güvenlik olayından etkilen sistemlerin kaldırılmasın ve geri yüklenmesi Güvenlik açığı taraması, ağalar ve sistemler üzerinde olası saldırı noktaları tespit edilmeli ve zafiyet taramaları yapılarak düzeltilmelidir Bu aşamada, Kuruluş ayrıca, yeniden bulaşma riskini önlemek için kötü amaçlı içeriğin etkilenen sistemlerden kaldırıldığından ve sistemlerin tamamen temizlendiğinden emin olmalıdır. Etkilenen sistemlerin daha sonraki saldırılara açık olmadığından emin olunması için ikincil bir takip gerektirebilir.

 

Recovery

Bu aşama, kuruluşların etkilenen sistemleri dikkatli bir şekilde üretim ortamına geri getirmelerine yardımcı olur ve başka bir olayın meydana gelmemesini sağlar. Kötü amaçlı yazılımlardan yeniden etkilenmemeleri veya güvenliği ihlal edilmemeleri için sistemler üretime geri dönerken test edilmeli, izlenmeli ve doğrulanmalıdır. Buradaki önemli kararlar şunları içerir:    

1-     Olay müdahalesi ekibinin tavsiyeleri uygulanmaları işlemleri geri yüklendiği saat ve tarih kesinleşmeli.

2-     Güvenliği ihlal edilmiş sistemlerin temiz ve tamamen işlevsel olduğunu test edilir ve doğrulanır.

3-     Anormal davranışların izlenmesi gereken süre

4-     Sistem davranışını test etmek, izlemek ve doğrulamak için kullanılan araçlar.

 

 

Lessons Learned

Kuruluşların olay yanıtlarını gözden geçirmek ve yaklaşımlarını gelecekteki saldırılara uyarlamalarını önem taşımaktadır. Olay sırasında tamamlanmayan tüm belgelerin gelecekteki olaylara fayda sağlayabilecek ek bilgilerle birlikte eklenmesi gerekir. Olay müdahalesinin son ve etkili adımıdır gelecekte ki bir vaka yaşanması engellemesini sağlar. Kurumun eksik kısımların raporlandığı, sürece ilişkin öneriler yer aldığı kısımdır.  Raporun kapması gereken başlıklar;

1-     Vakanın ilk ne zaman, nasıl ve kim tarafından tespit edildiği

2-     Vakanın temel nedeni

3-     Sorunun nasıl kontrol altına alındığı ve ortadan kaldırıldığı

4-     Kurtarma süreci boyunca gerçekleştirilen eylemler

5-     Olay müdahalesi ekibinin etkili olduğu alanlar ve iyileştirilmesi gereken alanlar

6-     Nasıl iyileştirilmesi gereken öneriler

 

 

NIST Incident Response

National Institute of Standards and Technology yani diğer adıyla NIST, Amerika Birleşik Devletleri Ticaret Bakanlığı tarafından işletilen ve birçok teknoloji sektörü için standartlar ve tavsiyeler sağlayan bir kurumdur.

SP 800-61olarak bilinen Bilgisayar güvenliği Olay yönetimi Kılavuzun da (Computer Security Incident Handling Guide) Siber güvenlik olay yönetimi ve Müdahale (Cybersecurity Incident Management and Response) ile ilgili tavsiyelerini detaylandırmaktadır. Kılavuz bir siber güvenlik olayı müdahale planının nasıl oluşturulması gerektiği ve olağanüstü durumlarda hangi adımları içermesi gerektiği konusunda talimat vermektedir. NIST IR adımlar 4 ana temelden oluşur;

1-     Preparation,

2-     Detection/analysis

3-     Containment/eradication, and recovery

4-     Preparation

 

 



 

Preparation,

Hiçbir kuruluş bir anda bildirilen vakayı etkili bir şekilde başlatamaz. Vakaya hem müdahale etmek hem de önlemek için bir plan hazırlığı olmalıdır. Bunun alt başlıklarına bakacak olursak;

1-     Olay müdahale ekibini belirleyin

Tüm ekibin hızlı ve eksiksiz hareket etmek için herkesin sorumluluklarını belirlemesi gerekir. Üyeler olarak yönetim, teknik, hukuk ve iletişim disiplinlerinde kişiler bulunmalıdır. Bir olayda etkilenen tüm departmanlar döngüde olmalı ve herkesin olay esnasında bir karara dahil olması gerekmektedir.

2-     Planın belirli periyotlarla güncellenmesi gerekemektedir

3-     Uygun altyapı ve araçları edinme ve bakımının yapılması: Olayları tespit etme ve soruşturmanın yanı sıra kanıt toplama ve koruma yeteneklerine sahip olun. Ortamınızda bir saldırganın olup olmadığını belirlemek için, uç noktalarınıza tam görünürlük sağlayan ve olay verilerini toplayan uç nokta güvenlik teknolojisine sahip olmanız çok önemlidir.

4-     Güncel tehdit istihbarat yeteneklerine sahip olun. Tehdit istihbaratı sayesinde bir kuruluşun yanıt vermeye hazır olması gereken tehdit türlerini anlamasına yardımcı olur.

 

 

 

Detection and Analysis

IR ikinci aşaması bir olayın meydana gelip gelmediğini meydana gelen olayın risk derecesi ve türünü belirlemektir. NIST bu genel aşamadaki beş adımı özetlemektedir;

1-     Bir olayın kesin işareti (precursors and indicators): Olay meydana gelmek üzere olduğuna veya zaten meydana geldiğine dair özel sinyalledir.

2-     Keşfedilen işaretleri analiz edin. Bir kez tanımlandığında IR ekibi bir öncünün veya göstergesinin bir saldırı parçası olup olmadığını veya false-postivie olup olmadığını belirlemelidir.

3-     Incident dokümanları: Oluşan vaka gerçek bir vaka olduğu kanıtlanırsa BT ekibi olayla ilgili tüm gerçekleri belgelemeye başlamalı ve süreç boyunca gerçekleştirilen tüm eylemleri kaydetmeye devam etmelidir.

4-     Incident prioritization: IR sürecinde en kritik karar noktası olarak belirler. IR ekibi olaylara gelene ilk hizmet esnasında göre öncelik veremez. Bunun yerine olayların işlevselliğine etkilenen bilgilerin gizliğini ve olayın kurtarılabilirliği üzerinde etkisine göre skorlama yaparak müdahale etmeli.

5-     Incident notification: Bir olay analiz edildikten ve önceliklendirildikten sonra IR ekibi uygun departmanları bilgilendirmelidir. Kapsamlı bir IR planı belirli bir raporlama gerekliliklerini zaten içermelidir.

 

Containment, Eradication, Recovery

Sınırlama aşamasının amacı bir olayın etkilerini daha fazla hasara yol açmadan önce durdurmaktır. Bir olay kontrol altına alındığında IR ekibi sonraki adımlarını uyarlamak için gerekli zamanı alabilir. Bunlar olayın temel nedeni ele almak ve sistemleri normal çalışmaya döndürmek için gerekli her türlü önlemi almayı içermelidir.

Aşağıdaki kriterlere dayalı olarak kapsam, eradikasyon ve kurtarma staratejileri geliştirilebilir;

-          Etkilenen varlıkların kritikliği

-          Olayın türü ve ciddiyeti

-          Kanıtları koruma ihtiyacı

-          Etkilenen sistemlerin kritik iş süreçleri için önemi

-          Stratejiyi uygulamak için gereken kaynaklar

 

 

 

Post – Incident Activity

Yaşanan her olay öğrenmek ve gelişmek için bir fırsat olmalıdır. Siber saldırganlar sürekli olarak gelişiyor ve farklı teknik ve taktikleri uyguluyor yakalamak ve önlem almak için bizlere fırsat sunmakta. Önemli olaydan sonra bütün taraflar içeren öğrenilen dersler toplantısı yapılmalı ve bütün güvenliği iyileştirmek adına çalışmalar yapılmalıdır. Toplantı ve rapor sırasında gözden geçirilmesi gerekenler;

-          Ne oldu ve ne zaman oldu

-          IR ekibi performansı nasıldı

-          Belgelenmiş prosödürler izlendi mi

-          Prosedürler yeterli mi ,yeterli değilse hangi bilgiler eklenmeli

-          Farklı neler yapılabilirdir

-          Gelecekte aynı veya benzer olayları önlemek için ne yapılabilir

-          Gelecekte hangi IOC değerleri aranabilir.

-          Gelecekte benzer olayları önlemenin yollarını öğrendik mi?

 

 

 

 

Kaynaklar:

https://www.sans.org/white-papers/641/

https://www.exabeam.com/incident-response/incident-response-plan/

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

https://www.crowdstrike.com/cybersecurity-101/incident-response/incident-response-steps/

https://www.cynet.com/incident-response/nist-incident-response/

 

 

 

12 Temmuz 2021 Pazartesi

Forensics Image (Adli İmaj)


 

Forensics Image (Adli İmaj)


 

Adli İmaj Nedir:

Adli imaj dijital bir kanıtın bire bir kopyasıdır. Harddisk, telefon, drone ve daha birçok cihazın imajı alınabilir. Bir harddiskin imajı, cihazda fiziksel olarak başlangıçtan sona kadar olan tüm veriyi içerir. İmaj almak bilişim suçlarında veri tutan her cihaz incelenmesinde ve suçun aydınlatılmasında olmazsa olmazlardandır. Adli bilişimde orijinal delil ile analiz yapılmaz tüm çalışmalar orijinalden bire-bir kopyalayarak oluşturulan adli imaj üzerinde gerçekleştirilir. Bu nedenle Adli Bilişimde delilin İmaj alınması ilk ve önemli adımdır.  İmaj alma tamamlandıktan sonra elde edilen medyanın doğruluğunu belirlemek için hash değerleri hesaplanmalıdır. Hash değeri olarakta bilinen özet değeri disk sektörlerinde var olan 0 ların ve 1 lerin hepsinin incelenmesini içerir. Tek bir 0’ı 1’e değiştirmek elde edilen hash değerinin farklı olmasına neden olur. Hem orijinal medya hem de alınan imaj kopyasının hash değerleri bire bir aynı olmalıdır. İkisinin de eşleştiğini gördüğümüzde kopyalanan harddiskin veya diğer ortamların orijinalliğinden emin olabiliriz.

Hardisk imajından elde edilen bir MD5 değeri, orijinal hardisk değeri ile aynı olmalıdır. Sabit sürücüdeki en küçük değişiklikler bile örneğin MS Word belgesine virgül eklemek, sonuçta elde edilen MD5 karma değerini büyük ölçüde değiştirir.

İmaj özet değerinin hesaplanması için endüstri standardı şu anda MD5 algoritamsıdır.       

Dijital kanıtlar son derece değişkenlerdir bu nedenle zorunlu olmadıkça orijinal kanıtlar üzerinde ilgili inceleme yapılmalıdır.     

 

Harddisk İmaj Alma: genellikle bir sabit sürücüyü diğer bir sürücüye klonlarız. Şüphelinin diski kaynak sürücü olarak bilinir ve verileri taşıdığımız sürücüye hedef sürücü adı verilir. Imaj alırken genellikle karşımıza  ile tüm birimlerin incelenmesinde, yani fiziksel imaj veya belirli bir bölümün ımajı alınması için mantıksal imaj ile karşılaşmaktayız. 

Fiziksel imaj(Physical Driver/ Clone, bit-to-bit): Verilerin bire bir(bit bit) kopyasını alan imaj türüdür ve bu kısımda işlemi gerçekleştirebiliriz.

·        MBR’den son sektöre kadar fiziksel diskin tamamını kopyalaması esasına dayanır.

·        En iyi delil olarak sınıflandırılır.

·        Disklerde RAID yapısı kullanılmamışsa ya da özel bir ımajı alınacak cihaz özel bir cihaz değilse fiziksel imaj alınmalı sonrasında mantıksal imajlara bölünmelidir.

Mantıksal imaj(Logical Driver): Belirli alandaki verilerin kopyasını aldığımız imaj türüdür ve işlemi sistem üzerinde gerçekleştirebiliriz.

·        Bir elektronik depolama aygıtının tamamını değil sadece sistemi katmanı bazında bölümlerin (partition) ımajları alınacaksa tercih edilmelidir.

·        RAID sürücüleri ya da şifrelenmiş sürücülerin ımajlarının alınması önerilmektedir.

 

İmaj alma ve dosya kopyalama farkı:

v İşletim sistemi üzerinden bir “kopyala ve yapıştır” işlemi yapmak, adli imaj almakla aynı değildir. Gerçek bir adli imaj hem aktif hem de dosya sistemi üzerinden ulaşılamayan verileri yakalar.

v İlk olarak kopyalamak ve yapıştırmak sadece aktif verileri yani kullanıcının erişebildiği veriler alır. Bunlar kullanıcıların microsft Word belgesi gibi etkileşime girdiği dosya ve klasörlerdir. Silinmiş ve kısmen üzerine yazılmış dosyalar dahil tüm diski görüntüleyebilmek için imaj almak şarttır.

v İmaj almak kopyalamaya göre uzun zaman alır,

v İşletim sitemine ait dosyaların kopyalnamsına sistem müsaade etmez,

v Silinmiş dosyaları kopyalamak ile elde edemeyiz imaj ile elde edebiliriz.

 

İmaj Türleri

Adli Bilişim camiasında kullanılan donanım ve yazılımları takip edecekleri herhangi bir forensic frameworkü olmadığı için donanım ve yazılım üreticileri kendi imaj standartlarını tanımlamışlardır. Bu da birden fazla imaj standartlını doğurmuştur ve adli bilişim incelemesinde kullanılacak donanım ve yazılımların birbirine farklı bu formatları desteklemesi gerekliliğini ortaya çıkarmıştır.

DD, Smart, AFF ve E01 formatında imaj alabilmekteyiz.

1 – Raw ( dd ) : Imaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca ham veri bulunur, herhangi bir metadata verisi yer almaz. Bu formatta ki imajlar herhangi bir sıkıştırma uygulamadan birebir alınan imajlar olarak bilinirler ve sürücüler ile aynı boyutta olurlar. Built-in olarak bir sıkıştırma desteği olmayan bu formattaki dikler genelikle .dd, .001 ya da .img dir

2- SMART : Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.

3- E01 : EnCase yazılımı tarafından varsayılan olarak kullanılan spesifikasyonları açık olmayan bir imaj türüdür. veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir. EWF formatındaki bu imaj dosyasının uzantısı .E01 şeklindedir. Bu imaj dosyaları içerisinde metadata bilgileri tutulur. İmajın sıkıştırılması desteği mevcuttur.

4- AFF : Gelişmiş Dosya Formatıdır(Advanced File Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır. İmaj dosya içinde metadata saklama ve sıkıştırma desteğine sahiptir, bu formattaki imaj dosyaların uzantısı .AFF dir.

Bu imaj formatının üç farklı varyantı vardır;

·        AFF: İmaj, tek bir dosya şeklindedir ve metadata bilgisi de aynı dosya içinde saklanır.

·        AFD: İmaj, birden fazla ufak dosyaya bölünmüş şeklide saklanır ve metadata bilgileri de aynı dosyalarda tutulur.

·        AFM: imaj dosyası RAW formatındadır ve metadata bilgisi ikinci dosyada saklanır.

 

Adli İmaj Nasıl Alınır?

Adli İmaj oluşturmak için çeşitli yazılım ve donanımlar kullanabiliriz. Örneğin;

·        FEX Imager (Getdata – Forensics Imager) (https://getdataforensics.com/product/fex-imager/download/)

·        Accessdata FTK Imager (http://www.accessdata.com/downloads.html)

·        Guymager

·        Guidance Software EnCase Forensic Imager 

·        ProDiscover Standart

·        dd Imager Yazılımı (Komutu)

·        dcfldd Komutu

·        AIR – Automated Image and Restore

·        Xways

·        Tableau TD serisi

·        Ditto

·        SOLO

·        HardCopy

·        Logicube Forensics Quest 2

·        RoadMASSter

 

FTK Imager ile İmaj Almak;



FTK Imager aracımızı çalıştırıyoruz.

Üst sekmelerde bulunan file kısmına gidiyoruz ve ardından create disk ımage deyip disk imajı alacağımızı belirtiyoruz.



Disk imajı alacağımızı söyledikten sonra bize hangi tür imaj alacağımızı soruyor.  Biz Physical Image türünden devam ediyoruz.



Physical Image türünü seçtikten sonra hangi diskin imajını alacağımızı soruyor. Ben hızlı olması açısından flash diskin bir imajını alacağım için diskin adını seçip devam ediyorum.



Disk seçildikten sonra add butununa basıyoruz.



Bastıktan sonra imaj tipini seçiyoruz. Be raw yani dd imaj türünü seçip devam etmek istiyorum.



Evidence yani delil üzerinde açıklamaları giriyoruz. 



Disk imajının oluşacağı dosya konumunu seçiyoruz.








Start deyip imaj işlemlerini başlatıyoruz.



Daha sonra imaj tamamlandığında karşımıza verify ekranı gelir.

 




 

Görüldüğü gibi disk imaj dosyalarını görebiliyoruz. Analiz etmeye hazır bir şekilde 3.parti bir yazılım ile analiz edebiliriz.

  

Guymager ile disk imajı almak

Guymager, Linux altında çalışan bir imaj alma yazılımıdır





İmajı alınacak disk üzerine sağ tıklayıp açılan menüde Acquire Image seçeneğini seçiyoruz


 


 

 

Acquire Image dedikten sonra imaj format kısmında alınacak imajın hangi formatta alınacağını belirleyeceğiz ben dd olarak devam ediyorum. Disk imaj dosya konumu, ismi gidi temel metadata bilgilerini ekliyoruz.




Gerekli bilgileri girip Start butonuna bastığınızda imaj alma işlemi başlar ve ana pencerede imaj alma işleminin durumu ile ilgili bilgiler yer alır



Görüldüğü gibi .dd uzantılı imajımız oluştu.

 

dd Imager ile imaj almak

dd Linux sistemlerde üzerinde çalışır, herhangi bir arayüzü yoktur ondan dolayı komut üzerinden devam etmemiz gerekmektedir.



DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır. if bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.

bs  kaçar byte kopyalanacağını belirtir.conv=noerror ise hata alsan bile kopyalamaya devam et demeye yarar.

 

İlk olarak imajını alacağımız diskin yolunu bulmamız gerekiyor.

fdisk -l



Burada diskimizin yolunu bulduk

Daha sonra dd ile disk imajımızı alalım

dd if=/dev/sdb of=/home/ma/Desktop/Disk_1.img


dd çalışırken bir çıktı vermez burada çalışmıyor diye kapatmayın iptal etmeyin işlem bittiğinde çıktı verecektir.



İşlem bittiğinde şu şekilde çıktı verecektir.

dc3dd ile imaj almak

dc3dd uygulaması dd’nin geliştirilmiş ve yeni özellikler eklenmiş versiyonudur. En belirgin özelliklerden birisi imaj alma işleminin işleyişi ile ilgili bir durum göstergesine sahip olmasıdır. Bu sayede imaj alma işleminin tahmini olarak ne kadar süreceğini öğrenebiliyorsunuz.


Yine dd de olduğu gibi ilk olarak diskimizin konumunu buluyoruz.


Daha sonra kaynak diski belirledikten sonra imaj alması için gerekli komutu veriyoruz.

dc3dd if=/dev/sdb of=/home/sansforensics/Desktop\Disk_1.img hash=md5

 


Dd den farkını ilk çıktısında görebilrdik, burada yüzdelik vererek diskin yüzde kaçlık kısmının imajının aldığını görebiliyoruz.



dcfldd ile imaj almak

dc3dd aracına benzer aynı işlevi gren farklı bir imaj alma yazılımıdır. dc3dd komutları gibi kullanılarak çalıştırılabilir.