Dijital delillerin toplanması, incelenmesi ve analiz edilmesi süreci olan adli bilişim, siber suçların çözümünde hayati bir rol oynar. Bilgisayar sistemlerinin işletim sistemlerine göre farklı yapılandırılmış olması, adli analistler için de çeşitli zorlukları ve avantajları beraberinde getirir. Bu yazıda, Windows ve Linux forensics yaklaşımlarındaki temel farklılıklara odaklanacak, her iki sistemin özgün özelliklerini ve analistlerin bu ortamlarda karşılaştığı spesifik durumları inceleyeceğiz.
1. İşletim Sistemi Yapısı ve Dosya Sistemi Farklılıkları
Windows:
- NTFS ve FAT Dosya Sistemleri: Windows sistemlerinde genellikle NTFS kullanılır. NTFS’in sunduğu ayrıntılı yetki, şifreleme ve kurtarma özellikleri, delil toplama esnasında önemli verilerin korunması açısından dikkatle ele alınmalıdır.
- Kayıt Defteri (Registry): Windows kayıt defteri, sistem yapılandırmaları, kullanıcı aktiviteleri ve kurulum bilgileri gibi geniş çaplı verilere sahiptir. Adli analistler, delil toplarken kayıt defteri üzerinden sistemdeki anormallikleri ve saldırı izlerini araştırır.
- Sistem Günlükleri: Windows, olay günlüklerini (Event Logs) kullanır. Bu günlükler, sistem hataları, kullanıcı aktiviteleri ve güvenlik olayları hakkında bilgi verir. Ancak, günlük dosyalarının merkezi konumda toplanması ve zaman damgası senkronizasyonlarının sağlanması analizi zorlaştırabilir.
Linux:
- EXT4, XFS ve Diğer Dosya Sistemleri: Linux, çeşitli dosya sistemlerini destekleyerek esneklik sunar. Dosya sistemlerinin hafif yapısı, bazı durumlarda hızlı erişim ve kurtarma işlemleri için avantaj sağlayabilir.
- Sistem Yapılandırma Dosyaları: Linux sistemlerinde, yapılandırma ayarları genellikle metin tabanlı dosyalar üzerinden yönetilir. Bu durum, dosya içeriğinin manuel ve otomatik olarak incelenmesini kolaylaştırır.
- Dağıtık Günlükleme (Syslog): Linux’ta olaylar ve aktiviteler Syslog aracılığıyla kaydedilir. Syslog’un merkezi olmayan dağılımı, sistemin farklı bileşenlerindeki olayların tespit edilmesi ve izlenmesi konusunda esnek bir yapı sunar.
2. Artifacts
Windows Artifacts:
- Kayıt Defteri ve Sistem Dosyaları: Windows’un kayıt defteri, kullanıcı aktivitelerinden sistem yapılandırmalarına kadar pek çok kritik bilgiyi içerir. Bu yüzden adli analizde ilk bakılması gereken kaynaklardan biridir.
- Prefetch Dosyaları: Uygulama açılış sürelerini hızlandırmak için kullanılan bu dosyalar, hangi programların çalıştırıldığını ve ne kadar süreyle aktif olduklarını gösterir.
- Hibernation ve Swap Dosyaları: Bellek dökümü yapılmadan önce saklanan veriler, adli analistler için önemli veri kaynaklarıdır.
Linux Artifaktları:
- Log Dosyaları (Syslog, auth.log vb.): Linux sistemlerinde log dosyaları, kimlik doğrulama denemeleri, hata raporları ve sistem aktiviteleri hakkında detaylı bilgi sağlar.
- Kullanıcı Dizini Yapıları: Linux’ta kullanıcıların ev dizinlerinde bulunan yapılandırma dosyaları, geçmiş komutlar ve kişisel aktiviteler inceleme altına alınabilir.
- Terminal ve Shell Tarihi: Komut geçmişi dosyaları (.bash_history, .zsh_history vb.), sistem üzerinde gerçekleştirilen işlemler ve olası anormallikler hakkında ipuçları sunar.
3. Analiz Süreçleri ve Zorluklar
Windows:
- Logların Yoğunluğu: Windows sistemlerindeki log dosyaları ve kayıt defteri girdileri, analistlerin delil toplama aşamasında geniş veri havuzuyla başa çıkmasını gerektirir.
- Zararlı Yazılım Belirleme: Windows ortamında zararlı yazılımlar, genellikle karmaşık yapılandırmalara sahiptir. Bu nedenle, anti-virüs ve diğer güvenlik araçlarından alınan loglar, ek analiz yöntemleriyle desteklenmelidir.
Linux:
- Log Dosyalarının Dağılımı: Linux’ta log dosyalarının yerel olarak ve farklı dosya konumlarında toplanması, analiz sürecinde bütüncül bir yaklaşım gerektirir.
- Açık Kaynak ve Modülerlik: Linux dağıtımlarının büyük bir çoğunluğu açık kaynaklı olduğu için, kullanıcılar ve analistler sistem yapılandırmalarına doğrudan müdahale edebilir. Bu durum hem avantaj sağlamakta hem de değişken yapı nedeniyle belirli zorlukları beraberinde getirmektedir.
Aşağıda, Linux ve Windows sistemlerinde adli bilişim (forensics) işlemlerinde karşılaşılan önemli farklar, temel artefaktlar ve bu artefaktların işlevleri detaylı olarak tabloda karşılaştırılmıştır.
| Kriter | Linux Forensics | Windows Forensics |
| Dosya Sistemi | ext4, XFS, Btrfs gibi dosya sistemleri yaygındır. | NTFS varsayılan dosya sistemidir. FAT32 eski sistemlerde veya çıkarılabilir disklerde görülebilir. |
| Log Yönetimi | /var/log altında syslog, auth.log gibi dosyalar ve journalctl kullanılır. | Event Viewer üzerinden Application, Security, System logları ve özel uygulama logları izlenir. |
| Kullanıcı ve Yetkilendirme | /etc/passwd, /etc/shadow dosyalarında kullanıcı bilgileri bulunur. | SAM (Security Accounts Manager) dosyası kullanıcı bilgilerini saklar. |
| Process Management | /proc dosya sistemi ve ps, top, htop gibi komutlarla süreçler analiz edilir. | Task Manager, PowerShell komutları (Get-Process, tasklist) ve Event Log 4688 üzerinden process izlenir. |
| Zaman Damgaları | stat komutu ile dosyaların erişim, değişiklik ve oluşturma zamanları analiz edilir. | $MFT (Master File Table) kayıtları dosya zaman damgalarını içerir. ADS (Alternate Data Streams) analizi yapılabilir. |
| Yüksek Erişim | sudo ile yüksek erişim yetkisi sorgulanabilir. | UAC (User Account Control) logları ve erişim istekleri incelenir. |
| Persistence Mekanizmaları | Cron job‘lar, systemd unit dosyaları, rc.d betikleri incelenir. | Task Scheduler, Registry Run Keys, Startup Folder, Services incelenir. |
| Network Artifacts | /etc/hosts, /etc/resolv.conf, netstat, ss komutları, iptables logları kullanılır. | ARP tablosu, DNS Cache (ipconfig /displaydns), Netstat, Firewall logları ve Event ID 5156 incelenir. |
| Bellek Analizi | Live sistemde dd, avml, volatility, rekall ile bellek analizinde ve toplanmasında kullanılır | DumpIt, Volatility veya Magnet RAM Capture ile bellek analizinde ve toplanmasında kullanılır |
| Artifacts Saklanması | Minimalist bir yapı olduğundan artefaktlar genellikle ~/.bash_history veya log dosyalarında bulunur. | Registry, Prefetch dosyaları, ShimCache gibi geniş artifacts havuzunda saklanır. |
| Dosya İlişkileri | find, grep, awk ile dosya içerikleri ve ilişkileri incelenir. | File Explorer, PowerShell veya üçüncü taraf araçlar (f.e. FTK Imager) ile dosya ilişkileri incelenir. |
| Adli Kopya Alma | dd, dcfldd, ewfacquire gibi araçlarla disk imajları alınır. | FTK Imager, X-Ways gibi araçlarla E01 formatında adli kopya alınır. |
| Zaman Senkronizasyonu | timedatectl, /var/log/ dosyaları incelenir. | Event Log’daki zaman damgaları ve W32Time servisi analiz edilir. |
| Sisteme Özgü Özellikler | Açık kaynak olması sebebiyle yapılandırma dosyalarının çeşitliliği yüksektir. | Merkezi yönetim araçları (Active Directory, GPO) ve .exe/.dll artefaktları incelenir. |
| Kayıt Defteri (Registry) | Registry yapısı yoktur. Konfigürasyon bilgileri metin dosyalarına dağılmıştır. | Mevcut ve merkezi yapıdadır (HKLM, HKCU vb.) |
| Silinen Dosyaların Davranışı | Metadata tamamen sıfırlanabilir, kurtarma zordur | Metadata (örn. oluşturulma zamanı) kalabilir |
| Kullanıcı Verileri | /home/$USER altında | %USERPROFILE% altında |
Sonuç Ortak Noktalar ve Önemli Farklılıklar
Her iki sistem de kendi doğası gereği farklı zorluklar ve avantajlar sunar:
- Ortak Noktalar: Her iki ortamda da delil bütünlüğünü korumak ve verilerin manipülasyondan korunması en temel hedeflerden biridir. Delillerin elde edilmesi sırasında doğru yöntemlerin kullanılması ve verilerin güvenli şekilde saklanması esastır.
- Temel Farklılıklar: Windows, merkezi log yönetimi ve kayıt defteri temelli verilere dayalı analiz yöntemleri ile öne çıkarken, Linux; modüler yapı, dağıtık günlükleme ve metin tabanlı yapılandırma dosyaları üzerinden daha çok manuel müdahaleye dayalı analiz yöntemleri sunar.
Adli bilişim uzmanları için, her iki sistemde de özgü araçların ve yöntemlerin etkili bir şekilde kullanılması, olayın çözülmesinde ve suçun aydınlatılmasında belirleyici rol oynar. Sistemlere özgü mimariler, delil analizinde farklı stratejiler gerektirir. Bu nedenle, her iki ortam için de kapsamlı bilgi birikimi ve deneyim, adli analiz sürecinin başarıya ulaşmasında kritik öneme sahiptir.
Sonuç olarak, Windows ve Linux forensics’in her biri kendine has zorluklar ve fırsatlar barındırır. Bu alandaki sürekli gelişen teknolojiler ve saldırı yöntemleri, adli bilişim uzmanlarının güncel kalmasını ve sürekli eğitim almasını gerektirir. Dijital dünyada adaletin sağlanması için her iki ortamın da incelenmesi, geniş teknik bilgi ve analitik beceriler gerektiren dinamik bir çalışma alanı sunmaktadır.
Bu blog yazısı, Windows ve Linux adli bilişim alanındaki farklılıkları ve uygulanacak yöntemleri özetlemek amacıyla hazırlanmıştır. Her iki işletim sisteminin analiz yöntemlerini öğrenmek ve uygulamada en iyi uygulamaları kullanmak, siber suçlarla mücadelede önemli bir adım olacaktır.
