Blue Teaming

NTFS (New Technologies File System) Dosya Sistem Analizi

  NTFS (New Technologies File System) Dosya Sistem Analizi   1.     Dosya Sistemleri Nedir? 2.     Dosya Sisteminin Görevleri Nelerdir? 3.     Dosya Sistemleri Nelerdir? 4.     NTFS Nedir? 5.     NTFS Analizi Nasıl Yapılır? NTFS dosya sistem analizi konusuna değinmeden önce temel dosya sistemi bilgisinden biraz bahsetmemiz analiz anlamamız açısında daha faydalı olacaktır. Dosya Sistemi Nedir? Disk veya …

UserAssist Analizi

  UserAssist UserAssit Windows registry keylerinde bulunan bir diğer önemli key olarak bilinir. Windows NT sürümünde itibaren kullanılmaya başlanılmıştır. Kullanıcının eriştiği kısa yollar, programlar ve denetim masasındaki nesneleri bilgilerini içerir.  En sık kullanılan uygulamalara kısa bir kısa yol listesi sağlayarak uygulamanın başlatılmasına yardımcı olmak amacıyla Microsoft tarafından uygulanmaya alınmıştır. Windows sistemde oturum açan kullanıcının çalıştırmış …

Web Browser Forensics

Web Browser yani internet tarayıcı uygulamaları, işletim sistemi kurulduğu anda browser kurulumunu da gerçekleştiririz. Bilgisayar kullanan her kullanıcının olmazsa olmazlarından biridir yani genel anlamda internette gezinmek, işletim sistemine ait dosyaları görüntülemek için Web Browserları kullanılmaktadır. Hepimizin kullanmış olduğu bu browser kendi içerisinde arama sorguları, kullanıcı adı, parola, form verileri, e-posta, kredi kartı bilgileri ve daha …

BAM/DAM Analizi

  Background Activity Moderator (BAM) BAM arka plan uygulamaların etkinliğini kontrol eden bir Windows servisidir. Bu servis Windows 10 1709 güncellemesinden sonra kullanılmaktadır. Sistemde çalıştırılan dosyanın tam yolunu ve son çalışma zaman damgasını sağlar. Bu artifack registry’de bulunur; HKLMSYSTEMCurrenControlSetServicesbamStateUserSettings{SID}   Desktop Activity Moderator (DAM) Masaüstü işlemlerini yöneten DAM, “Connected Standby” (ekran kapalıyken ancak cihaz açıkken) …

Most Recently Used (MRU) Analizi

  Most Recently Used (MRU) Analizi Most Recently Used (MRU) –En Son Kullanılan – Analizi Windows registry forensics konusundan, işletim sisteminde kurulu olan kullanıcılar donanım cihazları ve uygulamalarla ilgili bilgileri içerdiğinden bahsettim. Kullanıcı etkinliğini izlemek için bir dizi Registry keylerini’de kullanabiliriz. Bir kullanıcı belirli bir eylemi gerçekleştirdiğinde erişilen alanlar tespit etmek için registry’de bulunan MRU …

Recycle Bin Forensics ($RecyleBin Analizi)

  Recycle Bin Forensics ($RecyleBin Analizi) Çoğumuzun bildiği gibi geri dönüş kutusu (Recycle Bin) masaüstünde bulunan geri dönüş ikonu üzerinde barındıran mahsun bir dosya 🙂 Windows bir sistem kurulduğunda hatta bizi masa üstümüzde karşılayan ilk dosyamız. Recycle Bin dosyası Microsoft tarafından Windows sistemlerde silinen dosya ve dizinlerin geçici olarak depolandığı dosyadır. Windows sistemlerle beraber gelir …

PowerShell Forensics

  PowerShell Microsoft tarafından 2006 yılında oluşturulmuş, komut dosyası dili özelliklerine sahip etkileşimli nesne yönelimli komut satırı ara yüzüdür. Bilgi teknolojileri uzmanları tarafından, Windows işletim sistemine sahip sistemlerin denetlenmesini ve otomatik işlemlerin gerçekleştirmesinde PowerShell scriptleri kullanılmaktadır. PowerShell Microsoft .NET üzerine inşa edilmiş bir scrpiting platformudur bundan dolayı nesne yönelimlidir. Ayrıca .NET framework’ün sağladığı aynı işlevselliğe …

ShellBag Analizi

  ShellBag Analizi       Microsoft Windows Explorer aracılığıyla, görüntülediğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını izlemeye yardımcı olur buna ağ klasörleri ve çıkarılabilir cihazlar dahildir. Yani Windows ekranını başka bir yere taşıdığımızda, boyutunu değiştirdiğimizde, içindeki dosya sıralamasını yaptıktan sonra bir daha hatırlamasında Shellbag yardımcı olur. Belirli bir klasörün penceresinin konumu, görünümü veya boyutunun …

Volume Shadow Copy Services (VSS) Analizi

Volume Shadow Copy Services (VSS) Analizi Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça …

Takılan USB Kayıtlarının Analizi (USB Drive Forensics)

Takılan USB Kayıtlarının Analizi (USB Drive Forensics)  Universal Serial Bus (USB), 1996 yılından beri mouse, yazıcı gibi aygıtların bağlantılarını tek tip hale getirilmesi ve veri akışının daha hızlı yapılabilmesi amacıyla geliştirilmiştir. Bu bağlamda USB girişleri temel olarak dış donanımların bilgisayar ile bağlantı kurmasında görev almaktadır. Kişisel verilerin artması ile beraberinde verilerin taşınma gereksinimi oluşmuştur, Bu …