SRUM (System Resource Usage Monitor) Analizi Windows System Resource Usage Monitor –Windows Sistem Kaynak Kullanım Monitörü- olarak bilinen SRUM makinede tüketilen kaynakları izlemek için oluşturulmuştur. SRUM sistemde uygulamanın kaynak kullanımı enerji kullanımı, Windows anlık bildirimleri, ağ bağlantısı, veri kullanımı olmak üzere 30 ila 60 günlük sistem kaynağı kullanımını SRUDB.dat dosyasına kaydeder. Bu özellik Windows sistemlerde varsayılan …
Jump List Analizi Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir. Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” …
LNK Dosya Analizi LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır. LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı …
Network Analysis Tools Wireshark Network Appliance Forensic Toolkit NetworkMiner Registry Analysis Tools RegRipper ShellBags Explorer AmcacheParser AppCompatCacheParser JLECmd RecentFileCacheParser Computer Account Forensic Artifact Extractor (cafae) Yet Another Registry Utility (yaru) RDP Cache Analysis Tools BMC-Tools Recycle Bin Analysis Tools RBCmd $I Parser “$” Files Analysis Tools MFTExplorer ($MFT) MFTECmd ($MFT, $Boot, $J, $SDS, and $LogFile (coming …
ShimCache /AppCompatCache Analizi Shimcache, Windows uygulama uyumluluk önbelliği olarak bilinen AppCompatCache’in bir bileşenidir. Microsoft, eskimiş uygulamaların yeni Windows sürümleri ile herhangi bir problem oluşmaması için shim mekanizmasını kullanmaktadır yani Shim mekanizması Windows yeni sürümlerindeki uyumluluğunu sağlamak için uygulamanın uygulanması gerekip gerekmediğini belirlemek için kullanılır. Shim, Windows registry dosyasında depolanan çalıştırılabilir programların metadatasını tutar. Bu …
Amcache.hve Analizi Windows işletim sistemleri arasında farklı dağıtımlar bulunmaktadır, farklı dağıtımlar olmasından kaynaklı dezavantaj doğmuştur. Örnek vermek gerekirse bir program her Windows dağıtımı ile uyumlu olamamasıdır. Microsoft tarafından bu dezavantajı ortadan kaldırmak adına Amcache.hve dosyasını oluşturmuştur. Bu dosya sayesinde Windows’un farklı dağıtımları arasında program uyumluluğunu sağlayabilmektedir. Windows sistem dosyası olan Amcache.hve dosyaları genel yapısı, …
Windows Sistem Processleri Bu blog yazımda, process’in ne olduğu, siber güvenlik analistlerin Windows sisteminde çalışan processler hakkında bilmesi gereken temel bilgileri, bir process’in analiz edilirken kontrol edilmesi gereken unsurların ne olduğundan bahsedeceğim. Bilgisayar biliminde process, belleğe yüklenmiş ve işlemcide (CPU) yürütülmekte olan bir program olarak tanımlanmaktadır, uygulamalar diskte çalışmaz halde bulundukları zaman ise …
Windows’ta Tehdit Oluşturabilecek Dosya Türleri Siber saldırganlar hedeflemiş olduğu bir kurumun veya bir kişinin sistemini ele geçirmek veya zarar vermek amacıyla bir siber saldır gerçekleştirebilir. Bir sisteme saldırmak için saldırganların kullanmış olduğu yöntemlerden biride; saldırıda bulanacağı sistemi ele geçirmek adına gerekli malware (kötü amaçlı) dosyalarını yüklemektir. Saldırganlar bu dosyaları genellikle, bir e-posta yolu …
Incident Response Plan Günümüzde neredeyse her gün karşılaşmış olduğumuz siber saldırıların yıkıcı etkisi her geçen gün artmaktadır, bu siber saldırılara karşı meydan okumak, müdahale adımlarını belirlemek ve nasıl bir yol izlemek gerektiğini bilmek saldırıdan en az hasarla kurtulma konusunda önemli bir yere sahiptir. Bilişim sistemlerinde güvenliği ihlal edilmiş, veri hırsızlı veya siber saldırıyla …
Forensics Image (Adli İmaj) Adli İmaj Nedir: Adli imaj dijital bir kanıtın bire bir kopyasıdır. Harddisk, telefon, drone ve daha birçok cihazın imajı alınabilir. Bir harddiskin imajı, cihazda fiziksel olarak başlangıçtan sona kadar olan tüm veriyi içerir. İmaj almak bilişim suçlarında veri tutan her cihaz incelenmesinde ve suçun aydınlatılmasında olmazsa olmazlardandır. Adli bilişimde …