LNK Dosya Analizi LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır. LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı …
Network Analysis Tools Wireshark Network Appliance Forensic Toolkit NetworkMiner Registry Analysis Tools RegRipper ShellBags Explorer AmcacheParser AppCompatCacheParser JLECmd RecentFileCacheParser Computer Account Forensic Artifact Extractor (cafae) Yet Another Registry Utility (yaru) RDP Cache Analysis Tools BMC-Tools Recycle Bin Analysis Tools RBCmd $I Parser “$” Files Analysis Tools MFTExplorer ($MFT) MFTECmd ($MFT, $Boot, $J, $SDS, and …
ShimCache /AppCompatCache Analizi Shimcache, Windows uygulama uyumluluk önbelliği olarak bilinen AppCompatCache’in bir bileşenidir. Microsoft, eskimiş uygulamaların yeni Windows sürümleri ile herhangi bir problem oluşmaması için shim mekanizmasını kullanmaktadır yani Shim mekanizması Windows yeni sürümlerindeki uyumluluğunu sağlamak için uygulamanın uygulanması gerekip gerekmediğini belirlemek için kullanılır. Shim, Windows registry dosyasında depolanan çalıştırılabilir programların metadatasını tutar. Bu …
Amcache.hve Analizi Windows işletim sistemleri arasında farklı dağıtımlar bulunmaktadır, farklı dağıtımlar olmasından kaynaklı dezavantaj doğmuştur. Örnek vermek gerekirse bir program her Windows dağıtımı ile uyumlu olamamasıdır. Microsoft tarafından bu dezavantajı ortadan kaldırmak adına Amcache.hve dosyasını oluşturmuştur. Bu dosya sayesinde Windows’un farklı dağıtımları arasında program uyumluluğunu sağlayabilmektedir. Windows sistem dosyası olan Amcache.hve dosyaları genel yapısı, …
Windows Sistem Processleri Bu blog yazımda, process’in ne olduğu, siber güvenlik analistlerin Windows sisteminde çalışan processler hakkında bilmesi gereken temel bilgileri, bir process’in analiz edilirken kontrol edilmesi gereken unsurların ne olduğundan bahsedeceğim. Bilgisayar biliminde process, belleğe yüklenmiş ve işlemcide (CPU) yürütülmekte olan bir program olarak tanımlanmaktadır, uygulamalar diskte çalışmaz halde bulundukları zaman ise …
Windows’ta Tehdit Oluşturabilecek Dosya Türleri Siber saldırganlar hedeflemiş olduğu bir kurumun veya bir kişinin sistemini ele geçirmek veya zarar vermek amacıyla bir siber saldır gerçekleştirebilir. Bir sisteme saldırmak için saldırganların kullanmış olduğu yöntemlerden biride; saldırıda bulanacağı sistemi ele geçirmek adına gerekli malware (kötü amaçlı) dosyalarını yüklemektir. Saldırganlar bu dosyaları genellikle, bir e-posta yolu …
Incident Response Plan Günümüzde neredeyse her gün karşılaşmış olduğumuz siber saldırıların yıkıcı etkisi her geçen gün artmaktadır, bu siber saldırılara karşı meydan okumak, müdahale adımlarını belirlemek ve nasıl bir yol izlemek gerektiğini bilmek saldırıdan en az hasarla kurtulma konusunda önemli bir yere sahiptir. Bilişim sistemlerinde güvenliği ihlal edilmiş, veri hırsızlı veya siber saldırıyla …
Forensics Image (Adli İmaj) Adli İmaj Nedir: Adli imaj dijital bir kanıtın bire bir kopyasıdır. Harddisk, telefon, drone ve daha birçok cihazın imajı alınabilir. Bir harddiskin imajı, cihazda fiziksel olarak başlangıçtan sona kadar olan tüm veriyi içerir. İmaj almak bilişim suçlarında veri tutan her cihaz incelenmesinde ve suçun aydınlatılmasında olmazsa olmazlardandır. Adli bilişimde …
Time Stomping Time stomping anti forensics yöntemlerinden biridir. Bazı malware’lar zamanı durdurma (time stomping) yöntemini kullanmaktalar. Bir sistemde Forensics uygulandığı zaman veya bir malware sisteme bulaştığında temel olarak sormuş olduğumuz ne, kim, nerede, nasıl, neden, ne zaman gibi soruların cevabını bulmaya çalışırız. Anti-forenscisyöntemi olan time stomping yöntemi ile ne zaman sorusuna cevap bulmamız …
Siber tehdit aktörlerinin hedefinde olan her kuruluş yani günümüzde dijitalleşemeye adım atan her kuruluş gerçekleşebilecek bir saldırıda olay müdahalesi planına sahip olmalıdır. Siber saldırılarından %100 korunmak çok güzel olurdu ancak bunun pek mümkün olmadığını üzülerek söylemek durumundayız. Bundan dolayı her kuruluş bir siber saldırıya maruz kalacaktır. Bunun farkında olan ve belirli bir olgunluğa ulaşmış kuruluşların …

