DFIR

Silinen Registry Kurtama Ve Çalışan Sistemde Registry Analiz Edilmesi (Registry Forensics Bölüm-4)

    Silinen Registry Kurtama Anti Forensics yöntemlerinden biri olan registry de ki keylerin silinme durumu olabilmektedir ya da yanlışlıkla silinmiş olabilir. Registry keyler kurtarılabilir. Silinen Windows Kayıt defteri anahtarlarının kurtarılması, bir çok durumda olayı aydınlatmakta değerli olabilir. Registry kuratılamsı için yaru isimli aracı kullanacağım https://yet-another-registry-utility.softag.com/ adresinden indirilebilir. Yaru yönetici olarak çalıştırılır. Registryde alınan keyi …

Registry Dosyaların Çıkartılması Ve Analiz Edilmesi (Registry Forensics Bölüm-3)

  Registry Dosyaların Çıkartılması:   Adli Bilişim alanın inceleme yapacak uzman için önemli olan dosyalar; SAM, SOFTWARE, SECURİTY, SYSTEM dosyalarıdır. Bunların önemli olmasının nedeni muhtemel delil kalıntılarını barındırıyor olmasıdır. Registry de bulunan bu dosyaları dump ederken 3.parti bir yazılım kullanmadan cmd yi yönetici olarak çalıştırdıktan sonra ilgili komutları yazmamız yeterlidir.   SAM Key çıkarmak için; …

Windows Registry Manuel Analiz Edilmesi (Registry Forensics Bölüm -2)

  Manuel Registry Kayıtlarının İncelenmesi   Bilgisayarın İşletim Sistemi ve Versiyon Bilgisinin Öğrenilmesi; Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion   Bilgisayarın Time Zone Bilgisinin Öğrenilmesi:  Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation   Bilgisayardan Silinmiş Yazılımların öğrenilmesi; Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall    Bilgisayara Takılan Yazıcıları Öğrenilmesi: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print   Bilgisayarda Bağlanmış Olduğu Kablosuz Ağların Öğrenilmesi Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles     Bilgisayara Bağlanmış USB lerin Öğrenilmesi; Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR       …

Windows Registry Nedir (Registry Forensics Bölüm -1)

   Registry (Windows Kayıt Defteri)   Windows; masaüstünün, pencerelerine ve uygulamaların ötesinde çok daha fazla bileşene sahiptir fakat son kullanıcının çoğunun bundan haberi bile yoktur. Bu öğelerin bazıları, işletim sisteminin kendisini çalışması için gereklidir. Bazen de sonradan eklenen yazılımlar, donanımların çalışabilmesi için gerekmektedir. Microsoft Windows işletim sistemi özelliğinden biride sisteme eklenen; ayar, yazılım, donanım kullanıcılar ve …

MITRE ATT&CK Framework Nedir ?

   MITRE ATT&CK Framework Nedir ?     ATT&CK (Adversarial Tacticks, Techniques and Common Knowledge) Framework, 2013 yılından itibaren Mitre firması tarafından geliştirilmektedir. Mitre; güvenli bir dünya yaratmayı amaçlayan kar amacı gütmeyen bir kuruluştur. Mitre ATTC&CK Framework; gerçekleştirilmiş tüm siber saldırıları, saldırgan davranışlarını modelleyerek bunlara karşı mevcut sistemlerde önleyici güvenlik tedbirlerini almaktır, bu saldırı tekniklerini analiz eder, gruplandırır ve …

AUTOPSY Aracının Kullanımı.

AUTOPSY Bu yazımızda Autopsy aracının kullanımını ve özelliklerini öğreneceğiz. Autopsy Basis Technology tarafından desteklenen açık kaynak kodlu ücretsiz kullanılan bir adli bilişim aracıdır. Grafiksel arayüz üzerinden The Sleuth Kit’e ait komutları kullanmamızı sağlayan bir programdır.  Autopsy ile ·        DD, Encase ve AFF uzantılı adli kopyalar üzerinde inceleme yapabilmektedir. ·        NTFS, FAT, UFS 1, UFS 2, EXT2FS, …

Emotet Malware ın incelenmesi ve YARA Kuralının Yazılması.

   Emotet İncelenmesi Ve YARA Kuralının Yazılması Emotet 2014 yılında tespit edilen bir malwaredır.Emotet e-postalar aracığıyla yayılan bir Truva atıdır  (Trojan). Emotet  e-posta beklendik bir mail gibi gelebilir yani telefonunuz aylık faturasıymış gibi gelir ve çok uçuk bir maliyet gösterir faturanın detaylarını göremek için bu linke tıklanyın gibi aldatmaca yöntemlerini kullanır kısacası sosyal mühendislik yöntemlerini kullanarak bizim …

WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması

WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması  WannaCry   Windows’u hedef alan bir fidye yazılımıdır. Wannacry, enfekte olduğu bilgisayardaki dosyaları şifreleyip yeniden erişime açılabilmesi için fidye talep etmektedir. WannaCry Microsoft’un Sunucu Mesaj Bloğu (SMB) protokolünü uygulamasındaki MS17-010 güvenlik açığından yararlanmaktadır.  WnnaCry bilgisayarlara eriştikten sonra bilgisayarın sabit disk sürücüsünü şifrelemekte ve ardından SMB’nin güvenlik açığından yararlanarak internetteki …

YARA Kuralları Nedir, Nasıl Yazılır.

YARA Yara, malware tespitinde ve analizinde kullanılan bir tooldur. Yara genel anlamında kullanımında malware hakkında bilgi toplama ve analizi hızlandırmak amacıyla kullanılmaktadır. Yara virustotal tarafından geliştirilmiştir. Açık kaynak kodlu bir araçtır.  Yara kuralları malwareların sınıflandırılmasında ve malwareların kodların tanımlanmasında kullanılır. Tespit edilen bir malware hangi malware türünü olduğunu ya da kimin tarafından kullanılıp oluşturulduğunu yara …

FLARE VM Kurulumu

FLARE VM    Flare VM; FireEye firamsı tarafından Windows platformlarında tersine Mühendislik ve zararlı yazılım analizi sırasında yardımcı tooların bulunduğu bir dağıtımdır.  Ücretsiz ve açık kaynaklı Windows tabanlı bir dağıtımdır.                     Flare VM Kurulumu:  1- Kurulumunu gerçekleştirmek için önceden MS Windows sanal makine oluşturmalıyız.  (Ben sanal makine …