PowerShell Microsoft tarafından 2006 yılında oluşturulmuş, komut dosyası dili özelliklerine sahip etkileşimli nesne yönelimli komut satırı ara yüzüdür. Bilgi teknolojileri uzmanları tarafından, Windows işletim sistemine sahip sistemlerin denetlenmesini ve otomatik işlemlerin gerçekleştirmesinde PowerShell scriptleri kullanılmaktadır. PowerShell Microsoft .NET üzerine inşa edilmiş bir scrpiting platformudur bundan dolayı nesne yönelimlidir. Ayrıca .NET framework’ün sağladığı aynı işlevselliğe …
ShellBag Analizi Microsoft Windows Explorer aracılığıyla, görüntülediğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını izlemeye yardımcı olur buna ağ klasörleri ve çıkarılabilir cihazlar dahildir. Yani Windows ekranını başka bir yere taşıdığımızda, boyutunu değiştirdiğimizde, içindeki dosya sıralamasını yaptıktan sonra bir daha hatırlamasında Shellbag yardımcı olur. Belirli bir klasörün penceresinin konumu, görünümü veya boyutunun …
Volume Shadow Copy Services (VSS) Analizi Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça …
Takılan USB Kayıtlarının Analizi (USB Drive Forensics) Universal Serial Bus (USB), 1996 yılından beri mouse, yazıcı gibi aygıtların bağlantılarını tek tip hale getirilmesi ve veri akışının daha hızlı yapılabilmesi amacıyla geliştirilmiştir. Bu bağlamda USB girişleri temel olarak dış donanımların bilgisayar ile bağlantı kurmasında görev almaktadır. Kişisel verilerin artması ile beraberinde verilerin taşınma gereksinimi oluşmuştur, Bu …
Prefetch Dosya Analizi Microsoft tarafından Windows sistemlerde uygulamaları daha hızlı başlatmak adına çalıştırılan her uygulama için Preftech dosyası oluşturmaktadır. Böylelikle sistemleri daha hızlı hale getirmek amaçlanmıştır. Yani Prefetch, sistemde sık kullanılan ve erişilen verileri kullanıcı için daha hızlı hale getirmek için önbelleğe alarak kullanıcı deneyimini iyileştirmeyi amaçlamıştır. Preftech dosyaları ister GUI ve CLI olsun …
SRUM (System Resource Usage Monitor) Analizi Windows System Resource Usage Monitor –Windows Sistem Kaynak Kullanım Monitörü- olarak bilinen SRUM makinede tüketilen kaynakları izlemek için oluşturulmuştur. SRUM sistemde uygulamanın kaynak kullanımı enerji kullanımı, Windows anlık bildirimleri, ağ bağlantısı, veri kullanımı olmak üzere 30 ila 60 günlük sistem kaynağı kullanımını SRUDB.dat dosyasına kaydeder. Bu özellik Windows sistemlerde varsayılan …
Jump List Analizi Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir. Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” …
LNK Dosya Analizi LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır. LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı …
Network Analysis Tools Wireshark Network Appliance Forensic Toolkit NetworkMiner Registry Analysis Tools RegRipper ShellBags Explorer AmcacheParser AppCompatCacheParser JLECmd RecentFileCacheParser Computer Account Forensic Artifact Extractor (cafae) Yet Another Registry Utility (yaru) RDP Cache Analysis Tools BMC-Tools Recycle Bin Analysis Tools RBCmd $I Parser “$” Files Analysis Tools MFTExplorer ($MFT) MFTECmd ($MFT, $Boot, $J, $SDS, and $LogFile (coming …
ShimCache /AppCompatCache Analizi Shimcache, Windows uygulama uyumluluk önbelliği olarak bilinen AppCompatCache’in bir bileşenidir. Microsoft, eskimiş uygulamaların yeni Windows sürümleri ile herhangi bir problem oluşmaması için shim mekanizmasını kullanmaktadır yani Shim mekanizması Windows yeni sürümlerindeki uyumluluğunu sağlamak için uygulamanın uygulanması gerekip gerekmediğini belirlemek için kullanılır. Shim, Windows registry dosyasında depolanan çalıştırılabilir programların metadatasını tutar. Bu …