AutoRun Analizi

AutoRun Analizi AutoRuns; Windows ön yükleme sırasında başlamak için işlemleri aradığı konumları ifade etmek için kullanılan bir terimdir. Yani herhangi bir kullanıcı tarafından kasıtlı başlatılmadan otomatik olarak çalışan yazılıma denir. Bu yazılım türü, bilgisayar başlatıldığında başlayan sürücüleri ve hizmetleri içerir. Dosya sistemindeki ve registry de toplam 200 den fazla konum Windows’sun otomatik başlatmalarını yapılandırmasına izin …

NTFS $I30 Files Attributes Analizi

  NTFS $I30 Files Attributes Analizi NTFS dosya sistemi analizi konusunda $MFT dosyasının nasıl parse edilip analiz edildiğinden bahsettim (https://www.muhammedaygun.com/2022/08/ntfs-new-technologies-file-system-dosya.html) Bu blog yazımda ise FTK Imagerda bazı dizinlerin içerisinde görmüş olduğumuz $I30 dosyasının ne olduğu ve nasıl parse edilip analiz edildiği hakkında bilgi vereceğim. NTFS Index Attributes olarak bilinen $I30 , dosyası Microsoft tarafından NTFS …

NTFS (New Technologies File System) Dosya Sistem Analizi

  NTFS (New Technologies File System) Dosya Sistem Analizi   1.     Dosya Sistemleri Nedir? 2.     Dosya Sisteminin Görevleri Nelerdir? 3.     Dosya Sistemleri Nelerdir? 4.     NTFS Nedir? 5.     NTFS Analizi Nasıl Yapılır? NTFS dosya sistem analizi konusuna değinmeden önce temel dosya sistemi bilgisinden biraz bahsetmemiz analiz anlamamız açısında daha faydalı olacaktır. Dosya Sistemi Nedir? Disk veya …

UserAssist Analizi

  UserAssist UserAssit Windows registry keylerinde bulunan bir diğer önemli key olarak bilinir. Windows NT sürümünde itibaren kullanılmaya başlanılmıştır. Kullanıcının eriştiği kısa yollar, programlar ve denetim masasındaki nesneleri bilgilerini içerir.  En sık kullanılan uygulamalara kısa bir kısa yol listesi sağlayarak uygulamanın başlatılmasına yardımcı olmak amacıyla Microsoft tarafından uygulanmaya alınmıştır. Windows sistemde oturum açan kullanıcının çalıştırmış …

Web Browser Forensics

  Web Browser Forensics Web Browser yani internet tarayıcı uygulamaları, işletim sistemi kurulduğu anda browser kurulumunu da gerçekleştiririz. Bilgisayar kullanan her kullanıcının olmazsa olmazlarından biridir yani genel anlamda internette gezinmek, işletim sistemine ait dosyaları görüntülemek için Web Browserları kullanılmaktadır. Hepimizin kullanmış olduğu bu browser kendi içerisinde arama sorguları, kullanıcı adı, parola, form verileri, e-posta, kredi …

BAM/DAM Analizi

  Background Activity Moderator (BAM) BAM arka plan uygulamaların etkinliğini kontrol eden bir Windows servisidir. Bu servis Windows 10 1709 güncellemesinden sonra kullanılmaktadır. Sistemde çalıştırılan dosyanın tam yolunu ve son çalışma zaman damgasını sağlar. Bu artifack registry’de bulunur; HKLMSYSTEMCurrenControlSetServicesbamStateUserSettings{SID}   Desktop Activity Moderator (DAM) Masaüstü işlemlerini yöneten DAM, “Connected Standby” (ekran kapalıyken ancak cihaz açıkken) …

Most Recently Used (MRU) Analizi

  Most Recently Used (MRU) Analizi Most Recently Used (MRU) –En Son Kullanılan – Analizi Windows registry forensics konusundan, işletim sisteminde kurulu olan kullanıcılar donanım cihazları ve uygulamalarla ilgili bilgileri içerdiğinden bahsettim. Kullanıcı etkinliğini izlemek için bir dizi Registry keylerini’de kullanabiliriz. Bir kullanıcı belirli bir eylemi gerçekleştirdiğinde erişilen alanlar tespit etmek için registry’de bulunan MRU …

Recycle Bin Forensics ($RecyleBin Analizi)

  Recycle Bin Forensics ($RecyleBin Analizi) Çoğumuzun bildiği gibi geri dönüş kutusu (Recycle Bin) masaüstünde bulunan geri dönüş ikonu üzerinde barındıran mahsun bir dosya 🙂 Windows bir sistem kurulduğunda hatta bizi masa üstümüzde karşılayan ilk dosyamız. Recycle Bin dosyası Microsoft tarafından Windows sistemlerde silinen dosya ve dizinlerin geçici olarak depolandığı dosyadır. Windows sistemlerle beraber gelir …

PowerShell Forensics

  PowerShell Microsoft tarafından 2006 yılında oluşturulmuş, komut dosyası dili özelliklerine sahip etkileşimli nesne yönelimli komut satırı ara yüzüdür. Bilgi teknolojileri uzmanları tarafından, Windows işletim sistemine sahip sistemlerin denetlenmesini ve otomatik işlemlerin gerçekleştirmesinde PowerShell scriptleri kullanılmaktadır. PowerShell Microsoft .NET üzerine inşa edilmiş bir scrpiting platformudur bundan dolayı nesne yönelimlidir. Ayrıca .NET framework’ün sağladığı aynı işlevselliğe …

ShellBag Analizi

  ShellBag Analizi       Microsoft Windows Explorer aracılığıyla, görüntülediğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını izlemeye yardımcı olur buna ağ klasörleri ve çıkarılabilir cihazlar dahildir. Yani Windows ekranını başka bir yere taşıdığımızda, boyutunu değiştirdiğimizde, içindeki dosya sıralamasını yaptıktan sonra bir daha hatırlamasında Shellbag yardımcı olur. Belirli bir klasörün penceresinin konumu, görünümü veya boyutunun …