İlk  yazıda saldırıya uğradığından şüphelenilen sistem üzerinde genel araçlarla nasıl bir inceleme yapıldığından bahsedildi. Siber savunma hattının ilk halkası olan sistem yöneticilerinin yapacağı genel kontroller anlatıldı. Şimdi bir adım daha ileri giderek saldırının gerçekleştiği varsayımıyla gerçek anlamdaki adli analiz teknikleri ele alınacaktır.

İkinci aşamayı şöyle düşünebiliriz: Saldırı gerçekleşti ve sistem yöneticisi işin ciddi boyutta olduğunu düşünüp görevi kurumdaki güvenlik mühendisine devretti.

Güvenlik mühendisinin yapacağı ilk iş gerçekten saldırının olup olmadığını bir daha gözden geçirmek olacaktır. Sistem yöneticisine danışarak, niçin  saldırının başarıya ulaştığını düşündüğü öğrenilmeli ve bulunan sonuçlar bir daha kontrol edilmelidir.

Saldırının gerçekleştiğinden emin olunduktan sonra sıra hard disklerin (sabit disk) kopyalarını  almaya gelir.

Sabit disk kopyalarını alan bir çok ticari yazılım bulunmaktadır. Yazılımları kullanmak çok zor değil ama önemli olan bu yazılımların nasıl çalıştığını anlayabilmektir. Çünkü alınan kopyalar üzerinde   mevcut araçlarla nasıl çalışılacağı bilinmiyorsa sonuca ulaşmak gayet zor olacaktır.

Adli analizin verification yani doğrulama aşamasından sonraki kopyalama kısmı için "dd" komutunu kullanılabilir.

Bu komut tam olarak sabit diskteki 0 ve 1' leri göstermiş olduğunuz medyaya yazmaktadır.

Bir adli bilişimcinin işi genelde 0 ve 1' lerledir.  dd komutunun asıl amacı adli bilişim olmamakla birlikte 0 ve 1' leri kopyalama için kullanabildiğinden oldukça yararlı bir komuttur.

Kullanılışı:

dd if=giriş dosyası of=çıkış dosyası

Örneğin /dev/sda sabit diski harici disk olan /dev/sdc' ye kopyalanmak  isteniyor.

Öncelikle /dev/sdc' yi monte (mount) etmek gerekecektir. /mnt klasöründe harici disk alt klasörü oluşturulsun:

mkdir /mnt/harici_disk

Şimdi /dev/sdc' yi monte edilsin:

mount /dev/sdc /mnt/harici_disk

Sıra ana diski harici diske kopyalamaya geldi:

dd if=/dev/sda of=/mnt/harici_disk/backup.img

backup.img  sda diskinin bire bir kopyası olacaktır.

Sabit diksteki bilginin kopyalanması için bir kaç yöntem mevcuttur.

• Direkt  Sabit Diskten Kopyalama: Bu yöntemde saldırıya uğramış sabit disk, adaptör yardımıyla bilgisayara bağlanır ve kopyalama işlemi adli analiz bilgisayarından gerçekleşir.

Avantajları: Bu yöntemle ana  bilgisayara kopyalama hızlı bir biçimde gerçekleşir.

Dezavantajları: Geçici (volatile) data dediğimiz bilgiler kaybolur. Bunlar RAM, ve ağ bağlantıları gibi bilgileridir.

• Farklı Bir İşletim Sistemi Üzerinden Kopyalama: Bu yöntemde saldırıya uğramış bilgisayara boot edilebilinen linux cd si takılıp bilgiler alınır.

Avantajar: Birinci  yöntemdeki gibi sabit diski çıkarmaya gerek yoktur.

Dezavantajları: Bilgisayar tekrar başlatılacağından geçici data bu yöntemde de kaybedilecektir.

• Canlı Sistem Kopyalanması: Bu yöntemde  sistem fişi çekilmeden kopyalanabilir. Herhangi bir açık kodlu adlı bilişim programıyla bu işlem gerçekleştirilebilir.  Örneğin Helix bu programlardan biridir. Helix saldırıya uğramış bilgisayara takılarak istenilen bilgiler elde edilebilinir. Helix Linux ve Windows işletim sistemlerinde problemsiz çalışabilmektedir. Burada önemli olan RAM, ağ bağlantıları gibi önemli bilgilerin de depolanabileceği ve belki de en önemlisi saldırganın sistem kapatılmadığı için  yapılan işlemlerden haberdar olamıyacağıdır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.