WINDOWS Forensics  

Windows işletim sistemi ile ilgili adli bilişim çalışması yapılabilecek araçlar yer alır.

FSV Thumbs Extractor: Faststone Image Viewer tırnak resim keş  dosyasından tırnak resim bilgilerini çeker.

LnxExaminer: Kullanıcının belirlediği klasör veya klasörler de bulunan  Windows LNK dosyalarının içeriğini görüntüler.

ShadowKit: Windows 7 deki Windows Volume Shadow Copy dosyalarını kurtarmak için yardımcı bir araçtır.

ShadowExplorer: Windows Vista/7 Volume Shadow Copy servisi tarafından üretilen Shadow kopyalarını görüntülemeye yarar. Özellikle ‘home edition’ işletim sistemi kullanıcıları için üretilmiştir, normalde bu sürüm kullanıcıları bu kopyaları görüntüleyemezler. Diğer sürüm (edition) kullanıcıları için de yararlı bir araç.

StreamFinder: Bir bütün disk parçasında (partition) yada tek bir klasörde  Alternate Data Streams (AD“) dosyalarını arar.

Windows File Analyzer: Windows işletim sistemi tarafından kullanılan bazı dosyaları deşifreler(decode) ve analiz eder. Adli bilişim araştırmaları için ilginç sonuçlar üretir. Analiz sonuçları kullanıcı dostu bir arayüz ile yazdırılabilir.

VW7: Canlı bir işletim sistemi yada yerleştirilen bir imaj dosyasından (EO1 gibi) Vista ve Windows Recycle Bin’i okur.

AlternateStreamView: NFT“ sürücünüzü tarayıp bütün gizli art arda gelen akışları (alternate streams) bulmaya yarayan bir araç. Tarayıp sonuç bulduktan sonra, bu akışları istenilen klasöre çıkarabilir, istenmeyenleri silebilir, yada farklı formatlarda kaydedebilirsiniz.

AppCrashView: Windows Vista/7 işletim sistemlerinde oluşan uygulama hatalarının (application crash) tümünü detaylarıyla gösteren bir araçtır. Herhangi bir uygulama hatası oluştuğunda Windows Error Reporting(WER) konsolu .wer adlı dosya üretir, AppCrashView ise bu dosyayı inceler. “onuçların farklı formatlarda çıktıları alınabilir.

BlueScreenView: “isteminizdeki mavi ekran hataları (blue screen of death) sırasında oluşan küçük çökme (minidump) raporlarını inceler ve bir tabloda bütün çökmeler hakkında bilgi sunar. Her çökme için şu bilgileri sunar: sebep olan dosya adı, çökme tarih ve saati, mavi ekranda gösterilen temel bilgiler. Ayrıca çökme panelinde (crash stack) adresi bulunan sürücüleri de size söyler, böylece çökmeye  sebep olan muhtemel sürücüyü bulabilirsiniz.

InsideClipboard: Halihazırda clipboard’ta (ctrl+c/x yapıldığında verinin tutulduğu hafıza) tutulan bütün bilgilerin ikili içeriğini (binary content) gösteren, bunu bir ikili dosyada(binary file) da kaydetmeye olanak sunan araçtır.

JumpListView: Win 7/8 işletim sistemlerinin ‘Jump Lists’ özelliği tarafından depolanan bilgileri gösterir.

LastActivityView: Windows işletim sistemi üzerinde çalışan çeşitli kaynaklardan bilgiler, kullanıcı tarafından yapılan işlem/aksiyonlar ve bilgisayar üzerinde oluşan hata vs. bulup gösteren bir araçtır. Gösterilen aktiviteler şunlardır: Çalışan .exe dosyaları, açık/kapalı diyalog kutuları, açılan/kapatılan dosyalar, yazılım yüklemeleri, sistem çökmeleri (crash), sitemi açıp/kapama bilgileri (shut down/start). “onuçlar diğer araçlarda olduğu gibi çeşitli  formatlarda dışarı aktarılabilir.

MIMEView: “istemde tanımlı bütün MIME türlerini (Multipurpose Internet Mail Extensions). Her MIME türü için ilgili dosya uzantısı ile ilgili bilgiler ve yüklenilen eklentiler de gösterilir.

MUICacheView: Sistemdeki MuiCache elemanlarını liste halinde gösterir ve düzenlenmesine olanak sağlar. MuiCache elemanları tarafınızdan listeden silinse bile, bu uygulamayı sonraki çalıştırmada listede tekrar silinen elemanın görüneceğini unutmayın.

MyEventViewer: Bildiğimiz Windows Olay Yöneticisine bir alternatif araçtır. Ayırt edici özellik olarak MyEventViewer bir listede bir den fazla olay kaydı görüntüleyebilir. Olay açıklaması ve veriler yeni bir pencere açılmadan ana pencerede görüntülenir. Bu araçla, listeden bir veya  birden fazla olay seçip çeşitli formatlarda dışa aktarım da yapabilirsiniz.

EventLogSourcesView: “istemde yüklü olan bütün olay kayıtlarını (event log) görüntüler. Olay kaynağı adı, olay tipi, olay mesajını içeren DLL/EXE dosyaları vs. bilgilerini her olay kaydı için gösterir.

WhatInStartup: Bu uygulama, Windows başladığında otomatik olarak yüklenen uygulamalar listesini gösterir. İstemediğiniz programı kolayca silebilir pasif hale getirebilirsiniz. Kendi çalışan Windowsunuzda kullanabileceğiniz gibi, başka harici bir sürücüde bulunan Windows örneğinde (instance) de çalıştırabilirsiniz. ‘Permanent Disabling’ denilen güzel bir özelliği de mevcut, eğer başlangıçta çalışmadığını istemediğiniz bir program pasif ederseniz ve o program tekrar kendi kendini çalışma listesine ekler ise, bu araç otomatik olarak onu bulup tekrar pasif hale getirir.

WinPrefetchView: “isteminizde bir uygulama çalıştırdığınız her seferde, Windows işletim sistemi tarafından o uygulamanın çalışmak için sisteme yükleyeceği dosyalar hakkında bilgiler içeren bir ‘Prefetch’ dosyası oluşturulur. ‘Prefetch’ dosyası o uygulamayı tekrar  çalıştırdığınızda çalıştırma/yükleme hızını optimize eden bilgiler içerir. WinPrefetchView aracı bu dosyanın içinde bilgileri okuyan bir araçtır. Bu dosyayı kontrol ederek her uygulamanın kullandığı  dosyaları, Windows boot edilirken yüklenen dosyaları görebilirsiniz.

Simple File Parser: Kullanımı kolay olan, ışık kadar hafif (light-weight) (300KB tan az), Windows tabanlı ve grafik arayüzü olan, birden fazla Windows adli bilişim programlarını ayrıştırıp(parse) kullanabilen araçtır. Link ayrıştırması, INDX belgelerinin ön  okumasını(prefetch) yapar.

WinLogOnView: Windows Vista/7/8/2OO8 için, işletim sisteminin güvenlik olay kayıtlarını (security event log) analiz eden, kullanıcının giriş/çıkış yaptığı tarih ve saati ortaya çıkaran bir araçtır. Kullanıcı her sisteme giriş/çıkış yaptığında (log in/log off), şu bilgiler alınır: Logon ID, Kullanıcı Adı, domain, bilgisayar, giriş(Log on) zamanı, çıkış(log off) zamanı, oturumun açık kaldığı süre vs. Aracın ürettiği sonuçlar kolayca dışarı aktarılabilir.

WINDOWS Forensics Registry  

Registry Decoder Live R24: Bu araç ile Kayıt Defteri Deşifreleyicinin (Registry Decoder) canlı kayıt defteri kovanı (live registry hive) elde edilebilir. Windows işletim sistemlerinin hem 32 bit hem de 64 bit sürümlerinden hem hâlihazırda  çalışan hem de geçmişe yönelik kayıt defteri dosyaları elde edilebilir.

RegistryReport: Windows NT5 in kayıt defteri dosyaları olan ‘“Y“TEM’, ‘“OFTWA‘E’, ‘“AM’ ve ‘NTU“E‘. DAT’ tan mevcut işletim sistemi, yüklenen yazılımlar, kullanıcı son aktivitesi, kullanıcı ayarları gibi bilgileri gösterir.  Varsayılan dil Almanca olup menüden İngilizce yapılabilir.

RegRipper: Windows Kayıt Defteri veri çıkarma ve ilişkilendirme aracıdır. Kayıt defteri kovan dosyalarına (Registry hive files) Win32API’yi elemine ederek erişip  spesifik anahtarlar, değerler çıkarmak için Nessus gibi eklenti tabanlı çalışır.

Windows Registry Recovery: Windows 9x,NT,2K,XP,2K3 kayıt defteri kovanlarını içeren dosyaları okumaya yarar. Host makinenin konfigürasyon ve Windows yükleme ayarları hakkında birçok yararlı bilgi çıkarır.

RegScanner: Kayıt defterini (registry) tarayıp, spesifik arama kriterine uyan, istenilen Kayıt defteri değerini bulup, bir liste halinde gösterebilen bir araçtır. Kayıt defteri değerini bulduktan sonra, listedeki bir elemana basitçe çift tıklayıp, ‘egEdit’teki doğru değere kolayca geçiş yapabilirsiniz. Bulunan kayıt defteri değerlerini ‘egEdit’te kullanılabilen .req uzantılı dosya halinde dökebilirsiniz.

USBDeview: Mevcutta sisteminize bağlı olan U“B cihazları listeleyebildiği gibi, daha öncesinde bağlanmış olanları da gösterir. Her U“B için şu bilgiler gösterilir: U“B cihaz adı/açıklaması, cihaz tipi, yığın bellekler(mass storage) için seri numarası, bu cihazın eklendiği tarih saat, üretici ID, ürün ID vs. USBDeview, mevcut takılı U“B cihazlarını pasif aktif edebildiği gibi, daha önce kullanılmış U“B cihazının yazılımını bilgisayardan kaldırabilir. Uzak bir bilgisayara yönetici kullanıcısı ile giriş yapıldığı müddetçe, uzaktan da kontrol sağlanılabilir.

UserAssistView: Kayıt Defterindeki (registry)

‘HKEY_CU‘‘ENT_U“E‘\Software\Microsoft\Windows\Current\Version\Explorer \UserAssist’ anahtarı altında depolanan UserAssist girişlerinin tümünü listeler. UserAssist anahtarları .exe dosyaları ve sıklıkla açtığınız linkler hakkında bilgiler içerir. Programın ürettiği sonuç listesinden istemediğiniz satırı silebileceğiniz gibi listeyi text/html/xml/csv gibi farklı formatlarda da dökebilirsiniz.

ShellBagger: Microsoft Windows kullanıcının pencere görüntüleme tercihlerini takip eder. Takip ettiği şeyler arasında: boyut, görünüm, ikon ve bir klasörün pozisyonu yer alır. Bu bilgiler ‘ShellBags’ olarak bilinir ve Kayıt Defteri içinde çeşitli yerlerde tutulur. Bu bilgiler bir adli bilişim soruşturmacısı için son derecede önem arz etmektedir. Çünkü ‘ShellBags’ kalıcıdır ve o dosya dizini (directory) silinse bile bu bilgiler orda kalır. Ayrıca geçmişte sisteme takılan U“B sürücüleri, haritalanmış sürücüler (mapped devices), ağ klasörleri, silinen dosyalar ve kullanıcı aksiyonları hakkında bilgi açığa çıkardığı için çok önemli bir araçtır.

WINDOWS Forensics Printer Spooler 

EMFSpoolViewer: EMF (Enhanced MetaFile) formatındaki  bobin/makara (spool) dosyaları için bir görüntüleyici  uygulamadır. EMF dosyası nedir: Yazıcıya bir dosya  gönderildiğinde eğer yazıcı meşgul ise Windows gönderdiği işi  sırada tutmak için EMF dosyası oluşturup oraya yazar. Spooling:  birçok yazdırma işinin bir anda yazıcıya verilebilmesidir.

SplViewer: Bobin/Makara (spool) dosya görüntüleyicisidir. Yazıcı  dosyası içinde neler dönüyor öğrenmenize yarar. Bir spool  dosyasını izlemeniz için şu faydaları sağlar: spool dosyasını  görüntüleyip içinde farenizi aşağı yukarı yuvarlayabilirsiniz,  tırnak resimlere zoom-in zoom-out yapabilirsiniz, spool  dosyasını uygun pencere boyutunda görüntüleyebileceğiniz gibi  tam ekran da görüntüleyebilirsiniz, resimleri sağa veya sola 9O  derecelik açılarla döndürebilirsiniz.

Adli Bilisim Mühendisi


Saniye Nur

Adli Bilisim Mühendisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir