$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

Dosya Tarih Manipülasyonu ve Tespiti (Anti -Forensics & Forensics)




 

Merhaba değerli Adli Bilişim meraklıları,

Bugünkü yazımda, Windows işletim sistemi içerisinde yer alan herhangi bir dosyanın oluşturulma ve değiştirilme tarihlerini Anti-Forensics tekniği uygulayarak manipüle edecek daha sonrasında da bu manipülasyonu tespit ediyor olacağız.

Haydi başlayalım...

Öncelikle manipülasyonu gerçekleştirmek için Attribute Changer yazılımını kullanıyor olacağım. (İndirmek için  buraya  tıklayabilirsiniz)

Not: Ekran görüntülerini, üzerlerine tıklayarak daha net ve büyük şekilde görebilirsiniz.

Kurulum işlemi tamamlandıktan sonra şimdi dosyamızın oluşma ve değişme tarihlerini değiştirelim.

Adım 1: İbrahim Baloğlu.docx isimli dosyamızın ilk orijinal oluşturulma tarihine bakalım. Dosyamızın oluşturulma ve son değiştirilme tarihinin 15.10.2021 17:32 olduğunu görüyoruz.


Adım 2: Attribute Changer yazılımını kullanarak dosyamızın oluşturulma ve değiştirilme tarihini 05.03.2020 23:23 olarak değiştirdik. Aşağıdaki ekran görüntüsünden de görüleceği üzere dosyamızın özellikler bölümünde, tarih ve saat istediğimiz şekilde değişmiş.



Buraya kadar basit bir Anti-Forensics tekniği uygulayarak dosyamızın tarih ve saatini değiştirdik. Şimdi sıra bunu nasıl tespit edeceğimizde. 

Bu tespit için MFT dosyamızı kullanmamız yeterli. (MFT, NTFS dosya sistmeine sahip bir bilgisayardaki tüm dosya ve dizinler ile ilgili bilgilerin tutulduğu bir sistem dosyasdır.)

MFT, işletim sistemi içerisindeki her dosya için 8 adet zaman damgası tutmaktadır. Bu 8 adet zaman damgasının 4 ü  $STANDART_INFORMATION özniteliğinde, geriye kalan 4 ü ise $FILE_NAME isimli öznitelik içerisinde depolanmaktadır.

$STANDART_INFORMATION özniteliğinde tutulan zaman damgaları kullanıcı seviyesinde manipüle edilebilirken, $FILE_NAME özniteliğinde tutulan zaman damgaları çekirdek seviyesinde olup kullanıcı seviyesinde manipüle edilememektedir. Bu bilgi doğrultusunda MFT dosyamızı ayrıştırdıktan sonra $FILE_NAME  alanı ile $STANDART_INFORMATION alanındaki tarihleri karşılaştırmamız gerektiğini anlayabiliyoruz.

Adım 3: MFT dosyamızı önce kopyalayalım (Rawcopy veya ftk imager kullanabilirsiniz) daha sonrasında da ayrıştırarak içerisindeki tarih alanlarına bakalım.



Kopyalama işlemimiz tamam, şimdi MFT dosyamızı ayrıştıralım.(MFTEcmd kullanabilirsiniz.)


Ayrıştırmış olduğumuz MFT içerisinde İbrahim Baloğlu.docx dosyamızın oluşturulma ve değiştirilme tarihlerini inceleyelim. 


0x30: File_Name
0x10: Standart_Information

Yukarıdaki ekran görüntüsünde (Ekran görüntüsündeki Tarih Formatı: UTC) görüldüğü üzere Attribute Changer ile değiştirmiş olduğumuz zaman damgası STANDART_INFORMATION alanında değişmiş iken FILE_NAME alanınındaki zaman damgası değişmeden orijinal olarak kalmış. Böylelikle dosya üzerinde yapılan tarih/zaman manipülasyonunu tespit etmiş olduk.


Soru, görüş ve önerileriniz olması durumunda iletişim formundan veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz. 

Sevgilerle






YORUMLAR⤵

Ad

adli bilişim Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti defender bypass digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: Dosya Tarih Manipülasyonu ve Tespiti (Anti -Forensics & Forensics)
Dosya Tarih Manipülasyonu ve Tespiti (Anti -Forensics & Forensics)
https://blogger.googleusercontent.com/img/a/AVvXsEi_K3cX3qe275BtvqyFuIevLwcGL9hczL9wTz2lPI6wg6cVcZN3fXz6GNstJyFCVfqOD9zni78XQ4gY2yVSwDe4YkS8B1zeOUJ_C_Etbh0trO28uQwSVMSXpENl7aHcMtBvHB8asgTagnoerWr0m4Sf9hy6PMQiclx1VPKwjlIShmH6cbOX-OwRZFT3Qw=s16000
https://blogger.googleusercontent.com/img/a/AVvXsEi_K3cX3qe275BtvqyFuIevLwcGL9hczL9wTz2lPI6wg6cVcZN3fXz6GNstJyFCVfqOD9zni78XQ4gY2yVSwDe4YkS8B1zeOUJ_C_Etbh0trO28uQwSVMSXpENl7aHcMtBvHB8asgTagnoerWr0m4Sf9hy6PMQiclx1VPKwjlIShmH6cbOX-OwRZFT3Qw=s72-c
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
http://www.ibrahimbaloglu.com/2021/10/dosya-tarih-manipulasyonu-ve-tespiti.html
http://www.ibrahimbaloglu.com/
http://www.ibrahimbaloglu.com/
http://www.ibrahimbaloglu.com/2021/10/dosya-tarih-manipulasyonu-ve-tespiti.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce