Merhaba değerli Adli Bilişim meraklıları,
Bugünkü yazımda, Windows işletim sistemi içerisinde yer alan herhangi bir dosyanın oluşturulma ve değiştirilme tarihlerini Anti-Forensics tekniği uygulayarak manipüle edecek daha sonrasında da bu manipülasyonu tespit ediyor olacağız.
Haydi başlayalım...
Öncelikle manipülasyonu gerçekleştirmek için Attribute Changer yazılımını kullanıyor olacağım. (İndirmek için buraya tıklayabilirsiniz)
Not: Ekran görüntülerini, üzerlerine tıklayarak daha net ve büyük şekilde görebilirsiniz.
Kurulum işlemi tamamlandıktan sonra şimdi dosyamızın oluşma ve değişme tarihlerini değiştirelim.
Adım 1: İbrahim Baloğlu.docx isimli dosyamızın ilk orijinal oluşturulma tarihine bakalım. Dosyamızın oluşturulma ve son değiştirilme tarihinin 15.10.2021 17:32 olduğunu görüyoruz.
Adım 2: Attribute Changer yazılımını kullanarak dosyamızın oluşturulma ve değiştirilme tarihini 05.03.2020 23:23 olarak değiştirdik. Aşağıdaki ekran görüntüsünden de görüleceği üzere dosyamızın özellikler bölümünde, tarih ve saat istediğimiz şekilde değişmiş.
Buraya kadar basit bir Anti-Forensics tekniği uygulayarak dosyamızın tarih ve saatini değiştirdik. Şimdi sıra bunu nasıl tespit edeceğimizde.
Bu tespit için MFT dosyamızı kullanmamız yeterli. (MFT, NTFS dosya sistmeine sahip bir bilgisayardaki tüm dosya ve dizinler ile ilgili bilgilerin tutulduğu bir sistem dosyasdır.)
MFT, işletim sistemi içerisindeki her dosya için 8 adet zaman damgası tutmaktadır. Bu 8 adet zaman damgasının 4 ü $STANDART_INFORMATION özniteliğinde, geriye kalan 4 ü ise $FILE_NAME isimli öznitelik içerisinde depolanmaktadır.
$STANDART_INFORMATION özniteliğinde tutulan zaman damgaları kullanıcı seviyesinde manipüle edilebilirken, $FILE_NAME özniteliğinde tutulan zaman damgaları çekirdek seviyesinde olup kullanıcı seviyesinde manipüle edilememektedir. Bu bilgi doğrultusunda MFT dosyamızı ayrıştırdıktan sonra $FILE_NAME alanı ile $STANDART_INFORMATION alanındaki tarihleri karşılaştırmamız gerektiğini anlayabiliyoruz.