CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Dosya Sistemleri Analizi: NTFS, FAT32 ve exFAT ile Forensic Yaklaşımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Dosya sistemleri analizi, siber güvenlikte kritik bir rol oynamaktadır. NTFS, FAT32 ve exFAT gibi sistemleri keşfedin.

Dosya Sistemleri Analizi: NTFS, FAT32 ve exFAT ile Forensic Yaklaşımlar

Siber güvenlikte dosya sistemi analizi, tehdit görünürlüğünü artırır. NTFS, FAT32 ve exFAT gibi sistemlerin forensic açıdan incelenmesi ile önemli veriler elde edin.

Giriş ve Konumlandırma

Siber güvenlik alanında, bilgi güvenliği tehditleri sürekli olarak evrim geçirmekle birlikte, bu tehditleri analiz etme ve önleme yöntemleri de paralel olarak gelişmektedir. Bu bağlamda, dosya sistemi analizi, hem siber güvenliğin hem de dijital adli bilimin temel taşlarından biri haline gelmiştir. Bu yazıda, popüler dosya sistemlerinden NTFS, FAT32 ve exFAT ile ilgili forensic yaklaşımları ele alacağız.

Dosya Sistemi Tanımı

Dosya sistemi, verilerin disk üzerinde nasıl organize edildiğini belirleyen yapıdır. Verimin etkin bir şekilde saklanması ve erişimi için kritik öneme sahiptir. Siber güvenlik profesyonelleri, dosya sistemi analizini kullanarak, olası tehditleri ve veri kayıplarını tespit edebilir. Bu süreç, verilerin iç yapısını ve tüm aktiviteleri anlamak için temel bir adımdır.

Dosya Sistemi Analiz Süreci

Dosya sistemi analizi, belirli adımlar içerir ve bu adımlar, adli bilişim çalışmaları sırasında yaşanan birçok sorunu çözmek için kilit öneme sahiptir. Analiz süreci tipik olarak şu aşamalardan oluşur:

  1. Partition Tanımlanması: Analiz yapılacak disk bölümleri belirlenmelidir.
  2. File System Belirlenmesi: Kullanılan dosya sistemi türü tespit edilmelidir.
  3. Metadata İncelemesi: Dosyalar hakkında bilgi sağlayan metadata, dosya analizi için kritik bir bileşendir.
  4. Timestamp Analizi: Dosyanın yaratılma, değiştirilme ve erişilme zamanları incelenir.
  5. Silinmiş Verilerin Tespiti: Silinmiş dosyalar, forensic araçlarla ortaya çıkarılabilir.

Yukarıda belirtilen adımlar, dosya sistemi analizinin genel çerçevesini çizerken, bu süreçlerin her biri önemli forensic bilgiler sunar.

Dosya Sistemi Türleri

Farklı uygulamaların ve ihtiyaçların çeşitliliği, dosya sistemlerinin farklı türlerini doğurmuştur. Aşağıda üç ana dosya sisteminin kısa tanımları verilmiştir:

  • NTFS (New Technology File System): Windows işletim sistemlerinde kullanılan ve gelişmiş özellikler sunan bir dosya sistemidir. NTFS, dosya düzeyinde güvenlik, veri bütünlüğü ve veri kurtarma gibi avantajlar sağlar. Özellikle büyük dosyalar ve disk bölümleri için idealdir.
NTFS Özellikleri:
- Gelişmiş güvenlik (ACL’ler)
- Disk alanı yönetimi
- Hızlı kurtarma ve hatalı alan yönetimi
  • FAT32 (File Allocation Table 32): Eski ve geniş uyumlu bir dosya sistemidir. Basit yapısı sayesinde birçok cihaz ve işletim sistemi tarafından desteklenir, fakat dosya boyutu sınırlaması gibi dezavantajları vardır.
FAT32 Sınırlamaları:
- Maksimum dosya boyutu: 4GB
- Kesin güvenlik özellikleri bulunmaz
  • exFAT (Extended File Allocation Table): FAT32'nin sınırlamalarını aşmak için tasarlanmış, büyük taşınabilir medya sistemleri için uygun bir dosya sistemidir. Özellikle büyük dosyaların depolanmasında etkilidir.
exFAT Özellikleri:
- Maksimum dosya boyutu: 16EB
- Daha geniş depolama alanları için optimize edilmiştir

Siber Güvenlik ve Forensic Analiz

Siber güvenlik alanında, dosya sistemi analizi sadece veri kurtarma amacıyla değil, aynı zamanda tehdit görünürlüğü sağlamak için de kritik bir öneme sahiptir. Çeşitli güvenlik ihlalleri ve veri kayıpları, dosya sistemleri üzerinden incelenerek, olayların kökenini bulmaya ve etkili müdahale stratejileri geliştirmeye olanak tanır.

Forensic analistler, dosya sistemlerinde meydana gelen olayları izlemek ve incelemek için gelişmiş araçlar kullanır. Bu araçlar, zaman tabanlı analizler gerçekleştirmek ve geçmişte yapılan işlemleri gün ışığına çıkarmak için kritik öneme sahiptir. Özellikle timestamp analysis (zaman bilgisi analizi) ile dosya üzerinde gerçekleştirilen tüm işlemler takip edilebilir, böylece olası kötü niyetli aktiviteler gözlemlenir.

Sonuç

Dosya sistemleri analizi, siber güvenlik pratiğinin vazgeçilmez bir parçasıdır. NTFS, FAT32 ve exFAT gibi dosya sistemlerinin forensic bağlamda incelenmesi, veri bütünlüğünü sağlamak ve potansiyel tehditleri tespit etmek açısından önemlidir. Bu yazıda ele alınacak konular, okuyucunun teknik bilgi seviyesini artırmayı ve adli bilişim uygulamalarını daha derinlemesine anlamasını hedeflemektedir. Diğer bölümlerde analiz süreçleri, metadata kullanımı ve forensic kritik alanlar gibi daha detaylı bilgilere yer verilecektir.

Teknik Analiz ve Uygulama

Dosya Sistemi Tanımı

Dosya sistemi, verilerin disk üzerinde organize edilmesini sağlayan yapıya verilen isimdir. Bu sistemler, işletim sistemlerinin veri yönetimi ve depolama süreçlerini etkiler. NTFS, FAT32 ve exFAT, en yaygın kullanılan dosya sistemleridir. Her biri, veri yapısı ve yönetimi açısından farklılıklar taşır ve adli inceleme süreçlerinde farklı avantajlar sunar.

Dosya Sistemi Analiz Süreci

Dosya sistemi analizi, SOC (Security Operations Center) L2 analistlerinin gerçekleştirdiği önemli bir süreçtir. Disk üzerinde yapılan bu analiz, önceki dosya aktivitelerini anlamak ve silinmiş verileri geri getirmek amacıyla gerçekleştirilir. Bu süreç, genel hatlarıyla şu adımlardan oluşur:

  1. Partition Tanımlanması: Disk bölümleri belirlenir.
  2. Dosya Sistemi Belirlenmesi: Kullanılan dosya sistemi saptanır (NTFS, FAT32 veya exFAT).
  3. Metadata İncelemesi: Dosyaların oluşturulma, erişim ve değiştirilme bilgileri analiz edilir.
  4. Timestamp Analizi: Dosyaların zaman bilgileri detaylandırılır.
  5. Silinmiş Verilerin Tespiti: Silinmiş veya kayıp dosyalar üzerinde analiz yapılır.

NTFS Tanımı

NTFS (New Technology File System), Microsoft tarafından geliştirilen ve Windows işletim sistemlerinde kullanılan gelişmiş bir dosya sistemidir. NTFS, özellikle büyük dosyalar ve disk bölümleri üzerinde yüksek performans sunar. NTFS'nin birçok avantajı arasında veri bütünlüğü, güvenlik ve dosya sistemine ait büyük verilerle çalışma yeteneği bulunmaktadır. NTFS, ana dosya kayıt tablosu (MFT - Master File Table) adı verilen bir yapı kullanarak dosya bilgilerini organize eder.

Dosya Sistemi Forensics Avantajları

Dosya sistemi analizi, tehdit görünürlüğü sağlar ve adli inceleme süreçlerinde önemli veriler sunar. NTFS gibi gelişmiş dosya sistemleri, silinmiş dosyaları geri getirme, kullanıcı aktivitelerini izleme ve zaman çizelgesi oluşturma gibi özellikler sunar. Bu yetenekler, olay sonrası inceleme süreçlerinde kritik öneme sahiptir. NTFS'nin avantajları arasında:

  • Yüksek Verimlilik: Büyük veri kümeleri ve dosyalarla başa çıkabilme.
  • Gelişmiş Güvenlik: Dosyaların şifrelenmesi ve erişim kontrolü.
  • Detaylı Metadata: Dosya bilgileri ve zaman damgalarının kapsamlı bir şekilde kaydedilmesi.

Örneğin, bir NTFS dosya sisteminde bir dosyanın metadata bilgilerine şu şekilde ulaşabilirsiniz:

Get-Item <dosya_yolu> | Format-List *

Bu komut, belirtilen dosya yolundaki dosyanın tüm metadata bilgilerini ayrıntılı bir şekilde listeler.

Metadata Tanımı

Metadata, dosya hakkında oluşturulma, erişim ve değişiklik bilgileri içeren verilerdir. Bu bilgiler, adli analiz sırasında dosyaların geçmişini izlemekte yardımcı olur. NTFS dosya sisteminde, dosya metadata'sı MFT içinde saklanır; bu, dosya sisteminin etkin bir şekilde analiz edilebilmesine olanak tanır.

Örneğin, aşağıdaki komut ile bir diskin MFT'sini incelemek mümkündür:

ntfsinfo <disk_yolu> -mft

Bu komut, disk yolundaki MFT'nin detaylarını gösterir ve dosya sisteminin yapısını anlamanıza yardımcı olur.

Forensic Kritik Alanlar

Dosya sistemi analizinde önemli forensic bileşenlerini belirlemek, olayların araştırılmasında kritik öneme sahiptir. Bu kritik alanlar şunlardır:

  • Silinmiş Verilerin Geri Getirilmesi: Önceki kullanıcı aktivitelerinin izlenmesi için silinmiş dosyaların analizi.
  • Kullanıcı Aktivitelerinin Analizi: Dosyaların hangi kullanıcılar tarafından erişildiği ve hangi aktivitelerin gerçekleştirildiğinin belirlenmesi.
  • Timestamp Analizi: Zaman bilgileri üzerinde detaylı incelemeler yaparak olayların zamanlamasını belirlemek.

Timestamp analizi, dosyaların hangi zaman dilimlerinde oluşturulduğu, erişildiği ve değiştirildiği bilgilerini inceler. MACB (Modify, Access, Change, Birth) zaman çizelgesi analizi, bu bilgilerin detaylı bir şekilde ele alınmasını sağlar.

2023-01-01 10:00:00 - Dosya oluşturuldu
2023-01-02 14:30:00 - Dosya erişildi
2023-01-03 09:15:00 - Dosya değiştirildi

Yukarıdaki örnek, bir dosyanın MACB zaman bilgilerini basit bir zaman çizelgesi üzerinde göstermektedir. Adli analizlerde bu tür zaman damgalarının incelenmesi, olayların sırasını anlamak için kritik rol oynar.

SOC L2 Dosya Sistemi Rolü

SOC L2 analistleri, dosya sistemi yapılarını detaylı bir şekilde inceleyerek silinmiş kanıtları tespit eder ve kullanıcı aktivitelerini analiz eder. Bu süreç, bireysel kullanıcılar, sistem yöneticileri ve güvenlik uzmanları tarafından gerçekleştirilen adli incelemelerde son derece önemlidir. SOC L2'nin temel görevi, dosya sistemlerinden elde edilen bilgileri kullanarak potansiyel tehditleri belirlemek ve bu tehditlere karşı etkili yanıtlar geliştirmektir.

File System Forensics Mastery

Dosya sistemi forensics, doğru teknikler ve yöntemler kullanılarak ustalıkla gerçekleştirildiğinde, veri ekonomisi ve bütünlüğünün korunmasına önemli katkılarda bulunur. NTFS, FAT32 ve exFAT dosya sistemlerinin her biri, adli süreçlerde kullanılabilecek benzersiz özellikler sunar. Bu özelliklerin iyi anlaşılması, adli incelemelerde doğru ve etkin sonuçlar elde edilmesini sağlar. Anlamak ve uygulamak gereken başlıca kavramlar arasında metadata, timestamp analizi ve dosya sisteminin genel yapısı yer almaktadır. Bu süreçlerin yetkin bir biçimde yürütülmesi, siber güvenlik alanında güçlü bir uzmanlık sağlar.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Dosya sistemi analizi, özellikle siber güvenlik ve dijital adli bilimler alanında kritik bir role sahiptir. Analiz sürecinde, sistemin yapılandırılmasında yer alan zayıf noktalar ve yanlış yapılandırmalar dikkatlice gözden geçirilmelidir. NTFS, FAT32 ve exFAT gibi yaygın dosya sistemleri, siber tehditler karşısında farklı derecelerde hassasiyet ve risk taşımaktadır.

Yanlış Konfigürasyon ve Zafiyetler

Yanlış yapılandırmalar, adli bilişim süreçlerinde ciddi sorunlar yaratabilir. Örneğin, NTFS dosya sisteminde kullanılan izin ve erişim kontrolleri uygun bir şekilde yapılandırılmazsa, yetkisiz erişim ve veri sızıntısına yol açabilir. Bunun yanı sıra, FAT32'nin sınırlı dosya boyutu ve dosya sayısı gibi kısıtlamaları, belirli durumlarda veri kaybına neden olabilir. Elde edilen bulguların güvenlik anlamı oldukça önemlidir; dolayısıyla analiz esnasında bu tür zafiyetlerin belirlenmesi, olası saldırıların önlenmesi adına kritik bir adım olacaktır.

// Başlıca Dosya Sistemleri ve Zafiyetleri
Dosya Sistemi  | Zafiyet Türü
-------------------------------
NTFS           | Yanlış izin yönetimi
FAT32          | Dosya boyutu sınırlamaları
exFAT          | Yetersiz veri bütünlüğü

Sızan Veri, Topoloji ve Servis Tespiti

Analiz sırasında, sızan veri ve genel ağ topolojisi hakkında bilgi elde etmek mümkün olabilir. Dosya sistemlerinde saklanan meta veriler, sızan verilerin hangi dosyalardan geldiğini, hangi zaman diliminde meydana geldiğini ve nerede bulunduğunu gösterir. Örneğin, sızan bir dosya üzerinde yapılan timestamp analizi, dosyanın oluşturulma, erişim ve güncellenme tarihlerini belirleyerek, veri akışını izlemek açısından önemli bir rol oynar.

Profesyonel Önlemler ve Hardening Önerileri

Her ne kadar dosya sistemlerinin yapılandırmaları farklılık gösterse de, genel olarak aşağıdaki profesyonel önlemler alınmalıdır:

  1. Doğru İzin Yönetimi: NTFS dosya sistemi üzerinde, dosya ve dizinlere erişim izinlerini düzgün bir şekilde ayarlamak, hem kullanıcı verilerini hem de işletim sistemini korur.
  2. Düzenli Güncellemeler: İşletim sistemlerinin ve dosya sistemlerinin düzenli olarak güncellenmesi, bilinen zafiyetleri kapatmak açısından önemlidir.
  3. Veri Şifreleme: Hassas verilerin şifrelenmesi, veri sızıntılarına karşı kritik bir savunma mekanizmasıdır.
  4. Backup (Yedek Alım): Veri kaybını önlemek için düzenli yedeklemeler yapmak ve bu yedekleri güvenli bir yerde saklamak gerekir.
  5. Güvenli Konfigürasyon İlkeleri: Tüm sistem ayarlarının güvenli bir biçimde yapılandırılması, potansiyel saldırılara karşı koruma sağlar.

Sonuç Özeti

Dosya sistemleri analizi, NTFS, FAT32 ve exFAT gibi yapıların incelenmesi ile güvenlik açıklarının tespit edilmesine olanak tanır. Yanlış yapılandırmalar ve zafiyetler, sızan verilerin kaynağını izlemek ve gerekli önlemleri almak açısından kritik öneme sahiptir. Alınacak profesyonel önlemler ve hardening yöntemleri, bu tür güvenlik risklerinin minimize edilmesine yardımcı olur. Siber güvenlik uzmanlarının düzenli olarak dosya sistemi analizlerini gerçekleştirmesi, sistemlerin güvenliğini artırmak adına gereklidir.