CyberFlow Logo CyberFlow BLOG
Digital Forensics

Scalpel ile Adli Dosya Kurtarma Teknikleri ve Uygulamaları

✍️ Ahmet BİRKAN 📂 Digital Forensics

Scalpel ile adli dosya kurtarma süreçlerini öğrenin. Bu rehber, araç kullanımı, yapılandırma ve kurtarma adımlarını detaylandırmaktadır.

Scalpel ile Adli Dosya Kurtarma Teknikleri ve Uygulamaları

Bu yazıda Scalpel kullanarak adli dosya kurtarma süreçleri ele alınıyor. Adım adım Scalpel yapılandırması, önizleme modu ve kurtarma teknikleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında dijital delillerin etkili bir şekilde toplanması ve analizi, adli bilişim süreçlerinin temel taşlarından biridir. Bu bağlamda, Scalpel aracı, dosya kurtarma teknikleri konusunda önem arz eden etkili bir çözümdür. Scalpel, özellikle silinmiş veya kaybolmuş dosyaların yeniden elde edilmesi amacıyla kullanılan bir dosya kesme (carving) aracı olarak tanımlanabilir. Bu yazıda, Scalpel'in farklı uygulamalarına ve adli dosya kurtarma sürecinde nasıl etkili bir şekilde kullanılabileceğine dair temel bilgiler verilecektir.

Neden Önemlidir?

Adli bilişim, suçların aydınlatılmasında kritik bir rol oynamaktadır ve dijital kanıtların geçerliliği, bu süreçlerin sağlıklı bir şekilde yürütülmesinde büyük önem taşımaktadır. Özellikle, saldırganların verilerini gizlemek için kullandıkları teknikler ve araçlar göz önünde bulundurulduğunda, Scalpel gibi dosya kurtarma araçlarının etkinliği daha da belirginleşmektedir. Dosya carving, disklerde mevcut olan veri kalıntılarını analiz ederek silinmiş dosyaların geri kazanılmasını sağlar. Bu nedenle, Scalpel'in sunduğu olanaklar, hem siber güvenlik uzmanları hem de adli bilişim uzmanları için vazgeçilmez bir değere sahiptir.

Scalpel'in Temel İşlevleri

Scalpel, birkaç aşamalı bir süreçte çalışarak hedef disk görüntüsündeki dosyaların yeniden kazanımını sağlar. Bu süreç, öncelikle yapılandırma dosyası olan scalpel.conf dosyasının uygun şekilde ayarlanmasını gerektirir. Bu dosyada, kurtarılacak dosya türleri (örneğin, JPG, PDF, ZIP gibi) tanımlanır. Yapılandırma dosyasının düzenlenmesi, hangi dosyaların kurtarılacağını tam anlamıyla belirlemek açısından kritik bir adımdır.

Bu aşamadan sonra, Scalpel'in önizleme modu kullanılarak, yalnızca bir denetim günlüğü oluşturarak, kurtarılan dosyaların bir listesinin görüntülenmesi sağlanabilir. Bu aşama, kurtarılacak dosyaların doğru bir şekilde seçilmesi adına önemlidir. Gerçek dosya kurtarma işlemine geçmeden önce, önceki adımlardaki verileri analiz etmek ve uygun dosyaları belirlemek, sürdürülebilir bir adli süreç için oldukça faydalıdır.

Kurtarılan dosyaların yazılacağı dizinin belirtilmesi de önem taşır. Bu dizin, güvenlik açısından boş bir klasör olmalı veya hiç var olmamalıdır. Hatalı bir yapılandırma veya yanlış dosya dizinleri, önemli verilerin kaybına neden olabilir.

Adli Bilişim ve Siber Güvenlik Bağlantısı

Siber güvenlik sahasında, yalnızca saldırıları engellemekle kalmayıp, aynı zamanda saldırıların izlerini tespit edebilmek de önemlidir. Buradaki temel hedeflerden biri, siber saldırıların kaynağını tespit etmek ve gelecekte benzer olayların önüne geçmektir. Scalpel gibi araçlar, adli bilişim alanında bu kaynağı belirlemek amacıyla yapılan analizlerde oldukça önemli bir yere sahiptir. Hedef disklerde bulunan silinmiş dosyaların kurtarılması, özellikle veri kaybı yaşandığında kritik bilgiler elde etmek için kullanışlıdır.

Teknik İçeriğe Hazırlık

Scalpel kullanımına giriş öncesinde, temel komut yapısının anlaşılması büyük önem taşır. Örneğin, Scalpel'in yardım ve sürüm kontrolü için aşağıdaki komut kullanılabilir:

scalpel -h

Yapılandırma dosyasının anlaşılması için gerekli olan farklı parametrelerin ve bu parametrelerin işlevlerinin doğru bir şekilde kavranması, kullanıcıların daha etkin bir analiz gerçekleştirmesine olanak tanır. Bu nedenle, Scalpel kullanmadan önce parametrelerini anlamak ve yapılandırma dosyasını düzenlemek gibi adımlar, kullanıcıların verimli bir analiz gerçekleştirmesi için önemlidir.

Daha sonraki bölümlerde; Scalpel aracı ile yapılan adli dosya kurtarma tekniklerinin uygulanmasında izlenecek adımlar, araç özellikleri ve karşılaşılabilecek zorluklar detaylı bir şekilde ele alınacaktır.

Teknik Analiz ve Uygulama

Scalpel ile Adli Dosya Kurtarma Teknikleri ve Uygulamaları

Siber güvenlik alanında adli analiz, verilerin adli soruşturma süreçlerindeki önemi nedeniyle büyük bir dikkate sahiptir. Scalpel, disk imajlarından dosya kurtarma işlemleri için kullanılan etkili bir araçtır. Bu bölümde, Scalpel aracının kullanımı ve teknik analizi üzerine kapsamlı bir inceleme gerçekleştireceğiz.

Adım 1: Scalpel Yardım ve Sürüm Kontrolü

Scalpel'i kullanmadan önce, aracın sürüm ve yardım bilgilerini görüntülemek için şu komutu kullanabilirsiniz:

scalpel -h

Bu komut, Scalpel'in mevcut sürümü hakkında bilgi almanızı sağlar ve mevcut parametrelerin nasıl kullanılacağını anlamanıza yardımcı olur.

Adım 2: Yapılandırma Dosyası (scalpel.conf) Mantığı

Scalpel, hangi dosya türlerinin kurtarılacağını belirlemek için bir yapılandırma dosyasına ihtiyaç duyar. scalpel.conf dosyasında, desteklenen dosya türlerini bulabilir ve kurtarma işlemi için gerekli ayarlamaları yapabilirsiniz. Örneğin, JPEG dosyalarını çıkarmak için dosyada yer alan ilgili satırın başındaki # işaretini kaldırmalısınız.

Bu yapılandırma dosyasında, dosyanın "Header" ve "Footer" bilgileri gibi önemli parametreler bulunmaktadır. Header, dosyanın başlangıcını belirlerken, Footer dosyanın bitişini gösterir. Örneğin:

# JPG
header = \xff\xd8
footer = \xff\xd9

Bu kısımda, dosya türleri ile ilgili ayarları düzenleyerek ihtiyaçlarınıza uygun hale getirebilirsiniz.

Adım 3: Önizleme Modu (Preview)

Gerçekten dosyaları diske yazmadan önce, nelerin kurtarılabileceğini görmek için önizleme modunu kullanmak önemlidir. Bu mod, herhangi bir dosyayı çıkarmadan, kurtarılabilecek dosya türlerini listeleyen bir audit log dosyası üretir. Önizleme modunu kullanmak için aşağıdaki komutu girebilirsiniz:

scalpel -p kanit.dd

Burada, kanit.dd disk imajında önizleme yaparak hangi dosya türlerinin kazanılabileceği hakkında bilgi alabilirsiniz.

Adım 4: Çıktı Dizini Belirleme

Kurtarılan verilerin yazılacağı dizini belirtmek önemlidir. Bu, verilerin düzgün bir şekilde saklanabilmesi için gereklidir. Kullanılan parametre şu şekildedir:

-o

Bu parametre ile birlikte, kurtarılan dosyaların kaydedileceği dizin belirlenmiş olur. Örneğin:

scalpel -o sonuc disk.img

Bu komut ile disk.img dosyasından verileri ayıklayıp belirlenen sonuc klasörüne yazabilirsiniz.

Adım 5: Gerçek Zamanlı Dosya Kurtarma

Yapılandırma dosyası hazırsa ve hedef imajı belirlediyseniz, gerekli komutu çalıştırarak verileri kurtarmaya başlayabilirsiniz. Örneğin, kurtarılan dosyaların kaydedileceği klasör ve hedef imaj belirlendikten sonra şu komutu kullanırsınız:

scalpel disk.img -o kurtarilan_dosyalar

Bu komut, belirtilen disk.img dosyasındaki verileri kurtarıp kurtarilan_dosyalar klasörüne yazar.

Adım 6: Mavi Takım ve Anti-Forensics

Scalpel gibi adli analiz araçları, siber saldırganlar tarafından genellikle çeşitli gizleme teknikleriyle engellenebilir. Örneğin, dosyaların üzerine rastgele veriler yazarak header/footer dizilerini bozmak için "Wiping" teknikleri kullanılmaktadır. Ayrıca, dosyaların içeriğini şifreleyerek tanınmamalarını sağlamak da bir başka yaygın tekniktir.

Bu nedenle, adli analiz sürecinde, saldırganların kullanabileceği gizleme yöntemlerinin farkında olmak ve bu yöntemlere karşı hazırlıklı olmak gereklidir. Adli veri kurtarma sürecinde, belirli teknikler kullanılarak güvenlik açığı tespit edilebilir ve ilgili önlemler alınabilir.

Sonuç olarak, Scalpel aracı, adli dosya kurtarma süreçlerinde oldukça etkili bir yöntem olarak öne çıkmaktadır. Doğru yapılandırma ve uygulama ile birlikte, siber güvenlik uzmanları tarafından etkili bir şekilde kullanılabilmektedir.

Risk, Yorumlama ve Savunma

Adli dosya kurtarma süreçlerinde elde edilen bulguların güvenlik analizi yapılmadan önce, risk değerlendirmesinin titizlikle gerçekleştirilmesi gerekmektedir. Bu durum, potansiyel tehditleri anlamak ve bunlara karşı savunma önlemleri geliştirmek için kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Scalpel gibi araçlar kullanılarak yapılan veri kurtarma işlemlerinde, kurtarılan dosyaların türleri ve içeriği, sistemin güvenlik durumu hakkında önemli ipuçları sunabilir. Örneğin, kurtarılan dosyalar arasında hassas veri olarak sınıflandırılabilecek kullanıcı bilgileri veya kurumsal belgeler tespit edilirse, bu durum sistemin zafiyetini gösterir ve veri ihlali riskini artırır.

Aşağıdaki komut örneği, kanit.dd imajı üzerinde sadece önizleme yaparak elde edilen bilgilerin güvenlik anlamını ortaya koymaktadır:

scalpel -p kanit.dd

Bu komutun çıktısı, kurtarılabilecek dosya türlerini ve potansiyel tehditleri belirlemede yardımcı olur.

Yanlış Yapılandırmalar ve Zayıflıklar

Bir sistemde yanlış yapılandırmalar veya zayıflıklar mevcutsa, bu durum siber güvenlik saldırılarına kapı aralayabilir. Scalpel'in yapılandırma dosyası (scalpel.conf), hangi dosya türlerinin kurtarılacağını belirler. Yanlış yapılandırmalar, saldırganların savunmasını gevşetebileceği alanlar yaratır. Örneğin, kurtarıcı dosyaların header ve footer bilgileri düzgün yapılandırılmadığında, kurtarılan verilerin doğruluğu ve bütünlüğü tehlikeye girebilir.

Sızan Veri ve Topoloji Analizi

Veri kurtarma sürecinde belirlenen sızan veriler, servislerin tespit edilmesi açısından hayati önem taşır. Örneğin, bir ağda zafiyeti olan bir servis tespit edildiğinde, bu noktaya yönelik saldırıların gerçekleştirilmesi yüksek ihtimaldir. Burada, kurumsal ağ topolojisinin gözlemlenmesi ve analiz edilmesi, hangi servislerin kritiklik taşıdığını anlamada büyük önem arz eder.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik durumunun iyileştirilmesi için uygulanabilecek profesyonel önlemler şunlardır:

  1. Kişisel Bilgilerin Korunması: Kullanıcı verilerinin saklandığı ve işlendiği tüm sistemlerde veri sınıflandırmasına gitmek.
  2. Yapılandırma Yönetimi: Scalpel’in yapılandırma dosyasının düzenli olarak gözden geçirilmesi ve gerektiğinde güncellenmesi.
  3. Ağ Güvenliği: Ağ büyümesini izlemek ve güvenlik duvarı kurallarını düzenli olarak kontrol etmek.
  4. Şifreleme: Hassas verilerin şifrelenmesi, veri ihlali durumunda bile içeriklerin ifşa olmamasını sağlayabilir.

Yukarıdaki önlemler, sistemin güvenlik durumu için sağlam bir temel oluşturacak ve potansiyel riskleri en aza indirecektir.

Sonuç

Siber güvenlikte risk analizi, elde edilen bulguların doğru yorumlanması ve yanlış yapılandırmaların etkisinin anlaşılması kritik bir rol oynar. Scalpel gibi araçlarla gerçekleştirilen adli dosya kurtarma süreçleri, yalnızca veri elde etme amacı taşımamalı, aynı zamanda gelen verilerin güvenliği üzerine ayrıntılı bir değerlendirme yapılmalıdır. Sistemlerin güvenliğini artırmak için düzenli analizler yapmak, zafiyetleri belirlemek ve profesyonel önlemler almak oldukça önemlidir.