CyberFlow Logo CyberFlow BLOG
Digital Forensics

Scrounge-NTFS ile Bozuk NTFS Analizi: Adım Adım Rehber

✍️ Ahmet BİRKAN 📂 Digital Forensics

Bozuk NTFS dosya sistemleri için Scrounge-NTFS kullanarak veri kurtarma sürecini adım adım öğrenin. Siber güvenlikteki önemine dair bilgiler.

Scrounge-NTFS ile Bozuk NTFS Analizi: Adım Adım Rehber

Bu blog yazısında bozuk NTFS dosya sistemlerinin analizi için Scrounge-NTFS aracını kullanarak verilerinizi nasıl kurtarabileceğinizi keşfedeceksiniz. Adım adım rehberimizle işlemlerinizi kolayca gerçekleştirin.

Giriş ve Konumlandırma

Dijital forensics (dijital adli bilişim) alanında, bozuk veya erişilemeyen NTFS (New Technology File System) dosya sistemlerinin analizi, hem veri kurtarma hem de adli inceleme açısından kritik bir öneme sahiptir. NTFS, Windows işletim sistemlerinin temel dosya sistemi olarak, veri yönetimi ve depolama işlemleri için birçok gelişmiş özelliği barındırır. Ancak zaman içerisinde bozulmalar meydana gelebilir; bu, sistem çökmesi, kötü amaçlı yazılımların etkisi veya diğer olumsuz durumlar sonucunda gerçekleşebilir. Bu noktada, Scrounge-NTFS gibi araçlar devreye girer ve kaybolan veya bozuk verilerin kurtarılmasında hayati rol oynar.

Scrounge-NTFS, NTFS dosya sistemlerinin detaylı analizi ve veri kurtarma işlemleri için kullanılan bir araçtır. Kullanıcıların disk bölümlerini incelemesine, dosya yapılarını anlamasına ve kaybolan verileri geri kazanmasına imkan tanır. Bu yazılım, verilerin fiziksel yapısına dair önemli bilgiler sunarak, adli bilişim uzmanlarının ve siber güvenlik profesyonellerinin veri kaybı durumlarında etkili bir şekilde hareket etmelerine olanak tanır. İşte bu nedenle, Scrounge-NTFS ile gerçekleştirilecek bozuk NTFS analizi, günümüzün siber güvenlik uygulamalarında vazgeçilmez bir metodolojidir.

Neden Önemli?

Siber güvenlik bağlamında bozuk NTFS analizi, sadece veri kaybını önlemeye yönelik bir yöntem olmanın ötesine geçer. Aynı zamanda, kötü niyetli bir saldırının izini sürmek, saldırganların hangi verilere eriştiğini anlamak ve savunma stratejilerini geliştirmek için de kritiktir. Verilerin kaybolması durumunda, bu verilere erişim sağlayacak araçlar ve yöntemler hakkında bilgi sahibi olmak, siber güvenlik uzmanlarının ve adli bilişim elemanlarının işlerini kolaylaştırır.

Kötü amaçlı yazılımlar, dosya yapısında değişiklik yaparak veya verileri silerek birçok zarara yol açabilir. Bu durumda, Scrounge-NTFS gibi araçlar, NTFS’nin temel bileşenlerini analiz ederek, bölümleri, dosyaları ve veri yapılarını inceler. İncelenen veriler dayanarak, belki de saldırının izine ulaşmak ya da kaybolan verilerin bir kısmını kurtarmak mümkün olabilir.

Teknik İçeriğe Hazırlık

Bozuk NTFS analizine giriş yapmadan önce, NTFS’nin temel bileşenleri ve işleyiş mekanizmaları hakkında derinlemesine bilgi sahibi olmak önemlidir. NTFS, dosya ve dizin bilgilerini içeren Master File Table (MFT), disk üzerinde barındırılan veri kümeleri ve sektörler gibi kritik yapı taşlarına sahiptir. Verilerin fiziksel adresimi ve nasıl organize edildiği hakkında bilgi sahibi olmak, Scrounge-NTFS ile gerçekleştirilecek analiz sürecinin temelini oluşturur.

Kurtarma işlemleri sırasında, diskin mevcut durumunu analiz etmek, kaybolan verilerin kurtarılmasında büyük önem taşır. Bu nedenle, ilki olsa dahi, bölümlerin bilgilerini listelemek kritik bir adımdır. Ayrıca, kurtarma sırasında, dosyaların yazılacağı dizinin doğru bir şekilde belirlenmesi, veri kaybını önlemek ve sistemin stabil çalışması açısından hayati öneme sahiptir.

scrounge-ntfs -l /dev/sdb

Yukarıdaki komut, belirli bir diskin bölüm bilgilerini listelemek için scrounge-ntfs aracını kullanmanın bir örneğidir. Ancak, bu sadece başlangıçtır: doğru parametrelerin, başlangıç ve bitiş sektörlerinin belirlenmesi, hatta MFT'nin konumunun tespit edilmesi, başarılı bir kurtarma işletimi için gereklidir. Her adım, verinin döngüsel düzenini anlamaya yardımcı olur ve siber güvenlik uzmanlarının alması gereken önlemler hakkında bilgi sunar.

Scrounge-NTFS ile yapılan bu bozuk NTFS analizi, yalnızca veriyi kurtarmaktan ibaret değildir; aynı zamanda saldırganların izlerinin sürdüğü ve korunması gereken bilgilerin tahlil edildiği bir süreçtir. Öğrenilen her detay, siber uzayda karşılaşabileceğimiz muhtemel tehlikelere karşı daha sağlam bir direnç geliştirmemize olanak sağlar.

Gelecek kısımda, NTFS kavramlarını daha derinlemesine inceleyecek ve Scrounge-NTFS ile kurtarma sürecinin ilk adımlarını ele alacağız.

Teknik Analiz ve Uygulama

Bölüm Bilgilerini Listeleme

Siber güvenlik analizi sürecinin ilk adımı olarak, bozuk NTFS sistemlerin üzerinde işlem yapmak için disk bölümlerini belirlemek gerekir. scrounge-ntfs aracı ile disk üzerindeki mevcut bölüm bilgilerini listelemek için kullanılan komut aşağıdaki gibidir:

scrounge-ntfs -l /dev/sdb

Bu komut, /dev/sdb üzerindeki bölümlerin başlangıç ve bitiş sektörlerini transkribe ederek, yapılan işlemlerin doğruluğunu temin etmek için gerekli verileri sağlar. Bu bilgiler, ilerleyen adımlarda kurtarma işlemlerinde önemli bir temel oluşturacaktır.

NTFS Kavramlarını Tanıma

Bozuk NTFS sistemleri ile çalışırken, NTFS dosya sisteminin temel bileşenlerini anlamak kritik öneme sahiptir. Bu bileşenler şunlardır:

  1. MFT (Master File Table): Her dosya ve klasörün kaydını içeren indeks tablosudur. MFT, disk üzerindeki tüm dosya ve klasörlerin yapısını belirlemede anahtar role sahiptir.

  2. Cluster (Küme): Disk alanının mantıksal olarak bölümlenmiş en küçük birimidir. Genellikle 8 sektör büyüklüğündedir.

  3. Sector (Sektör): Diskin fiziksel adresleme birimi olup, genellikle 512 bayt kapasitesindedir.

Bu kavramların doğru bir şekilde anlaşılması, scrounge-ntfs komutunu uygularken parametreleri doğru girmek için gereklidir.

Çıktı Dizinini Belirleme

Kurtarma işlemlerinin başlatılabilmesi için, kurtarılan dosyaların hangi dizine kaydedileceği belirlenmelidir. Bu amaçla, scrounge-ntfs aracında -o parametresi kullanılır. Örneğin, kurtarılan dosyaların yazılacağı dizin için aşağıdaki işlem gerçekleştirilir:

scrounge-ntfs -o /root/kurtarilan

Burada, _root/kurtarilan_ dizini, dosyaların alınacağı hedef olarak tanımlanmıştır. Bu işlemin doğru bir şekilde yapılması, verilerin düzgün bir şekilde organize edilmesi açısından kritik bir adımdır.

Tam Manuel Kurtarma Operasyonu

Eğer başlangıç ve bitiş sektörü ile birlikte MFT ofsetini (bu adım opsiyonel) biliyorsanız, scrounge-ntfs aracı veri ayıklama işlemini gerçekleştirebilir. Örneğin, /dev/sdb diskinde 63. sektörden başlayıp 20480. sektörde sona eren bir bölüm kurtarma işlemine dair komut aşağıdaki gibidir:

scrounge-ntfs /dev/sdb 63 20480

Bu komut ile belirtilen sektör aralığındaki veriler kurtarılmaya başlanacaktır, ve bu tür bir işlem, veriye erişimin kritik olduğu durumlarda oldukça önemlidir.

MFT Ofsetinin Önemi

Veri kurtarma sürecinin karmaşık yapısı sebebiyle, MFT'nin tam konumunu tespit etmek hayati bir öneme sahiptir. Eğer dizin yapısının (klasör isimlerinin) olduğu gibi korunmasını istiyorsanız, MFT'nin yerini bilmeniz gerekir. MFT'nin ofseti belirlendiğinde, kurtarılan verilerin klasör hiyerarşisinin de korunması sağlanır. Bu, aşağıda belirtilen -m parametresi ile gerçekleştirilir:

scrounge-ntfs -m /dev/sdb 63 20480

Adli Bilişim ve Veri Karartma

Siber saldırganlar, kanıtları saklamak amacıyla çeşitli anti-adli teknikler kullanmaktadırlar. Bu yöntemlerin başında MFT wiping, slack space hiding ve overwriting gibi teknikler gelir. MFT wiping, MFT tablosundaki kayıtların üzerine rastgele veriler yazarak indekslemeyi imkansız kılar. Ayrıca, slack space hiding yöntemi verilerin dosyaların sonundaki boşluklara gizlenmesi ile standart kurtarma araçlarından kaçmayı sağlar. Overwriting ise fiziksel sektörlerin üzerine sürekli yeni veri yazılarak önceki verilerin kurtarılmasını imkansız hale getirir.

Bu tekniklerin anlaşılması, siber güvenlik uzmanlarının olası veri kaybını önleme ve siber saldırılara karşı daha etkili birer uzman olmalarına yardımcı olarak, kurumsal veri güvenliğini artırır.

Risk, Yorumlama ve Savunma

Siber güvenlik bağlamında NTFS dosya sisteminde bozulma olduğunda, elde edilen bulguların güvenlik anlamını yorumlamak kritik öneme sahiptir. Bozuk bir NTFS yapısı, siber olaylar sonucunda meydana gelebileceği gibi, yanlış yapılandırmalar veya hata kaynaklı veri kayıplarından da kaynaklanabilir. Bu bağlamda birkaç önemli risk ve bu riskleri nasıl değerlendireceğimize dair bilgiler sunacağız.

Elde Edilen Bulguların Güvenlik Anlamı

NTFS dosya sistemi üzerinde gerçekleştirdiğimiz analizlerin sonuçları bizim için çok önemli bulgular içermektedir. Örneğin, bir diskin bölüm bilgilerini listelemek ve işletim sistemi tarafından sunulan dosya yapısını incelemek, sistemin nasıl yönetildiğini ve veri erişiminin nasıl sağlandığını anlamamıza yardımcı olur. Örnek bir komut şu şekildedir:

scrounge-ntfs -l /dev/sdb

Bu tür bir inceleme, olası bir sızma durumunda, sızan verilerin yapısını ve dizinlerini analiz etmemize olanak tanır.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalara bağlı olarak, DOSYA SYSTEM işlevselliği üzerinde etkili olan zafiyetler ortaya çıkabilir. Özellikle, MFT (Master File Table) üzerindeki veri silinmesi veya değiştirilmesi, veri kaybına sebep olabileceği gibi, bu verilerin kurtarılması sürecinde de zorluklar yaşanabilir. Eğer MFT üzerinde rastgele veri yazma (MFT Wiping) gibi anti-adli teknikler kullanıldıysa, kurtarma işlemleri ciddi şekilde engellenir.

Sızan Veri, Topoloji ve Servis Tespiti

Bozuk NTFS analizi sonucunda, sızan veri türleri ve dizin yapısı hakkında bilgi edinmek mümkündür. Örneğin, yapılan analizde programın sunduğu komutlar ile kurtarılan veri dizinleri belirlenebilirken, bu verilerin potansiyel sızma yollarını göstermesi açısından da oldukça önemli bilgiler içerir. Eğer bir veri kurtarma çalışması gerçekleştirildiğinde dizin yapısı korunuyorsa, aşağıdaki parametreyi kullanmak önemli olabilir:

scrounge-ntfs -m -o /root/kurtarilan /dev/sdb 63 20480

Burada '-m' parametresi, kurtarılan dosyaların orijinal klasör hiyerarşisini koruyarak, sistemin topolojisini analiz etmek amacıyla kritik verilere ulaşmamızı sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Sızma testleri ve veri kurtarma süreçleri, organizasyonları yeniden yapılandırma ve güvenlik açığını kapama aşamasında çok önemli bilgiler sunar. Bunların yanı sıra, sistem üzerinde alınması gereken önlemleri şu şekilde sıralayabiliriz:

  1. Güçlü Parola Kullanımı: Tüm sistem kullanıcıları ve yöneticileri için güçlü ve karmaşık parolalar belirlenmelidir.
  2. Düzenli Yedekleme: Verilerin düzenli olarak yedeklenmesi, veri kaybı durumunda önemli kurtarma fırsatları sağlar.
  3. Erişim Kontrolleri: Kullanıcı erişim haklarının düzenli olarak gözden geçirilmesi ve en az ayrıcalık prensibiyle uygulanması gereklidir.
  4. Güncellemeler: Sistem yazılımlarının ve güvenlik yamalarının güncel tutulması, sızma girişimlerine karşı savunma sağlar.
  5. Eğitim ve Farkındalık: İnsan faktörü göz önüne alındığında, çalışanlara siber güvenlik eğitimleri düzenlenmelidir.

Sonuç

NTFS analizi gerçekleştirilirken karşılaşılabilecek riskler ve elde edilen bulgular, sistemin güvenliğini etkileyen çeşitli unsurları ortaya koyar. Yanlış yapılandırmaların ve sızma durumlarının etkilerinin anlaşılması, profesyonel önlemler ile bu risklere karşı etkin bir savunma stratejisi geliştirilmesi için kritik bir adımdır. Sadece teknik anlamda değil, organizasyonel düzeyde de güçlü bir güvenlik kültürü oluşturulması, siber saldırılara karşı direnç gösterilmesine yardımcı olacaktır.