CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Silinmiş Dosya Kurtarma ve File Carving: Temeller ve Yöntemler

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Silinmiş dosyaların kurtarılması ve file carving teknikleri hakkında derinlemesine bilgi edinin.

Silinmiş Dosya Kurtarma ve File Carving: Temeller ve Yöntemler

Siber güvenlik dünyasında silinmiş dosyaların kurtarılması oldukça kritik bir rol oynamaktadır. Bu blog yazısında file carving, silinmiş veri kurtarma teknikleri ve süreçleri üzerine bilgi sahibi olacaksınız.

Giriş ve Konumlandırma

Dijital çağın en büyük öngörülemeyen olaylarından biri olan veri kaybı, bireyler ve işletmeler için ciddi sorunlar teşkil edebilir. Özellikle siber güvenlik alanında, silinmiş dosyaların kurtarımı ve bu süreçte kullanılan teknikler, dijital forensics (dijital suç soruşturması) açısından kritik bir öneme sahiptir. Silinmiş dosya kurtarma ve file carving, bu konuların merkezinde yer almakta ve veri analizi ile siber tehditleri tespit etme işlemlerinin temel yapı taşlarını oluşturur.

Silinmiş Dosya Kurtarma Nedir?

Silinmiş dosya kurtarma, fiziksel olarak diskte mevcut olan fakat dosya sistemi tarafından işaretlenmiş olan kayıtlara erişim sağlamayı amaçlayan bir süreçtir. Bu süreç, dosya sistemi metadata'sı olmadan ham veriden dosya kurtarma işlemi olarak tanımlanabilir. Silinmiş verilerin geri kazanımı, suç soruşturmalarında ve sistem analizi sırasında kritik öneme sahiptir, çünkü bu işlemler, geçmiş olayların ve kullanıcı davranışlarının takibi için gerekli bilgi parçalarını sunar.

Neden Önemli?

Silinmiş dosyaların geri kazanımı, bazı durumlarda verilerin geri yüklenebilirliğinden daha fazlasını ifade eder. Örneğin, bir işletme siber saldırıya uğradığında, saldırganların hareketlerinin izlenmesi ve saldırının kökenine ulaşılması için silinmiş verilerin analizi büyük önem taşır. Bu tip çalışmalar, saldırının boyutunu anlamak, incelemek ve gelecekteki potansiyel tehditlere karşı hazırlık yapmak için gereklidir.

Siber Güvenlik ve Pentest Açısından Bağlamlandırma

Pentest (penetrasyon testi), sistemlerin zayıflıklarını test etme sürecidir. Bu süreçte, silinmiş dosya kurtarma; potansiyel zayıf noktaların ve ihlallerin tespit edilmesi için hayati öneme sahiptir. Bir güvenlik analisti, sistemde bulduğu silinmiş verilerden tehdit izlerini çıkartarak, potansiyel sızma noktalarını değerlendirebilir. Dolayısıyla, bu alanın uzmanları, silinmiş dosya kurtarma ve file carving tekniklerine hakim olmalıdır.

Teknik İçeriğe Hazırlık

Silinmiş dosya kurtarma sürecinin temelinde, dosyaların fiziksel yapısına dair bilgileri kullanarak bunları geri kazanma işlemi yatmaktadır. Bu işlemler genellikle “file carving” adı verilen yöntemlerle gerçekleştirilir. File carving, dosya türünü belirleyen benzersiz binary başlangıç ve bitiş yapılarının (file signature) analizi ile gerçekleştirilir. İleri seviyede teknik bilgi gerektiren bu süreçte, analistler unallocated space üzerinde çalışır ve bu alanı inceleyerek gerektiğinde kaybolmuş dosyaları yeniden yapılandırabilir.

Kurtarma Adımlarının Genel Akışı:
1. Unallocated space incelenir.
2. File signature aranır.
3. Header/footer eşleşir.
4. Veri çıkarılır.
5. Bütünlük kontrol edilir.

Kısacası, silinmiş dosya kurtarma ve file carving, sadece veri kurtarmaktan ibaret değildir. Bu süreçler, siber güvenlik alanında tehditleri anlama, olayları açıklama ve gelecekte benzer durumları önlemek için stratejiler geliştirme noktasında kritik bir rol oynamaktadır. Bu blog yazısında, bu tekniklerin derinliklerine inmeyi, uygulama yöntemlerini ve etkili kurtarma stratejilerini ele alacağız.

Bu temel bilgilerle, silinmiş dosya kurtarma ve file carving konularına daha derinlemesine bir bakış açısına sahip olacaksınız. Bu, dijital forensics alanında yetkinliğinizi artıracak ve siber güvenlik konusundaki uzmanlığınızı derinleştirecektir.

Teknik Analiz ve Uygulama

File Carving Tanımı

File carving, silinmiş veya kaybolmuş dosyaların kurtarılması amacıyla ham verinin analiz edilip dosya içeriğinin yeniden yapılandırılması işlemidir. Bu teknik, dosya sistemindeki metadata bilgilerinin kaybolması durumunda, yani dosyanın sadece fiziksel verisinin kaldığı durumlarda kullanılır. File carving işlemi, dosya türünü ve içeriğini belirlemek için dosya imzalarının tespit edilmesine dayanır.

Silinmiş Dosya Kurtarma Süreci

Silinmiş dosya kurtarma süreci genellikle birkaç temel adımdan oluşur:

  1. Disk Görüntüsü Alma: Kurtarma işlemine başlamadan önce, disk üzerinde bir görüntü alınarak analiz için saklanır. Bu, orijinal verilerin bozulmaması açısından kritik öneme sahiptir.

    dd if=/dev/sdX of=/path/to/imagefile.img bs=4M

  2. Tahsis Edilmemiş Alanın İncelenmesi: Diskte silinmiş dosyaların bulunduğu tahsis edilmemiş alan (unallocated space) incelenir.

  3. Dosya İmzalarının Aranması: İncelenen verilerde dosya imzaları (file signatures) aranarak olası dosya türleri belirlenir.

  4. Header/Footer Analizi: Tespit edilen dosyaların header ve footer bölümleri analiz edilir. Bu aşamada, başlangıç ve bitiş imzalarının uyuşup uyuşmadığı kontrol edilir.

  5. Veri Çıkarma ve Bütünlük Kontrolü: Dosya içerikleri çıkarılmakta ve bütünlük kontrolü sağlanarak veri kurtarma işlemi tamamlanır.

Recovery Yöntemleri

Silinmiş verileri kurtarmak için farklı yöntemler bulunmaktadır. Bunlar arasında en yaygın olanları şunlardır:

  • Metadata Recovery: Dosya sistemi üzerindeki kayıtlar kullanılarak kurtarma işlemi gerçekleştirilir. Ancak, bu yöntem sadece silinmemiş dosyalar için geçerlidir.

  • File Carving: Metadata olmaksızın ham veri üzerinden dosya kurtarma işlemi yapılır. Bu yöntem, özellikle silinmiş dosyaların veya dosya sisteminin bozulduğu durumlarda oldukça etkilidir.

foremost -i /path/to/imagefile.img -o /path/to/output_directory

Unallocated Space Tanımı

Tahsis edilmemiş alan (unallocated space), aktif dosya sistemi tarafından kullanılmayan ve dolayısıyla silinmiş dosyaların bulunabileceği disk alanını ifade eder. Bu alan, silinmiş dosyaların verilerinin hala fiziksel olarak mevcut olabileceği bölgelerdir. Bu verileri kurtarmak, siber güvenlik uzmanlarının en önemli görevlerinden biridir.

File Carving Avantajları

File carving, birkaç avantaj sunar:

  • Gizli Kanıtların Ortaya Çıkarılması: Silinmiş veya gizlenmiş verileri geri kazanarak delil niteliğinde bilgi elde edilmesini sağlar.
  • Anti-Forensics Tekniklerine Karşı Dayanıklılık: File carving, advers modellerin kullandığı anti-forensics tekniklerinin etkisini aşabilir.
  • Bütünlük ve Forensic Görünürlük Sağlama: Kurtarılan verilerin orijinal bütünlüğünü koruyarak, forensic süreçlerin düzgün çalışmasına katkıda bulunur.

File Signature Tanımı

Dosya imzası (file signature), bir dosya türünü tanımlayan benzersiz binary başlangıç ve bitiş yapısına denir. Bu imzalar, dosyanın ne tür bir içerik barındırdığına dair önemli bilgiler sunar. Örneğin, JPEG dosyaları için dosya imzası genellikle FFD8 ile başlar ve FFD9 ile sona erer.

Kritik Recovery Alanları

Silinmiş dosya kurtarmada kritik alanlar:

  1. Slack Space Analysis: Dosya sonlarında kalan boş alanlardaki potansiyel veriyi belirlemek için yapılan analizdir.

  2. Header/Footer Analysis: Her dosyanın başlangıç ve bitiş noktalarını analiz ederek veri bütünlüğünü sağlamak için kullanılan yöntemdir.

SOC L2 Deleted File Recovery Rolü

SOC L2 analistleri, silinmiş dosyaların geri kazanılması ve bu süreçte oluşabilecek tehdit izlerinin çıkarılması için önemli bir görev üstlenir. Bu analistler, kurtarma süreçlerini yönetirken aynı zamanda file carving tekniklerini uygular ve forensic analizlerin doğruluğunu artırırlar. Bu meslek, tehdit yönetimi ve siber güvenlik önlemlerine katkı sağlama açısından oldukça kritik bir rol oynar.

Deleted File Recovery Mastery

Silinmiş veri kurtarma uzmanlığı, dikkatli bir yaklaşım ve sürekli öğrenme gerektirir. Yalnızca teorik bilgiyle değil, uygulamalı deneyim ile de desteklenmelidir. Bu alanda başarılı olmak için, dosya sistemlerini, dosya imzalarını ve kurtarma tekniklerini derinlemesine anlamak önemli bir adımdır.

Bu bilgiler, bir siber güvenlik uzmanının silinmiş verileri geri kazanırken başarısını artıracak ve onu bu alandaki diğer uzmanlardan ayıracaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik ve dijital adli tıp bağlamında silinmiş dosya kurtarma ve file carving, veri güvenliğini sağlamak için kritik öneme sahiptir. Bu süreçte elde edilen bulguların yorumlanması, muhtemel risklerin anlaşılması ve savunma mekanizmalarının geliştirilmesi gereklidir.

Elde Edilen Bulguların Güvenlik Anlamı

Silinmiş dosya kurtarma işlemi sırasında, sistemde mevcut olan verilerin incelenmesi, önemli güvenlik açıklarının ve yapılandırma hatalarının belirlenmesine yardımcı olur. Elde edilen bulgular, şunları içerebilir:

  • Silinmiş Veri: Eğer kurtarma işlemi başarılı olursa, sızan veya kaybolan verilerin geri kazanılması söz konusu olur. Bu veriler, kritik bilgiler içerebilir.
  • Servis Tespiti: Kurtarılan dosyalar aracılığıyla, sistemde hangi hizmetlerin aktif olduğu ve potansiyel olarak hangi verilerin sızma riski taşıdığı tespit edilebilir.
  • Topoloji Analizi: Dosya kurtarma süreci, ağ yapılandırmasının ya da veri akışının nasıl gerçekleştiğini anlamak için de kullanılabilir.

Aşağıda, veri kurtarma süreci sonucunda elde edilebilecek bazı verilerin gecikmeli analizini yapılan bir örneğe dayandırarak sunalım:

Kurtarılan Dosyalar:
- Dosya Adı: kullanıcı_verileri.txt
- Boyut: 1.5 MB
- Oligo veri: 2560 satır
- İlgili MIME tipi: application/json

Sistem Yapılandırması:
- İşletim Sistemi: Windows Server 2019
- Aktif Hizmetler: Apache, MySQL
- Güvenlik Duvarı: Devre dışı

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, sızmalara davetiye çıkarırken, zafiyetler de bu riskleri artıran önemli etkenlerdir. Özellikle;

  • Güvenlik Duvarı Ayarları: Eğer güvenlik duvarı devre dışı bırakılmışsa, dışarıdan yapılacak saldırılara karşı sistemin savunmasız kalması söz konusu olabilir.
  • Kullanıcı İzinleri: Yanlış yapılandırılmış kullanıcı izinleri, hassas verilerin gereksiz yere erişilebilir hale gelmesine yol açabilir.

Bu durumlar, veri sızıntısına sebep olabileceği gibi, iyileştirilmesi gereken savunma mekanizmalarının da belirlenmesine yol açabilir.

Profesyonel Önlemler ve Hardening Önerileri

Risklerin azaltılması için alınabilecek bazı profesyonel önlemler şunları içermektedir:

  1. Güvenlik Duvarı Konfigürasyonu: Güvenlik duvarı ayarlarının doğru bir şekilde yapılandırılması, dışarıdaki tehditlerin sistem içine sızmasını engelleyebilir.

  2. Kullanıcı İzinlerinin Gözden Geçirilmesi: Kullanıcı izinlerinin düzenli olarak gözden geçirilmesi, yetkisiz erişimleri önlemek için kritik bir adımdır.

  3. Düzenli Veri Yedekleme: Verilerin düzenli yedeklenmesi, kaybolan ya da silinen verilerin geri kazanılmasını kolaylaştırır.

  4. Sistem Güncellemeleri: Yazılımların güncel tutulması, zafiyetlerin kapatılmasına yardımcı olur. Güncel sürümler, bilinen zafiyetlere karşı koruma sağlar.

Aşağıdaki basit Python kodu, sistemdeki kullanıcı izinlerini kontrol etmek için bir analiz gerçekleştirebilir:

import os

for root, dirs, files in os.walk("/home/"):
    for file in files:
        filepath = os.path.join(root, file)
        print(f"{filepath} - {os.stat(filepath).st_mode}")

Sonuç Özeti

Silinmiş dosya kurtarma ve file carving, yalnızca veri geri kazandırma işlemlerinden ibaret değildir. Elde edilen bulguların güvenlik anlamı, yapılandırma hataları ve zafiyetler üzerindeki etkisi, siber güvenlik stratejileri açısından kritik öneme sahiptir. Profesyonel önlemler ve sistem hardening yöntemleri, siber saldırılara karşı korumayı artırmada etkili olacaktır. Sistemin güvenliğini sağlamak için bu unsurların sürekli olarak gözden geçirilmesi ve geliştirilmesi gerekmektedir.