CyberFlow Logo CyberFlow BLOG
Digital Forensics Incident Response

TestDisk İle Adli Bilişim ve Veri Kurtarma Süreçleri

✍️ Ahmet BİRKAN 📂 Digital Forensics Incident Response

TestDisk ile adli bilişim süreçlerini öğrenin. Veri kurtarma, bölüm analizi ve dosya geri getirme adımlarını keşfedin.

TestDisk İle Adli Bilişim ve Veri Kurtarma Süreçleri

Adli bilişim alanında TestDisk kullanarak veri kurtarma süreçlerini ve adımları öğrenin. Disk analizi, dosya kurtarma ve kanıt bütünlüğü konularına dair detaylı bilgi edinin.

Giriş ve Konumlandırma

Giriş

Dijital çağın yükselişiyle birlikte veri güvenliği konusunda karşılaşılan tehditler ve kazalar da artış göstermiştir. Siber saldırılara maruz kalma riski, dijital verilerin kaybolması veya bozulması gibi durumlar, adli bilişim alanını önemli kılmıştır. Adli bilişim, dijital verilerin toplanması, analizi ve sunulmasını kapsayan bir süreçtir ve veri kurtarma araçları, bu sürecin en kritik parçalarından biridir. Bu bağlamda, TestDisk, kaybolan veya silinen verilerin kurtarılması konusunda etkili bir çözüm sunmaktadır.

TestDisk Nedir?

TestDisk, açık kaynaklı bir veri kurtarma yazılımıdır. Kullanıcıların kaybolmuş bölüm tablolarını onarmasına ve silinen dosyaları geri getirmesine olanak tanır. Disk onarımları ve kurtarma süreçlerinde tüm veri kaybını minimize etmek için tasarlanmıştır. Özellikle adli bilişim alanında, sistemin bütünlüğünü koruyarak ve güvenilir verileri elde ederek, digital forensic süreçlerinde yaygın olarak kullanılır.

Neden Önemli?

Siber güvenlik bağlamında, veri kaybı veya bozulması anında hızlı bir yanıt verilmesi gerekmektedir. Bilgilerin içeriği, doğruluğu ve bütünlüğü hakkında doğru bir değerlendirme yapmak için adli bilişim teknikleri büyük önem taşır. TestDisk'in bu bağlamda sağladığı işlevlerle, kaybolmuş verilere ulaşmak, siber saldırı sonrası sistemdeki olası delilleri tespit etmek için kritik bir adım olarak öne çıkmaktadır.

Kullanıcılar, TestDisk ile verileri kurtarma işlemlerini gerçekleştirirken, sistemlerin genel güvenlik durumuna dair de önemli içgörüler elde edebilirler. Bu süreçler, hem saldırı sonrası analizi hem de saldırı öncesi güvenlik önlemlerinin geliştirilmesi açısından analitik bir temel oluşturur.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik analizleri, bir organizasyonun IT altyapısının ne kadar güvenli olduğunu anlamak için kritik verilere dayanır. Bu bağlamda, sızma testleri (pentest), bilinen güvenlik açıklarını tespit etmek amacıyla gerçekleştirilmektedir. Pentest sırasında elde edilen bulgular, sistemlerin kuvvetli ve zayıf yönlerini belirlemeye yardımcı olur.

Adli bilişim süreçleri, bu testlerin ardından ortaya çıkan güvenlik açıkları nedeniyle oluşan veri kaybının analizine yönelik adımlar olarak kabul edilebilir. TestDisk aracılığıyla, bir pentest sonrası yaşanan veri kayıplarının etkili bir şekilde giderilmesi sağlanmaktadır. Örneğin, bir sızma testinden sonra veri kaybı yaşanmışsa, TestDisk kullanılarak kaybolan verilerin geri getirilmesi sağlanabilir. Böylelikle hem organizasyonel veri yönetimi hem de güvenlik açığına yönelik potansiyel çözümler geliştirilebilir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu blog yazısı, TestDisk ile adli bilişim ve veri kurtarma süreçlerinin teknik detaylarını ele alacaktır. TestDisk’in işlevselliğiyle birlikte, disklerdeki bölümlerin nasıl analiz edileceği, kaybolan dosyaların geri getirilmesi ve adli bilişimde dikkat edilmesi gereken prensipler gibi konuları işleyeceğiz. Özellikle aşağıdaki adımlara değineceğiz:

  1. Disklerin listelenmesi ve incelenmesi.
  2. Bölüm tablosu türlerinin tanımlanması.
  3. Kayıp bölüm analizi.
  4. Dosya kurtarma süreçleri.
  5. Ham imaj dosyaları ile çalışma.
  6. Adli bilişimde uygulanması gereken prensipler.

Bu yazı sayesinde, TestDisk aracını kullanarak adli bilişim süreçlerinin nasıl işlediğini anlayacak ve veri kurtarma tekniklerini uygulamaya dökme yeteneği kazanacaksınız. Her aşamada teknik detaylara ve uygulamaya yönelik komutlara yer verilerek, okurun uygulamalı bir öğrenim süreci yaşamasına katkıda bulunulacaktır. Adli bilişim alanındaki bu öğrenim, hem bireysel pratiklerinizi güçlendirecek hem de profesyonel hayatta karşılaşabileceğiniz senaryolara hazırlıklı olmanıza yardımcı olacaktır.

Teknik Analiz ve Uygulama

Diskleri Listeleme ve İnceleme

Siber güvenlik ve adli bilişim alanında, veri kurtarma sürecine başlamadan önce sistemdeki fiziksel diskleri ve mevcut bölüm yapılarını incelemek kritik öneme sahiptir. TestDisk aracı bu aşamada kullanıcılara yardımcı olur. Daha detaylı incelemelere geçmeden önce, sistemdeki tüm diskleri listelemek gerekmektedir. Bunun için aşağıdaki komut kullanılır:

testdisk /list

Bu komut, sistemde mevcut olan tüm diskleri ve bölümleri listeleyecek, kullanıcıya veri kurtarma süreçlerinde hangi kaynakların mevcut olduğunu gösterecektir.

Bölüm Tablosu Türlerini Tanıma

TestDisk, diskin hangi bölüm tablosu türüne (MBR, GPT vb.) sahip olduğunu doğru bir şekilde belirleyebilmek için bu bilgiyi kullanmalıdır. Yanlış bölüm tablosu türü seçimi, gerekli verilere ulaşımınızı engelleyebilir. İşte ana bölüm tablo türleri:

  • Intel (MBR): Klasik BIOS sistemlerde kullanılan yapı. Genellikle 2TB'a kadar olan disklerde uygulanır.
  • EFI GPT: Modern UEFI sistemlerin desteklediği, 2TB üzeri diskleri içeren yeni yapı.
  • None: Bölüm tablosu olmayan ham veri içeren diskler için kullanılır.

Diskin tipi belirlendikten sonra, TestDisk 'Analyse' seçeneği ile mevcut yapıyı taramaya başlayacaktır. Bu aşamanın ardından ‘Quick Search’ ile silinmiş bölümler araştırılabilir.

Kayıp Bölüm Analizi

Kayıp veya silinmiş bölümlerin analiz edilmesi, veri kurtarma sürecinin en önemli kısmıdır. TestDisk, kullanıcıya silinmiş bölümlerin tespiti konusunda yardımcı olur. Kullanıcı, mevcut bölümleri analiz ettikten sonra aşağıdaki komut ile silinen bölümlerin listesini görüntüleyebilir:

testdisk /log

Bu komut, TestDisk'i log dosyası oluşturarak başlatır ve tüm işlemlerin kaydını tutar, bu da ilerideki incelemelerde kullanışlı olur.

Dosya Kurtarma (Undelete)

TestDisk, sadece disk bölümlerini değil, FAT, NTFS ve ext2 gibi dosya sistemlerinden silinmiş dosyaları da kurtarabilir. Seçili bir bölümdeki silinmiş dosyaların listesini görmek için ‘List’ komutu kullanılmalıdır. TestDisk arayüzünde bu işlemi gerçekleştirmek için ‘P’ tuşuna basılması gerekmektedir.

Silinen dosyaların listelendiği durumda, kullanıcıları kurtarmak istedikleri dosyayı seçmeleri ve kurtarma işlemini onaylamaları için yönlendirecektir. Örneğin:

P

Bu basit komut, kullanıcıya silinmiş dosyaların listesini sunar ve işlem kolaylığı sağlar.

Ham İmaj Dosyaları ile Çalışma

Adli bilişim uygulamalarında, doğrudan fiziksel diskler yerine, diskin bir imajının (.dd veya .e01 formatında) üzerinde çalışmak standart bir yöntemdir. TestDisk ile bu tür imaj dosyalarını incelemek için aşağıdaki komut kullanılmaktadır:

testdisk kanit.dd

Bu komut, 'kanit.dd' isimli adli imaj dosyasını incelemeye alacak ve kullanıcıya gerekli analiz ve kurtarma işlemlerini gerçekleştirmesi için olanak tanıyacaktır.

Adli Bilişim Prensipleri

Veri kurtarma süreçlerinde, kanıtın bütünlüğünü korumak için bazı temel adli bilişim prensiplerine dikkat edilmelidir. Bu prensiplerden bazıları şunlardır:

  • Write Blocker Kullanımı: İnceleme sırasında, orijinal diske yanlışlıkla veri yazılmasını önlemek amacıyla write blocker kullanılması önemlidir.
  • Chain of Custody: Ele geçirilen kanıtların belgelerle desteklenmesi, yani kanıtın mahkemeye kadar olan yolunun kayıt altında tutulması.
  • Hashing: İnceleme sırasında imaj dosyasının orijinal veriye eşit olduğunu kanıtlamak için hashing kullanılmalıdır. Bu matematiksel imza, verinin bütünlüğünü sağlamak için kritik bir yöntemdir.

Bu prensipler, adli bilişim uygulamalarında hem etik hem de teknik açıdan gerekli olan standartları belirler. Dolayısıyla, veri kurtarma sürecinde bu ilkelere uyulması gerekmektedir.

Kullanıcıların bu temel bilgileri ve TestDisk aracını etkili bir şekilde kullanarak başarılı bir veri kurtarma süreci gerçekleştirmeleri mümkündür.

Risk, Yorumlama ve Savunma

Siber güvenlik kapsamında veri kurtarma ve adli bilişim süreçleri, elde edilen bulguların güvenliği açısından kritik öneme sahiptir. TestDisk kullanarak gerçekleştirilen adli bilişim uygulamalarında, potansiyel risklerin belirlenmesi, yorumlanması ve etkili bir savunma mekanizmasının kurulması gereklidir.

Elde Edilen Bulguların Güvenlik Anlamı

TestDisk, veri kurtarma işlemleri esnasında önemli ipuçları ve bulgular sunar. Disklerin düzgün bir şekilde listesini çıkardıktan sonra, mevcut bölüm yapıları incelenir. Burada tespit edilen yapılandırmalar, sızma veya veri kaybı risklerini değerlendirmek için hayati öneme sahiptir. Örneğin, disk üzerinde var olan bölümlerin türü (MBR, GPT gibi) ve geçerliliği, potansiyel veri kaybı veya hatalı yapılandırma durumunda belirtilen veri kaybının boyutunu belirleyebilir.

Yanlış Yapılandırma veya Zafiyet Analizi

Yanlış yapılandırılmış bölümler, veri kaybının yanı sıra güvenlik açıklarına da sebep olabilir. Ayırt edici bir örnek, bölümlendirilmemiş alanların bulunmasıdır. Böyle durumlarda, verilerin yanlışlıkla silinmesi veya disk üzerindeki veri alanlarına yetkisiz erişim sağlanması gibi ciddi sorunlarla karşılaşılabilir. Ayrıca, diskin güvenlik yapılarındaki zafiyetler, sızan verilerin tespit edilmesini zorlaştırır.

testdisk /list

Yukarıdaki komut, sistemdeki tüm disklerin ve bölümlerin listesini çıkarır. Bu listelemeden elde edilen veriler, izlenmesi gereken savunma stratejilerinin belirlenmesine yardımcı olur.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler ve disk yapısındaki olağan dışı özellikler, sistemin güvenlik durumu hakkında önemli ipuçları sunar. Veri sızıntısı, özellikle tekrar eden log kayıtları veya şüpheli dosya aktiviteleriyle tespit edilebilir. TestDisk’in sunduğu çeşitli özellikler sayesinde, silinmiş dosyaların ve alanların yeniden yapılandırması mümkün hale gelir. Bu noktada, "Analyse" seçeneği kullanılmalı ve devamında 'Quick Search' işlemi gerçekleştirilmelidir. Bu süreç, güvenlik açığı ve veri kaybının boyutunu anlamaya yönelik kritik veriler sunar.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen bulgular doğrultusunda uygulanabilecek profesyonel savunma önlemleri arasında şunlar yer alır:

  1. Sistem Güncellemeleri: Tüm yazılım ve donanımların güncel tutulması, bilinen zafiyetlerin kapatılması açısından önemlidir.

  2. Yedekleme Prosedürleri: Verilerin düzenli olarak yedeklenmesi, olası veri kaybı risklerini minimize eder. Bu yedeklemelerin güvenli bir ortamda yapılması gerekmektedir.

  3. Erişim Kontrolleri: Disklere ve kritik verilere yetkisiz erişimi engellemek için güçlü erişim denetimi mekanizmaları uygulanmalıdır.

  4. Veri Şifreleme: Kritik verilerin saklandığı disklerin şifrelenmesi, veri sızıntısı durumunda verilerin korunmasını sağlar.

  5. Donanım Tabanlı Write Blocker Kullanımı: Adli inceleme sürecinde orijinal diske herhangi bir yazma işlemi yapılmasını önlemek için donanım tabanlı yazma engelleyici cihazlar kullanılmalıdır.

Sonuç Özeti

TestDisk ile gerçekleştirilen adli bilişim ve veri kurtarma süreçleri, büyük bir dikkat ve hassasiyet gerektirir. Elde edilen bulguların doğru bir biçimde yorum lanması, sistemdeki potansiyel risklerin belirlenmesi ve bunlara yönelik etkili savunma stratejilerinin geliştirilmesi, siber güvenlik açısından hayati önem taşır. Yanlış yapılandırma veya zafiyetlerin analizi, veri kaybı ve güvenlik açıklarını minimize ederek güvenli bir ortam yaratacak temel adımları belirler. Adli bilişim süreçlerinde elde edilen bulgular, sadece bir tespit ve kurtarma süreci değil, bir bütün olarak siber güvenliğin pekiştirilmesi için bir fırsattır.