Adli Bilişim Nedir? Adli Bilişim Uzmanının Sahip Olması Gereken Araçlar

Adli bilişim, temel olarak dijital kanıtların tanımlanması, saklanması, analiz edilmesi ve diğer dokümantasyon sürecidir. Bu esas olarak, ihtiyaca göre mahkemede delil sunmak için yapılır.

Temel olarak, adli bilişim araçları, bilgisayardan çıkarılan bilgilerin doğru ve güvenilir olduğundan emin olmak için tasarlanmıştır. Çok çeşitli farklı tipte adli bilişim araçları mevcuttur, bunları aşağıda sizler için açıkladık.

Disk ve Veri Yakalama Araçları

Bunda, veri yakalama aracı temel olarak sistem analizine odaklanır ve dosyalar ve e-postalar dahil olmak üzere potansiyel adli yapıları çıkarır. Bu, adli bilişim sürecinin temel kısımlarından biridir ve birçok adli bilişim aracına odaklanır.

Otopsi popüler bir adli tıp aracı olarak bilinir. Bunlar, esas olarak disk görüntüsünü analiz etmek ve derinlemesine herhangi bir şey gerçekleştirmeye izin vermek için tasarlanmıştır. İşlevsellik de dahil olmak üzere çok çeşitli özelliklere sahiptir ve herhangi bir adli bilgisayar soruşturması için iyi bir başlangıç ​​noktasıdır. Bu Otopsi ve Sleuth Kit, Windows ve Unix için kullanılabilir.

Diğer birçok disk ve veri yakalama aracını edinebilirsiniz.

Dosya Görüntüleyiciler

Autopsy ve The Sleuth Kit, bir sabit sürücünün disk görüntülerini inceleyebilecek şekilde tasarlanmıştır. Görüntü hakkında düşünürseniz, faydaları inanılmazdır. Bu tür görüntüler, araştırmacının sürücüyü değiştirmediklerini ve herhangi bir adli tıp sonucunu etkileyebileceğini kanıtlamasına olanak tanır.

X-Ways adli tıp, Windows uygulaması için en iyi ticari dijital adli tıp platformlarından biridir. Bu, esas olarak, X-Ways araştırmacısı olarak da adlandırılan, çok sadeleştirilmiş bir sürüm sunar. Kaynak açısından verimli olacak şekilde tasarlanmış merkezi bir satış noktasıdır ve USB çubuğunu çok fazla çalıştırabilir. Ek olarak, tüm özelliklerin etkileyici bir dizisini yapmakla övünür.

Adli Bilişim Dosya Analiz Araçları

Dosya analiz aracında, araç üzerinden nasıl analiz yapılabileceğini anlayabilirsiniz. EnCase, yirmi beşten fazla farklı türden kanıt toplanmasını destekleyen ticari bir adli tıp platformudur. Buna GPS, mobil cihazlar, masaüstü bilgisayarlar ve çok daha fazlası dahildir. Adli müfettişler toplanan verileri inceler ve şablonlara dayalı olarak çok çeşitli raporlar hazırlar.

Bellek ve dosya analizi için, mevcut bir diğer popüler araç Mandiant RedLine olarak adlandırılır. Çalışan işlem hakkında bilgi toplamaya ve kayıt defteri verilerini, meta verileri, hizmeti, görevleri, ağ bilgilerini ve çok daha fazlasını toplamak için hafıza kartını çalıştırmaya yardımcı olur.

Adli Bilişim Kayıt Analiz Araçları

İşletim sistemini yapılandırmak için veri tabanını sunuculayan bir Windows kayıt defteridir ve uygulamanın üzerinde çalıştırılmasına izin verir. Adli analizde diğer yararlı bilgiler için kullanılan çok şey içerir.

En iyi kayıt analiz aracı denilince aklımıza ilk gelen isim; Kayıt defteri temsilini yeniden oluşturmak için kayıt defteri bilgilerinin çıkarılmasına yardımcı olan Registry Recon. Hem önceki hem de mevcut Windows kurulumundan kayıtların yeniden oluşturulmasına yardımcı olur.

İnternet Analiz Araçları

İnternet analiz aracı deyince aklımıza WindowsSCOPE geliyor. Doğrudan internete bağlı ticari bir adli hafıza aracıdır. Bu araç, esas olarak Windows Çekirdeğini, DLL’leri, sürücüleri ve diğer fiziksel ve sanal belleği analiz edebilen tersine mühendislik kötü amaçlı yazılımını kullanır.

E-posta Analiz Araçları

RAM olan geçici bellekte kalan dosya sistemini analiz etmeniz gerekir. E-posta analizi, adli bellekle doğrudan bağlantılıdır ve çok azı esas olarak zaten bir mağaza olan bilgileri yakalamaya odaklanır.

Volatility, esas olarak kötü amaçlı yazılım analizi için olay yanıtı için kullanılan adli bellek çerçevelerinden biridir. Bu araç sayesinde, çalışma süresi boyunca bilgileri çıkarabilirsiniz. Ayrıca ağ yuvaları, DLL’ler, ağ bağlantısı ve diğer kayıt defteri kovanlarıyla da çalışır. Bu ayrıca, pencerelerin döküm dosyasından ve hazırda bekletme dosyalarından bilgilerin çıkarılmasına yardımcı olur. Bu, GPL lisansı altında gelir.

Mobil Cihaz Analiz Araçları

Bu çağda, mobil cihazlar herkesin hayatının önemli bir parçasıdır. Bu, insanların internete erişmesinin birincil yöntemidir. Ne yazık ki, her mobil cihaza özel olarak odaklanan çok az sayıda mobil adli bilişim aracı bulunmaktadır.

Oxygen Forensic Detective, IoT, dronlar, bulut hizmetleri, yedekleme, medya kartları ve diğer masaüstü platformları gibi farklı platformlardan veri çıkarabilen en iyi mobil cihazlarından biridir. Bu, cihaz güvenliğini (ekran kilidi dahil) atlayabilen ve ayrıca çeşitli mobil uygulamalar için kimlik doğrulama verilerinin toplanmasına yardımcı olan fiziksel bir yöntem olarak kullanılır.

Oxygen, USB donanım kilidi olarak dağıtılan bir tür ticari üründür. XRY, Cellebrite UFED, vb. gibi mobil cihaz analizinde daha pek çok şey var.

Ağ Adli Bilişim Araçları

Ağ üzerinden maksimum siber saldırı gerçekleşir ve adli bilişim verileri için çok yararlı bir kaynaktır. Bu araçlar, adli tıp müfettişinin ağ trafiğini analiz etmek için etkili bir şekilde çalışabilmesini sağlar.

Wireshark, var olan popüler ağ trafiğinden biridir. Bu araç, canlı trafiği yakalamak veya kaydedilen dosyayı yakalamak için mükemmeldir. Hatta kullanıcı dostu olan çok sayıda protokol ayrıştırıcıya sahiptir. Arayüzü, içeriği trafiği yakalayan şeyleri incelemeyi kolaylaştırır ve adli delilleri bunun içinde arar. Ağ madencisi ve Xplico’yu içeren başka birçok araç var.

Veritabanı Adli Bilişim Araçları

Birçok ücretsiz ve açık kaynaklı araç vardır ve çeşitli Linux dağıtımları altında gelir. Bu, adli müfettişler için hepsi bir arada araç seti sağlamak üzere bunları bir araya getirmek için oluşturulmuştur.

CAINE (Computer Aided Investigative Environment) adında ünlü bir araç var. Esas olarak adli bilişim için yaratılmıştır ve mevcut yazılım aracını kullanıcı dostu bir şekilde entegre edecek ortamı oluşturur. En önemli faktör, bunun açık kaynaklı bir araç olmasıdır.

The Sleuth Kit Nedir?

The Sleuth Kit (TSK), bilgisayar sistemlerinin adli bilişim analizini kolaylaştırmak amacıyla disk sürücülerinden ve diğer depolama alanlarından veri çıkarmaya yönelik Unix- ve Windows tabanlı yardımcı programlardan oluşan bir kütüphane ve koleksiyondur. The Sleuth Kit ile birlikte gelen komut satırı yardımcı programlarının grafiksel kullanıcı arayüzü olan ve daha iyi bilinen bir araç olan Autopsy‘nin temelini oluşturur.

Araç koleksiyonu, açık kaynak kodludur ve GPL, CPL ve IPL lisanlarıyla korunmaktadır. Yazılım aktif geliştirme aşamasındadır ve bir geliştirici ekibi tarafından desteklenmektedir. İlk geliştirme, The Coroner’s Toolkit’i temel alarak Brian Carrier tarafından yapılmıştır. Resmi olarak, onun halefi olan bir platformdur.

The Sleuth Kit NTFS, FAT/ExFAT, UFS 1/2, Ext2, Ext3, Ext4, HFS, ISO 9660 ve YAFFS2 dosya sistemlerini ayrı ayrı veya ham (dd), Expert Witness veya AFF formatlarında saklanan disk imajları içinde ayrıştırabilir. The Sleuth Kit, çoğu Microsoft Windows, çoğu Apple Macintosh OSX, birçok Linux ve diğer bazı Unix bilgisayarları veya bunların imajlarını incelemek için kullanılabilir.

The Sleuth Kit, birlikte verilen komut satırı araçları aracılığıyla veya Autopsy veya log2timeline/plaso gibi ayrı bir dijital adli bilişim aracının içine gömülü bir kütüphane olarak kullanılabilir.

X-Ways Forensics: Entegre Adli Bilişim Yazılımı

X-Ways Forensics, adli bilişim inceleme görevlileri için gelişmiş bir çalışma ortamıdır. Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11*, 32 Bit/64 Bit, standart/PE /FE altında çalışır. (Windows FE ) Rakipleriyle karşılaştırıldığında, X-Ways Forensics bir süre sonra kullanımı daha verimlidir, çok fazla kaynağa ihtiyaç duymaz, genellikle çok daha hızlı çalışır, silinen dosyaları ve arama isabetlerini bulur. Potansiyel olarak daha güvenilir olduğu için rakiplerin kaçıracağı, diğerlerinin sahip olmadığı birçok özelliği sunar, maliyetinin çok altında gelir, saçma sapan donanım gereksinimleri yoktur, karmaşık bir veritabanı oluşturmaya bağlı değildir, vb.!

X-Ways Forensics tamamen taşınabilirdir ve herhangi bir Windows sisteminde, isterseniz kurulum gerektirmeden bir USB bellekle çalışır. Saniyeler içinde indirir ve kurar (GB değil, yalnızca birkaç MB boyutunda). X-Ways Forensics, WinHex hex ve disk düzenleyicisine dayalıdır ve adli bilişim inceleme uzmanlarının verileri paylaştığı ve X-Ways Investigator kullanan araştırmacılarla işbirliği yaptığı verimli bir iş akışı modelinin parçasıdır.

EnCase Analiz Yazılımı

EnCase, Guidance Software (2017’de OpenText tarafından satın alındı) tarafından dijital araştırma ürünleri paketi içinde paylaşılan bir teknolojidir. Yazılım, adli bilişim, siber güvenlik, güvenlik analitiği ve e-keşif kullanımı için tasarlanmış çeşitli ürünlerle birlikte gelir. EnCase geleneksel olarak adli bilişimde ele geçirilen sabit sürücülerden kanıt kurtarmak için kullanılır. Araştırmacının belgeler, resimler, internet geçmişi ve Windows Kayıt Defteri bilgileri gibi kanıtları toplamak için kullanıcı dosyalarının derinlemesine analizini yapmasına olanak tanır.

Şirket ayrıca EnCase eğitimi ve sertifikasyonu da sunmaktadır.

EnCase tarafından kurtarılan veriler, BTK Killer ve Danielle van Dam cinayeti davalarında olduğu gibi çeşitli mahkeme sistemlerinde de kullanılmıştır. Casey Anthony, Unabomber ve Mucko (Wakefield Katliamı) davaları için sağlanan kanıtlar gibi diğer davalarda da EnCase’in ek adli analiz çalışmaları belgelenmiştir.