8 Haziran 2015 Pazartesi

Windows Prefetch Analizi

Windows ekosisteminde, XP işletim sisteminden itibaren Prefetch özelliği kullanılmaya başlamıştır.  Bu özellik sayesinde sık kullanılan uygulamaların başlangıç süreleri daha fazla kısaltılabilmektedir. İşletim sistemlerine performans açısından katkı sağlayan bu özellik, adli analiz sırasında da büyük faydalar sağlamaktadır.

Prefetch Dosyaları

Prefetch kayıtlarının tutulduğu dosyalar şu dizinde yer almaktadır :
%SystemRoot%\Prefetch
Kendi kullandığım bilgisayarın üzerinde şu adrese karşılık gelmektedir :
C:\Windows\Prefetch
Prefetch dosyalarının ismi tamamen büyük harflerden oluşmaktadır, yapısı şu şekildedir :
<uygulamanın ismi> - < hash değeri> .pf












Dosya header bilgileri şu şekildedir. Bu bilgiler analiz işlemleri için, özellikle dijital delillerin değiştirilmesi ve silinmesi durumunda işe yaramaktadır.














Prefetch dosyaları sayesinde şu bilgilere ulaşılabilir.
-Uygulamanın ismi
-Uygulamanın çalıştırılma sayısı
-Uygulamanın bulunduğu volume ile ilgili bilgiler
-Uygulama çalıştırılırken kullanılan dizin ve dosyalar

Registry adresi : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

Analiz işlemleri 

Analiz ettiğimiz bilgisayar üzerinde bulunan "blood pressure.xls" dosyasının metadataları incelenmektedir. Bulmamız gereken, bu excel dosyasına en son ne zaman erişim sağlandığıdır. Bunun için öncelikle dosya sisteminin bize sağlamış olduğu MAC (modify-access-creation) tarihlerini kontrol edeceğiz.

























Dosya özelliklerine baktığımız zaman en son 3 haziran tarihinde açılmış olduğu sonucunu çıkarıyoruz. Ancak kesin sonuçlar ortaya koymak için incelemeye devam edeceğiz.  Bunun için Excel uygulamasının prefetch kaydını buluyoruz. Prefetch analizi işlemlerinde bu adımdan itibaren, oldukça başarılı bir yazılım olan "WinPrefetchView" ile devam edeceğiz.














Prefetch kaydına baktığımız zaman, "Last run time" değerinin 8 haziran olduğunu ve uygulamanın kurulumundan itibaren toplam 10 defa çalıştırıldığını
görüyoruz.
















Bu uygulamanın prefetch kayıtlarını detaylı olarak incelediğimiz zaman açılan dosyalar ile ilgili bilgilerin de yer aldığı görülmektedir.

















Bu kayıtlardan yola çıkarak "blood pressure.xls.lnk" dosyasının konumunu görebiliyoruz. Bu konuma erişerek dosyanın son erişim tarihinin 8 haziran olduğunu görebiliyoruz.














Bir başka yöntem olarak, RecentDoc verilerinin aslında NTUSER.dat tarafından tutulduğunu bildiğimiz için, registry analizi yapmak üzere işleme devam edebiliriz.
Almış olduğumuz NTUSER.dat dosyasını "RegRipper" aracına veriyoruz.






















 RegRipper rapor sonucu aşağıdaki gibidir. Burada son erişim tarihinin 8 Haziran UTC 8:17:34 olduğu görülmektedir. Zaman diliminden dolayı +3 eklediğimiz için, son erişim zamanının 11:17:34 olduğu sonucunu çıkarabiliriz.








Peki bu tarih nasıl değiştirildi?
Adli analiz sonucunu etkileyebilecek bazı anti-forensics teknikleri kullanılabilmektedir. Bunun için onlarca yöntem olmasına rağmen, pratik olduğu için, bazı araçlar tercih edilmektedir. Sistem üzerinde kurulu olan programları inceleyelim. Tahmin edeceğimiz üzere, sistem üzerinde kurulu delil karartma araçları bulunmamaktadır (kaldırılmış olabilir). Bu araçların kullanılıp kullanılmadığı hakkında kesin yargıya varmış değiliz.

Şimdi yine prefetch kayıtlarından faydalanalım. Çünkü, sistem üzerinde kurulu herhangi bir uygulama kaldırılsa bile, prefetch kayıtları silinmemektedir. Prefetch kayıtlarını inceleyelim.







"acmain.exe" dosyası göze çarpıyor. Bulunduğu konumda da belirtildiği üzere, "attribute changer", yani dosya ile ilgili metadataları değiştirebileceğiniz bir uygulamadır. Uygulamanın kullanıldığı tarihe bakalım.
















 Gördüğümüz üzere, 8 haziran tarihinde bu uygulama kullanılmış. Böylece tarih değişmesi konusunu da aydınlatmış olduk.

Not : Prefetch özelliği SSD üzerine kurulmuş Windows sistemlerde default olarak kapalı gelmektedir. Gereksiz yazma işlemi yaparak disk ömrünü azaltmamak amaçlanmıştır.

Erhan Turhan
ADEO Forensics Lab





9 Mart 2015 Pazartesi

Windows Phone Cihazlarda Adli Analiz

Bölüm 3 : WhatsApp Uygulama Analizi

Kullanım oranı gün geçtikçe artmakta olan WhatsApp uygulamasının, birçok kullanıcının öncelikli iletişim aracı haline geldiğini gözlemleyebilirsiniz. Son açıklanan rakamlara göre 600 milyon cihazda aktif olarak kullanılmaktadır. Bu bölümde, WhatsApp uygulamasının adli analiz işlemlerinde sağladığı faydaları ve uyguladığımız adımları göreceksiniz.

WhatsApp uygulama verilerine erişebilmek için telefonun fiziksel imajının alınması gerekmektedir. Bunu yapmak için birkaç farklı yöntem mevcut, ancak biz Ufed Touch donanımını kullanacağız. Analiz işlemlerini Ufed Physical Analyser kullanarak gerçekleştireceğiz.

Not: Windows Phone cihazların fiziksel imajının alınması için ekran kilidinin şifresinin çözülmesi gibi bir işlem gerekmemektedir. 

WhatsApp Uygulamasının Tespit Edilmesi

Windows Phone platformunda uygulamaların yüklenebilmesi store üzerinden gerçekleşmektedir. Yüklenen uygulamalar, ücretli veya ücretsiz fark etmeksizin "purchase history" listesinde tutulmaktadır. Bu listeye aşağıdaki dizine erişerek ulaşabilirsiniz.

Data > Root > SharedData > Store

























"PurchaseHistory.xml" dosyasını dışarı aktararak tarayıcıda açtığımız zaman, uygulamaların listesini görebilirsiniz. "isHidden" etiketi true olarak belirtilen uygulamalar sistem uygulamalarıdır.  Kullanıcı tarafından kaldırılamaz. WhatsApp uygulaması için false olarak görünecektir.






















Cihaza uygulamanın yüklendiğini tespit ettiğimize göre, sıradaki adıma geçebiliriz.

WhatsApp Uygulaması Kaldırılmış ise ?

Uygulamanın kaldırılıp kaldırılmadığını öğrenmek için, WhatsApp.ServerHost.exe dosyasını kontrol edeceğiz. Aşağıdaki resimde görüldüğü üzere, dosyanın silinmiş olduğunu görebiliyoruz.






























Farklı uygulamalar ile analiz ederken kullanabilmek için uygulamanın bulunduğu dizini kontrol edelim. WhatsApp uygulaması cihaza yüklendiğinde, aşağıdaki dizinde bulunmaktadır.
Data > Root > programs > WINDOWSAPPS

Normal şartlarda, uygulama cihazda yüklü (silinmemiş) durumdayken aşağıdaki şekilde dosyaları görebilmemiz lazım.


























Ancak elimizdeki cihazda bu dosyaların bulunmadığını görebiliyoruz. Böylece uygulamanın kaldırılmış olduğunu teyit etmiş olduk.



WhatsApp Uygulamasında Kayıtlı Telefon Numarası

WhatsApp uygulamasının aktif hale getirilmesi için telefon numarası ile etkinleştirme yapılması gerekmektedir. Bunun için uygulama tarafından sms onay kodu gönderilir. Bu işlem için kullandığınız telefon numarası "reglog.txt" isimli dosyada tutulmaktadır. Aşağıdaki dizinde yer almaktadır.

Data > Root > SharedData > OEM > Public > WhatsApp


























Bu dosyayı açtıktan sonra içerisinde "reg: check exists" metnini arattığımız zaman, telefon numarasının bulunduğu satıra gelmiş oluyoruz. Dosyanın hex görünümü aşağıdaki resimde gösterilmiştir.























WhatsApp Yazışmalarının Çıkarılması 

WhatsApp yazışmaları, normal şartlarda aşağıdaki dizinde, backup dosyaları şeklinde saklanmaktadır. Uygulamayı silip tekrar yüklediğiniz zaman, mesajların yedekten yüklenmesi bu dosyalar sayesinde gerçekleşmektedir. Bu yedek dosyaları adli analiz işlemlerinde büyük fayda sağlamaktadır. Windows Phone platformunda adli analiz işlemlerini kolaylaştıran bir diğer husus, yedek dosyalarının encrypt edilmeden saklanmasıdır.

Data > Root > SharedData > OEM > Public > WhatsApp > Backup




















Bu dizinde bulunan database dosyalarını dışarı aktardıktan sonra, SQLite Manager ile açıyoruz.


WhatsApp kişileri telefon numaralarına göre şu şekilde tutmaktadır. "numara@s.whatsapp.net"
Ayrıca push name sütununda bulunan isimler, bu numaranın rehber üzerinde nasıl isimlendirildiğini göstermektedir.  Data sütununda gönderilen mesajlar cleartext olarak görünmektedir. Cihazdan dışarıya gönderilen mesajlar "KeyFromMe = 1" ve "WantsReceipt = 0" değerlerini almaktadır. Dışarıdan cihaza gelen mesajlar ise tam tersi "KeyFromMe = 0" ve "WantsReceipt = 1" değerlerini almaktadır. 

Yazışma sırasında gönderilen medya dosyalarının ismi "MediaName" sütununda yer almaktadır. 

Not: Dosya ismi kullanılarak yine dump dosyası üzerinden medya dosyaları çıkarılabilmektedir. Eğer silinmiş veya hasar görmüş ise, carving teknikleri kullanılmalıdır. Bu konuyu başka bir yazıda ayrıntılı olarak anlatacağım. 

Timeline Analizi

Elde ettiğimiz yazışmalar, medya dosyaları kadar önemli olan diğer bir konu, bu işlemlerin timeline üzerinde gösterilebilmesidir. SQLite Manager ile açtığımız database dosyasında, "timestampLong" değerlerinin tutulduğunu görüyoruz. Bu değer "unix time - milisecond " tipinde tutulmaktadır. Bu değeri decode etmek için "DCode" uygulamasını kullanacağız. Cihazın timezone değerine göre uygulamaya verileri girdiğimiz zaman, aşağıda görüldüğü şekilde tarih ve saat bilgisini vermektedir.

Sonuçlar
    
-Cihaza uygulamanın yüklendiği ve yüklenirken hangi cep telefonu numarasının kullanıldığı tespit edilmiştir. 
-Cihazdan uygulamanın kaldırıldığı tespit edilmiştir.
-Database dosyası dump edilerek yazışmalar ve medya dosyaları tespit edilmiştir. 


Not: Bu yazıda analiz edilen WhatsApp uygulaması sürümü 2.11.634 şeklindedir. 








6 Ocak 2015 Salı

Windows Phone Cihazlarda Adli Analiz
Bölüm 2: Cihaz Konum Verilerinin İncelenmesi 

Öncelikle Ufed Touch ile delil toplama adımlarını görmek için bu adrese gidebilirsiniz. Bu bölümde extraction işlemlerinden sonra "Ufed Physical Analyzer" yazılımını kullanarak yapılan analizlere değineceğiz.Mobil aygıtlardan alınabilecek en önemli delillerden olan, konum bilgilerini analiz etmeden önce, sistemin nasıl çalıştığına bakalım. 

Konum Servisleri Nasıl Çalışır?
Konum servisleri dediğimiz zaman, birçok kişinin hayatında aktif olarak kullandığı GPS sistemleri aklımıza gelmektedir. GPS(GLobal Positioning System), dünya üzerindeki kesin konumun belirlenmesini sağlayan bir uydu ağıdır. ABD savunma bakanlığına ait 24 tane uydunun yörüngeden bilgi göndermesi ile çalışır. Son zamanlarda teknolojik gelişmeler ile birlikte karşımıza A-GPS ( Assisted Global Positioning System) kavramı çıkmaktadır. A-GPS uydudan aldığı konum bilgileri ile birlikte şebekeden aldığı konum bilgilerini de kullanarak, daha kısa sürede, daha az enerji tüketerek konum belirlenmesini sağlamaktadır. (bkz: tablo 1)

Tablo 1: Konum Belirleme Sistemleri - Doğruluk Payları
Ufed Physical Analyzer
Ufed Touch aygıtını kullanarak, delilleri usb belleğimize aktarmıştık. Usb belleği bilgisayara taktığımızda, içerisinde bulunan karmaşık dump dosyalarının dışında bir de '.ufdx' uzantılı dosya bulunmaktadır. Bütün extraction işlemlerinden sonra otomatik olarak oluşturulmaktadır. 
Bu dosyayı çift tıklayarak açtığımızda, Ufed Physical Analyzer yazılımı extraction özetini göstermektedir.
Aldığımız imajın içerisinde bulunan veriler özet olarak şu şekildedir.
Bu veriler doğrultusunda, şüpheli şahısın 12.09.2014 tarihinde nerelerde olabileceğini ortaya çıkartmak istiyoruz. 

Yazılımın bize sağladığı büyük kolaylıklardan birisi 'timeline' özelliğidir. Bu özellik sayesinde yüzlerce verinin içerisinde kolaylıkla filtreleme işlemi gerçekleştirebiliriz. Bu case için 12.09.2014 tarihinde alınan bilgiler önceliklidir. Timeline sekmesinden istediğimiz tarihi filtreliyoruz. Filtre sonucunda, belirli zamanlarda alınan konum bilgileri karşımıza gelmektedir.
Şimdi bu koordinatları Google harita özelliğinde kullanarak daha somut veriler elde edelim.  İlk koordinatı harita üzerinde görüntülediğimizde, şüphelinin büyük boş bir arsa üzerinde konumlandığı görülmektedir. Ancak hata payını da hesaba katarak, arsanın etrafında bulunan binalardan birisinde bulunduğu tahmininde bulunabiliriz.
Daha somut veriler için Yandex'in sağladığı panorama özelliğini kullanalım. Panoramik görüntüleri kullanarak büyük ve boş araziyi görüntüleyebiliyoruz. 
Görüntüyü biraz daha çevirdiğimizde, boş arazinin etrafında bulunan binalar görülmektedir. 

Bu çıkarımlardan sonra, bu bölgedeki güvenlik kameraları incelenerek şüphelinin net bir görüntüsü elde edilebilir. Ayrıca telefonda bulunan sms, e-posta ve çağrı kayıtları gibi veriler incelenerek, ne zaman nerede kiminle buluştuğunu, kimlerle iletişime geçtiğini tespit etmek mümkündür.

Şimdi diğer konumlar ile devam edelim. Sırası ile konumları eklediğimiz zaman, yol tarifi özelliği sayesinde, alternatif olarak izlemiş olabileceği birkaç farklı güzergah görüyoruz. Araç bilgisi bulunması halinde mobese kayıtlarından daha net sonuçlar elde edilebilmektedir.

Sıradaki konum bilgisini harita üzerinde görüntülediğimiz zaman, hata paylarını da hesaba kattığımızda, şüpheli şahsın bir spor tesisi veya otelde bulunduğunu net olarak görebiliyoruz. Panoramik görüntüler ve o bölgede çekilen fotoğraflar bu yargımızı desteklemektedir. Ancak hukuki nedenlerden dolayı daha detaylı görüntü paylaşmıyorum. Zaman bilgisi sayesinde şahsın yaklaşık 2 saat süreyle konumunun değişmediğini görebiliyoruz. 

Sonuçlar 
-Şüphelinin 12.09.2014 tarihinde 18:28 - 23:54 saat aralığında bulunduğu konumlar tespit edilmiştir.
-Konum değiştirirken kullanmış olabileceği alternatif güzergahlar tespit edilmiştir.

Notlar
-Bu sonuçlar sadece konum bilgisi kullanılarak ortaya çıkartılmıştır. 
-Cihaz ile çekilen fotoğraflar ve cihazda bulunan yazışmaların incelenmesi sonucunda, kişinin bu tarihte, kimlerle, hangi aracı kulanarak, hangi etkinliğe gittiği açıkça görülmektedir.
-Kişisel verilerin gizli tutulabilmesi için bu sonuçlar paylaşılmamıştır.

Erhan Turhan










24 Aralık 2014 Çarşamba

Windows Phone Cihazlar Üzerinde Adli Analiz
Bölüm 1: Dijital Delillerin Elde Edilmesi


Mobil cihazlarda yaygın kullanılan işletim sistemlerinin dışında kalmasına rağmen, zaman zaman Windows Phone işletim sistemine sahip cihazların da adli analizde incelenmesi gerekmektedir. Örnek case için Adeo adli bilişim laboratuvarındayız. Adli inceleme için büyük kolaylıklar sağlayan Ufed Touch ile devam edeceğiz.

Cihaz açıldığında karşımıza gelen listeden, nokia markasını seçiyoruz.

En son yazılım güncellemesi ile ( 4.0.0.220 ) birlikte, Nokia Lumia cihazlar üzerinde yapılabilen işlemler şunlardır.
-Logical Extraction
-File System Extraction

Elde edebileceğimiz delilleri toplamak için, Logical Extraction seçeneği ile devam ediyoruz.

Logical Extraction
Bu işlem seçildiğinde, logical extraction için iki farklı bağlantı yöntemi kullanılabildiğini görüyoruz.

1-Kablo
2-Bluetooth



İki farklı bağlantı yöntemi ile farklı veriler elde edebiliyoruz. Bu yüzden sırası ile ikisini de kullanacağız. Bağlantı yöntemimizi seçtikten sonra, verileri çıkaracağımız konumu belirtmemiz gerekiyor. Verileri aktarabileceğimiz iki farklı konum bulunmaktadır.




1-Çıkarılabilir aygıt (Usb Bellek, Harici harddisk vs.)
2-PC

Verileri usb belleğimizin içerisine aktarmak istediğimiz için “Removable Device” seçeneğini seçiyoruz.
Daha sonra cihaz üzerinden alabileceğimiz veri türleri görünmektedir. Nokia Lumia 820 için, bu adımda alabileceğimiz veri türleri şu şekildedir.


-Pictures
-Audio/Music
-Videos
-Ringtones










Almak istediğimiz verileri seçtikten sonra devam ediyoruz. Cihazımızı hangi kablo ile bağlamamız gerektiği ekranda görülmektedir.











Bu case için numarası T-100 olarak belirtilen kabloyu telefona bağlıyoruz.


Usb kablosunu, solda bulunan source portunu kullanarak bağlantıyı sağlıyoruz. Sonraki adımda, Usb aygıtımızı cihazın sağ tarafında bulunan target portuna bağlıyoruz. 




Aktarım işlemi başlıyor.
**Veri aktarım süresi telefonun hafıza doluluk oranına ve target disk yazma hızına göre değişmektedir. Bu örnek case yaklaşık 2 dakikada tamamlanmıştır.

Bluetooth ile Aktarım

Logical Extraction işlemini bluetooth ile yaptığımızda farklı veriler elde edebileceğimizi söylemiştik. Bu case için, Nokia Lumia 820 aygıtından alınabilecek sadece telefon rehberi bulunmaktadır.İşleme devam ettiğimizde bluetooth bağlantısı için bazı yönergeler görüyoruz.
Cihazımıza göre bu yönergeleri uyguluyoruz ve bluetooth eşleştirmesini sağlıyoruz.
Veri aktarım işlemi başlıyor.

Extraction tamamlandı. 
Veri boyutları çok büyük olmadığı için 3 dakika gibi kısa bir sürede işlem tamamlanmıştır.


File System Extraction

Bu aşama logical extraction işlemine göre daha uzun sürmektedir. Dosya sistemine erişim yetkisi kazanarak, daha fazla dijital delilin elde edilmesi sağlanmaktadır. Yukarıdaki aşamalardan farklı olarak, sadece kablo ile aktarım yapılabilmektedir. 

Yine usb aygıtımızı target bölümünde bulunan girişe bağlayarak veri aktarımını tamamlıyoruz.
Bu aşama yaklaşık olarak 25 dakika sürmüştür.


Ufed Touch ile alabileceğimiz bütün delilleri topladık. Sırada delil toplamak kadar önemli olan, analiz işlemlerine yer vereceğiz.

Erhan Turhan