The Sleuth Kit (TSK) İle File System Forensics – 4

The Sleuth Kit (TSK) İle File System Forensics – 4
[EXHIBIT_A] Featured evidence

The Sleuth Kit (TSK) uygulamaları ile dosya sistemi seviyesinde gerçekleştirilebilecek adli bilişim analizlerini ele aldığımız yazı dizimize devam ediyoruz. İlk üç makalede sırasıyla adli bilişim incelemelerinde dosya sistemi seviyesinde analiz yapmamıza imkan tanıyan The Sleuth Kit (TSK) uygulamalarına genel bir bakış atmış, ikinci makalede mmls ile fsstat'ın kullanımına değinmiş ve üçüncü makalede ise blkcat, blkstat, blkls gibi veri katmanı üzerinde işlem yapmamıza imkan tanıyan uygulamaları ele almıştık. İlgili makaleleri okumak için aşağıdaki linklere tıklayabilirsiniz.

http://halilozturkci.com/adli-bilisim-the-sleuth-kit-tsk-ile-file-system-forensics-1

http://halilozturkci.com/adli-bilisim-the-sleuth-kit-tsk-ile-file-system-forensics-2/

http://halilozturkci.com/adli-bilisim-the-sleuth-kit-tsk-ile-file-system-forensics-3/

Şimdiki makalemizde ise Metadata Katmanı (Metadata Layer) üzerinde işlem yapmamıza imkan tanıyan araçlara değineceğiz. Kullanacağımız araçların detaylarına geçmeden önce metadata katmanı hakkında biraz bilgi verelim. Metadata katmanında bir dosyayı tanımlamak için kullanılacak yapılar yer alır. Metadata katmanını bir kütüphanedeki kataloga benzetebiliriz. Katalog içinde yer alan kartların üzerinde kitapların detayları, yazarı, yayınevi, kaç yılında basıldığı vb gibi bilgiler yer alır. Yani özetle kitap hakkında bilgiler saklanır. Tıpkı bu örnekte anlatıldığı gibi dosya sistemlerinde bulunan metadata yapıları da bir dosyaya ilişkin o dosyanın disk üzerinde nerede yer aldığı, dosyanın MAC zamanları, izinleri vb gibi bilgileri tutarlar ve her metadata yapısı bir adrese sahiptir. Bu metadata yapıları farklı dosya sistemlerinde farklı şekilde isimlendirilirler. Aşağıda en çok rastladığımız dosya sistemlerinde bu metadata yapılarının hangi isimle anıldığını bulabilirsiniz.

  • Unix/LINUX: inode
  • NTFS: Master File Table (MFT) entry
  • File Allocation Table (FAT): Directory Entry

Bu metadata yapıları da allocated veya unallocated olabilirler. Şimdi metadata katmanı üzerinde işlem yapabileceğimiz uygulamaların detaylarına bakalım.

ifind:

ifind uygulamasını block veya cluster gibi veri birimleri ile meta data adresleri arasındaki eşleştirmeyi bulmak için kullanırız. Özellikle anahtar kelime arama işleminden sonra elde edilen blok bilgisi üzerinden daha fazla detay elde etmek istendiğinde kullanılır. ifind, metadata yapıları içinde arama yaparak bu metadata yapılarından hangisinin ilgili veri birimini gösterdiğini bulur. Bu sayede anahtar kelime arama yöntemi ile bir kısmını tespit ettiğimiz dosyanın tamamını elde etme imkanımız ortaya çıkar. Bazı dosya sistemlerinde dosya silinmiş dahi olsa ifind unallocated inode'ları tanımlayabilme yeteneğine sahiptir. ifind uygulamasının örnek bir kullanımını aşağıdaki ekran çıktısında görebilirsiniz.

exhibit_viewer.exe
ifind
[EXHIBIT] ifind

istat:

istat uygulaması kendisine girdi olarak verilen metadata adresi hakkında istatistiki ve detaylı bilgileri kolay okunabilir formatta sunar. Verilen detaylar aşağıdaki bilgileri içerir;

  • Atanan bütün veri birimlerinin(blok/cluster) adresleri All
  • İlgili dosyaya ait bütün zaman bilgileri (yerel zaman baz alınır. Eğer farklı bir zaman dilimi üzerinden işlem yapılsın isteniyorsa bu durumda –z parametresi ile zaman diliminin bildirilmesi gerekir)
  • İzinler ve kullanıcı/grup bilgileri
  • Dosyanın boyutu
  • Allocation durumu
  • NTFS dosyaları için bütün özellikler(attributes)

Aşağıdaki ekran görüntüsünde istat uygulaması ile bir NFTS disk bölümü içindeki 150 numaralı MFT kaydının detayları görülmektedir. Detaylardan da görülebileceği üzer ilgili MFT kaydı ssl3.dll isimli dosyaya ait bir kayıt. Dosyanın 5 Eylül 2011 tarihinde oluşturulduğunu ve disk üzerinde hangi numaralı clusterlar üzerinde yer aldığını da yine istat çıktısından görebiliyoruz.

exhibit_viewer.exe
istat
[EXHIBIT] istat

icat:

Adli bilişim incelemelerinde dosya sistemi katmanında gerçekleştirebileceğimiz analizlerde kullanabileceğimiz TSK uygulamalarından icat ile devam edelim. icat, kendisine girdi olarak verilen metadata adresinde yeralan dosyanın içeriğini varsayılan olarak ekrana basar. Genellikle silinmiş dosyaların kurtarılmasında kullanılır. icat ile kullanılabilecek parametreler şunlardır;

  • -s: Slack space’ler dahil edilsin isteniyorsa kullanılacak parametre
  • -r: Dosya kurtarmayı gerçekleştir. Bu parametre özellikle FAT dosya sistemindeki dosyaların kurtarılması için kullanılır.

Aşağıdaki ekran görüntüsünde ilgili NFTS disk bölümünde yer alan ve 150 numaralı MFT kaydı ile gösterilen dosyanın içeriği okunarak bir dosyaya yazılmış ve sonradan file komutu ile dosyanın düzgün şekilde kurtarılıp kurtarılmadığı kontrol edilmiştir.

exhibit_viewer.exe
icat
[EXHIBIT] icat

AUTHOR
Halil Öztürkci

Halil Öztürkci

Cybersecurity expert with 25 years of hands-on experience across the full attack-defense spectrum.

I've spent my career on both sides of the battlefield—investigating breaches through digital forensics, hunting APT groups through threat intelligence, building and leading security operations, dissecting malware, and executing red team engagements. Now I'm focused on the next frontier: LLM security, AI red teaming, and building secure AI/ML pipelines.

From incident response to adversary simulation, from SOC architecture to AI-powered threat detection—I decode complex security challenges and translate them into actionable defense.

RELATED_EVIDENCE

3 matches
█▀█ █▀█ ▀█▀ █ █▀▀ █ █▀▀█▀█ █▀▄ █ █ █▄▄ █▄▄ ██▄
📄 Article91%

The Sleuth Kit (TSK) İle File System Forensics – 1

Bu yazı dizimizde dosya sistemi seviyesinde adli bilişim incelemelerinin nasıl yapılabileceğine deği...

📄 Article90%

The Sleuth Kit (TSK) İle File System Forensics – 3

Yazımızın ilk kısmında adli bilişim incelemelerinde dosya sistemi seviyesinde analiz yapmamıza imkan...

📄 Article90%

The Sleuth Kit (TSK) Uygulamaları İle Adli Bilişim İnceleme Örnekleri – 2

The Sleuth Kit (TSK) uygulamaları ile dosya sistemi seviyesinde gerçekleştirilebilecek adli bilişim ...

enjoyed this? get more like it.