Herkese merhaba, bu yazımda Windows için Autopsy programı kurulumu, arayüzü,usb bellek imajı ve email incelemesinden bahsedeceğim.
Autopsy, dijital adli analiz süreçlerinde tercih edilen açık kaynaklı bir adli bilişim aracıdır. Kullanıcılara doğrudan imaj alma işlemi yerine mevcut disk imajları üzerinde inceleme yapma olanağı sunar. Silinmiş dosyaları zaman çizelgesi üzerinden analiz etme ve kurtarma sayesinde olayların kronolojik olarak aydınlatılmasına katkı sağlar. Dosyaların bütünlüğünü kontrol etmek ve karşılaştırmak amacıyla hash hesaplamaları da yapılabilmekte. Gelişmiş özellikleri ve kullanıcı dostu arayüzü ile daha komplike analizler gerçekleştirmek isteyenler için etkili bir çözüm.
Kurulum ile başlayalım. İndirme sitesi için tıklayabilirsiniz.
İşletim sistemimize uygun olan indirme seçeneğine tıklayalım.
Kurulum işlemlerini tamamlayalım.
Kurulumu tamamladık. Üst bölümde bulunan tool barı inceleyelim.
Case sekmesi olay başlatmak – imaj dosyasını incelemek gibi işlemler için kullanılır. Alt seçenekleri ise;
New Case, yeni bir adli inceleme başlatmak için
Open Recent Case, daha önce çalışılmış olayları yeniden açmak için
Open Case, manuel olarak açmak için
Unpack and Open Portable Case, genellikle başka sistemlerden gelen sıkıştırılmış olay dosyalarını içe aktarmak için
Close Case, açık olan olayı kapatmak için
Delete Case, seçilen olayı sistemden silmek için
Manage Hosts, olayda analiz edilecek farklı cihazları ~host~ tanımlamak ve yönetmek için
Add Data Source, imaj dosyası, yedek, e-posta, tarayıcı geçmişi gibi veri kaynaklarını olaya eklemek için
Case Details, olayla ilgili açıklama, tarih gibi temel bilgileri görüntülemek için
Data Source Summary, eklenmiş veri kaynaklarının genel özetini sunmak için
Exit ise uygulamadan çıkış yapmak için kullanılır.
View sekmesinde;
Split seçeneği ile uygulama penceresini yatay veya dikey olarak ikiye böler.
Show Only Editor seçeneği ile sadece içerik düzenleme alanını gösterir. ~minimalist görünüm~
Full Screen seçeneği ise uygulamanın tam ekran moduna geçmesini sağlar.
Tools sekmesinde;
Images/Videos, görsel ve video dosyalarını analiz etmek için
Communications, e-posta, mesajlar gibi iletişim verilerini analiz etmek için
Geolocation, gps bilgisi gibi coğrafi verileri analiz etmek için
Timeline, incelenen veriye dayalı olaylar zaman çizelgesi oluşturmak için
Discovery, varlıklar üzeirnde arama veya keşif yapmak için
File Search by Attributes dosyaları boyut, tür, tarih gibi özniteliklere göre arama yapmak için
Search Central Repository, merkezi bir veri tabanında veya depo alanında arama yapmak için
Find Common Properties, veri setindeki benzer özelliklere sahip dosyaları bulmak için
Run Ingest Modules, verileri işlemekte kullanılan modülleri çalıştırmak için
Generate Report, adli inceleme bulgularına dayalı rapor oluşturmak için
Plugins, eklentilerle entegrasyon için
Python Plugins, python betikleri ve modüllerinin Autopsy’ye entegre edilmesi için
Options, araç için ayarlar ve yapılandırma seçenekleri için
Personas, kullanıcı profillerinin yönetimi veya analizi için
Make Live Triage Drive, depolama cihazı üzerinde canlı analiz yapmak için
Open Case Folder var olan bir adli inceleme vakasının klasörünü açmak için
Create Logical Imager seçeneği ise dijital adli analizde, belirli dosya türlerini veya kriterlere uyan verileri organize etmek-düzenlemek için kullanılır.
Window sekmesinde;
Result Viewers, inceleme sonuçlarını görüntülemek için
Content Viewers, dosya-veri içeriklerini görüntülemek için
Reset Windows, açık olan tüm pencereleri varsayılan düzenine geri döndürmek için
Configure Window, pencere düzenini ve ayarlarını özelleştirmek için
Close Window, pencereyi kapatmak için kullanılır.
Help sekmesinde;
Online Autopsy Documentation, internetteki Autopsy belgelerine erişim için
Offline Autopsy Documentation, Autopsy belgesinin çevrimdışı sürümüne erişim için
Get Ingest Progress Snapshot, veri alma işleminin ilerleme durumunun anlık görüntüsünü almak için
Performance Diagnostics, Autopsy’nin performansını analiz etmek için
Thread Dump, yazılımın iş parçacıklarının dökümünü alarak olası sorunları tespit etmek için
Open Log Folder, Autopsy’nin log dosyalarının bulunduğu klasörü açmak için
About seçeneği ise Autopsy hakkında genel bilgi-sürüm bilgilerini görüntülemek için kullanılır.
Alt tool bar ise bazı kısayollar ile kolaylık sağlar;
Add Data Source, olay dosyasına imaj, klasör, e-posta, disk, mobil cihaz gibi veri kaynaklarını eklemek için
Images/Videos, olaydaki görselleri ve videoları incelemek için(exif gibi)
Communications, e-posta, sohbet geçmişi ve tarayıcı aktivitelerini analiz etmek için
Geolocation, dosyalar içindeki gps verilerini çıkararak harita üzerinde görselleştirmek için
Timeline, dosyaların oluşturulma, değiştirilme, silinme zamanlarına göre bir zaman çizelgesiyle olay akışını kronolojik analiz etmek için
Discovery, verileri otomatik olarak belge, medya, e-posta, sık kullanılan dosyalar gibi kategorilere ayırmak için
Generate Report, tüm analiz sonuçlarını PDF, HTML vb. formatlarda dışa aktarıp adli rapor oluşturmak için
Close Case ise açık olan olayı kapatmak için kullanılır.
Bir önceki yazımda anlatmış olduğum FTK Imager ile alınmış usb imajını inceleyelim. FTK Imager yazımı okumak için tıklayabilirsiniz.
New case seçeneği ile yeni bir vaka açalım.
Case name ile olaya isim verebiliyoruz.
Base directory olayla ilgili tüm dosyaların bulunacağı klasörü seçiyoruz.
Case type kısmında iki seçeneğimiz bulunuyor.
Single user tek analistin çalıştığı olaylar için kullanılıyor.
Multi user ise birden fazla analistin aynı anda olayı analiz edebilmeleri için kullanılıyor.
Optional information kısmında ise olay numarası, analiste dair bilgiler, olaya ait notlar ve organizasyona ait bilgiler yer alır.
Case oluşturma işlemini tamamladık, şimdi host ayarlarını yapalım.
Generate new host name based on data source name seçeneği ile otomatik isim oluşturma,
Specify new host name ile kullanıcı tarafından manuel isim oluşturma,
Use existing host seçeneği ile daha önce eklenmiş olan hostları görüntüleyebiliyoruz.
Bir sonraki işlemde ise data kaynak tipini seçiyoruz.
Disk Image or VM File, E01, AFF, RAW (dd), VMDK, VHD gibi disk imajlarını veya sanal makine dosyalarını analiz etmek için
Local disk, doğrudan bağlı bir HDD, SSD veya USB sürücü gibi fiziksel diskleri analiz etmek için (canlı analiz)
Logical Files, sadece belli dosya veya klasörleri analiz etmek için (parça parça)
Unallocated Space Image File, sadece unallocated (boş ama silinmiş veriler içerebilecek) alanın imajı varsa analizi için (ham veri, kurtarma işlemleri için)
Autopsy Logical Imager Results, Autopsy’nin kendi aracı olan Logical Imager kullanılarak alınmış özel dosya setlerini analiz etmek için
XRY Text Export, MSAB XRY isimli mobil cihaz analiz aracının yaptığı dışa aktarımları analiz etmek için kullanılır.
E01 dosyamızı seçelim.
Ignore orphan files in FAT seçeneği ile bağlantısı kopmuş dosyaları hariç tutar.
Doğru analiz için saat dilimini seçelim.
Sector size kısmı varsayılan olarak bırakılır, genelde 512 byte.
Bitlocker password seçeneği ile eğer imaj şifrelenmiş bir diske aitse ve şifresi biliniyorsa girilir.
Hash value seçeneğinde daha önce alınmış hash değerleri varsa girilir.
Next seçeneği ile devam edelim.
İstediğimiz inceleme modüllerini seçelim.
Recent Activity kullanıcının son işlemlerini analiz eder.
Hash Lookup, dosya hashlerini önceden tanımlı veritabanlarıyla karşılaştırır.
File Type Identification, dosya içeriğine bakarak dosya türünü belirler.
Extension Mismatch Detector, dosya uzantısı ile gerçek dosya türünü karşılaştırır. Sahte uzantılar tespiti için.
Embedded File Extractor, ZIP, RAR gibi sıkıştırılmış dosyaların içeriğini açar ve içindeki dosyaları ayrı analiz eder.
Picture Analyzer, görselleri tarar, yüz tespiti yapar ve exif gps bilgilerini çıkararak analiz eder.
Keyword Search, anahtar kelime araması yapar.
E-mail Parser, Outlook e-posta dosyalarını analiz eder.
Encryption Detection, dosya ve veri yapılarında şifreleme izlerini tespit ederek, şifrelenmiş içeriklerin varlığını analiz eder. şifre çözümü yapmaz.
Interesting Files Identifier, belirli dosya adlarına veya yollarına göre kategori oluşturur.
Central Repository, Autopsy’de birden fazla case arasında ortak veri paylaşımı ve karşılaştırma yapmayı sağlayan merkezi veri tabanı.
PhotoRec Carver, silinmiş veya bozuk dosyalar için veri kurtarma modülüdür.
Virtual Machine Extractor, sanal makine dosyalarından disk imajlarını ve içindeki verileri çıkartarak incelemeye hazır hale getiren modüldür.
Data Source Integrity, veri kaynağının hash değerlerini hesaplayan modül.
Android Analyzer (ELEAPP), Android cihazlardan elde edilen ELEAPP rapor dosyalarını ~log ve uygulama verileri~ analiz eden modüldür.
Cyber Triage Malware Scanner, kötü amaçlı yazılım belirtilerini tespit etmeye yarayan modül.
DJI Drone Analyzer, DJI marka drone’lardan elde edilen uçuş verilerini, medya dosyalarını ve log kayıtlarını analiz ederek olay incelemesi yapan modül.
Plaso, dijital kanıtların timeline oluşturmak için log ve veri kaynaklarını toplayıp analiz eden olay zamanlama aracıdır.
YARA Analyzer, dosyalar ve bellek içeriği üzerinde YARA kurallarını uygulayarak kötü amaçlı yazılım ve şüpheli davranışları tespit eden modüldür.
iOS Analyzer, iPhone yedeklerinden SMS, arama, fotoğraf, konum gibi verileri analiz eder.
GPX Analyzer, GPS verilerini içeren GPX dosyalarını analiz ederek konum, rota ve hareket bilgilerini çıkaran modüldür.
Android Analyzer ise Android sistem dosyalarından sms, arama geçmişi, kişiler, konum vb. bilgileri çıkarır.
Sağ tarafta ise her modül için seçili olan modüle özel yapılandırmalar yapılabilir.
Aşağıdaki gibi bir ekran ile yüklemenin tamamlandığını anlayabiliriz. Finish diyelim.
Host kaynaklarımızı, dosya tiplerimizi, silinen dosyaları, riskli doya olup olmadığı bilgisini, metadata~kayıt geçmişi gibi~ görüntüleyebiliyoruz.
Sağ üst kısımda bulunan keyword lists, tarayıcı imajı gibi analizlerde kullanılıyor.
Kişiye ait bilgiler gibi detaylı bilgilere ulaşabiliyoruz.
Discovery kısmında verileri belge, medya, e-posta, sık kullanılan dosyalar gibi kategorilere ayırarak inceleyebiliyoruz.
Dosyalarda lokasyon bilgisi çıkarsa geolocation ile bilgi alıp inceleyebiliyoruz.
Timeline yani zaman grafiği olarak da dosyaların oluşturulma, değiştirilme, silinme zamanlarını kronolojik analiz etmek için kullanabiliyoruz. csv formatında dışa aktarabiliyoruz.
Üzerine veri yazılmamış tüm silinen dosyaları geri getirebiliyoruz.
Kurtardığımız dosyaları bilgisayara kaydedip detaylı bilgi de alabiliriz.
Eğer dosya bozulmuşsa scalpel, x ways gibi ek araçlar kullanarak kurtarmayı deneyebiliriz.
Email incelemesi için eml formatında mailimizi dışarı aktaralım.
New case ile case isimlendirmesini yapalım.
Case ile ilgili olay numarası, analiste dair bilgiler, olaya ait notlar ve organizasyona ait bilgileri girebiliriz.
Generate new host name based on data source name seçeneği ile otomatik isim oluşturma, Specify new host name ile kullanıcı tarafından manuel isim oluşturma, Use existing host seçeneği ile daha önce eklenmiş olan hostları görüntüleyebiliyoruz.
Dosya üzerinde analiz yapacağımız için logical files seçeneğini seçelim.
Dosyamızı ekleyelim.
En aşağıda yer alan timestamps seçenekleri ise
Modified Time, dosyanın içeriğinin en son değiştirildiği tarih. Kopyalama sırasında genellikle değişmez.
Creation Time, dosyanın bulunduğu yerde oluşturulduğu tarih. Kopyalanınca değişebilir, yeni kopyalama zamanını gösterir.
Access Time, dosyanın en son açıldığı veya okunduğu tarih. Dosya sadece görüntülenirse bu değişir.
İstediğimiz modülleri seçelim.
Embedded File Extractor, ZIP, RAR gibi sıkıştırılmış dosyaların içeriğini açar ve içindeki dosyaları ayrı analiz eder.
Keyword Search, anahtar kelime araması yapar.
E-mail Parser, Outlook e-posta dosyalarını analiz eder.
Finish ile tamamlayalım.
Alıcı-gönderici bilgisi, zaman bilgisi gibi bilgilere ulaşıp, zararlı mailler ile ilgili incelemeler de yapılabilmektedir.
Okuduğunuz için teşekkür ederim..
Açık ve anlaşılır anlatımı sayesinde bu yazıyı hazırlamamda katkı sağlayan Kaan Köse hocama çok teşekkür ederim.
