USB Adli Bilişimi: Tespit ve İnceleme

USB Adli Bilişimi: Tespit ve İnceleme

Genellikle flash bellek olarak bilinen USB (Universal Serial Bus) , Adli Bilişim araştırmalarında kanıt olarak bulunabilecek en yaygın depolama aygıtlarından birtanesidir. Adli soruşturma, kanıtların yok edilmemesi için yapılması gereken belirli bir soruşturma prosedürünü takip etmeyi içerir. Öyleyse, USB’nin adli araştırmasına başlayalım.

Windows Sistemlerde Son Takılan USB Flash Sürücüleri Bulma

USB belleklerin iş yerinde kullanılması, kötü niyetli çalışanların hassas veya gizli bilgileri herhangi bir yetkilendirme olmaksızın sistemden kaldırmasına izin verebilir. Bu sorunu çözmek için, USB’lerin Adli Bilişim yöntemleriyle incelenmesi gerekiyor. Öyleyse araştırmaya başlayalım;

Windows makinesinde USB’nin izlerini tespit etmek için, manuel ve otomatik yöntemler kullanabiliriz.

Kayıt Defteri Düzenleyicisi Kullanma

En son takılan USB depolama cihazlarının bilgilerini kolayca listelemek için manuel bir yöntemdir. “Windows + R” tuşlarına basınız ve “Registry Editor” yazınız.

Bu bilgilere Windows kayıt defterinde şu adresten bulunabilir:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

En son takılan USB cihazları, üreticisi, ürünün adı, seri ve sürüm numarası gibi detaylar görülebilir.

Powershell Kullanma

Powershell, USB izlerini bulmak için manuel bir yöntemdir. Aynı yol, aşağıdaki komutla en son takılan USB bellekler hakkındaki bilgileri almak için PowerShell’de kullanılabilir;

Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName

USBDeview Kullanma

USB’nin izlerini bulmak için otomatik bir yöntem olarak UsbDeview’i indirebilirsiniz. Bu araç, hangi USB cihazlarının sisteme bağlı olduğunu otomatik ve grafiksel olarak listeler verir.

Metasploit Kullanarak Son Takılan USB Flash Sürücüleri Algılama

USB flash belleğin geçmişinin uzaktan araştırılması gerektiğinde, Kali Linux’ta Metasploit’teki modülleri kullanabiliriz. Şimdi kullanacağımız modül, bir hedef bilgisayardaki USB Sürücü geçmişini numaralandıracaktır. Bu modülü kullanmak için, Linux makinenizi açın, msfconsole‘u başlatınız ve aşağıdaki komutu yazınız;

use post/windows/gather/usb_history

Oturum numarasını ayarlayınız. Burada, önceden bağlanmış çeşitli USB’lerin geçmişini görebileceksiniz.

Şimdi ayrıca meterpreter oturumunu da elde ettiniz. Powershell kullanarak uzaktan bağlanan USB flash sürücülerin geçmişini bulmak için aşağıdaki komutu kullanabilirsiniz;

load powershell

PowerShell yüklendikten sonra yazınız;

Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName

Böylece sisteme uzaktan bağlanan USB flash belleklerin listesini görebilirsiniz.

USB Flash Belleklerdeki Silinmiş Dosyaların FTK İmager ile İncelenmesi

Sisteme bağlı tüm USB belleklerin bağlantısını tespit ettikten sonra USB Flash belleğin suç mahallinde olup olmadığını tespit ettik. Faraday çantası kullanarak dikkatlice toplanabilir. Adli Bilişim araştırmacısı olarak kanıtları inceleyebiliriz.

İlk olarak, olay mahallinden alınan USB flash belleğin bir imajını oluşturmak önemlidir. İmajı oluşturmak ve analiz etmek için buradan indirebileceğiniz FTK İmager kullanabiliriz.

Disk İmajı Oluşturma

Adım 1: AccessData FTK İmager’i kurunuz ve çalıştırınız

Adım 2 : USB sürücünün disk imajını oluşturunuz.

Disk imajı; tüm dosyaları, klasörleri, ayrılmamış ve boş alan gibi verileri içerir. USB flash sürücü gibi bir fiziksel depolama aygıtının bit veya sektör bazında bir kopyasıdır.

Adım 3: USB Flash sürücü olduğundan dolayı imajı oluşturmak için Fiziksel Sürücüyü kaynağını seçiniz ve bitir’e tıklayınız.

Adım 4: İmaj dosyasının hedefini ekleyiniz, oluşturulan imajları doğrula yazan kutucuğunu işaretleyiniz.

Adım 5: Oluşturulacak imaj dosyasının hedefini ekledikten sonra, imaj dosyasına vermek istediğiniz ismi yazınız ve bitir butonuna tıklayınız.

Adım 6: İmaj hedefinin hazır olduğunu görebilirsiniz. İmajı almaya başlamak için Start’a tıklayabilirsiniz.

7. Adım: USB flash belleğinizin imajının oluşturulduğunu görüyorsunuz.

Adım 8: İmaj alma işlemi tamamlandıktan sonra, karşılaştırılmış ve doğrulanmış bir hash tablosu listelenecektir.

Burada imaj alma kısmı bitti, artık USB Flash Sürücünün analizine geçebiliriz.

Disk İmajını Analiz Etme

Adım 9: “Add Evidence Item” kısmına tıklayınız ve oluşturulan imaj dosyasının kaynağını ekleyiniz.

“İmage File” kısmını seçiniz.

Daha önce oluşturulan imaj dosyasını seçiniz.

Adım 10: Burada bir kanıt ağacının oluşturulduğunu ve root klasörünün diğer klasörleri sildiğini görüyorsunuz. Burada, “Export File” kısmını tıklayarak onları almaya çalışacağız.

Adım 11: Silinen klasörün ve içeriğinin geri alındığını görüyorsunuz.

Okuduğunuz için teşekkür ederim, diğer yazılarda görüşmek üzere…

Kaynak:

https://www.hackingarticles.in/usb-forensics-detection-investigation/

Related Posts

Leave a Reply