linux forensics Etiketli Yazılar

BGA Blog yazıları

Linux Sistemlerde Dosya Silme Kurtarma (Disk Forensics)
2013

Linux Sistemlerde Dosya Silme Kurtarma (Disk Forensics)

Bu yazı Linux sistemlerde temel seviyede dosya sistemleri, özellikleri ve  desteklenen dosya sistemleri üzerinde silinen dosyalarin geri getirilmesi ile ilgili bilgiler içermektedir.  Ext2 Dosya Sistemi Ext2 (second extended filesystem) bir linux dosya sistemidir. Hem ardışık hem de ayrı bloklar halinde diske yazma yapabilir. Maksimum dosya boyutu 2 TiB, dosya adı uzunluğu 255 bayt, bölüm boyutu 32 TiB olabilir. Dosya isimlerinde NULL karakterlere izin vermez. Linux, BSD, Windows ve Mac OS X işletim…
Devamı
Veri Saklama: Linux'da Durgun Alan(Slack Space)
2011

Veri Saklama: Linux'da Durgun Alan(Slack Space)

Durgun Alan: Durgun alanın tanımına geçmeden önce blok (block)-Linux'da ve yığılımın (cluster)-Windows'da iyi anlamak gerekir. Blok dosya sistemi tarafından data dopalanması için kullanılan belli bir büyüklüğe sahip depolama alanıdır.Bloklar yüzlerce sektörden oluşurlar. Dosyalar bir veya daha çok bloktan oluşur. Eğer dosyalar tam olarak depolandığı blokları dolduruyorsa durgun alan ortaya çıkmaz. Fakat eğer depolandığı bloklar dosya için fazla geliyorsa durgun alan ortaya çıkmış demektir. Bu alan dosyanın bittiği yerden başlar ve blokun sonuna…
Devamı
Linux sistemlerde fiziksel bellekten veri okuma (memory forensic)
2010

Linux sistemlerde fiziksel bellekten veri okuma (memory forensic)

Bilişim suçu işlenirken kullanılmış sistemler incelenirken en önemli adımlardan biri sistemin o an çalışan imajının alınmasıdır. Bu imajda en önemli parçayı fiziksel hafıza/belleğin kopyası oluşturmaktadır.Linux sistemlerde fiziksel belleğin bir kopyasını çıkarmak oldukça kolaydır. Fiziksel belleğin bir kopyası dosyaya yazıldıktan sonra hashi alınarak üzerinde çalışılabilir.Örnek: Linux makinedeki bir kullanıcı(netsec kullanıcısı) 192.168.1.107 IP adresine SSH ile bağlanmış olsun. SSH ile bağlanma esnasında username/pass bilgileri bellekte tutulacağı için bağlantı esnasında birileri memory dump işlemi gerçekleştirirse…
Devamı