İMAJ TİPLERİ DEĞİŞİNCE HASH DEĞİŞİR Mİ ?

DD FORMATINDA ALINAN İMAJ E01 VEYA AFF FORMATINA  ALINIRSA SONUÇLAR NASIL OLUR?

Bu konuya başlamadan önce bilmemiz gereken ilk şey Adli Bilişim için önemi çok büyük olan imaj tipleri nelerdir bunları anlamak. 

Adli Bilişim'de İmaj Kavramı Nedir Tipleri Nelerdir ?

İmaj diğer adıyla adli kopya Adli Bilişim için çok önemlidir. Çünkü verinin delil niteliği kazanması için yapılan ilk işlem imaj  almaktır. İmaj, inceleme yapılacak dijital belgenin veri depolama biriminin birebir kopyasının alınması işlemidir. Bu bizim için neden bu kadar önemlidir? Bunun sebebi olası bir davada delilin orjinalliğinin sağlanması herhangi bir değişim, kayıp vb. olayın olmadığını kanıtlayan kesinlik gösteren belge olmasıdır. 

İmaj Tipleri : 

1) Raw (dd) 

2) E01 

3) AFF 

4) SMART 

İmaj tiplerini açıklamadan önce Metadata kavramını açıklamakta fayda var. Metadata, üst veri anlamına gelmektedir yani bir kaynağın ya da verinin ögelerini tanımlayan bilgilerdir. Kısaca veri bilgisi olarak açıklanabilir.

  • Raw (dd) imaj Nedir ?
Bu türde alınan imaj dosyaları içinde herhangi bir metadata bilgisi saklanmaz. Sıkıştırma desteği yoktur. İmaj dosyası kaynak ile aynı boydadır. Veriyi olduğu haliyle tamamen alır.
  • E01 İmaj Nedir ?
Bu türde alınan imaj dosyaları içerisinde metadata bilgisi saklanır. İmajın sıkıştırılma desteği vardır. Olduğu haliyle değil sıkıştırılmış haliyle veriyi alır.
  • AFF İmaj Nedir ?
Bu türde alınan imaj dosyaları hem metadata saklama hem de sıkıştırma desteğine sahiptir. Gelişmiş dosya formatındadır. Bu imaj formatının üç farklı varyantı vardır. Bunlar ;
  1. AFF : İmaj, tek bir dosya şeklinde ve metadata bilgisi de aynı dosya içersinde bulunur.
  2. AFD : İmaj, birden çok ufak dosyalara bölünmüş olarak saklanır ve metadata dosyaları da aynı dosyalarda tutulur.
  3. AFM : İmaj dosyası WAR ( Java web sunucusu üzerinde kullanılan sıkıştırılmış uygulama programlarıdır. Veritabanı, liste ve resim dosyası gibi bilgiler içerebilir. )  formatındadır ve metadata bilgisi farklı ikinci dosyada saklanır.
  • SMART İmaj Nedir ? 
Bu türde alınan imaj Linux İşletim Sistemi için geliştirimiş Smart uygulamasının ham veri yanında metadata ve doğrulama değerlerini de içermekte olan dosya formatıdır.

İmaj tipleri hakkında genel hatlarıyla fikir sahibi olduğumuza göre asıl konumuz olan Raw (dd) formatında alınan imajın E01 veya AFF formatına döndürdüğümüzde gözlemlediğimiz durumlara bakalım. Sırasıyla ilk başta Raw(dd) formatında imaj ardından E01 ve sonra AFF formatındaki imaj ve sonuçlarını görüyoruz :




































  • Sonuç olarak görüyoruz ki mutlak surette değişmeyen şey MD5, SHA1, SHA256 HASH'lerinin değerleridir. Bu durum dosyanın bozulup bozulmadığını anlamanın en keskin yoludur. Değiştiği yerde bu data üzerinde oynama yapılmıştır diyebiliriz.

  • Onun dışında kalan zaman, boyut gibi kavramlarda imaj tiplerine göre değişme olabilir.

  • Geriye kalan parametreler değişkenlik gösterse de bizim için önemli olan Hash değerlerinin sabitliğidir.





Yorumlar

  1. Yusuf Hakan Orhan18 Ekim 2021 21:10

    Faydalı bir içerik olmuş, ellerinize sağlık.

    YanıtlaSil
  2. Adsız18 Ekim 2021 21:11

    mükemmel bir paylaşım emeğinize sağlık

    YanıtlaSil

Yorum Gönder

Bu blogdaki popüler yayınlar

Fatrat İle Backdoor Oluşturma ve MSFCONSOLE İle Exploit Etme

Resim
FATRAT İLE BACKDOOR OLUŞTURMA Veil ile backdoor oluşturmaya altarnatif Fatrat Toolu İle Backdoor Oluşturma FUD Nedir ? Öncelikle FUD yani Full Undetected denilen şey zararlı yazılım ve kod parçacağı içeren dosyayı tamamen virüssüz olarak gösteren bir Crypter sistemdir. Normal şartlarda antivirüs uygulamaları tarafından tespit edilmesi gereken, içerisinde zararlı kod parçacıkları ve yazılımlar barındıran dosyaların tümünün antivürüs tarafından tespit edilememesini, doğal olarak da dosyanın temiz görünmesini sağlar. Fatrat  bu şekilde çalışma odaklı bir tooldur. Fatrat Yükleme Google'a fatrat github deyip code linkini kopyalıyoruz. --> git clone "https://github.com/screetsec/TheFatRat.git"  --> sudo bash setup.sh  --> cd /usr/share/metasploit-framework --> gem install bundler  --> bundle install   diyoruz son olarak ve kurulum tamamlanıyor.(Söylenilen her şeyi yüklemediğiniz takdirde çalışmayacaktır) Fatrat Kullanım --> fatrat --...
Devamı

Kali Linux Veil-Framework Nedir ? Nasıl Kullanılır ?

Resim
Veil-Framework Kurulum Github Veil-Framework Setup' tan komutları girerek kurulumu gerçekleştiriyoruz. Bunun için ilk başta git'i yüklüyoruz.Bundan sonra Veil kurulumuna geçebiliriz.Yani sırasıyla girmemiz gereken komut : -->  sudo apt-get -y install git  (git'i yüklüyoruz) -->   git clone https://github.com/Veil-Framework/Veil.git -->  cd Veil/ -->    ls   -->  ./config/setup.sh --force --silient Böylelikle kurulum tamamlanıyor. Veil-Framework Kullanım   Veil-Framework bir virus yazma tool'udur.İçerisinde 41 adet payload bulunur ve istediğimiz programlama  dilinde istediğimiz seçenekte girdiğimiz local host ve porta özel virus yazar.  Bize virus yapma imkanı veren bu toolu nasıl kullanırız bakalım.   --> Veil --> list --> use 1 (Evasion)         --> list (payload = bu araçları kullanmak için yazılan kodlar)     --> use 14 (ben bu payloadı seçiyorum siz ...
Devamı