Adli Bilişim & Windows Forensics Artifacts

USB Forensic Tracker

USB Forensic Tracker (USBFT) , Windows, Linux ve Mac işletim sistemlerindeki ilgili sistem dosyalarını kullanarak USB aygıt bağlantıları(takma/çıkarma sonucunda oluşan log bilgileri) ile bilgileri çıkaran bir adli bilişim aracıdır.  Bu bilgileri ayrıca mount edilmiş imaj dosyaları,çalışan işletim sistemi ve volume shadow copy'ler içerisinden de çıkarabilir. Bulunan verileri Excel belgesi olarak export eder.

USB Forensic Tracker'in işletim sisteminde baktığı yerler: Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7) C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx  (Window 10) C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx C:\Windows\INF\setupapi.dev.log C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log C:\Windows\INF\setupapi.upgrade.log C:\Windows\setupapi.log “Windows.old” folder Volume Shadow Copies Mac OSX (tested on OSX 10.6.8 and 10.10.3) /private/var/log/kernel.log /private/var/log/kernel.log.incrementalnumber.bz2 /private/var/log/system.log /private/var/log/system.log.incrementalnumber.gz Linux (tested on Ubuntu 17.04) /var/log/syslog Gereksinimler: .Net Framework 4.5 Programı indirmek için: USB Forensic Tracker v1.0.8 Kaynak: www.orionforensics.com

Android Forensics: A Case Study of the Nexus S Virtual Device

What you will learn...

• Without an Android Device, you will examine an Android Virtual Device using Android Device Emulator. You'll learn logically exctract and analysis SQLite database files.

What you should know...

• Basic Linux & SQLite Shell commands

Doküman bağlantısı: https://docs.google.com/document/d/1gEcilUNPTNCykUt9lvMk4nPI9Sga6HEpFWVXiot-Zww/edit?usp=sharing

Yayımlanan dergi ve sayısı: https://eforensicsmag.com/download/android-forensics/

*İngilizceye sonradan çevirmiştim. Türkçe orijinalini bulamadım.  Anlaşılır bir ingilizce zaten :))

PDF Metadata viewer

Adli Bilişim işiyle ilgilenenler metadata(üstveri) bilgilerinin ne kadar önemli olduğunu bilir. Bu konuda yazılmış makaleler var. Merak edenler google'dan bir araştırıp bakabilir. Bu amaca yönelik olarak PDF dosyaların üstveri bilgilerini okumak için bir program yazdım. Programın arayüzü ingilizce. programı bir kaç sitede paylaşıma açmıştım.

Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.

programı indirmek için : PdfMetaData

Not: Programla ilgili bir yorum...

Adli Bilişim ile ilgili bazı sertifikalar

Siber Güvenlik Egitimi

2015 yılında 3500 kişinin başvurduğu Cisco Networking Academy sertifikalı, ücretsiz Siber Güvenliğe Giriş eğitimine Mayıs ayının son haftası (30 Mayıs Salı akşamı) başlıyoe.

Ders detaylarına erişmek ve Cisco Network Akademisi Eğitimine kayıt olmak için aşağıdaki linke giriş yapmanız yeterlidir.

https://www.netacad.com/web/self-enroll/course-512240

Computer forensics related resources like: blogs, fora, tweets, tools and challenges (and test images).

http://forensicswiki.org/wiki/Blogs