USB Forensic Tracker

USB Forensic Tracker (USBFT) , Windows, Linux ve Mac işletim sistemlerindeki ilgili sistem dosyalarını kullanarak USB aygıt bağlantıları(takma/çıkarma sonucunda oluşan log bilgileri) ile bilgileri çıkaran bir adli bilişim aracıdır.  Bu bilgileri ayrıca mount edilmiş imaj dosyaları,çalışan işletim sistemi ve volume shadow copy'ler içerisinden de çıkarabilir. Bulunan verileri Excel belgesi olarak export eder.

USB Forensic Tracker'in işletim sisteminde baktığı yerler: Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7) C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx  (Window 10) C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx C:\Windows\INF\setupapi.dev.log C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log C:\Windows\INF\setupapi.upgrade.log C:\Windows\setupapi.log “Windows.old” folder Volume Shadow Copies Mac OSX (tested on OSX 10.6.8 and 10.10.3) /private/var/log/kernel.log /private/var/log/kernel.log.incrementalnumber.bz2 /private/var/log/system.log /private/var/log/system.log.incrementalnumber.gz Linux (tested on Ubuntu 17.04) /var/log/syslog Gereksinimler: .Net Framework 4.5 Programı indirmek için: USB Forensic Tracker v1.0.8 Kaynak: www.orionforensics.com

Android Forensics: A Case Study of the Nexus S Virtual Device

What you will learn...

• Without an Android Device, you will examine an Android Virtual Device using Android Device Emulator. You'll learn logically exctract and analysis SQLite database files.

What you should know...

• Basic Linux & SQLite Shell commands

Doküman bağlantısı: https://docs.google.com/document/d/1gEcilUNPTNCykUt9lvMk4nPI9Sga6HEpFWVXiot-Zww/edit?usp=sharing

Yayımlanan dergi ve sayısı: https://eforensicsmag.com/download/android-forensics/

*İngilizceye sonradan çevirmiştim. Türkçe orijinalini bulamadım.  Anlaşılır bir ingilizce zaten :))

PDF Metadata viewer

Adli Bilişim işiyle ilgilenenler metadata(üstveri) bilgilerinin ne kadar önemli olduğunu bilir. Bu konuda yazılmış makaleler var. Merak edenler google'dan bir araştırıp bakabilir. Bu amaca yönelik olarak PDF dosyaların üstveri bilgilerini okumak için bir program yazdım. Programın arayüzü ingilizce. programı bir kaç sitede paylaşıma açmıştım.

Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.

programı indirmek için : PdfMetaData

Not: Programla ilgili bir yorum...

Adli Bilişim ile ilgili bazı sertifikalar

Siber Güvenlik Egitimi

2015 yılında 3500 kişinin başvurduğu Cisco Networking Academy sertifikalı, ücretsiz Siber Güvenliğe Giriş eğitimine Mayıs ayının son haftası (30 Mayıs Salı akşamı) başlıyoe.

Ders detaylarına erişmek ve Cisco Network Akademisi Eğitimine kayıt olmak için aşağıdaki linke giriş yapmanız yeterlidir.

https://www.netacad.com/web/self-enroll/course-512240

Computer forensics related resources like: blogs, fora, tweets, tools and challenges (and test images).

http://forensicswiki.org/wiki/Blogs

Unix Timestamp Windows Tarih-Saat Dönüşümü Excel Formülü

Unix TimeStamp, zamanı yönetmek için geliştirilmiş bir tarih sistemidir. Kısaca, 1 Ocak 1970 tarihinin gece yarısından bu yana geçen zamanın saniyeler cinsinden değeridir. Neden bu şekilde bir tarih sistemine ihtiyaç duyulmuş sorusuna verilebilecek en net yanıt, bilgisayar işlemcileri için sayısal değerler üzerinde işlem yapmanın çok daha kolay olmasıdır.

Şimdi Unix zamanının Windows zamanına Excel formülü ile dönüştürelim. Bunun için Unix zaman değerini gün sayısına çevirip bu tarihe 1 Ocak 1970 değerini ekleyeceğiz.

Örnek Unix zaman sayımızı 1375578923 olsun.

( 1375578923/60) dakikayı verir.
(( 1375578923/60)/60  ) saat değerini verir.

(( 1375578923/60)/60 )/24 gün değerini verir. Unix zamanını sırasıyla 60'a, 60'a ve 24'e bölüyoruz ve gün sayısını buluyoruz. Şimdi gün değerine temel aldığımız tarih değeri olan 1 Ocak 1970 değerini ekleyeceğiz.

Excelde bir hücreye

=((( 1375578923/60)/60 )/24)+TARİH(1970;1;1) değerini yazdığınızda

4 Ağustos 2013 01:15:23

değerini göreceksiniz. Formülü yazdığınız hücrenin biçimini tarih saat olarak ayarlamayı unutmayın.

Not: Excel Türkçe ise TARİH, İngilizce ise DATE yazacağız.  MS Excel yerine Libre Office, Open Office vs ile de yapabilirsiniz. Ben Libre Office ile yaptım.