Hikdivision DVR kayıt logları

Hikdivision DVR cihazının (modelini hatırlamıyorum) kayıt yaptığı sabit diskin birebir kopyası içerisinde kayıtların başlangıç ve bitiş tarihlerini tersine mühendislik yaparak bulmuştum. Kayıtların tarihlerinin bulunduğu ilk satırda hexadecimal sistemde şu veriler vardı. Örnek:

04 98 42 4E 80 AC 42 4E 4A 00 00 00 0A

Bu örnek veri bir kayıta ait başlangıç ve bitiş tarihi, kamera no ve kaydın tutulduğu dosya adı bilgilerini tutuyor. Buna göre gerekli parse işlemleri sonunda;




kodlar aşağıdadır:

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Text;
using System.Windows.Forms;
using System.IO;

namespace WindowsFormsApplication2
{
public partial class Form1 : Form
{
public Form1()
{
InitializeComponent();
}


string ReverseString(string str)
{
//str katar
//01234567 01234567
//0498424E 4E429804
char[] katar = new char[str.Length];
for (int i = 0; i < str.Length/2; i++)
{
katar[2 * i] = str[str.Length - 2*i - 2];
katar[2 * i + 1] = str[str.Length - 2*i-1];

}
return new string(katar);
}
private void button1_Click(object sender, EventArgs e)
{
string baslama, bitis, dosyano, kamera;
string satir = "";
StreamReader st = new StreamReader("dosya.txt");
while ((satir=st.ReadLine())!=null)
{
satir = satir.Replace(" ", "");
baslama = satir.Substring(0, 8);
baslama = ReverseString(baslama);
int sayi=int.Parse(baslama, System.Globalization.NumberStyles.HexNumber);
textBox1.Text = ConvertFromUnixTimestamp((double)sayi).ToString();

bitis = satir.Substring(8, 8);
bitis = ReverseString(bitis);
sayi = int.Parse(bitis, System.Globalization.NumberStyles.HexNumber);
textBox2.Text = ConvertFromUnixTimestamp((double)sayi).ToString();

dosyano = satir.Substring(16, 8);
dosyano = ReverseString(dosyano);
sayi = int.Parse(dosyano, System.Globalization.NumberStyles.HexNumber);
textBox3.Text = "hik"+sayi.ToString();

kamera = satir.Substring(24, 2);
kamera = ReverseString(kamera);
sayi = int.Parse(kamera, System.Globalization.NumberStyles.HexNumber);
textBox4.Text = sayi.ToString();

}
st.Close();
}
DateTime ConvertFromUnixTimestamp(double timestamp)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
return origin.AddSeconds(timestamp);
}


double ConvertToUnixTimestamp(DateTime date)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
TimeSpan diff = date - origin;
return Math.Floor(diff.TotalSeconds);
}


}
}

MSN Contact identification

MSN Messenger veya Windows Live Messenger ile açılan oturumlarda bilgisayarınızda bir takım sayı isimleri taşıyan klasörler oluşur. Bu klasör isimleri nasıl oluşur bunula ilgili biraz araştırma yapmıştım. Forensic Focus sitesinde bu konuda yapılan tartışmaları okudum ve bir takım denemeler yaptım. Gördüğüm şu oldu. Oturum açıldığında elektronik posta adresiniz bir algoritmadan geçerek sayıya dönüşüyor ve bu isimde klasör oluşarak profilinizdeki bilgiler bu klasörde saklanıyor. Bunun anlamı şu;

Eğer bir elektronik posta adresini söz konusu algoritmadan geçirir ve elde edilen sayı değeri ile aynı isimde bir klasörü "Local Settings" veya "AppData..." klasörlerinin altında görürseniz o bilgisayarda msn veya wlm'de oturum açıldığını bulabilirsniz.


program:MSN Folder Number
Merak edenler için forensic focustan ilgili yazıları aşağıya koyuyorum.


Re: MSN contact identification
Posted: Fri Apr 27, 2012 1:56 am
Author: harryparsonage Location: Nottingham UK
Chris

Yes I imagine you could do that with an Enscript, I couldn't Wink

You could have my code for a VB program that I wrote to check the numbers but I can't find the code. The note I have is as follows -

The folder numbers are called PassportID numbers and are calculated by multiplying each decimal ASCII character value of the complete email address with 101. The address is always converted to complete lowercase first. The result of the calculation is always an unsigned long integer value ranging from 0 to 4294967295 (2^32).

Example:

Email address: a @ a.com

Decimal ASCII values: 97(a) ,64(@) ,97(a) ,46(.) ,99(c) ,111(o) ,109(m)

Calculation:

a(0 * 101) + 97 = 97
@(97 * 101) + 64 = 9861
a(9861 * 101) + 97 = 996058
.(996058 * 101) + 46 = 100601904
c(100601904* 101) + 99 = 10160792403

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 2 times 2^32 = 1570857811

o(1570857811 * 101) + 111 = 158656639022

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 32 times 2^32 = 4037816366

m(4037816366 * 101) + 109 = 407819453075

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 94 times 2^32 = 4092527251 and this is our magical PassportID.

The list of email addresses is in Mike's program in Settings, it is simply a list of well used free email addresses these could obviously be expanded further. His list -

@hotmail.co.uk
@hotmail.com

- - - Snip - - - -

@fastmail.com
@fastmail.co.uk
@madasafish.com
@ymail.com
@rocketmail.com

Last edited by harryparsonage on Fri Apr 27, 2012 7:42 am; edited 1 time in total

Pdf metadata Viewer

Adli Bilişim işiyle ilgilenenler metadata(üstveri) bilgilerinin ne kadar önemli olduğunu bilir. Bu konuda yazılmış makaleler var. Merak edenler google'dan bir araştırıp bakabilir. Bu amaca yönelik olarak PDF dosyaların üstveri bilgilerini okumak için bir program yazdım. Programın arayüzü ingilizce. programı bir kaç sitede paylaşıma açmıştım. Eğer Türkçe olmasını isteyenler olursa yardımcı olurum.

Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.



programı indirmek için : PdfMetaData.zip

Identity Theft-Kimlik Hırsızlığı

Kimlik Hırsızlığı konusunda yaptığım taslak çalışmayı kaynak olarak kullanan makalelere aşağıdaki linklerden ulaşılabilir.

Internet'te Bireysel Güvenliği Nasıl Sağlarız?
To develop an education system for secure internet banking: GIBES

Adli Bilişime Giriş

Benim IP

After click Save IP button, please wait for OK message. Then click Show IP button. Also you can review "ipnumbers.txt" file in the current directory.

Benim IP , internet IP ' lerinizi kaydeden bir programdır. Program whatismyip.com adresinden gelen değeri "IP Kaydet"(Save IP) komutu ile okur. Eğer okuma başarılı ise "OK" mesajı verir ve "ipnumaralarım.txt" (ipnumbers.txt)dosyasına IP adresini ve tarih bilgisini yazar. "IP Göster" (Show IP)ise "ipnumaralarım.txt" dosyasını datagride verir. Datagridde IP Numarası ve Tarih sütunlarına tıklayarak sıralama yapabilirsiniz. Whatismyip.com adresindeki değişiklikler programın çalışmasını etkileyebilir. Program manual çalışır ve deneme amaçlı yazılmıştır.Net 2.0 gerektirir. (requires .Net 2.0)


indirmek için:benimIP

Usb Yazma Koruması

UWP (Usb Write Protect), yazılım tabanlı bir usb yazma koruması programıdır. Windows XP SP2 yüklü bir makinede Registry özellikleri kullanılarak yazılmıştır. Programın çalışması için XP SP2 ve Net 2.0 Framework yüklü olmalıdır.
Programdaki "Yazma Korumayı Etkinleştir" komutunu, Usb cihazınızı bilgisayara bağlamadan önce çalıştırmalısınız.Usb cihazı ile işiniz bittikten sonra "Yazma Korumayı Kaldır" komutu ile usb' ye yazma erişimini eski hale getirebilirsiniz. Eğer bilgisayarınızda birden fazla usb cihaz takılı ise "yazma korumayı kaldır " komutu bu cihazlar bilgisayardan çıkarıldıktan sonra etkili olacaktır. Bir kaç deneme yaparak bunu görebilrsiniz. İyi çalışmalar

Dosya Adı    md5 hash değeri
UWP.exe    79F4A09329236D43914C63C4006B5172

indirmek için:uwp.rar (sorun varsa yorum kısmına yazın lütfen)

Microsoft Log Parser

Microsoft Log parser , Event Viewer, Registry, Dosya Sitemi, Active Directory gibi  Windows işletim sistemi ile ilgili log dosyaları ile beraber diğer log dosyaları, XML,CSV formatındaki metin tabanlı verilere sorgulama erişimi sağlar. Log parser giriş motoru,SQL motoru ve çıkış motoru olmak üzere üç çeşit bileşene sahiptir.Konunun devamı için aşağıdaki pdf belgesini indirebilirsiniz.Aşağıdaki SQL cümleciğini komut satırından çalıştırıldığında ilgili web sitesinde Ekim ayına ait ham log dosyası içerisinde en çok bulunan (5) ip adresini grafik ekrana verir.

logparser "select top 5 RemoteHostName,COUNT(RemoteHostName) as hits from E:\apache\canerk.com-Oct-2007 group by RemoteHostName order by Hits Desc" -i:NCSA -o:DATAGRID



Konu ile ilgili dokümanı indirmek için:



log adli bilişim

Word 2007 docx Metadata okumak

docx, microsoft office 2007 word dosyalarının uzantısıdır. Openxml formatında tasarlanmıştır ve xml dosyalarından oluşur.
Metadatalarını okuma için basit bir program yazdım. Dosyaya ait temel özellilklerin yanısıra Md5 değeri de hesaplanmıştır. Komut satırından çalışan bu program dosyaya ait özellikleri gösterir.

Kullanımı: metaview DosyaAdı

aşağıdaki örnekte  "recoverWindowsPasswords.docx "dosyasını, "metaview.exe"  ile aynı klasöre koyup çalıştırdım.Sonuçta dosyaya ait özellikler görülmektedir.



programı indirmek için : metaview.rar

not: program .net 2.0 gerektirir.

cMd5 Hash Hesaplayıcı

cMd5 kendim için yazdığım bir MD5 hesaplayıcısıdır. MD5(Message Digest 5) algoritması veri bütünlüğünün kontrolünde kullanılan bir algoritmadır. Hesaplama sonucunda 32 karakterlik bir metin değeri üretilir ve bu metin değeri tekil ve benzersiz bir değerdir. Trilyonda bir istisna  (MD5 Collision) çıkabilir. Bu yorum hesaplanmış bir yorum değildir :)  Orijinal bir programı kendi web sitesinde indirebildiğiniz gibi başka web sitelerinden de indirebilirsiniz.  Bazı programlar web sitelerinde hash değerleri de hesaplanmış olarak bulunur. MD5 değeri ile bir dosyanın içeriğinin değişip değişmediğini kontrol edebilirsiniz ya da içeriğinde kötü niyetli olarak oynanıp oynanmadığını.Burada web sitesinden indireceğiniz ve hash değeri belli olan  olan programın MD5 değerini, dosyayı indirdikten sonra cMd5 programı ile test edebilrsiniz.

Dosyaları sürükleyip bırakarak dosyaların Md5 değerlerini hesaplayabilir ve değerleri text formatında export edebilrsiniz.



Not: .net 2.0 gereklidir. Program sadece hobi amaçlı yazılmıştır.Kullanımından doğabilecek  zararlardan yazar sorumlu değildir.

indirmek için tıklayın: cMd5.rar (MD5: C4E8F8E76B7709B8337A1AF5CA123395)