1. Duyuruyu Kapat

Linux Sistemlerde Log Dosyaları Üzerinden Adli Bilişim İncelemesi

'Adli Bilişim' forumunda Al-Farabi tarafından 9 Temmuz 2016 tarihinde açılan konu

  1. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,245
    Beğeniler:
    27
    Ödül Puanları:
    48
    Bu makalede bir Linux sistem üzerinde gerçekleştirilecek adli bilişim incelemelerinde incelenmesi gereken log dosyalarından bazılarına değineceğim. İlk olarak kullanıcıların aktivitelerinin kayıt altına alındığı loglardan başlayalım. Linux işletim sisteminde kullanıcının hareketlerine ilişkin olayların loglandığı üç temel dosya vardır.

    Bunlar;
    /var/run/utmp
    /var/log/wtmp
    /var/log/lastlog

    utmp” ve “utmp" dosyalarında kulllanıcıların oturum açma ve kapatma kayıtları tutulur ve bu kayıtlar binary (ikili) formatındadır. "utmp" dosyasında sadece aktif sistem oturumlarına ilişkin bilgiler yer alırken, "wtmp" dosyasında geçmişe ait, artık aktif olmayan oturumlara ait bilgiler de yer alır. Her iki dosyaya da last komutunu -f parametresi ile kullanarak erişmek mümkündür. Aşağıdaki ekran görüntüsünde bu konutun örnek bir çıktısı yer almaktadır.

    [​IMG]

    lastlog dosyası binary bir dosyadır ve her bir kullanıcının en son ne zaman hangi IP adresinden oturum açtığını da gösterir. Çalışan sistem üzerinde "lastlog" komutu çalıştırılarak dosyanın içeriğine ulaşılabilir. Bu dosyayı offline analiz etmek için ise http://www.hcidata.info/lastlog.htmadresindeki PERL script kullanılabilir. Aşağıdaki ekran görüntüsünde örnek bir lastlog çıktısını görebilirsiniz.

    [​IMG]

    Kullanıcılar tarafından önceden girilen komutların neler olduğunu öğrenmek içinise lastcomm komutunu kullanabiliriz. Örneğin halil isimli kullanıcı tarafından sistemde çalıştırılan geçmiş komutların listesini öğrenmek için lastcomm halil komutunu çalıştırmamız yeterli. Aşağıdaki resimde örnek olarak çalıştırdığımız bu komutun çıktısı ve çıktıda yer alan alanların ne anlama geldiği gösterilmiştir.
    [​IMG]

    Linux sistemlerde önemli loglama bileşenlerinden birisi de Syslog'dur. Linux sistemlerdeki sistem loglarının bir çoğu /var/log dizini altında yada bu dizin altındaki alt dizinlerde tutulur. Syslog istemci/sunucu mimaride çalışır ve hem yerel he mde uzak bir sunucuya logların gönderilmesine imkan tanır. Bununla birlikte standalone çalışan Linux sistemlerin çoğunda loglar yerelde tutulur. Syslog konfigurasyonuna ilişkin detaylar /etc/syslog.conf dosyasında yer alır.
    Syslog'da olayların türleri ve öncelik seviyerleri aşağıdaki tablolarda gösterildiği şekilde sınıflandırılır.


    [​IMG]

    İlgili konfigürasyon dosyası olan syslog.conf dosyasında tanımlar aşağıdaki şekilde yapılır.

    sınıf.seviye<Tab><Tab> aksiyon

    Örneğin;
    mail.info <Tab><Tab> /var/log/maillog

    Uzak sunucudaki Syslog’a yazmak için aksiyon kısmıda @ işareti ile birlikte uzak sunucunun IP adresini yazmak gerekiyor.

    Örneğin aşağıdaki gibi bir satır kernel'in kritik seviyedeki olaylarını hem root kullanıcısının consoluna hem de 192.168.1.11'de çalışan syslog sunucuna yazar;

    kern.crit <Tab><Tab> root,@192.168.1.11

    Syslog mesajları clear-text olarak UDP üzerinden uzak Syslog sunucusuna iletilir. Bir syslog mesajı genelde 5 alandan oluşan tek bir satırdır. Bu satırdaki ilk alan mesajın oluşturulduğu zamanı, ikinci alan mesajın oluşturulma saatini, üçüncü alan mesajı oluşturan bilgisayarın adını, dördüncü alan log kaydını oluşturan prosesin adını ve son alan da logun kendisini gösterir.

    Adli bilişim incelemelerinde analiz edilmesinde fayda olan log dosyaları ve bu log dosyalarının hangi amaçla kullanıldığını gösteren tablo aşağıda gösterilmiştir. Canlı sistem üzerinde yapılan adli bilişim incelemelerinde bu dosyaların içindeki logları okumak için genellikle tail komutu –fparametresi ile birlikte kullanılır. Disk imajları üzerinden yapılacak incelemede ise ilgili log dosyalarının tabloda gösterilen tam yollarına gidilerek text tabanlı olan bu dosyalar analiz edilir.

    [​IMG]

    Örneğin aşağıdaki ekran görüntüsünde /var/log/auth.log dosyasının içeriği analiz edilerek öğrenilen bir şifre kırma saldırısına ait izleri görebilirsiniz.

    [​IMG]

    Son olarak da /var/log/kern.log dosyasından bir örnek vererek makaleyi sonlandırayım. Bu dosya işletim sisteminin çekirdeğine ilişkin olay kayıtlarının bulunduğu log dosyasıdır ve bu dosyayı analiz ederek ilgili bilgisayara herhangi bir harici diskin takılıp takılmadığı, takıldı ise ne zaman takıldığı gibi bilgilere ulaşılabiliriz. Aşağıdaki ekran görüntüsünde yer alan örnek log dosyasından da görülebileceği üzere bilgisayara içinde tek partititon olan bir tane USB flash disk bağlanmış.
    [​IMG]


    Yukarıda yer alan çıktıdaki kernel: ifadesinden sonra gelen değer ilgili olayın zaman bilgisini gösterir ve çekirdeğin yüklenmesinden itibaren saniye ve milisaniye cinsinden geçen zamanı ifade eder.
    İkinci konu için tıklayın

     
  2. emrebey

    emrebey Member

    Katılım:
    20 Aralık 2015
    Mesaj:
    67
    Beğeniler:
    0
    Ödül Puanları:
    6
    Konu için ellerine sağlık, Peki logları sildiğimizde bize herhangi bir sorun cıkarttırmı ve belirtilen yerlerdeki log dosyalarını sildiğimizde olası bir adli bilişim incelemesinde logların tekrardan kurtulması mümkünmüdür ?
     
  3. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,245
    Beğeniler:
    27
    Ödül Puanları:
    48
    Ben sildim vede herhangi bir problem yaşamadım , şu anlık geri getirilip getirilemeyeceğini bilmiyorum ama bir söz vardır "
    dijital ortamda hiçbir veri asla kaybolmaz " ...
     
  4. root@kali

    [email protected] New Member

    Katılım:
    22 Haziran 2016
    Mesaj:
    56
    Beğeniler:
    0
    Ödül Puanları:
    0
    Log olayı aradığım bişeydi güzel olmuş ellerine sağlık
     
  5. oXid3

    oXid3 Member

    Katılım:
    22 Ocak 2016
    Mesaj:
    174
    Beğeniler:
    0
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Web Sitesi:
    Elbette mümkündür. sonuçta logları silsenizde sizin logları sildiginize dair de bir log kaydı mevcut. yani buradan anlayan bir uzman buradan bir silinmiş veri olduğunu anlar ve böyle bir araştırma üzerine yoğunlaşır.E bunu da silerim hiç sorun değil. Harddisk incelemesi ne girildiğinde ise bulunabilir wipe edilmeyen herhangi bir veri rahatlıkla bulunabilir.
     
  6. emrebey

    emrebey Member

    Katılım:
    20 Aralık 2015
    Mesaj:
    67
    Beğeniler:
    0
    Ödül Puanları:
    6
    Harold değerli yorumun için teşekkürler , Benimde değinmek istediğim konu aslında tam olarak, nasıl olabilir nasıl tam anlamıyla silinebilir bunu tam olarak merak ediyorum
     
  7. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,245
    Beğeniler:
    27
    Ödül Puanları:
    48
    Bakınız
     
  8. root@kali

    [email protected] New Member

    Katılım:
    22 Haziran 2016
    Mesaj:
    56
    Beğeniler:
    0
    Ödül Puanları:
    0
    hddyi yakmayı deneyebilirsin :)
     
  9. oXid3

    oXid3 Member

    Katılım:
    22 Ocak 2016
    Mesaj:
    174
    Beğeniler:
    0
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Web Sitesi:
    wipe nedir bunu öğrenininiz. bu işleme ihtiyaç duymadan da silmek mümkün ama teorik bir durum olduğu için her zaman garanti bir yol değil.
    Ayrıca bir veriyi silmek için öncelikle o verinin nasıl saklandığını bilmeniz gerekli. bir dosya bir yere bir kere kaydolmuyor demek istiyorum mesela başlık bilgisi MFT tablosunda bulunur ve başka bilgilerde. adreste ayrıca bulunur. link dosyası mevcut ise ya da bu dosyayı kullanan bir uygulama mevcut ise bunlarıda bulmanız gerekli. bitti mi bitmedi rcylebin veya trash dosyaları kontrol edilmeli last+found dizini tmp ve bu windows ta ise shadow veya diğer dosyalarında alternatiflerini bulmak ve bilmek gerekli ne iş yaptığını felan sadece bu dizinlerle bitmiyor ama sonuçta burada ders anlatmıyoruz. bitti mi biter mi tespit yöntemi çok defrag yapılmış ise bunlar ile ilgili araştırma yapmak gerekiyor verinin eski adresleri wipe edilmemiş buralardan tespit edilebilir vs vs vs.... uzayıp gider. Hdd yakmak sorun değil sonuçta tamir edilebiliyor laboratuar ortamında.
     
  10. emrebey

    emrebey Member

    Katılım:
    20 Aralık 2015
    Mesaj:
    67
    Beğeniler:
    0
    Ödül Puanları:
    6
    Teşekkürler oX
     

Bu Sayfayı Paylaş

Share