1. Duyuruyu Kapat

METASPLOIT - HEDEF SISTEMDEKI SILINMIŞ VERILERI ELE GEÇIRME

'Metasploit' forumunda MaTToX tarafından 21 Ekim 2015 tarihinde açılan konu

  1. MaTToX

    MaTToX Member

    Katılım:
    5 Ağustos 2015
    Mesaj:
    58
    Beğeniler:
    1
    Ödül Puanları:
    8
    Selamlar.

    Bu konuda Metasploit ile hedef sistemin sabit disklerinden silinmiş verileri nasıl kurtarabileceğinizi göstereceğim.
    [​IMG]
    Hedef sistem üzerinde daha önceden kullanılmış ve sistemden silinmiş değerli bilgiler içeren dosyalar olabilmektedir.
    Exploit edilen sistemden elde edilen bilgiler, karşı tarafta maddi-manevi kayıplara sebebiyet verebilir. Özellikle ticari kurum ve kuruluşların işlemlerinin yürütüldüğü bilgisayarlarda veri güvenliğinin yeteri derecede sağlanamamış olması büyük bir risk oluşturmaktadır.

    Hedef sistemin sabit disk yapısını detaylı olarak öğrenebilmek için Metasploit içerisinde bulunanpost/windows/gather/forensics/enum_drivers modülünü kullanabilirsiniz.
    [​IMG]
    Modülü seçtikten sonra modülün uygulanacağı aktif Metasploit oturumunu belirtmeniz gerekmektedir. set session [Uygulanacak Oturum] komutu ile gerekli tanımlamayı yaptıkran sonrarun komutu ile modülü çalıştırın.
    Bu işlemin sonucunda hedef sistemin fiziksel diskleri ve bu disklerdeki partisyonlar ekranınızda gözükecektir.

    Hedef sistemin disk yapısını öğrendikten sonra post/windows/gather/forensics/recover_files isimli modülü seçin. Modül ayarlarını gözlemlemek için show options komutunu kullanın.
    [​IMG]
    set session [Uygulanacak Oturum] komutuyla hedef sistemi belirtin. Drive isimli parametrede varsayılan olarak c: sürücüsü belirtilmiştir. Eğer analiz işlemini farklı bir disk bölümüne uygulamak istiyorsanız, bu kısımda değişiklik yaparak işlemin yapılmasını istediğiniz disk bölümünü belirleyebilirsiniz.
    Timeout süresi saniye değeriyle ifade edilmektedir. Varsayılan olarak 3600 değeri ile gelmektedir. Bu parametrenin uzun tutulması başarı oranını arttırmaktadır.
    Gerekli ayarları tamamladıktan sonra run komutu ile modülü çalıştırın.[​IMG]
    Bir süre geçtikten sonra hedef sistemde tespit edilen silinmiş dosyaların listesi ekranınızda çıkmaya başlayacaktır. Bu dosyalar için otomatik olarak ID numarası verilmektedir. ID numarası dosyaları kendi bilgisayarınıza alabilmeniz için gereklidir.
    Yaptığım uygulamada PAROLA~.DOC isimli dosyayı kurtarmak istemekteyim. Modül tarafından atanan ID numarasını set FILES [ID] komutuyla belirleyebilirsiniz.
    Bir defada birçok dosyayı aynı anda sisteminize download edebilirsiniz. Bunun için FILES isimli parametreye yüklenecek ID numaralarını virgül ile ayırabilir ve böylece bir defada birkaç dosyayı aynı anda alabilirsiniz.
    (Örnek: set files 54234,234235,645323)
    run komutunu uyguladığınızda ID numaralarını belirttiğiniz dosyalar sisteminize çekilecektir.

    NOT: ALINTIDIR
     
    elmcavdar bunu beğendi.
  2. DİNARLI

    DİNARLI New Member

    Katılım:
    10 Mayıs 2016
    Mesaj:
    11
    Beğeniler:
    4
    Ödül Puanları:
    3
    Cinsiyet:
    Erkek
    Bayağı Güzel Bir konuymuş elinizze sağlık.
     
    Kabiyra bunu beğendi.

Bu Sayfayı Paylaş

Share