Blog

Olay Yerindeki Bilgisayarlara Müdahale;

El koyma işlemi sırasında taşınabilir ve masa üstü bilgisayarlar dikkatli incelenmelidir. Bilgisayarların açık olabileceği ekran koruyucu özelliğinin aktif olabileceği veya sadece monitörün kapalı olabileceği seçenekleri akıldan çıkarılmamalı bilgisayarların ve monitörün açık olup olmadığı gösterge ışıklarından teyit edilmelidir.

 Bilgisayar kapalı ise;

·      Masa üstü ve taşınabilir bilgisayarın fişinden çekili olup olmadığına bakın, taşınabilir bilgisayarların ise batarydan çalışabilme olasılığına karşı taşınabilir bilgisayarın bataryasını çıkartın.

·      Bilgisayara bağlı kesintisiz güç kaynağı olabileceğinden bilgisayarın fişini arkasındaki yuvasından çekin.

·      Bilgisayara bağlı bütün aygıtların elektirik fişini çekin.

·      Sistemin genel görünüşü, bilgisayar bağlantıları ile bilgisayara yada birbirleri ile bağlantısı olan malzemeleri fotoğrafını çekin.

·      Bilgisayara bağlı tüm bağlantı kablolarını bağlantı noktası yakınından etiketleyin.

·      Kapalı bilgisayar kesinlikle açılmamalıdır.

Bilgisayar açık ise;

·      Mümkünse telefon yada modemler vasıtasıyla bilgisayara uzaktan erişimi engelleyin.

·      Web kameraları sökün.

·      Eğer bilgisayar bir ağa bağlantılı olduğu tespit edilmişse adli bilişim uzmanından yardım isteyin.

·      Eğer delili bozabilecek bir program çalıştırılmışsa (formatlamak, 3ncü parti silme programları kullanımı) fişi kasanın arkasından çekin.

·      Ekrandaki görüntüsünün fotoğrafını çekin ve ekrandan görülebilen çalışan programları kaydını yapın

·   Eğer ekranda ekran koruyucu çalışıyor veya ekran boş olarak gözüküyorsa şifre konulmadığı sürece fareye tıklayarak yada üst-alt tuşlarına basarak ekran koruyucuyu kaldırın.

·      Bilgisayarda çalışan programlar incelendiğinde PGP ve TrueCrypt vb. dizin ve klasör şifreleme amaçlı kulanılan programlar ile bilgisayar kaptıldığında bilgisayarın ilk kuruluma dönmesini sağlayan Deepfreze tarzı programaların bulunup bulunmadığına dikkat edilmelidir. Bu tarz programların bulunması durumunda bilgisayar kapatılmayarak bilgisayarın canlı incelemesi yapılmalıdır. Canlı inceleme sırasında önceden hazırlanan canlı veri inceleme araçları belirlenen veri ucuculuk sırası doğrultusunda incelemeye başlanmalıdır. Yapılan canlı inceleme  işlemleri kamera ile kayıt altına alınmasına özen gösterilmelidir.

·      Müdahale sırasında yazıcıdan çıktı alınıyorsa işleminin bitmesi beklenmelidir.

Işletim Sistemlerini Kapatma Prosedürü;

Açık olduğu tespit edilen bilgisayaralara üzerlerinde kurulu bulunanan işletim sistemlerinin tipine göre aşagıda gösterilen çizelgede belirtilen kapatma yöntemi kullanılmaktadır. Bu çizelgenin yapılacak işlem belirtilen işlem sırası önem arz etmektedir.

İşletim Sistemi

Karakteristik Özellikleri

Yapılacak işlem

DOS

Ekranın tamamı siyah ve text tabanlıdır.  Bilgisayar işlem yapmadığı durumlarda komut satırı pozisyonunda bekler. Ör: C:\DOS>

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows 3.1

Program yöneticisi yerine Windows Explorer bulunur. Renkli, yassı bar şeklinde standart menü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows 95

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows NT Workstation

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows NT Server

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarı normal kapat.

Windows 98/Me

 

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows 2000

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows 2000 Server

Başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarı normal kapat.

Windows XP

Yeşil renkli başlangıç butonu ile birlikte Windows sembolü bulunur.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Windows Vista

Windows-7

Daire içerisinde  Windows sembolü bulunur. (Standart Tema)

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarın fişini çek.

Linux/Unix

Linux ve Unix dağıtımlarına göre semboller farklılık gösterir. Komut satırı [root@localhost root]#[user@host dir]$  şeklindedir.

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarı normal kapat.

Machintosh

Elma şeklinde başlangıç butonu bulunur

– Ekranın fotoğrafını çek.

– Çalışan programları ve mesajları not et.

–  Bilgisayarı normal kapat.

 

Bilgisayar Üzerinde Bulunana Uçucu (Canlı) Veriler;

Bilgisayar kapatıldığında yok olacak olan veriye canlı veri denilmektedir. Bilgisayar üzerinde hafıza (RAM), takas alanı (Swap), ağ bağlantıları ve çalışan işlemler canlı veri içeren kaynaklardır. Canlı bilgisayar incelemelerinde veri kaybını en aza indirmek amacıyla uçucu verilerin toplanmasına öncelik verilmelidir.

Canlı bilgisayar inceleme işlemlerinde öncelikli olarak hafıza, çalışan işlemler, ağ bağlantıları, sistem giriş bilgileri toplanmalı son olarak sabit bellek üzerinde inceleme yapılmalıdır. Canlı verinin toplanması aşamasında şüpheli bilgisayar üzerinde;

  • Sistemin tarih ve zamanı
  • Sisteme girmiş olan kullanıcıları listesi
  • Tüm dosya sitemleri için tarih/zaman damgaları
  • Sistemde çalışan işlemlerin (process) listesi
  • Sistemde açık olan portların listesi
  • Açık olan portlardan dinleyen yazılımların listesi

·        Siteme bağlantısı olan diğer sistemlerin listesi ve bağlantı bilgileri toplanmalıdır.

Bir bilgisayar üzerinde canlı veriler ancak özel araçlarla toplanabilmektedir. Canlı işleme başlamadan önce bu araçlar hazırlanmış olmalıdır. İnceleme yapılırken şüpheliye veya saldırıya uğramış sistemlerdeki araçlara kesinlikle güvenilmemelidir.

Sistemde minimum değişiklik için komut satırında çalışan araçlar tercih edilmelidir. İnceleme sırasında elde edilen veriler yazma korumalı olarak canlı sisteme irtibatlandırılan USB belleğe veya şüpheli bilgisayarın bulunduğu yerel ağa irtibatlandırılan bilgisayara netcat veya cryptcat komutları ile aktarılmalıdır. 

“netcat” bilgisayarlar arasında haberleşme kanalı oluşturan ücretsiz bir yazılımdır. Canlı inceleme anında, şüpheli veya saldırıya uğramış sistemle güvenli olan bir sistem arasında TCP bağlantısı oluşturmak amacıyla kullanılır.

•  Sistemde bulunan geçerli kullanıcın adını kaydedin

• Sistem zamanı ve tarihini kaydedin.

• Kimlerin bağlı olduğuna bakın.

• Dosyaların MAC zamanlarını kaydedin.

• Açık portları öğrenin.

• Portları kullanan programları kaydedin.

• Tüm çalışan süreçleri kaydedin.

•   Tüm dosyaların düzenleme, düzeltme ve erişilme saatlerini kaydedin.

•  Anlık ve geçmiş bağlantıları listeleyin.

•  Tekrar sistem zamanı ve tarihi kaydedin.

•  Müdahale esnasında kullanılan komutları ve programları belgeleyin.

 

 

Bu gönderiyi paylaş

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir