| |||||||
| Kayıt ol | Etiketler | Yardım | Üye Listesi | Ajanda | Arama | Bugünki Mesajlar | Bütün Forumları okunmuş kabul et |
07-10-2007, 02:06
| ||||
| ||||
 Saldırıya Uğrayan Bir Sistem Saldırıya uğrayan bir sistem hard diskin delil analizinin yapılması için bit bit kopyalanması: Sızılan bir sistemi en baştan kurmadan önce sistemin bütün bir kopyasını çıkarın.Böylece sızılan sisteme kimin girdiği bu kopyadan anlaşılmasının yanında ileriki zamanlarda da başınıza bu sızmadan dolayı gelebilecek herhangi bir tehlikeden de korunmak için gereklidir.Başlamadan önce sisteminizdeki md5sum,dd ve fdisk programının değiştirilmediğinden emin olun.Belki de sisteminizde gizli süreçler çalışmakta ve root kullanıcısı olarak sisteme girdikten sonra sistemdeki bütün delil olabilecek dosyaları silmek üzere ayarlanmış olabilir.Aynı şekilde sistemin kapatılması sırasında çalışacak olan bütün kayıt dosyalarını ve delil olarak kullanılabilecek bütün dosyaları silecek bir betik olabilir.Bir sisteme girildiğinden şüpheleniyorsanız doğrudan sistemin kablosunu çekin ve başka bir şekilde sistemi açın.Sistem üzerinde çalışmak için sistemi bir CD ile veya güvenilir olduğunu bildiğiniz bir hard disk ile açın.Böylece sistemin hangi durumda olduğundan emin olabilirsiniz.Bu yöntemin tek bir kötülüğü ise sistemde RAM üzerinde çalışan bir programın kaybolma tehlikesidir.Fakat büyük bir ihtimalle sisteme sızan bir kişi başka arka kapılar yerleştirerek sistemin tekrar başlatılmasından sonra bu arka kapıları aktivite etmektedir. Hard diskin bit bit kopyasının alınması için dd komutu kullanılır.Fakat bu işleme başlamadan önce kopyalanacak diskin orijinal disk ile aynı olup olmayacağının tespiti için orijinal diskin md5 özeti alınır. Belirli bir disk bölmesinin md5 özeti şu şekilde alınır; # md5sum /dev/hda2 > /tmp/hda2.md5. Burada ilk IDE diskin üzerindeki ikinci disk bölmesinin md5 özeti alınmaktadır.Şimdi diskin imajının alınmasına başlanabilir. # dd if=/dev/hd of=/tmp/hda.img /tmp bölmenizde /dev/hda yı tutacak kadar yer olduğundan emin olun. Peki neden bütün bir diskin imajının alınmasını isteriz?Sadece bir disk bölmesinin imajını alırsanız bütün bir diskin imajı alınmadığından ve sisteme saldıran kişinin bilgileri başka bir disk bölmesinde tuttuğu ihtimaline karşı bütün diskin imajı alınmalıdır.Herhangi bir durumda bütün disk imajından istenen istenen bir disk bölmesindeki bilgilere ulaşılabilir. Ayrı disk bölmelerini oluşturmak için biraz bilgi toplamamız gerekir.fdisk çalıştırılarak başlangıç bölmesi (offset) ve her bir disk bölmesinin kaç sektörden oluştuğu bilgileri alınmalıdır. Bu bilgileri almak için; #fdisk -1 -u /dev/hda Çıkan ekran görüntüsündeki bilgileri daha sonra başka imaj dosyalarının oluşturulması için saklayın. Şimdi disk üzerindeki ikinci disk bölmesini imajdan döndürelim: #dd if=hda.img of=hda2.img bs=512 skip=208845 Count=ş [7341704-208845] Görüldüğü gibi count değerini ufak bir matematik işlemi ile hesaplarız.Disk bölmesi üzerindeki en son bloktan ilk bloğu çıkartarak count değeri bulunur.Ayrıca bs değerinin önceden fdisk komutu ile bulduğunuz değer ile aynı olmasına dikkat edin.Bu değer genelde 512 dir ama her ihtimale karşı kontrol edilmesi gerekir. En son olarak imajın md5 özeti dd ile oluşturulan imaj ile aynı mı kontrol edilir. #md5sum hda2.img > /tmp/hda2.img.md5 && diff /tmp/hda2.md5/tmp/hda2.img.md5 Eğer bu iki değer birbirne uyarsa aldığımız imajın doğru alındığından emin oluruz.Şimdi orijinal diskin içindeki bilgilere bakıp aradığınız delili araştırabilirsiniz. Kaynak : Andrew Lockhart  |
 |
« PPTP Tünel Uygulaması ( Point-to-Point Tunneling Protocol )
|
Web Sunucunuzu Saldırılara Karşı Koruyun »
| Seçenekler | |
| Stil | |
Normal
|
|
Bütün Zaman Ayarları WEZ +3 olarak düzenlenmiştir. Şu Anki Saat: 22:15
