12 Mart 2012 Pazartesi

Mac Linux Forensic Notlari - 1


Disk Yonetimi

ilk mudahaleve olay yeri inceleme

  • calisan sisitemlerde uzerine yazilmis data miktarini azzaltma
  • network baglantisina uzaktan erisimi kesin veya engelleyin 
  • bos bir hub veya switch e baglayarak log olusmasinin olusmasini engelleyin. Gereksiz loglarin erisimi engellenmis olur
  • dosyalara erismeden once son erisim tarihlerini kaydedin. sistem saati kontrol edilir ve gercek saat ile kiyaslanir ve not edilir.makine kapali ise bios yada firmware arayuzune girilerek sistem saati kontrol edilir ve isletim sistemindeki saat ile karsilastirilir. sisitem uzerinde olusturulan veriler sistem saatini kullanarak olusturulur. Bazi dosya sistemleri dosyarin tarih saat bilgilerini yazarken sistem saatini alir ve GMT +00:00 formatina cevirir ve o fatmat dosya uzerine yazilir. Inceleme yapilirken ilk olarak bakilacak yerlerin basinda sistemin calistigi zaman diliminin de kontrol edilmesi oldukca olemlidir.
  • calisan uygulamalarin listesi katdedilir.
  • calisan prosesler incelenir ve kaydedilir.
  • sistemi o an kullanan kisiler kaydedilir.
  • mumkunse bilgisayarda kurulmus ve kullanilmakta programlar kaydedilir ve raporlanir. Sifreleme programlarinin kullanilip kullanilmadigi tespit edilmeyey calisilir. Eger calisan ve kullanilmakta olan bir sifreli alan var ise bu alanin imajinin alinmasi da oldukca onemlidir. Bilgisayar kapatildiktan sonra bu alanlara erisim saglama imkani olmayabilir.
  • Live inceleme cok tercih edilmiyor. Canli sistem uzerinde inceleme yapilasi gerekiyor ise her yapilan islem kaydedilmelidir. Bu islemlerin sistem uzerinde ne gibi degisikliklere sebebiyet verdiginin de ozellikle belirtilmesi gerekmektedir.


Surece dahil olan kisiler

  • sorusturmaci > 
  • analizci >
  • supheli
  • denetci > 

--------------

Disk CHS adresleme : en temel adresleme metodudur.

Eger imaj alma yazilimi diske bios uzerinden erisim sagliyr ise disk uzerinde bazi verilere erisim saglayamayabilir. Bu turlu ozelliklerden dolayi donanimsal imaj alma cihazlari tercih edilmektedir.

LBA Adresleme mekanizmasi : http://en.wikipedia.org/wiki/Logical_block_addressing
int13h komut dizisi : http://en.wikipedia.org/wiki/INT_13H

HPA : Host protected area http://en.wikipedia.org/wiki/Host_protected_area
DCO : Device configuration overlay http://en.wikipedia.org/wiki/Device_configuration_overlay

http://www.forensicswiki.org/wiki/DCO_and_HPA

Sistemler kandisi kullanmak icin disk uzerinde belli bir alani ayirir ve kullanicilara gostermez. Bu alanlara hpa veya dco olarak tanimlaniz. Bu ayirim bilgisi disk uzerindeki yazilimda tanimlanmistir.
Boyle bir disk yapsii ile karsilarildigi zaman. Sistem o anki hali ile imazi alinir. Bu islemden sonra hpa ve dco alani kaldirilir ve kaldirildiktan sonra tekrar imaj alinir. Ve bu islem raporlanir. HPA alanlari kullanicilar taradindan da disk uzerinde olusturulabilir. Bu nedenle incelemelerde goz ardi edilemez.
Genellikle diskin en son kisminda bulunurlar.
HPA ve DCO alanlarinin kaldirilmasi diske mudahale anlamina gelmektedir.

SCSI:

Unique ID degeri jumperler ile ayarlanmali
farkli modelleri ve ozellikelr var
kablo ve guc kullanimi oldukca onemli (SE, HVD, LVD), scsi disklerde yapilar ile ilgili tanimlamalar ve sekiller oldukca onemli. Kullanilmadan once dikkatli bir sekilde incelenmeli ve kontrol edilmeli. Dikkat edilmedigi taktirde dusuk bir ihtimal ile de olsa kontrol katini yakma ihtimali var.

Volume ; Adreslenmis veri okunup yazilabilen her turlu alan oolarak tanimlanir.
Partition ; disk uzrindeki sektorlerin gruplar halinde gruplanmasi


  • Microsoft
    • DOS
    • GPT
  • Unix
    • Linux - Dos partition yapisini kullanir
    • BSD - Parition map yapisi
  • MacOSX
    • Intel islemcisi olan sistemler
    • OSX - GPT Tabanli sistemler 
  • Motorola tabanli sistemler
    • Apple map yapisi 

----------------------
MBR 512byte uzunlugunda bir alandir
Hex 55AA imzasi ile sonlanir.

ilk 446 byte'lik kisim boot code ve hata mesajlari bulunmaktadir.
sonraki 64 Byte'lik kisim partition table'yi olusturur.

Partition table 4 satirlik ve her bir satiri 16 bytlik bir tablodur.

16 bytlik veri sirasiyla;

  • 1 byte degeri sistemin bootable olup olmadigini gosterir
  • 3 byte CHS baslangic adresini turutar
  • 1 byte Dosya sistemi bilgisini verir.
  • 3 byte CHS Formatinda sonsektor adres bilgisini verir.
  • 4 byte LBA baslangic adresini verirPartition un hangi sektorde basladigi bilgisini verir.
    • Verdigi bilgi referans olarak kendi bulundugu adrestir,
    • manasi kendi bulundugu adresten itibaren x byte.
  • 4 byte icerisinde kac soctor oldugu bilgisi veriri


--
Extended disk alaninin basinda ayri bir mbr alani vardir. Bu alan da ayni sekilde 512 bytelik bir yapidir. Ayni sekilde 4 tane partition barindirabilir. Daha fazla sayida extended yapi isteniyor ise var olan extended yapi icerisinde tekrar bir extended yapi olusturulur.

-----------------------------------
Endiannes : islemcinin veriyi okuma yonu olarak tanimlanir.

int a = 1

// little endian sagdan sola okur
// a = 01 00 00 00
// Tum intel tabanli islemciler kullanir

// big endian soldan saga dogru okur
// a = 00 00 00 01
// motorola, sun, IBM Spark islemciler kullanir

------------------------------------
Apple partition map yapisi (motorola tabanli (powerbook) sistemler)


  • Map noot code icermez
  • Firmware nasil pars islemi yapacagini bilir
  • ilk entry kendisini tanimlar.
  • her partition bilgisi icin 512 byte yer ayrilmistir.
  • Teorik olarak partiton limiti yoktur.


-----------------------------------

NetBSD / OpenBSD

Disk uzerinde herhangi bir alanda partition tanimlanabilir
Kernel calismaya basladiktan sonra dos alanlar goz ardi edilir
.....

------------------------------------

GPT Partitionlar


  • 64Bit intel itanium sistemlerde
  • Vista ve Win7 ile birlikte kullanilan sistemlerde
  • BIOS, EFI(Extensible Firmware Interface) sistemine sahiptir
  • EFI, GUID Partition table kullanir.
  • GPT 128 partition a kadar destekler ve 64 bit LBA adrseleme kullanir.
  • Bios ile isletim sistemi arasinda EFI Layer yapisi vardir.
  • EFI isterse BIOS uzerinden isterse dogrudan diske eriserek okuma yazma islemini gerceklestirebilir.
  • EFI Kullanici talepleri sirasiyla kuyruga alarak gerceklestirir.
  • EFI Sisteminde defragmentation islemini EFI kendisi gerceklestirir. KUllanicini ayrica bu islemi gerceklestirmesine gerek yoktur.


------------------------------------

RAID Sistemler


  • Yuksek performansli ve kritik sistemlerde kullanilir.
  • Kapasite artirimi kolaydir.
  • Veri guvenligi kolaydir.
  • Iki turlu raid sistem vardir.
    • Yazilim tabanli : isletim sistemi arayuzunden kontrol edilir ve yapilandirilir.
    • Donanim tabanli : Donanimsal arayuzleri kullanarak yapilandirmalari gerceklestirir.
  • Raid sistemler goruldugu zaman live cd ile imajinin alinmasi tavsiye edilir.
  • Donanim tabanli sistemlerde live cd ile image alimasi isteniyor ise control kartinin surucusunun yuklu olmasi gerekmektedir.
  • Donanim tabanli raid sistemlerde veri sidki sokuldugu zaman yazilimlar tarafinda birlestirilemiyor.Basarili veri birlestirme islemi mumkun degil. Bislestirme islemi icin imajlar rekrar dislere restore edilir ve diskler uzerinde birlestirm yapilir.Bunun icin kontrol ayni karti da kullanilmalidir. Bu islemde seri numaralari degiseceginden bu islemlerinde ayrica raporlanmsi onemlidir.
  • Yazilim tabanli sistemlerde ise raid konfigurasyonuna bakilarak birlestirme islemi gerceklestirilebilir


Yazilim tabanli sistemlerde

  • Linuxlarda LVM
  • Windowslarda LDM

  • RAID 0
    • en az 2 disk kullanilir
    • yazma islemi sirasinda veri paylastirilir.
    • hiz onemlidir
  • RAID 1
    • en az 2 disk kullanilir
    • Diskler birbirinin kopyasidir.
    • yedeklilik onemlidir.
  • RAID 3
    • En az 3 disk kullanir
    • ilk 2 disk Raid 0 gibi calisirken ucuncu disk parity degerini tutar. Boylelikler disklerden birisi bozuldugu zaman bok disk bozuk diskin yerine yerlestirildisi zaman veri tekrar olusturulabilir.
  • RAID 5
    • en az 3 disk lazim
    • tum disk lere parity ve veriler yazilir. iki diske veri yaziliyor ise diger diske parity yazilir.
    • Mudahale oldugu zaman volume seklinde imaj alinmasi istenir. Problemsizdir.


Disk Spanning : Birden fazla diski tek bir disk olarak gosterilmesini saglar.

-----------------------

Linux > Ext
BSD > UFS
MacOsX > HFS

Inode Yapisi,
Indirect Block Pointer?