Yangın ve Güvenlik Dergisi 182. Sayı (Nisan 2016)

KAPAK KONUSU - MAKALE YANGIN ve GÜVENL ø K SAYI 182 46 4.4 Olay Listesinin Ba ü lang × c × na Ofset û ekil 4 ilk olay ve ilk kanal seçildikten sonra Procom’dan gelen ç × kt × y × göstermektedir. Süreç Monitörü (Procmon) gerçek zaman- l × dosya sistemi, kay × t ve süreç/dizi aktivite- sini gösteren Windows için geli ü tirilmi ü bir ileri izleme arac × d × r. Procmon’u disk yerle- ü im plan × ile ilgili detaylara göz atmak için kullanabiliriz. Disktools, sektör boyutunu belirten 200h (512d) bit birimleri halinde 1EEDE00h (32431616d) bit ofsetinde diske eri ü mek- tedir. 1EEDE00h, 200h ile bölündü ù ünde F76Fh sektör ofsetini verir. Diskin ilk birkaç biti yeniden incelendi ù inde, 6FF7h bitleri 29h bit ofsetinde görülebilir. (6FF7h disk üzerindeki yüksek son hanelidir). Bu bit ofseti sonras × nda disk görüntüsü tarand × ù × nda, bir kaç yüz adet benzer ü ekilde formatlanm × ü s × ra (elimizdeki data 16 bitlik s × ralar halinde düzenlenmi ü tir) ve ard × ndan tamamen s × f × rlardan olu ü an bir bölüm en ucu görürüz. 21h bit ofsetin- de, burada gösterilen bir di ù er numara da 7EF7h’dir. 1EEFC00h (F77Eh*200h) bit of- setine bakt × ù × m × zda bölümün en ucunun lokasyonunu konfirme ederiz ve bu bölüm- den sonra bir kaç bölüm boyunca sadece s × f × rlar vard × r. Benzer bir CCTV sistemi üzerin- de yapt × klar × analizde Poole ve arkada ü lar × diskin bu bölümüne ‘Olay listesi’ bölümü ad × n × vermi ü lerdir. Disktools taraf × ndan raporlanan ilk girdi “2013/03/18 00:48:09” zaman damga- s × na sahip olan olayd × r. û ekil 5 1EEDE00h bit ofsetindeki diski göstermektedir. 1EEDE- C0h’de bu onalt × l × k bit de ù erlerini görürüz: 40 9C 57 6D 01 00 00 F0 0D 03 12 00 30 09 00 00h • 0Dh = 13d y × l • 03h = 3d ay • 12h = 18d gün • 00h = 00d saat • 30h = 48d dakika • 09h = 9d saniye Bu bit s × ralamas × do ù rudan Disktools’da gösterilen ilk tarih girdi de ù erleri ile orant × - l × d × r. Bu analiz sadece tek bir olaya odak- lanmakla birlikte, olaylar × n geri kalan × dis- kin bu bölümünün takip eden s × ralar × nda görülebilir ( 0D 03 12 01 00 00 , 0D 03 12 02 00 00 vs.). Burada diskin analizi s × - ras × nda dikkat edilmesi gereken bir nokta ü udur; ilk olaydan önce sürücü üzerinde daha eski olaylar vard × r ancak bunlar Dis- ktools’ta gösterilmemektedir. Bu konuyu analizin ilerleyen bölümlerinde daha de- tayl × aç × klayaca ù × z. 4.5 Procmon’un Disktools Kay × tlar × ndan ü imdi uygulama 2DAAF3800h ( ü ekil 4 ’ten ikinci s × ra 12258850816d)’ya ula ü maya çal × ü × r. 2DAAF3800h / 200h (sektör boyu- tu) = 16D579Ch 40 9C 57 6D 01 00 00 F0 0D 03 12 00 30 09 00 00h Bu sat × r × n ilk QWORD’unden, 16D579Ch onalt × l × k de ù eri görülebilir. Bu de ù er 12258850816d/512d = 23943068d veya 16D579Ch veya 16D579Ch olan sektör ofseti ile uyumludur. ( ü ekil 4 ’ün ikinci sat × r × na bak × n). 11 40 24 00 00 3A 00 00 0D 03 12 00 30 09 00 0E h 1 1 40 24 00 00 3A 00 00 0D 03 12 00 30 09 00 0E h 4.6 Kanal Yerle ü im Düzeninin Aç × klanmas × Yukar × da 02DAAF38F0h ofsetinde ilk sat × r ya da 2 QWORD grubu gösterilmektedir. Birinci bit, 1 ile ba ü layan tek bit de ù eridir ve kanal bilgisinin ba ü lang × c × n × gösterir. Her bir s × ran × n ilk bitindeki ikinci onalt × l × k de- ù er kanal say × s × n × temsil eder. Her bir ka- nal × n video verisinin lokasyonu 3. ila 4. bit aras × nda görülebilir ve her bir takip eden kanal her bir s × ran × n son bitindeki miktar ka- dar sonucundan ofsetlenir (burada kanal videosu 3A000024h sektör ofsetindedir ve bir sonraki bu 3A000032h de ù erinden 0Eh kadar ofsetlenir). 4.7 Video Ba ü lang × c × na Ofsetler Bunun ard × ndan Procmon’un ç × kt × s × , ayn × mant × ù × kullanarak, 7400004800h’i bit ofsetlemeye çal × ü × r (sektör ofset 3A000024h). Bu de ù er, û ekil 6 ’da ofset F0h’de görülebilir. Bu analizi bütün kanal- û ekil 4. ú lk girdi görüntülenirken Süreç Monitörü ç × kt × s × û ekil 5. Girdi verilerini gösteren bölüm