Blog

 

El koyma işlemi sırasında taşınabilir ve masa üstü bilgisayarlar dikkatli incelenmelidir. Bilgisayarların açık olabileceği ekran koruyucu özelliğinin aktif olabileceği veya sadece monitörün kapalı olabileceği seçenekleri akıldan çıkarılmamalı bilgisayarların ve monitörün açık olup olmadığı gösterge ışıklarından teyit edilmelidir.

 Bilgisayar kapalı ise;

• Masa üstü ve taşınabilir bilgisayarın fişinden çekili olup olmadığına bakın, taşınabilir bilgisayarların ise batarydan çalışabilme olasılığına karşı taşınabilir bilgisayarın bataryasını çıkartın.
• Bilgisayara bağlı kesintisiz güç kaynağı olabileceğinden bilgisayarın fişini arkasındaki yuvasından çekin.
• Bilgisayara bağlı bütün aygıtların elektrik fişini çekin.
• Sistemin genel görünüşü, bilgisayar bağlantıları ile bilgisayara yada birbirleri ile bağlantısı olan malzemeleri fotoğrafını çekin.
• Bilgisayara bağlı tüm bağlantı kablolarını bağlantı noktası yakınından etiketleyin.
• Kapalı bilgisayar kesinlikle açılmamalıdır.

Bilgisayar açık ise;

• Mümkünse telefon yada modemler vasıtasıyla bilgisayara uzaktan erişimi engelleyin.
• Web kameraları sökün.
• Eğer bilgisayar bir ağa bağlantılı olduğu tespit edilmişse adli bilişim uzmanından yardım isteyin.
• Eğer delili bozabilecek bir program çalıştırılmışsa (formatlamak, 3ncü parti silme programları kullanımı) fişi kasanın arkasından çekin.
• Ekrandaki görüntüsünün fotoğrafını çekin ve ekrandan görülebilen çalışan programları kaydını yapın
• Eğer ekranda ekran koruyucu çalışıyor veya ekran boş olarak gözüküyorsa şifre konulmadığı sürece fareye tıklayarak yada üst-alt tuşlarına basarak ekran koruyucuyu kaldırın.
• Bilgisayarda çalışan programlar incelendiğinde PGP ve TrueCrypt vb. dizin ve klasör şifreleme amaçlı kullanılan programlar ile bilgisayar kapatıldığında bilgisayarın ilk kuruluma dönmesini sağlayan Deepfreze tarzı programların bulunup bulunmadığına dikkat edilmelidir. Bu tarz programların bulunması durumunda bilgisayar kapatılmayarak bilgisayarın canlı incelemesi yapılmalıdır. Canlı inceleme sırasında önceden hazırlanan canlı veri inceleme araçları belirlenen veri uçuculuk sırası doğrultusunda incelemeye başlanmalıdır. Yapılan canlı inceleme  işlemleri kamera ile kayıt altına alınmasına özen gösterilmelidir.
• Müdahale sırasında yazıcıdan çıktı alınıyorsa işleminin bitmesi beklenmelidir.

Işletim Sistemlerini Kapatma Prosedürü;

Açık olduğu tespit edilen bilgisayarlara üzerlerinde kurulu bulunan işletim sistemlerinin tipine göre aşağıda gösterilen çizelgede belirtilen kapatma yöntemi kullanılmaktadır. Bu çizelgenin yapılacak işlem belirtilen işlem sırası önem arz etmektedir.

 

Bilgisayar Üzerinde Bulunana Uçucu (Canlı) Veriler;

Bilgisayar kapatıldığında yok olacak olan veriye canlı veri denilmektedir. Bilgisayar üzerinde hafıza (RAM), takas alanı (Swap), ağ bağlantıları ve çalışan işlemler canlı veri içeren kaynaklardır. Canlı bilgisayar incelemelerinde veri kaybını en aza indirmek amacıyla uçucu verilerin toplanmasına öncelik verilmelidir.

Canlı bilgisayar inceleme işlemlerinde öncelikli olarak hafıza, çalışan işlemler, ağ bağlantıları, sistem giriş bilgileri toplanmalı son olarak sabit bellek üzerinde inceleme yapılmalıdır. Canlı verinin toplanması aşamasında şüpheli bilgisayar üzerinde;

• Sistemin tarih ve zamanı
• Sisteme girmiş olan kullanıcıları listesi
• Tüm dosya sitemleri için tarih/zaman damgaları
• Sistemde çalışan işlemlerin (process) listesi
• Sistemde açık olan portların listesi
• Açık olan portlardan dinleyen yazılımların listesi
• Siteme bağlantısı olan diğer sistemlerin listesi ve bağlantı bilgileri toplanmalıdır.

Bir bilgisayar üzerinde canlı veriler ancak özel araçlarla toplanabilmektedir. Canlı işleme başlamadan önce bu araçlar hazırlanmış olmalıdır. İnceleme yapılırken şüpheliye veya saldırıya uğramış sistemlerdeki araçlara kesinlikle güvenilmemelidir.

Sistemde minimum değişiklik için komut satırında çalışan araçlar tercih edilmelidir. İnceleme sırasında elde edilen veriler yazma korumalı olarak canlı sisteme irtibatlandırılan USB belleğe veya şüpheli bilgisayarın bulunduğu yerel ağa irtibatlandırılan bilgisayara netcat veya cryptcat komutları ile aktarılmalıdır. 

“netcat” bilgisayarlar arasında haberleşme kanalı oluşturan ücretsiz bir yazılımdır. Canlı inceleme anında, şüpheli veya saldırıya uğramış sistemle güvenli olan bir sistem arasında TCP bağlantısı oluşturmak amacıyla kullanılır.

• Sistemde bulunan geçerli kullanıcın adını kaydedin
• Sistem zamanı ve tarihini kaydedin.
• Kimlerin bağlı olduğuna bakın.
• Dosyaların MAC zamanlarını kaydedin.
• Açık portları öğrenin.
• Portları kullanan programları kaydedin.
• Tüm çalışan süreçleri kaydedin.
• Tüm dosyaların düzenleme, düzeltme ve erişilme saatlerini kaydedin.
• Anlık ve geçmiş bağlantıları listeleyin.
• Tekrar sistem zamanı ve tarihi kaydedin.
• Müdahale esnasında kullanılan komutları ve programları belgeleyin.