- Her binary dosyanın başında türünü belirten magic number bulunmaktadır.
- Bu özel sayı her zaman gerçek formatını belirtmemektedir.
- Çeşitli uygulamaları aldatmak için kullanılabilir.
file a.jpg
file a.zip
file a.txt
hexeditor a.jpg
hexdump -C a.jpg | head
- Verinin sıkıştırılması ile tamamen farklı bir forma dönüş yapılmaktadır.
- Bu yüzden sıkıştırma yöntemlerinin ve araçlarının da iyi bilinmesi gerekmektedir.
zip a.zip a.txt
tar cvf a.tar a.txt
tar czvf a.tar.gz a.txt
gzip a.txt
gzip -d a.txt.gz
- Elimizdeki binary dosyanın türünü belirledikten sonra üzerinde bilgi toplama aşaması başlar.
- Bu noktada dosya türüne göre farklı araçlar kullanılmaktadır.
readelf -h
strings uygulama
exiftool resim.jpg
binwalk uygulama_diger
dd if=uygulama_diger of=ilginc.jpg skip=8 count=20
volatility -f zeus.vmem imageinfo
volatility -f zeus.vmem pstree
volatility -f zeus.vmem filescan
- Network forensic aşamasında en iyi yardımcı şüphesiz ki Wireshark aracıdır.
- Desteklediği protokol sayısından, kullanım kolaylığına kadar pek de rakibi yoktur.
- evidence01.pcap dosyasından, Ann'in konuştuğu kişinin adını ve gönderdiği dosyanın adını bulma.
#include<stdio.h>
const char* secret = "cok gizli";
const int super_secret[] = {0x73,0x75,0x70,0x65,0x72,0x20,0x67,0x69,0x7a,0x6c,0x69};
int main(){
printf("Hello World\n");
}
",".join(map(lambda x: hex(ord(x)), "super gizli"))
- UPX kullanarak çalıştırılabilir bir dosyayı sıkıştırınız.
- Forensic yarışmasındaki geri kalan soruları çözmeye çalışınız.
- volatility aracını kullanarak diğer bellek örneklerini analiz ediniz.
- foremost kullanarak silinmiş dosyaların nasıl geri döndürüldüğünü inceleyiniz.
- Metadata silen araçları araştırınız.
- Büyük pcap dosyalarının Wireshark ile nasıl açılacağını araştırınız.
- Windows işletim sistemi içerisinde bellek dumpı alınız ve bu dumpı analiz ediniz.
- MFT'nin ne olduğunu araştırınız.
- Honeynet'in hazırladığı soruları çözmeye çalışınız.
- Kendi network trafiğinizi tcpdump aracı ile kaydediniz. Wireshark ile analiz ediniz.