Balyoz – 002 – Sabit Disk 5

Transkript

27/3/2012
Sayın Av. Ali Sezenoğlu,
12/03/2012 tarihli inceleme taleplerinize ilişkin, söz konusu davaya delil olan 5 numaralı sabit
disk imajı üzerinde bilimsel inceleme tüm ayrıntılarıyla yapılmış ve ekteki raporda bilgilerinize
sunulmuştur.
Adli Bilirkişi
Tevfik Koray Peksayar
Mak. Müh. Lis. - Bilgi Tekn. Y. Lis.
İTÜ Diploma No: 76 - 387
Tevfik Koray Peksayar - 5 Numaralı Sabit Disk İnceleme Raporu Sayfa 1 (Toplam sayfa: 38)
Bilimsel İnceleme ve Bilirkişi Görüşü
1 - İnceleme Yapılan Kütük Bilgileri
İnceleme 1 adet sabit disk (5 numaralı sabit disk) imaj dosyası üzerinde yapılmıştır.
Adli emanetten gelen imaj dosyası 1.9 GB'lık IMAGE.001 ila IMAGE.041 dosya adlı 41 parça
halinde olduğundan önce bu parçalar birleştirilip esas imaj dosyası elde edilmiştir.
Imaj tek dosya haline getirildikten sonra MD5 sayısal imzası alınmıştır.
MD5 sayısal imzasının cb063b2c013a53cab2c8ed2afe091ff0 olduğu görülmüştür.
Bu imza ımajın adli emanet tarafından teslim edilen günlük dosyası (2012-02-09 13-45-40
00021 D2F.LOG) içindeki sayısal imzayla kıyaslanıp ımajın geçerliliği doğrulanmıştır.
2- Uygulama Yazılımları Tarafından Oluşturulan Belgeler ve Dosya Tipleri
2.1- Bilgisayar Ortamındaki Dosyaların Belge Nitelikleri
Bilgisayar bilimlerinin en önemli temellerinden biri verinin her zaman anlamlı bilgi olmadığı
olgusudur.
Sayısal verinin bilgi niteliği taşıyabilmesi için bulunduğu ortamdaki diğer benzer veriyle tutarlı
bir bütün oluşturması gereklidir.
Bir sayısal kütüğün aynı zamanda bir veritabanı olduğu düşünülürse, bu veritabanına belirli
şartlarla ve kurallarla erişildiği varsayıldığında anlamlı bilgi içerdiğinden emin olunabilir.
Veritabanı üzerinde kayıt tutan bir muhasebe yazılımını örnek verirsek veritabanındaki alacak
verileri tek başlarına borç verileriyle kıyaslandıklarında sadece incelenen dönemdeki alacak
borç dengesi hesaplanabilir. Bu veriler ancak müşteri verileriyle ilişkilendirildiğinde anlamlı
borç-alacak bilgisine ulaşılabilir.
Veritabanındaki müşteri kayıtlarında sadece müşteri numaraları da hiçbir anlamlı bilgi
içermemekte, bir dış veriyle yorumlandığında anlamlı bilgiye erişilmektedir.
Veritabanındaki bir işlemin iki kere yapılmış olması veri bütünlüğünü bozacak olduğu için
anlamlı bilgiye ulaşılmasında sorun oluşturur.
Muhasebe kayıtlarındaki bir işlemin kimin tarafından yapıldığının belli olmaması durumu da yine
anlamsal bilgi bütünlüğünün bozulmasına sebep olur.
Bir muhasebe kaydının hangi kullanıcı tarafından girildiği bilgisi olmadığında bu kayıt ve tüm
ilgili kayıtlar da geçersiz olacaktır ve sistemin bütününde kararsılık oluşacağı için anlamlı bilgi
de bu durumdan etkilenmiş olacaktır.
Dolayısıyla, verinin anlamlı bilgi olarak kabul edilebilmesi için aynı ortamda bulunan diğer
benzer veriyle tutarlılık oluşturması, kararlı çalışan, güvenliği sağlanmış olan bir sistemde
depolanması, bu sisteme belirli kurallar ve şartlarla erişimin sağlanıyor olması gereklidir.
Sayısal ortamdaki veriler herhangi bir sistem kullanılarak, herhangi bir kişi tarafından, herhangi
bir zamanı gösterecek şekilde oluşturulabilir. Bu verinin doğruluğu ve geçerliliği günümüz
şartlarında sayısal imzalar kullanılarak sağlanır.
Dolayısıyla, verinin anlam kazanması için elde edilen verinin, gazetecelik mesleğinde de bilinen,
5N1K sorularını (Ne ? Ne zaman ? Nerede ? Nasıl ? Neden ? Kim ?) cevaplayabiliyor olması
gereklidir.
Diğer bir deyişle, “hangi veri, ne zaman, hangi sistemde ve veri depolama ortamında, ne
şekilde ve tipte, hangi veriyle İlişki kuracak şekilde, kim tarafından oluşturulmuştur” olarak
açıklanabiliyor olması gereklidir.
2.2- Microsoft Office Uygulama Yazılımları
Sabit disk imajı üzerinde yapılan incelemede 5 ana dosya tipine rastlanmıştır.
Bunların hepsi Microsoft firmasının çıkarttığı ofis uygulama yazılımları grubu Microsoft Office
dosya tipleri olan Word kelime işlemcisi şablonu (dot uzantılı), Word kelime işlemcisi (doc
uzantılı), Excel hesap tablosu şablonu (xlt uzantılı), Excel hesap tablosu (xls uzantılı) ve Power
Point sunum (ppt uzantılı) dosyalarıdır.
Microsoft Office uygulamaları ailesi 2006 yılına kadar Microsoft'a özgü ikili (İngilizce: binary)
dosya biçeminde (tipinde) (İngilizce: format) çıktı vermekteydiler.
Bu dosya tipleri diğer belgelerden bilgi kopyalama, Microsoft OLE ile diğer belgelere bağlantı ve
diğer belgeleri başka belgeler içine ekleme imkanı sunmaktaydı.
Bu dosya tiplerinin diğer dosya tiplerine çevrilmesi ve diğer uygulama yazılımları tarafından
yorumlanmalarındaki zorluklar ve bu işlemlerin yapılması için gerekli programlama ortamı
yazılımlarının Microsoft tarafından lisanslanması çeşitli teknik sıkıntılar yaratmıştır.
Bu sıkıntıların, yardımcı uygulama geliştirici firmalar ve çeşitli ülkelerin hükümet organlarınca
Microsoft'a iletilmesiyle Microsoft yeni bir dosya tipi arayışına girmiştir.
Microsoft Office 2003 sürümünde varsayılan dosya tipi olarak XML dosyalarını önerse de bu
durum eski Office kullanıcıları tarafından rağbet görmemiştir.
2006 yılında dosya tipleri yeni bir Microsoft standardı olan Office Open XML (kısaca OOXML) ile
yeniden tanımlanmıştır.
OOXML dosyaları zip dosya sistemini kullanır ve tüm bileşenler ayrı ayrı dosyalardan oluşan bir
zip dosyası içinde tutulur. Bu sayede grafik ve video gibi içerik OOXML ile yaratılmış dosyaların
içine eklenebilir. Bu dosyalar içlerinde bulunan öğelerin biçimlendirilmesinde kullanılan (şekil,
renk, yazıtipi gibi) öğelere referanslar içerir.
OOXML ile daha eski dosya tiplerindeki Microsoft OLE öğelerinin dosya içlerinde kullanılması
terk edilmiştir.
2.3- Microsoft Office Sürümleri ve Eski Sürümlerle Geri Uyumluluk
Microsoft Office 2007 ve sonraki sürümleri, daha eski sürümlerle uyumlu olarak çalışabilecek
şekilde daha eski sürümlerin dosya tiplerinde dosya kaydı yapabilir. Hatta Office 2007 ve
sonraki sürüm programlarının varsayılan dosya kayıt tipi Office 97/2000/XP olarak seçilebilir.
Eski dosya tipiyle dosya oluşturulduğunda, Office uygulamaları OOXML tanımlamalarını eski tip
OLE nesnelerine çevirerek kaydeder.
Ancak bu kayıt işlemi sırasında bazı sorunlar olduğu kullanıcılar tarafından raporlanmaktadır.
Bunlardan en belirgin olanı dosya durağan alanında OOXML tanımlamalarının bırakılmasıdır.
Varsayılan dosya tipi OOXML olan Word, Excel ve Power Point uygulamaları daha eski
sürümlerle uyumlu dosya oluşturabilir. Ancak oluşturulan dosyalarda OOXML ile tanımlanan
biçimlendirme öğeleri tanımlı olarak durması çok sık karşılaşılan bir durumdur.
Bu şekilde kaydedilen bir dosya içinde varolan OOXML tipindeki tanımlamaların, dosyanın eski
sürüm bir Office uygulamasıyla çok kez değişiklik yapılıp kaydedildiğinde kaybolduğu da
gözlemlenmiş bir olgudur. Ancak çoğunlukla dosya içinde kullanılması elzem olmayan durağan
alanlara (İngilizce “slack space”) yazılmadığı için bu tanımlamalar dosyalardaki varlıklarını
korur.
Buna benzer bir durum daha eski Office sürümlerinde de vardır. Oluşturulan bir dosya üzerinde
çok miktarda içerik ekleme ve silme işlemi gerçekleştirildiğinde dosya boyutu içerdiği içerikten
daha fazla alan kaplar. Çıkarılan bazı içeriğe dosyanın son halinde geçersiz referanslar yer alır.
Bu boş yere dolan alan çoğu zaman yeni bir dosya oluşturulup, tüm içeriğin kopyalanıp bu yeni
dosyaya yapıştırılmasıyla bertaraf edilebilir.
Office 2007 öncesi ve sonrası sürümler arasında diğer bir belirgin fark ise dil ve alfabe
konusudur.
Office 2007 öncesi belgeler içlerinde belgenin hangi alfabe ile yazıldığını, kod sayfası bilgisini,
ole:codepage meta-data girdisiyle bulundururlar. Office 2007 ve sonraki sürümlerde kod
sayfaları kullanımı yerine evrensel utf-8 (unicode) kodlamasına geçilmiştir.
Office 2007 ve sonrası sürümlerle uyumluluk kipinde kaydedilen dosyalar Office belgeleriyle
ilgili bilgi sağlayan programlarla incelendiklerinde çoğunlukla kod sayfası OLE bilgisinin yanlış
olduğu görülmektedir.
Bu programlara en önemii örnek oldukça olgun ve güvenilir bir Linux uygulaması olan
wvSummary'dir.
wvSummary ile incelenen Office 2007 ve sonrası sürümlerle uyumluluk kipinde kaydedilen
dosyalarda OLE kod sayfası bilgisinin Türkçe'yi tanımlayan “1254” yerine “-535” olarak
kaydedildiği gözlemlenmektedir. Buna rağmen böyle dosyalar hem Office 2007 öncesi hem de
Office 2007 ve sonrası sürümlerle rahatlıkla açılarak istenilen değişiklik yapılarak
kaydedilebilmektedir.
Söz konusu dosya tipleri ve uygulama yazılımlarının ticari metalar olduklarını, üreticinin
kullanıcıya yeni sürümün edinilmesini tavsiye ettiğini, son kullanıcı lisans sözleşmelerinde
sağlıklı çalışma özellikleri konusunda üretici tarafından sınırsız garanti verilmediğini ve geçmişte
de aynı üreticinin ürünlerinde birçok hata bulunduğunu hatırlatmakta fayda vardır.
Söz konusu üreticinin yazılımlarının kodları içinde düzeltilmesi unutulmuş veya kasten geride
bırakılmış birçok hataya sahip oldukları uzmanlarca bilienen bir gerçektir. Dolayısıyla yukarıda
anlatılanlara benzer hatalar, nadir durumlar dışında, uygulama yazılımı sürümlerinin ve
tiplerinin tespitinde aydınlatıcı ipuçları verebilmektedir.
2.4- Tüm Microsoft Office Sürümlerinin Dosya Oluşturma ve Yazdırma Bilgileriyle
İlgili Davranışı
Bazı Office dosyalarında baskı tarih bilgisi oluşturuldukları tarih bilgisinden eski olabilir. Bazı
dosyalar oluşturulmadan önce çıktıları alınmış şeklinde veri içeriyor olabilir.
http://support.microsoft.com/kb/922119 adresindeki Microsoft'un resmi bilgisine göre:
“Soru: Tarih istatistikleri sekmesinde baskı tarihi oluşturma tarihinden daha eski bir tarih nasıl
olabilir?:
Cevap: Daha önce basılmış bir belge kopyalanmış ya da başka bir yere yeniden kaydedilmiş
olabilir. Ayrıca, daha önce basılmış olan bir belge ana (özgün) belge olarak aynı yerde üzerine
yazılmış olabilir. Bu durumdaki yeni kopyalanan veya üzerine yazılan belgenin 'baskı'
tarihinden daha yeni 'oluşturulma' tarihi vardır. Özgün 'baskı' tarihi yeni kopyalanan veya
üzerine yazılan belgeye taşınır.”
Bu bilgiye göre baskı tarihi oluşturulma tarihinden eski olan belgelerin disk üzerinde bir yerden
bir yere taşındıkları veya farklı kaydet seçeneğiyle aynı dosyanın kendisinin üstüne yazıldığı
anlaşılmaktadır.
Bu durumda disk üzerinde ilk oluşturulma tarihleri yok olmuş, oluşturulma tarihine en yakın
tarih son baskı tarihi halini almış ve son taşıma ya da farklı kaydetme işlem tarihi oluşturulma
tarihi yerine geçmiş olur.
2.5- Durağan Alan (İng: slack space)
Durağan alanın oluşması ve dosya sisteminde kalması teknik olarak şu şekilde açıklanır:
Gerekli olan bellek ya da depolama alanı işletim sistemi tarafından kullanılması gerekli olan
alandan daha büyük olarak hesaplanabilir. Bu durumda kullanılan alan dışında kalan alan
fazladan ayrılmış alan olarak harcanır.
Bunun sebepleri:
1. Alan ayırma hesaplarını gerçekleştiren algoritmalar
2. Uygulama yazılımın işletim sisteminden kullanacağından daha fazla alan istemesi
şeklinde sıralanabnilir.
Her iki durumda kullanılmayan alan da ayrılması istenen alan içinde kalır. Bahsedilen alan bir
dosya ise, kullanılan alan dışında kalan fazla alan da dosya içinde yer alır.
Sayısal veriler ikili sayı düzeninde tanımlanırlar. Bu yüzden çoğu temel alan ayırma kuralında
tanımlanan varsayılan davranış 2'nin katları şeklinde artan alanlar ayırmaktır.
Her yazı karakterinin ASCII standardıyla tanımlanan 8 bit uzunluğunda olması gerekliliği
dolayısıyla metin içeren dosyalar için alan ayrılmasında 8 ve katlarının kullanılması olağan bir
durumdur.
Bu durumda, bir istemci (uygulama yazılımı) 23 baytlık alan istediğinde ayrılan alan aslında 24
bayt ve hatta çift sayı olarak daha büyük katları olacaktır.
Birçok dosya sisteminde her dosya öbekler halinde depolanır ve her dosyanın başlangıç kaydı
bir öbeğin başlangıcına denk gelir. Fakat her dosya sığabilecekleri öbek sayısına eşit alan
kaplamaz.
Örneğin bir öbek boyutu 8 kilobayt ise ve dosya boyutu 33 kilobayt ise bu dosya dosya sistemi
üzerinde 40 kilobayt yer kaplar.
Böylece dosyanın esas boyutunun kapladığı alan ile dosya sistemindeki bir sonraki dosya
kaydının başlangıcı arasında arta kalan alan oluşur. Bu alana durağan alan denir. Bu alanda,
dosya oluşturulduktan sonra yapılan değişiklikler, kaydedilmesinden vazgeçilen veriler ve hatta
bellekte arta kalan bilgiler bulunabilir.
3 - Yapılan İnceleme
3.1 - İnceleme Yöntemi
Sabit disk imajında derin dosya sistemi incelemesi, , virüs denetimi, işletim sistemi sürümü ve
bilgileri uygulama yazılımı (özellikle Microsoft Office) sürümü ve bilgileri, ve bulunan dosya tipi
tespiti odaklı inceleme yapılmıştır.
İnceleme için R-Studio disk inceleme yazılımı, Ubuntu Linux işletim sistemi ve yardımcı
yazılımları kullanılmıştır.
İçerik incelemesi, tüm dosyalar ham metin dosyaları olarak ele alınarak içlerinde kelime
araması yapılmıştır.
Böylece dosyaların başlık ve biçimlendirme tanımlamalarına herhangi bir uygulama yazılımı
tarafından yorumlanmadan tam olarak erişilebilmiştir.
Kelime araması yapılırken dosyaların durağan alanlarında bulunması olası olan veri de
incelenmiştir.
Aramada şablonları ifade edebilecek “dot”, uygulama sürüm bilgisine ulaştırabileck “Word”,
programlanmış makrolara ulaştırabilecek ”macro” ve ”makro” dış bağlantılı öğeleri tanımlayan
”OLE” ve “OLB”, yeni tip belgelerde bulunan “XML” kelimeleri kullanılarak dosya içlerindeki
programlama makroları, dış öğelere referanslar, dosya oluşturulmasına taban olan şablonlara
referanslar, dosya sonlarında bulunan sürüm notları ve yeni sürümlere özgü niteliklerin tespiti
amaçlanmıştır.
Yapılan inceleme sonucunda aşağıda listelenen hususlar tespit edilmiştir.
3.2 - Sabit Disk Bilgileri
3.2.1 – Donanım Bilgisi
Adli Emanet imaj bilgisine göre disk donanımı bilgileri
Markası: Samsung
Modeli: SP0802N
Seri numarası: 0637J2FWA19210
Bu diskin seri numarasına göre üretim tarihi 2003 (W) yılının Ekim (A) ayı olduğu
belirlenmiştir. [1]
3.2.1 – Dosya Sistemi Bilgisi
Disk üzerinde 2 bölüm bulunmuştur.
1. Bölüm
Etiketi: SISTEM
Dosya sistemi: NTFS
Boyut: 20 GB
Kurulu işletim sistemi: Windows XP
2. Bölüm
Etiketi: DATA
Dosya sistemi: NTFS
Boyut: 54.56 GB
Kurulu işletim sistemi: Yok (veri depolama alanı)
Tüm derin disk incelemeleri R-Studio ile, imajlar üzerinde hiçbir yazma işlemi yapılmadan
gerçekleştirilmiştir.
İçerik incelemesi ise bölümlerin R-Studio ile ayrı ayrı imajları alınıp bu imajların Linux işletim
sistemine salt-okunur kütükler olarak bağlanarak yapılmıştır.
Sistem kayıt defteri dosyaları da inceleme için ayrıştırılmıştır.
3.2.2 – Silinmiş Bölümler
Resimde Recognized0 dışında görülen girdiler silinmiş bölümlere işaret etmektedir.
Bu bölümlerin incelenmesi silinmiş olduklarından dolayı uzun zaman alacağından inceleme
yapılmamıştır.
Gerekli olduğu takdirde derin inceleme yapılması mümkündür.
3.2.2–1. Bölümün İncelenmesi
1. İşletim sistemi:
Bu bölümde Windows XP işletim sisteminin kurulu olduğu tespit edilmiştir.
2. Kurulum tarihi:
Kurulum günlük dosyasına (WINDOWS/setuplog.txt) göre işletim sistemi kurulum tarihi
9/4/2008 14:52:14 olarak tespit edilmiştir.
Söz konusu günlük tarih biçimi ay/gün/yıl saat:dakika:saniye tipindedir.
Linux stat komutu çıktısı da tarihi doğrulamaktadır:
File: `setuplog.txt'
Access: 2008-06-17 15:21:37.328125000 +0300
Modify: 2008-04-09 14:52:14.765625000 +0300
Change: 2008-04-09 14:52:14.765625000 +0300
Ancak kurulum günlük dosyasına
görülmektedir.
göre kurulum başlangıç saati 1/1/2001 00:22:50 olarak
Kurulum günlüğündeki kayıtlara göre ağ kurulumu başlangıcında sistem saati otomatik olarak
güncellenmekte olduğu görülmektedir. Bu durum da sistemin internet bağlantısına sahip olduğu
izlenimini doğurmaktadır.
3. Sistemin en son kapatıldığı tarih:
Disk belleği (pagefile.sys) dosyasına göre sistemin en son kapatıldığı tarih 28/7/2009
11:03:23 olarak belirlenmiştir.
Linux stat komutu çıktısı:
File: `pagefile.sys'
Access: 2009-07-28 11:03:23.796875000 +0300
Modify: 2009-07-28 11:03:23.796875000 +0300
Change: 2009-07-28 11:03:23.796875000 +0300
4. Kurulu Microsoft Office sürümü:
Kurulu Microsoft Office uygulaması sürümünün Office 9 (Office 2000) olduğu tespit edilmiştir.
5.Anti-virüs yazılımı:
Kurulu anti-virüs yazılımının McAfee VirusScan Enterprise 8.5i sürümü olduğu tespit edilmiştir.
6.Ağ bağlantısı:
Sisteme 10.5.1.2 IP adresinin atandığı ve makine isminin “ikk” olduğu tespit edilmiştir.
Bu yapılandırmadan sistemin TCP/IP uyumlu bir intranet sisteminde kullanıldığı, daha önce
tespit edilen kurulum sırasında otomatik saat ve tarih güncellenmesi yapılmasından sistemin
internet çıkışı yapabildiği tespit edilmiştir.
7.Disk üzerinde silinen bilgiler:
Disk üzerinde yapılan incelemede silinen bilgilere rastlanmıştır.
3.2.3–1. Bölümdeki Silinmiş Dosyaların İncelemesi
Disk üzerinde çok miktarda silinmiş dosya kaydı bulunmuştur.
Bunlardan en önemlileri WINDOWS ve Program Files klasörleridir.
WINDOWS klasöründe en eski oluşturulmuş kayıt system32 klasörüdür. Bu klasörün
oluşturulma tarihi 30/10/2002 11:24:01, değişiklik tarihi 30/3/2008 11:52:12 ve erişim tarihi
9/4/2008 10:08:10'dur
WINDOWS klasöründe en yeni oluşturulmuş kayıt $NTUninstallKB946026$ klasörüdür. Bu
klasörün oluşturulma tarihi 7/3/2008 13:25:01, değişiklik tarihi 7/3/2008 13:25:01 ve erişim
tarihi 9/4/2008 10:40:20'dir.
Program Files klasöründe en eski oluşturulmuş kayıt Common Files klasörüdür. Bu klasörün
oluşturulma tarihi 30/10/2002 11:26:56, değişiklik tarihi 17/9/2007 09:29:31 ve erişim tarihi
9/4/2008 10:08:10'dur.
Program Files klasöründe en yeni oluşturulmuş kayıt DIFX klasörüdür. Bu klasörün oluşturulma
tarihi 6/1/2008 19:48:45, değişiklik tarihi 6/1/2008 19:48:45 ve erişim tarihi 9/4/2008
10:40:12'dir.
Program Files klasöründe 24/3/2004 9:29:09 oluşturulma, 17/9/2007 9:39:34 değişiklik ve
9/4/2008 10:08:10 erişim tarihli Microsoft Office klasörü görülmüştür.
Bu klasörün Microsoft Office 11 sürümünü (Office 2003) kurulumu içerdiği tespit edilmiştir.
Bu tespitler ve bulunan dosya tarihlerine göre kurulu Windows XP işletim sistemi ve uygulama
yazılımı programlarını içeren Program Files klasörleri 9/4/2008 tarihinde 10:40 sularında
silinmiştir.
Silinme işleminin “formatlama” tabir edilen şekilde diskin sıfırlanmasıyla değil, dosya
sistemindeki klasörlerin silinmesiyle yapıldığı tahmin edilmektedir.
Silme işlemi sistem dosyalarını kapsadığı ve bu işlem kurulu işletim sistemi bilgisayar üzerinde
çalışırken yapılamayacağı için, sabit diskin dosya sistemindeki değişikliğin, diskin çıkarılıp başka
bir bilgisayara takılarak yapıldığı izlenimini doğurmaktadır.
Silme işleminden sonra 9/4/2008 14:52:14'te tekrar işletim sistemi kurulmuştur.
3.2.4 - 1. Bölümünden Silinen Windows Klasöründeki Kurulum Günlükleri
Silinen klasördeki kurulum günlüğü kurtarılamamıştır.
Ancak aygıt sürücülerinin kurulum bilgilerini içeren setupapi.log dosyası kurtarılabilmiştir.
Bu günlük dosyasının bir bölümü bozuktur.
Ancak bozuk olmayan bölümlere göre:
1. 7/2/2008 11:18:09 tarihindeki "C:\Program Files\PC Connectivity
Solution\NclInstaller.exe" komut satırı ile işleniyor:” kaydına göre sisteme Nokia telefon
aygıtı bağlanmış olduğu,
2. 7/2/2008 6:54:54 tarhinde sisteme bir dış USB veri depolama cihazı bağlanmış olduğu,
bu diskin büyük ihtimalle bir SD/MMC kart okuyucu olduğu,
3. 10/3/2008 19:00:17 tarihinde sistemin monitörünün değiştirildiği,
4. 27/3/2008 18:14:41 tarihinde sisteme Kingston Data Traveler USB dış disk bağlandığı
görülmektedir.
3.2.5 – 1. Bölüm Üzerinde Virüs Taraması
Sistem üzerinde yukarıda anlatılan işlemlerin yapılmış olduğunun tespiti, sistemde bir takım
istem dışı değişiklikler yapılabileceği düşüncesini doğurduğu için dosyalarda ClamAV anti-virüs
yazılımının 23/3/2012'de son güncellenen virüs veritabanı ile kapsamlı virüs taraması
yapılmıştır.
Tarama sonucunda taranan 19761 dosyanın 276 tanesinde çeşitli virüslere rastlanmıştır:
Dosya
Bulunan Virüs
autorun.inf
Inf.Autorun-25
System Volume Information/_restore{3D63EA63-1173-413D-9F74AB1925127957}/RP247/A0039329.inf
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
System Volume Information/_restore{3D63EA63-1173-413D-9F74-
Inf.Autorun-25
AB1925127957}/RP281/A0041016.inf
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
AB1925127957}/RP254/A0039680.inf
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
Inf.Autorun-25
System Volume Information/_restore{3D63EA63-1173-413D-9F74AB1925127957}/RP247/A0039370.dll
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
AB1925127957}/RP281/A0041076.dll
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
Trojan.Spy-34937
WINDOWS/system32/amvo0.dll
Trojan.Spy-34937
r6r.exe
Trojan.Spy-34972
System Volume Information/_restore{3D63EA63-1173-413D-9F74AB1925127957}/RP247/A0039328.exe
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
AB1925127957}/RP292/A0041668.exe
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
AB1925127957}/RP268/A0040361.exe
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
Trojan.Spy-34972
WINDOWS/system32/amvo.exe
Trojan.Spy-34972
Documents and Settings/ikk/Local Settings/Temp/2.dll
Trojan.Spy-35202
WINDOWS/EXPL0RER.exe
Worm.Autorun-853
WINDOWS/iexplore.exe
Worm.Autorun-853
Bu dosyalardan System Volume Information klasörünün alt klasörleri olan _restore ile başlayan
klasörlerde başlayan girdiler diğer girdilerin Windows XP'nin otomatik sistem kurtarma
özelliğince yedeği alınmış halleridir.
Bulaşma olan dosyaların bu klasörde defalarca yedeklenmiş olması bulaşan virüslerin anti-virüs
programını da etkileyerek kendilerini bulamaması için etkisiz haline getirmiş olduğuna işaret
etmektedir.
Esas bulaşma olan dosyalar:
Dosya
Virüs
autorun.inf
Inf.Autorun-25
r6r.exe
Trojan.Spy-34972
WINDOWS/system32/amvo0.dll
Trojan.Spy-34937
WINDOWS/system32/amvo.exe
Trojan.Spy-34972
Documents and Settings/ikk/Local Settings/Temp/2.dll
Trojan.Spy-35202
WINDOWS/EXPL0RER.exe
Worm.Autorun-853
WINDOWS/iexplore.exe
Worm.Autorun-853
Bu dosyaların Linux stat komutuyla tarih bilgileri alınmıştır:
File: `r6r.exe'
Access: 2009-07-28 11:09:34.875000000 +0300
Modify: 2008-05-11 07:54:36.000000000 +0300
Change: 2004-08-18 08:00:50.328125000 +0300
File: `autorun.inf'
Access: 2009-07-28 11:09:34.937500000 +0300
Modify: 2009-07-28 11:09:34.937500000 +0300
Change: 2009-07-28 11:09:34.937500000 +0300
File: `WINDOWS/system32/amvo0.dll'
Access: 2009-07-28 11:04:53.500000000 +0300
Modify: 2009-07-28 11:04:53.500000000 +0300
Change: 2009-07-28 11:04:53.765625000 +0300
File: `WINDOWS/system32/amvo.exe'
Access: 2009-07-28 11:03:22.515625000 +0300
Modify: 2008-05-11 07:54:36.000000000 +0300
Change: 2009-05-15 16:20:10.218750000 +0300
File: `Documents and Settings/ikk/Local Settings/Temp/2.dll'
Access: 2009-07-28 11:07:34.031250000 +0300
Modify: 2009-07-28 11:07:34.031250000 +0300
Change: 2009-07-28 11:07:34.031250000 +0300
File: `WINDOWS/EXPL0RER.exe'
Access: 2009-07-02 13:48:23.046875000 +0300
Modify: 2007-12-28 12:53:34.000000000 +0200
Change: 2009-04-06 09:08:30.734375000 +0300
File: `WINDOWS/iexplore.exe'
Access: 2009-07-28 11:03:22.515625000 +0300
Modify: 2007-12-28 12:52:48.000000000 +0200
Change: 2009-04-06 09:08:30.734375000 +0300
Bu bulgulara göre:
1. Sisteme ilk bulaşma 11/5/2008 07:54:36 tarihinde r6r.exe ile olmuştur.
İlk bulaşan virüs Trojan.Spy-34972 “Truva Atı”dır.
Sistem kayıt defterine göre r6r.exe program dosyası sisteme bir CD takılarak çalışmıştır.
2. WINDOWS/system32/amvo.exe ile ilk bulaşan r6r.exe aynı Trojan.Spy-34972 “Truva
Atı”dır.
3. Bu ilk bulaşmanın diğer bulaşmalara yardımcı olduğu, diğer virüslerin sisteme
bulaşmasını sağladığı düşünülmektedir.
4. Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde rdr.exe'ye
referanslara rastlanmıştır:
Bu kayıtlara göre her dosya açıldığında ve her klasöre girildiğinde rdr.exe otomatik olarak
çalışmaktadır.
5. Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde amvo.exe'ye
Bu kayıtlara göre amvo.exe her kullanıcı girişinde otomatik olarak çalışmaktadır
6. WINDOWS/EXPL0RER.exe ve WINDOWS/iexplore.exe aynı solucan olan Worm.Autorun853'ü içermektedir.
Her iki dosya da 28/12/2007 tarihinde oluşturulmuş virüslerdir.
Bu iki dosyadan WINDOWS/EXPL0RER.exe diğerinin solucan tarafından otomatik olarak alınan
yedeğidir.
“EXPL0RER” kelimesinde O harfi 0 rakamıdır.
Disk üzerindeki taramada ikk kullanıcısının sistem kayıt defterinde WINDOWS/iexplore.exe'ye
Bu kayda göre bu dosya daha önce sadece sisteme kendiliğinden bulaşmamış, sistemde
çalıştırılmıştır.
Defalarca otomatik olarak çalıştırıldıkları tespit edilen bu virüsler sistemin kapanış tarihine
kadar etkin olarak çalışmışlardır.
7. Bulaşma olan bütün dosyalara devamlı erişim yapılmış, virüs taşıyan program dosyaları
11/05/2008'den sistemin son kullanıldığı tarih olan 28/7/2009'a kadar sürekli
çalışmışlardır.
8. Disk üzerinde yapılan inceleme de bunu doğrulamakta, r6r.exe ve autorun.inf dosyaları
sürekli bulaşmakta, sürekli silinip sürekli kendilerini yeniden diske yazmaktadırlar.
Bulunan bu virüslerin sistem üzerinde yapabilecekleri işlemler ve davranışları şunlardır:
1. r6r.exe ve amvo.exe:
PrevX

















şirketi tarafından işletilen Webroot güvenlik web sitesine göre:[2][3]
Gizlenmiş kötü amaçlı yazılımdır.
Sisteme zarar veren yazılımdır.
Bir yazılım paketleme işlemi ile sistem üzerinde çalışan süreçleri şifrelidir.
Makine üzerinde yeni bir arka plan servisi oluşturabilir.
Sistem üzerinde çalışan süreçleri şekil değiştirebilir.
Sistem üzerinde çalışan süreçleri diskte süreçler oluşturabilir.
Sisteme yazılım sürücüleri yükler ve çalıştırır.
Çalışan diğer süreçleri diskten siler.
Dosya kopyalar.
Sisteme bir DLL dosyası kaydeder.
Başka süreç çalıştırır.
Diğer süreçlere kodunu yerleştirir.
Sistemde yeni klasörler oluşturur.
Güvenlik ürünleriyle tespite direnir.
Açılışta çalışmak üzere sistem kayıt defterine eklenir.
Bellek alanı diğer programlar tarafindan erişilebilir ve değiştirilebilir.
Sistemde birden fazla depolama birimine kopyalanır.
r6r.exe ThreatExpert.com'a göre “yüksek önemlilikte tehdit”tir.[4]
amvo.exe ThreatExpert.com'a göre “düşük önemlilikte tehdit”tir. [5]
Her iki dosya da McAfee tarafindan PWS-Gamania.gen.a olarak isimlendirilen Truva Atı'dır ve
davranışları şöyle sıralanır[6]:
 Bazı online oyunlara odaklı parola ve kullanıcı bilgileri çalmaya odaklanan Truva Atı'dır.
 Bu parola çalmaya odaklı programın karakteristikleri, hangi parolaları çalacağı, hangi
sitelere erişim kuracağı bu programı bulaştıran saldırganın programı nasıl
yapılandırdığına bağlıdır.
 Bu program kendisini bir autorun.inf dosyasıyla birlikte taşınabilir disk ya da CD gibi
depolama birimleriyle kendisini kopyalayarak çoğaltabilir.


Bulaşma programın elle çalıştırılması veya autorun.inf dosyasını içeren klasöre
girildiğinde otomatik olarak başlar.
Bu program elle de yayılabilir. Yararlı bir program olduğu sanılıp e-posta ve diğer ağ
bağlantıları ile de dağıtılabilir.
Sistem diskinde autorun.inf ana dizinde yer aldığından ilk bulaşma buraya autorun.inf'in
kopyalanmasıyla olduğu anlaşılmaktadır.
2. expl0rer.exe
PrevX







































şirketi tarafından işletilen Webroot güvenlik web sitesine göre:[7]
Saklanmış kötü amaçlı yazılımdır.
Sisteme zarar veren yazılımdır.
Bir yazılım paketleme işlemi ile sistem üzerinde çalışan süreçleri şifrelidir.
Başka program süreçleri çalıştırabilir.
Sisteme bir DLL dosyası kaydeder.
Sistem üzerinde çalışan süreçleri diskte diğer süreçler oluşturabilir.
Çalışan diğer süreçleri diskten siler.
Sistemde klasörler oluşturur.
Güvenli kiple açılışı engeller.
Diğer süreçlere kodunu yerleştirir.
Sistem politikalarını değiştirip sistem kullanımını limitleyebilir.
Programları sistem açışında çalışmak üzere kayıt defterine yazar.
Başka bir sürecin bellek alanına yazabilir.
WININET.DLL işlevlerini dinleyerek http ve https web sayfası içeriklerini ve oturum
bilgilerini kıopyalar veya okur.
Windows Dosya Koruma sistemini devre dışı bırakır.
Güvenlik ürünleriyle tespite direnir.
Windows Güvenlik Merkezi uyarılarını devre dışı bırakır.
Görev yöneticisi uygulamasının çalışmasını engeller.
Windows Kayıt Defteri uygulamasına erişimi engeller.
Windows Güvenlik Politikalarını değiştirerek makinede yapılabilecek işlemlerin ve
çalıştırılabilecek programlar izinlerini kısıtlar veya kısıtlamaları kaldırır.
Güvenlik duvarı ayaralarını değiştirerek kendisinin ve diğer programların internet
erişimini sağlar.
Kayıt defterine programlar ekler.
Geçici klasörlerde depolanan program süreçlerini çalıştırır.
İnternet üzerindeki diğer makinelerle iletişim kurar.
Başlat menüsüne link yazar.
E-posta adreslerini ve adres defteri kayıtlarını okur.
Javascript kodu çalıştırır.
Kullanıcı farketmeksizin web sitelerini ziyaret eder.
Çeşitli sistem mesajları gösterir.
Kullanıcı girişinde çalışacak programları ayarlar.
Autexec.bat dosyasının içeriğini görüntüler.
Birçok güvenlik uygulamalarına arka kapılar açar.
Çıkarılabilir disklere autorun.inf dosyaları kopyalayıp kendisini otomatik olarak bulaştırır.
Dosya oluşturma özellikleriyle güvenlik yazılımlarını test eder.
Sohbet odalarına bağlantıo kurar.
BOTNET BOT yazılımlarına benzer işlevler taşır.
Internet Explorer tarafindan çalıştırılabilir.
Diğer kötü amaçlı yazılımlar tarafindan kod yerleştirilebilir.
Bir arka plan hizmeti olarak çalışabilir.
expl0rer.exe ThreatExpert.com'a göre “yüksek önemlilikte tehdit”tir. [8]
expl0rer.exe McAfee tarafindan BackDoor-CMI olarak isimlendirilen Truva Atı'dır ve davranışları
şöyle sıralanır[9]:
 Bu Truva Atı, diğerleri gibi, otomatik olarak bulaşmaz. Sistem ya da güvenlik istismarı
ile ve içeriğini bilmeyen kullanıcıların çalıştırması ile bulaşır.Yararlı bir program olduğu
sanılıp e-posta ve diğer ağ bağlantıları ile de dağıtılabilir.
 Backdoor-CMI uzaktan erişim sağlayan bir Truva Atı'dır.
 Bir sunucu bileşeni, uzaktan erişim istemcisi bileşeni ve sunucu düzenleme bileşeninden
oluşur.
 Bu Truva Atı'nın dosya adı ve kullandığı port numaraları gibi detaylar saldırganın
programı nasıl yapılandırdığına bağlıdır.
 Sunucu bileşeni çalıştırıldığında Truva Atı kendisini sistem klasörüne kopyalar.
 Dosyanın sistem ve gizli özellikleri etkinleştirilerek saklanmaya çalışır.
 Sunucu bileşeni çalıştırıldığında daha önce ayarlanan TCP portunu açarak saldırganın
istemci bileşenini kullanarak bağlantı kurması için bekler.
 Bu port numarasının çoğunlukla 8000 olarak ayarlandığı bilinmektedir.
 Birden fazla yönetemle çalışmakta olduğunu saldırgana bildirir.
 Bu bildiride sistemin IP adresi, dinlenilen port numarası, sunucu parolası, kullanıcı adı,
girilecek makine adı ve tarih bilgileri gönderilebilir.
 Bu bildiriyi alan saldırgan istemci yazılımını çalıştırarak makineye bağlantı kurar.

Saldırganın bu istemciyle yapabileceği işlemler şunlardır:
◦ Çalışan programları listeleme, sonlandırma.
◦ Dosya yönetimi ile dosya, klasör yaratma, yükleme, indirme silme.
◦ Kayıt defterine tam erişim.
◦ Pencerelere müdahale etme.
◦ Sistem hakkında bilgi alma.
◦ Makine parolalarını bulma.
◦ Klavyede basılan tuşları kaydetme.
◦ Kopyalanan metinleri panodan okuma ve değiştirme.
◦ Sistemin ekran görüntüsünü kaydetme.
◦ Kullancıyı şaşırtabilecek işlemler yapma (masaüstü simgelerini gizleme, görev
çubuğunu gizleme, CD-ROM tepsisini açma ve kapama gibi)
◦ Oturumu kapatma, makineyi kapatma veya yeniden başlatma.
◦ FTP ve telnet sunucusu olarak bağlanma.
◦ Dosya sistemlerini formatlama.

Sunucu düzenleme bileşeni, bulaştırılacak sunucu bileşenini oluşturmak için kullanılır.
◦ Sunucu bileşeni Pif, Exe, Bat, Com ve Scr uzantılarıyla oluşturulabiir.
◦ Sunucu bileşeninin simgesi kullanılmakta olan, bilinen bir programın simgesi olarak
ayarlanabilir.
◦ Sunucu bileşeni başka bir programın içine yerleştirilebilir.
◦ FTP, e-posta, MSN gibi bildirim yöntemleri için ayarlanabilir.
◦ Bağlantı kurulacak port numarası ayarlanabilir.
expl0rer.exe Microsoft tarafindan da Worm:Win32/Ahkarun.A olarak isimlendirilmektedir. [10]
expl0rer.exe dosyasıyla bulaştığı tespit edilen Truva Atı'nın “varyant” olarak tabir edilen ve
sayılan özelliklerden başka özelliklere sahip olan hallerinin de olduğu yapılan araştırma ile
bulunmuştur.
Bu Truva Atı'nın olası bir varyantı McAfee tarafından Generic.Downloader olarak tanınmaktadır.
[11]
Bu varyant sayılan özelliklerine ek olarak belirli bir kaynaktan otomatik olarak dosya
indirmesiyle tanınmaktadır.
Bu bulgulara ve virüslerin davranışları hakkında yapılan incelemeye göre; söz konusu sistemin
11/5/2008 olarak tespit edilen ilk bulaşma tarihinden son kullanıldığı tarih olan 28/7/2009'a
kadar, yaklaşık 15 ay boyunca, tespit edilemeyen, büyük olasılıkla dışarıdaki herhangi bir
sistemden idare edildiği, sistemin kullanıcı adı, parola ve kullanıcının klavyeden girdiği bilgilerin
dışarı aktarıldığı, dışarıdaki bu sistemden kötü amaçlı yazılımlarla dosya indirildiği olasılıkları
tespit edilmiştir.
Sistemin hizmet verdiği kurumun güvenlik duvarı ile korunduğu varsayıldığında, bu virüsün
dışarıya ulaşabilmesini sağlayan yöntem olan “güvenlik duvarı delme” (İng. firewall piercing)
tekniğini kullandığı ve “ters saldırı” (İng. inside-out attack) ile sistem üzerindeki etkisini
kazandığı düşünülmektedir.[12][13]
Bu teknik şu şekilde açıklanabilir:
− Bir güvenlik duvarı dışarıdan (internetten) gelen saldırılara karşı iç kullanım sistemlerini
korur.
− Bir güvenlik duvarı genellikle kendisini iç kullancılardan korumaz.
− Kullanıcının internet üzerinde kurduğu bir bağlantının zararsız ve güvenilir bir hizmete
yapıldığı varsayılır.
− Örneğin TCP bağlantı noktası 53 üzerinden DNS sunucusuna bağlantı, 80 üzerinden bir
web sitesine bağlantı ya da rastgele açılmış olan dışarı giden başka bir bağlantı
noktasından bir bağlantı kurulduğu gözlemlenir.
− İşletim sistemleri bu bağlantıların kullanımını bağlantı bitişinden sonra hemen
kapatmazlar.
− Bu sırada açık kalan bağlantıyı sistem üzerinde çalışmakta olan herhangi bir süreç
kullanmak isteyebilir.
− Bu isteği, işletim sistemi değerlendirerek sürece devredebilir.
− Bu noktadan sonra bu süreç dışarı yapılan bağlantıyı devralarak ters çevirir ve içeri
gelen bağlantı halinde kullanmaya devam edebilir.
− Bağlantıyı devralan süreç kötü amaçlı bir yazılımsa sistem artık dışarıdan veri alıp veren
bir sistem haline gelmiş olur.
− Bu yapılan bağlantıların paket boyutlarının değişken oldukları ve genellikle
oıluşturdukları paketlerin oluşturulma tarih damgalarının bozuk oldukları karşılaşılan bir
durumdur.
− Bunun sebebi, kötü amaçlı yazılımların sistemin başarımını etkilememek için bazı sistem
işlevlerini tam olarak kullanmamalarıdır.
− Değişken paket boyutları paket parçalanmasına (İng. fragmentation) sebep olabilir.[14]
− Paket parçalanması bu bağlantıyı dinleyen ve işleyen güvenlik yazılımları gibi süreçlerin
kilitlenmesine ve hatta sistemdeki çalışmalarının sonlanmasına sebep olabilir.
− Bazı güvenlik duvarı cihazları bu durumun sağlıklı çalışmalarını etkilememesi için sadece
ilk gelen paketleri inceleyip daha sonra gelen parçalanan paketlere hiçbir müdahelede
bulunmadıkları gözlenmiştir.[15][16]
− Paketlerin tarih damgalarının yanlış olması da güvenlik duvarı ve güvenlik yazılımlarının
aşılmasında kullanıldığı bilinen bir tekniktir.[17]
Bu anlatılan teknikleri kullanan bir kötü amaçlı yazılımla “ele geçirilen” bir sistemde her türlü
işlemin yapılması çok kolaydır.
Böyle bir sistemde kararlı veri tutulması mümkün olmamakla birlikte, istenilen kullanıcı ya da
kullanıcı gruplarının sistem üzerinde oluşturulması, sistem parola ve kulllanıcılarının
değiştirlmesi, başka yazılımların kurulması, her tür dosya işlemi yapılması ve dosya tarihlerinin
değiştirilmesi yüksek olasılıktadır.
Tespit edilen kötü amaçlı yazılımın bu özellikleri dolayısıyla sistem ve veri disklerindeki her tür
veri ve dosyanın geçerliliğinin olmadığı söylenebilir.
3.2.6–2. Bölümün İncelenmesi
Diskin 2. bölümünün incelenmesinde 1. bölümdekiyle aynı tarih özelliklerini ve aynı virüs
özelliklerini taşıyan r6r.exe ve autorun.inf dosyalarına rastlanmıştır.
Ayrıca disk üzerindeki incelemede bu bölümün \\IKK\DATA (D) yol adıyla ağda paylaşılmış
olduğu görülmüştür.
4. Dosya İncelemesi
4.1- 1. Bölümdeki Dosyaların İncelenmesi
1. bölümdeki dosyalarda göze çarpan tutarsızlıklara rastlanmamıştır.
İstenildiği takdirde ayrıntılı çalışma sunulabilir.
4.2- 2. Bölümdeki Dosyaların İncelenmesi
Word Dosyaları
Bu bölüm üzerinde yapılan incelemede 1258 adet Word dosyası bulunmuştur.
Bunlardan 1220 tanesi Word Document 8 ile bitmektedir.
Word dosyalarının 811 tanesinde durağan alanda Word 9 ibaresi bulunmuştur
Word dosyalarının 288 dosyada durağan alanda Word 10 ibaresi bulunmuştur.
Bu Woırd dosyalarının 8 tanesinin aslında RTF dosyaları oldukları tespit edilmiştir.
Bu Word dosyalarının 41 tanesinde XML ibaresi bulunmuştur.
Disk imajı üzerinde yapılan incelemede Calibri yazıtipine referans gösteren 3 adet dosya tespit
edilmiştir.
Calibri yazıtipi, Microsoft Office 2007 ile varsayılan yazıtipi haline gelmiş ve 2005 yılında ilk kez
kullanıma sürülmüştür.
Aşağıdaki listede dosya tarihi-yazıtipi sürüm tarihi çelişkisi içeren dosyalar listelenmiştir.
1. İKK/2004/YEDEK/Çalışma/BILGI NOTU/BİLGİ NOTU.doc
Erişim: 2004-04-08 19:35:27.171875000 +0300
Son değişiklik: 2003-02-21 11:55:54.000000000 +0200
Oluşturulma: 2004-04-08 19:35:27.187500000 +0300
2. İKK/2004/YEDEK/Çalışma/BILGI NOTU/EK-A.doc
Erişim: 2004-04-08 19:35:27.187500000 +0300
Son değişiklik: 2003-02-21 12:53:24.000000000 +0200
Oluşturulma: 2004-04-08 19:35:27.187500000 +0300
3. İKK/2004/YEDEK/Çalışma/BILGI NOTU/EK-B.doc
Erişim: 2004-04-08 19:35:27.187500000 +0300
Son değişiklik: 2003-02-21 14:47:56.000000000 +0200
Oluşturulma: 2004-04-08 19:35:27.203125000 +0300
Power Point Dosyaları
Bu partisyon üzerinde yapılan incelemede 92 adet Power Point dosyası bulunmuştur.
33 adet Power Point dosyasında XML girdisine referans belirlenmiştir:
1. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/2.ppt
2. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/4.ppt
3. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-mit.ppt
4. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-TIB.ppt
5. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/internet-izleme-sistemi-sunu.ppt
6. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/2105.ppt
8. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/Ky.ppt
9. İKK/2004/YEDEK/Gelenler/sonuçlar.ppt
10. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/16. slayt%20 Belediye
desteği.ppt
11. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/Brifingi 18 nisan.ppt
12. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/İRTİCAİ UNSURLARIN
TASNİFİ.ppt
13. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ%20 İLÇELER)
Bilgi Dosyası Jandarma-Polis sahaları/DİĞER BİLGİLER DOSYASI/HARİTA/HARİTA (Point
Sunusu).ppt
Bilgi Dosyası Jandarma-Polis sahaları/DİĞER BİLGİLER DOSYASI/HARİTA/Kocaeli
haritası eski ve yeni%20 ilçeler.ppt
Jandarma ve polis sorumluluk sahaları (yeni taslak).ppt
16. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/156/İSTH. BRİFİNGİ.ppt
17. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/15/ETNİK VE DEMOGRAFİK YAPI,
Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Düzenlenmiş Ekler/EKC.ppt
Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Düzenlenmiş Ekler/EKİ.ppt
Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/EKLER/Marmara Bölge ve İst.
Haritası.ppt
Gettolaşma/GETTOLAŞMA KARARGAH ETÜDÜ VE EKLERİ/kh.etüd.takdi/tez.Brf
16.10.03.ppt
Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/28 EkimTAKDİM METNİ VE YANSILARI/28
EkimTAKDİM YANSILARI22.10.03.ppt
Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/KARARGAH ETÜDÜ/Ekler/EK-Ç.ppt
Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/KARARGAH ETÜDÜ/Ekler/EK--K.ppt
24. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/200809_DEMOGRAFİK YAPI
HASSAS BÖLGE.ppt
25. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_
20070906.ppt [Kurtarılan].ppt
26. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ TASLAK.ppt
27. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt
28. İKK/GENKURBSKTAKDİMİ/GENKURBŞK.
TAKDİM/200809/son/GNKURTAKDİM_MASABAŞI.ppt
29. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ 200809.ppt
30. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ K.ppt
31. İKK/Gizlilik disiplini ve Sır saklama 20090217.ppt
32. İKK/İKK Güv filo dersi 20090217.ppt.ppt
33. İKK/menzil.ppt
23 dosyada OOXML dosya tipinden iz kaldığı tahmin edilen XML girdileri tespit edilmiştir:
1. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-mit.ppt 6 yerde
2. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/iis-TIB.ppt 6 yerde
3. GÖREV ANALİZ/yücel/Tubitak Teknik/Canlı Takip/internet-izleme-sistemi-sunu.ppt 6
yerde
4. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/2105.ppt 185 yerde
5. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/Ky.ppt 228 yerde
6.
7.
8.
9.
GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/6.ppt 2 yerde
İKK/İKK Güv filo dersi 20090217.ppt.ppt 6 yerde
İKK/menzil.ppt 3 yerde
İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt 8
yerde
10. İKK/GENKURBSKTAKDİMİ/son/GNKURTAKDİM_ 200809.ppt 7 yerde XML
11. İKK/GENKURBSKTAKDİMİ/GENKURBŞK.
TAKDİM/200809/son/GNKURTAKDİM_MASABAŞI.ppt 6 yerde
12. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/son/GNKURTAKDİM_ K.ppt 9
yerde
13. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_ TASLAK.ppt
6 yerde
14. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/GNKURTAKDİM_
20070906.ppt [Kurtarılan].ppt 6 yerde
15. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/200809/200809_DEMOGRAFİK YAPI
HASSAS BÖLGE.ppt 16 yerde
Gettolaşma/Gettolaşma takdimi ve Kh. etüdü/28 EkimTAKDİM METNİ VE YANSILARI/28
EkimTAKDİM YANSILARI22.10.03.ppt 21 yerde
17. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/156/İSTH. BRİFİNGİ.ppt 21 yerde
Jandarma ve polis sorumluluk sahaları (yeni taslak).ppt 5 yerde
19. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/KOCAELİ (YENİ İLÇELER) Bilgi
Dosyası Jandarma-Polis sahaları/DİĞER BİLGİLER DOSYASI/HARİTA/Kocaeli haritası eski
ve yeni ilçeler.ppt 4 yerde
Bilgi Dosyası Jandarma-Polis sahaları/DİĞER BİLGİLER DOSYASI/HARİTA/HARİTA (Point
Sunusu).ppt 5 yerde
21. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/İRTİCAİ UNSURLARIN
TASNİFİ.ppt 3 yerde
22. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/Brifingi 18 nisan.ppt 3 yerde
23. İKK/GENKURBSKTAKDİMİ/GENKURBŞK. TAKDİM/151/16. slayt Belediye desteği.ppt 8
yerde
XML ibaresi yer almaktadır.
2 dosyada durağan alanda OOXML'e özgü değişikliğe uğramadan tamamen aynen kalan izler
tespit edilmiştir.
Ancak bu dosyaların OOXML dosya özelliklerini kaybettikleri ve Office 2007'den daha eski bir
sürümle kaydedildikleri tespit edilmiştir.
Erişim: 2008-10-03 19:18:52.625000000 +0300
Değişiklik: 2007-04-03 14:06:52.000000000 +0300
Oluşturulma: 2008-10-03 19:18:52.640625000 +0300
2. GÖREV ANALİZ/yücel/Tubitak Teknik/Şifre kırma/Ky.ppt
Erişim: 2008-10-03 19:18:53.281250000 +0300
Değişiklik: 2007-04-04 12:03:12.000000000 +0300
Oluşturulma: 2008-10-03 19:18:53.421875000 +0300
4.3- Dosya Sistemindeki Tarih Tutarsızlıkları
NTFS bilgilerine göre değişiklik tarihi diskin üretim tarihi olan Ekim 2003'ten eski, oluşturulma
ve son değişiklik tarihi 20-08-2003 olan masaüstü/yasemin.ppt adlı 1 adet dosya kaydı tespit
edilmiştir.
R-Studio ekran görüntüsü aşağıda sunulmuştur.
Ancak Linux bash komutu stat ile dosya bilgisi alındığında aşağıdaki bilgi dökümü alınmıştır.
Buna göre:
Erişim: 2009-07-09 09:39:05.093750000 +0300
Değişiklik: 2003-08-20 10:00:28.000000000 +0300
Oluşturulma: 2009-07-09 09:39:05.125000000 +0300
Dosya iç bilgisine göre:
Oluşturulma: 07.07.2003, 14:27:34, ikk
Değişiklik: 20.08.2003, 10:00:26, ikk
Bu durum NTFS dosya sisteminde tarih değişikliği yapıldığına işaret etmektedir.
Ayrıca bu dosyanın içerdiği resimlerdeki makbuz da 2008 tarihini göstermektedir.
Disk üzerinde yapılan incelemede sistem dosyaları dışında kalan en eski dosya kayıtlarının 2004
yılına ait olduğu görülmüştür.
Fakat oluşturulma tarihi 2004, 2005 ve 2007 yılına ait 163 dosyanın değişiklik tarihi kaydın disk
üzerinde oluşturulma tarihinden eskidir.
Bu durum, bu dosyaların diskte oluşturulmadığı ve başka bir kaynaktan kopyalandıklarına
işaret etmektedir.
Yapılan inceleme sonucunda bu kopyalama işleminin yapıldığı görülmüştür. İnceleme
sonucunda bu kopyalanan dosyalarının son değişiklik tarihlerinin 2004 ila 2009 yılları arasında
olduğu, sistem tarih ve saati değiştirilmiş başka bir kaynaktan kopyalandığı anlaşılmıştır.
5-Bulguların Anlamsallık, Delil Bütünlüğü ve Suç Tarihi Açısından Değerlendirilmesi
Bu incelemeda belgelerin konusu olan askerlik mesleği ile ilgili kavramsal çalışma yapılmamıştır
ve belgelerin içerikleri anlamsal incelenmemiştir.
Tespit edilen kötü amaçlı yazılımın özellikleri dolayısıyla sistem ve veri disklerindeki her tür veri
ve dosyanın geçerliliğinin olmadığı söylenebilir.
Bilgi teknolojileri kapsamında çeşitli teknikler kullanılarak geçersizliği tespit edilen belgelerin,
yine aynı yolla yapılan tespitlerle geçerliliğinden şüphe duyulan belgeler ve diğer belgelerle
birlikte anlamsal bütünlük ifade etmeleri gerekliliği düşünüldüğünde, birbirlerine atıf ve
referanslar içerdikleri varsayıldığında, aranan bütünlüğün elde edilemeyeceği, delil bütünlüğü
ve suç tarihi açısından değerlendirildiğinde bu imajlarının delil olarak kullanılmalarının sakıncalı
olduğu kanaatindeyim.
Adli Bilirkişi
Tevfik Koray Peksayar
Mak. Müh. L. - Bilgi Tekn. Y. Lis.
İTÜ Diploma No: 76 - 387
Ekler – Dış Referanslar
[1] Samsung sabit disklerinde seri numarasına göre üretim tarihi belirleme
“Interpreting Samsung hard drive serial numbers”
http://knowledge.seagate.com/articles/en_US/FAQ/221439en/
[2] Webroot http://www.prevx.com/filenames/1559420358074471437-X1/R6R.EXE.html
[3] Webroot http://www.prevx.com/filenames/97242330767800418094664793/22XO.EXE.html
[4] http://www.threatexpert.com/files/r6r.exe.html
[5] http://www.threatexpert.com/files/amvo.exe.html
[6] http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=147533
[7] http://www.prevx.com/filenames/X1656666729177842598-X1/EXPLORER.EXE.html
[8] http://www.threatexpert.com/files/expl0rer.exe.html
[10] http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm
%3AWin32%2FAhkarun.A
[12] http://www.pisa.org.hk/event/bypassfw.pdf
[13] http://tldp.org/HOWTO/Firewall-Piercing/index.html
[14] http://en.wikipedia.org/wiki/IP_fragmentation_attacks
[15] http://cosec.bit.uni-bonn.de/fileadmin/user_upload/teaching/06ws/06ws-computersecurity/49692243.pdf
[16] http://nmap.org/book/man-bypass-firewalls-ids.html
[17] http://en.wikipedia.org/wiki/Transmission_Control_Protocol

Balyoz – 002 – Sabit Disk 5

Transkript

Benzer belgeler

Trojan Battery

Informer Serisi

Marin ve RV - Trojan Battery

Havai ‚alısma Platformu / Lift