Geri Dön

Adli bilişim için ram imajı alınarak elektronik delil elde etme

Obtaining digital evidence by acquiring ram image for computer forensics

PDF İndir

  1. Tez No: 517441
  2. Yazar: AHMET ALİ SÜZEN
  3. Danışmanlar: DR. ÖĞR. ÜYESİ KUBİLAY TAŞDELEN
  4. Tez Türü: Doktora
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2018
  8. Dil: Türkçe
  9. Üniversite: Süleyman Demirel Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 105

Özet

Bu çalışmada, Kernel Mode RAM sürücü ile RAM (Random Access Memory) imajı alan ve RAM imajından MS Word, PDF dosyalarını kazıyarak içerisindeki okunabilir bilgilerin çıkartılmasını sağlayan yazılımlar geliştirilmiştir. Kernel Mode RAM sürücüsü kullanan RAM imajı alma yazılımı (RİMAY) Windows'da Kernel mode seviyesinde RAM'in sanal adreslerine, fiziksel adreslerine ve tablo sayfalarına erişim sağlamaktadır. Geliştirilen imaj alma yazılımı RAM'in tüm adreslerini bit-to-bit kopyalayarak imajını almaktadır. Alınan imaj dosyasına, Windows'ta geçici hafıza olarak kullanılan pagefile.sys'de dahil edilmiştir. Dosya kazıma ve analizi yazılımı (DOKAY), RAM imajı yazılım ile alınan imaj dosyasını kullanmaktadır. Yazılım tasarımında dizgi arama, imza tarama ve veri kazıma teknikleri kullanılmıştır. Analiz işlemleri 14 GB'lık RAM imajı dosyasında yapılmıştır. İmaj dosyasında yapılan veri kazımada 41dk 10sn'de 10 adet doc uzantılı, 37dk 45sn'de 10 adet docx'e ait document.xml dosyasına ve 45dk 01sn'de 10 tane PDF dosyasına ulaşılmıştır. Word dosyalarının her biri üzerinde dizgi arama ve sıkıştırma çözme teknikleri uygulanarak veriler kurtarılmıştır. PDF dosyalarında flatedecode sıkıştırma algoritması kullanıldığından dolayı, veri blokları çözülerek verilere ulaşılmıştır. Kurtarılan veriler, orijinal dosyadaki veriler ile karşılaştırılarak her dosya için başarı oranı çıkartılmıştır. Sonuç olarak docx dosyalarında ortalama %40,4'lük, doc dosyalarında %35,6'lık ve pdf dosyalarında %16'lık başarı sağlandığı görülmüştür. RAM'e yüklenen word veya pdf dosyasının boyutunun artması, içerisindeki verinin kurtarılma oranını azalttığı tespit edilmiştir. Geliştirilen imaj alma yazılımı RAM'de 156 KB'lık yer kaplamaktadır. Bu sonuç ile de RAM'e yazılımın yüklenmesinden kaynaklı veri kayıpları en aza indirilmiştir.

Özet (Çeviri)

In this study, capture RAM with Kernel Mode RAM Driver and a piece of software has been developed to recover the readable data by carving MS Word and PDF files from the RAM image. Virtual addresses, physical addresses and table pages for RAM can be accessed using the developed RAM imager software in windows. In this way, image acquisition software using this driver is able to carry out bit-to-bit copying of RAM. File carving and analysis software use the image file received with the RAM image software. String searching, signature scanning, and data carving methods are used in the design of the software. The analysis was performed on a RAM image of 14 GB by using the software that was developed. In 41m and 10s, 10 files with DOC extension were recovered, in 37m and 45s, 10 document files with XML extension files of the 10 DOCX files were recovered, and in 45m and 1 s, 10 PDF files were recovered during data carving on the image file. Data carving was carried out separately for the MS Word and PDF files. The data was recovered by applying string searching and decoding techniques to each MS Word file. Since a flatedecoding algorithm was used for the PDF files, the data were accessed by decoding the data blocks. The success rate for each file was determined by comparing the recovered data to the data in the original file. In the end, it was observed that the average of the success rate was 42% for the MS Word files and 16% for the PDF files. It was determined that the rate of data recovery decreases as the size of the MS Word or PDF files loaded onto RAM increases. 10 files with DOC extension, 10 DOCX files and 10 PDF files were recovered during data carving previously used on the image file. When the image retrieval software is installed in RAM it occupies a meager 156 KB of space.

Benzer Tezler

  1. Tez No

    477920

    Digital forensic analysis for voip

    Voıp için dijital adli analiz

    HUSSEIN AL_SADAAWI

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFırat Üniversitesi

    Yazılım Mühendisliği Ana Bilim Dalı

    PROF. DR. ASAF VAROL

  2. Tez No

    820199

    A permissioned blockchain-based model for digital forensics

    Adli bilişim için yetkilendirilmiş bir blokzincir modeli

    NILOUFAR ALIZADEH SAVEH

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolOrta Doğu Teknik Üniversitesi

    Siber Güvenlik Ana Bilim Dalı

    Assoc. prof. Dr. CİHANGİR TEZCAN

  3. Tez No

    414681

    Adli bilişim yazılım ve donanımların analizi

    Analysis of computer forensic software and hardware

    İSMET KAHİYE

    Yüksek Lisans

    Türkçe

    Türkçe

    2014

    Bilim ve Teknolojiİstanbul Bilgi Üniversitesi

    Bilişim ve Teknoloji Hukuku Ana Bilim Dalı

    YRD. DOÇ. LEYLA KESER BERBER

  4. Tez No

    710733

    Forensic analysis of social network applications on smartphones

    Akıllı telefonlarda sosyal ağ uygulamalarının adli analizi

    ZİYA UYSAL

    Yüksek Lisans

    İngilizce

    İngilizce

    2021

    Elektrik ve Elektronik MühendisliğiAnkara Yıldırım Beyazıt Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF. DR. İLYAS ÇANKAYA

    DOÇ. DR. BAHA ŞEN

  5. Tez No

    889353

    Adli bilişim laboratuvar kurulumunda standartlaşma

    Standardization in establishment of digital forensics laboratory

    HALİL İBRAHİM ARICAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilim ve TeknolojiGazi Üniversitesi

    Adli Bilişim Ana Bilim Dalı

    DOÇ. DR. NURSEL YALÇIN

Geri Dön