Incident response - detection and analysis on recent versions of microsoft Windows
Olay müdahale - microsoft Windows' un son sürümü üzerinde tespit ve analiz
- Tez No: 522504
- Danışmanlar: DR. ÖĞR. ÜYESİ AHMET NACİ ÜNAL
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2018
- Dil: İngilizce
- Üniversite: Bahçeşehir Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
- Sayfa Sayısı: 85
Özet
Güvenlik olayları organizasyonlar ve ülkeler için büyük bir tehdit oluşturmaktadır. Güvenlik olaylarına hızlı bir şekilde yanıt vermek, olayların olumsuz etkilerinin azaltılması ve sınırlandırılması için çok önemlidir. Bununla birlikte siber suçlar belirli ölçekte ve karmaşıklıkta artmaya devam etmektedir. Siber suçlular izlerini gizlemek veya yok etmek için farklı teknikler kullanarak organizasyonların olayları tespit etmesini ve dolayısıyla çözümlemesini zorlaştırmaktadır. Siber suçluların genellikle siber saldırıların farklı aşamalarında hedeflenen sistemler üzerinde kötü amaçlı programlar çalıştırması gerekir. Bu sebeple, bir sistem üzerinde çalıştırılan programlar hakkında bilgi elde edebilmek, olay müdahale sürecinin tespit aşamasında önemli bir kilit noktasıdır. Günümüzde Windows sistemlerinin mevcut hızlı güncellemeleri ile, birçok olay müdahale aracı bu güncellemeleri yakalayamamakta ve bu nedenle de olay müdahale sürecinin tespit aşamasında müdahale ekibine gerekli bilgiyi sağlayamamaktadır. Bu araştırmada, incelemenin yapıldığı sırada en son Windows sürümü olan Windows 10 1079 için sistem üzerinde altı farklı uygulama çalıştırma artifact' ı derinlemesine incelenmiştir. Her artifact için veri depolama lokasyonu belirlenmiş, depolanmış veri formatı ve yapısı incelenmiştir ve bu süreçte çoğunlukla tersine mühendislik yöntemi kullanılmıştır. Buna ek olarak her artifact adli değere sahip 10 farklı bilgi için karşılaştırılmıştır. Daha sonra, bu artifact' lar iyi bilinen veri ayrıştırma araçları ile çalıştırılarak sonuçları değerlendirilmiştir. Bu araştırmanın sonucunda, çoğu kez adli bilişim ayrıştırma araçlarının uygulama çalıştırma izlerinde saklanan tüm olası bilgileri elde edemediği bulunmuştur. Ayrıca, uygulama çalıştırma izlerinin çıkarılması sırasında yapılan incelemelerde bazı sonuçların yanlış olduğu ve yanıltıcı bilgi sağlandığı tespit edilmiştir.
Özet (Çeviri)
Security incidents pose a real threat on organizations and nations. Responding to security incidents quickly is essential to mitigate and limit security incidents negative impacts. However, cyber-crimes are increasing in scale and sophistication and cyber criminals often use different techniques to conceal and remove their traces which make it harder for organizations to detect security incidents and thus to respond to them. Cyber criminals often need to execute malicious programs on targeted systems in different stages of cyber-attack. Thus, extracting information about executed programs on a system is a key element in detection stage of incident response process. With the current fast-paced updates of Windows systems, many incident respond's tools are failing to catch-up with those updates and thus failing to give answers to incident responders that aid them in detection stage of incident response process. In this research, six different program execution artifacts, on latest version of Windows at the time of this writing Windows 10 1079, were analyzed in depth. For each artifact, the storage location was identified, the stored data format and structure was studied, and often reverse-engineering process was required. In addition to that, each artifact was compared against ten different items of forensics interests. Then, results of running well-known incident parsing tools on those artifacts were evaluated. As a result of this research, it was found that parsing tools often fail to extract all possible information stored in program execution traces. Also, the conclusion of some researches, that were done on extracting program execution traces, were found to be inaccurate and providing misleading information.
Benzer Tezler
- Kıyı yapısı inşaatları için iş güvenliği risk yönetim sistemi
Occupational safety risk management system for coastal structure construction
DİNÇER İNANÇ YILMAZ
Doktora
Türkçe
2024
Mühendislik Bilimleriİstanbul Teknik Üniversitesiİnşaat Mühendisliği Ana Bilim Dalı
DOÇ. DR. DENİZ ARTAN
- Highway traffic classification using data mining in machine learning
Başlık çevirisi yok
KHALID FARHAN MOHAMMED MOHAMMED
Yüksek Lisans
İngilizce
2020
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAltınbaş ÜniversitesiBilgi Teknolojileri Ana Bilim Dalı
PROF. DR. OSMAN NURİ UÇAN
- Gömülü iletken cisimlerin elektromagnetik dalgalar yardımı ile zaman domeninde algılanması
Başlık çevirisi yok
SELÇUK PAKER
Doktora
Türkçe
1998
Elektrik ve Elektronik Mühendisliğiİstanbul Teknik ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF. DR. BİNGÜL YAZGAN
- Turkey forest fire decision support system (TFFDSS)
Türkiye orman yangını karar destek sistemi (TFFDSS)
ABDULLAH SUKKAR
Yüksek Lisans
İngilizce
2022
Jeodezi ve Fotogrametriİstanbul Teknik ÜniversitesiGeomatik Mühendisliği Ana Bilim Dalı
DOÇ. DR. AHMET ÖZGÜR DOĞRU
- Uydu verileri ile İstanbul Boğazı ve Haliç'de su kirliliğinin makro düzeyde belirlenmesi
Intrepretation at macro level as pollution of water resources of remotely sensed data of Bosphorus and golden horn estuary by an unsupervised and supervised classification method
H.GONCA COŞKUN