Geri Dön

Windows işletim sistemi kalıntılarının analizini gerçekleştiren siber olay müdahale aracının geliştirilmesi ve olay zaman çizelgesinin çıkarılması

Development of cyber incident response tool that performs analysis of windows operating system remnants and extraction of event timeline

PDF İndir

  1. Tez No: 688951
  2. Yazar: ALİ HÜSAMİDDİN UÇAR
  3. Danışmanlar: DOÇ. DR. FATİH ERTAM
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2021
  8. Dil: Türkçe
  9. Üniversite: Fırat Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Adli Bilişim Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 56

Özet

Windows işletim sisteminin dünya genelinde günden güne kullanımı yaygınlaşmaktadır. Bununla birlikle, windows işletim sistemine ait sürümler gelişmekte ve güncellenmektedir. Windows'un yaygın olarak kullanılan sürümlerinde suç teknikleri ve türevleri sürekli değişmekte, saldırganların kurbanlarını etkisi altına alması hızla artmaktadır. Bu zaman zarfında kurbanların makinelerindeki adli analiz ve adli kopya yöntemlerinin gerçekleştirilmesi uzun sürdüğü için saldırganların tespiti ve saldırının önlenmesi zaman kaybettirmektedir. Windows işletim sistemleri olarak makine üzerinde gerçekleşen süreçleri, kullanıcı aktivitelerini, dosya sistem ve kayıt defteri kayıtlarını, uygulama ve kullanıcı kalıntılarını tespit etmek için güncel yöntemler, araç-gereçler kullanılarak zaman kaybı azaltılmaya çalışılmaktadır. Windows işletim sistemlerinde adli kopya alma ve alınan kopyaların analizinde kullanılan araçlarının genellikle ticari yükünün olması, alanın geliştirilebilirliği yönünde engel arz etmekte ve incelemeleri geciktirmektedir. Bu sebeple açık kaynak kodlu yazılımlar ile kurbanın dahil olduğu olayları doğrudan analiz edebilmeyi sağlayan log kayıtlarının incelenebilmesi zaman ve ticari boyut açısından kayıpları azaltılabilmektedir. Aynı zamanda elde edilen log kayıtları ile saldırı zaman çizelgesi oluşturularak saldırının verdiği zarar gözlemlenebilmektedir. Bu tez çalışmasında Windows işletim sistemlerinde saldırganların genellikle iz bıraktıkları log kayıtları ve kalıntıların toplanmasının ardından ayrıştırılması ve ardından olay zaman çizelgesinin çıkarılması sunulmuştur. Kalıntıların ayrıştırılması için güncel yöntemlerin yanı sıra açık kaynak kodlu siber olay müdahale aracının geliştirilmesi gerçekleştirilmiştir. Ayrıştırılan kalıntıların, olay-zaman çizelgesi oluşturularak saldırgan-kurban ilişkisinin kayıt çizelgesinden bahsedilmektedir. Bu tez çalışmasında geliştirilen ve IR-Parser adı verilen yazılımın adli bilişim ve siber güvenlik alanında çalışan insanlara faydalı olacağı düşünülmektedir.

Özet (Çeviri)

The use of the Windows operating system is increasing day by day around the world. However, versions of the windows operating system are developing and being updated. Crime techniques and variants are constantly changing in widely used versions of Windows, and attackers' impact on their victims is increasing rapidly. During this time, forensic analysis and forensic copy methods on the victims' machines take a long time to perform, so detecting the attackers and preventing the attack is time consuming. Windows operating systems are trying to reduce time loss by using up-to-date methods and tools to detect processes, user activities, file system and registry records, application and user residues on the machine. In Windows operating systems, the commercial load of the tools used in forensic copying and analysis of the obtained copies poses an obstacle to the development of the field and delays the investigations. For this reason, the loss of time and commercial dimension can be reduced by examining the log records, which enable to analyze the events involving the victim directly, with open source software. At the same time, the damage caused by the attack can be observed by creating an attack timeline with the log records obtained. In this thesis, it is presented that the log records and residues that attackers usually leave traces in Windows operating systems are collected and then parsed and then the event timeline is extracted. In addition to current methods for separating residues, the development of an open source cyber incident response tool was carried out. The record schedule of the aggressor-victim relationship is mentioned by creating an event-timeline of the separated remains. It is thought that the software developed in this thesis study, called IR-Parser, will be beneficial to people working in the field of forensic information and cyber security.

Benzer Tezler

  1. Tez No

    812816

    Siber saldırı gerçekleştirilirken kullanılan araçların farklı işletim sistemleri üzerindeki kalıntılarının analizinin elde edilmesi ve karşılaştırılması

    Analysis and comparison of the tools artifacts in performing a cyber attack on different operating system

    GİZEM GÖKÇAYOĞLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolÜsküdar Üniversitesi

    Adli Bilimler Ana Bilim Dalı

    PROF. DR. SERHAT ÖZEKES

  2. Tez No

    438757

    Windows kimlik doğrulama güvenlik fonksiyonu: Tehditler ve önlemlerin kontrol listelerine uyarlanması

    Windows authentication and safety functions: The adjustments of threats and precautions int checklist

    KEMAL ALTUNDAĞ

    Yüksek Lisans

    Türkçe

    Türkçe

    2016

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Şehir Üniversitesi

    Bilgi Güvenliği Mühendisliği Ana Bilim Dalı

    ÖĞR. GÖR. YILMAZ ÇANKAYA

  3. Tez No

    180646

    Ghostware and rootkit detection techniques for windows

    Windows işletim sistemi için ghostware ve rootkit yakalama teknikleri

    CUMHUR DORUK BOZAĞAÇ

    Yüksek Lisans

    İngilizce

    İngilizce

    2006

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİhsan Doğramacı Bilkent Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. ALİ AYDIN SELÇUK

  4. Tez No

    472634

    Network packet capturing for Windows operating system

    Windows işletim sistemlerinde ağ paketi yakalama

    YÜCEL AYDIN

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

  5. Tez No

    859662

    Windows os vulnerability classification using machine learning techniques

    Makine öğrenimi tekniklerini kullanarak windows işletim sistemi güvenlik açığı sınıflandırması

    NOORALHUDA ABDULHASAN HADI AL-SARRAY

    Yüksek Lisans

    İngilizce

    İngilizce

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKarabük Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ SAİT DEMİR

Geri Dön