Olay müdahalesi kapsamında windows işletim sistemine sahip cihazlardan triyaj kayıtlarının elde edilmesi
Collection of triage from machines with windows operating system in incident response
- Tez No: 688961
- Danışmanlar: DOÇ. DR. FATİH ERTAM
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2021
- Dil: Türkçe
- Üniversite: Fırat Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Adli Bilişim Ana Bilim Dalı
- Bilim Dalı: Adli Bilişim Bilim Dalı
- Sayfa Sayısı: 71
Özet
Günümüzde, siber saldırganlar ele geçirdiği makineler üzerinde hızlı yayılım gösterebilmektedir. DFIR ekipleri, saldırının izlerini tespit etmek ve takip etmek için güvenlik ihlaline maruz kalan makinelere ait disklerin fiziksel veya mantıksal disk imajları almaktadırlar. Olay müdahale ve adli bilişim süreçlerinde vakaya ait dijital delillerin toplanması önem arz etmektedir. Herhangi bir vakada enfekte olmuş makinelerden disk imajı alıp analizini sağlamak uzun uğraşlar gerekmektedir. Adli bilişim uzmanları, saldırının takibi sürdürebilmesi için bazı makinelerden hızlı veriler toplayıp analiz etmelidir. Enfekte olmuş cihazlardan saldırının kaynağının ve yayılımın tespiti için Windows işletim sistemine sahip sistemlerden birkaç dosya sistem kaydı veya log dosyalarının toplanması ile sağlanmaktadır. Adli bilişim uzmanının, vakanın hızlı analizi için canlı bir sistemden veya adli bir imaj içerisinden önemli işletim sistemi dosyalarını toplaması yeterli olacaktır. Bu tez çalışmasında, programların çalıştırılma, silinen veya bilinmeyen dosya, kullanıcı aktivite kayıtları ele alınmıştır. Windows işletim sistemlerine sahip local veya remote makineler üzerinde önemli kayıtların triyaj yöntemleri ile toplanmasından söz edilmiştir. Bu tez çalışması kapsamında, Windows aktif dizini üzerinde yer alan cihazlara uzaktan bağlanarak cihazlar üzerinden dosya sistem ve uygulama kayıtlarının toplanmasını sağlayan ve Powershell betiğinde geliştirilen PS-TRIAGE isimli yazılım kodlanmıştır. PS-TRIAGE yazılımı ayrıca, makine üzerinden toplanan triyaj kayıtlarında ön analiz sağlayarak ve olay müdahale analistine çıktı olarak vermektedir.
Özet (Çeviri)
Cyber threat actors can spread rapidly over the environment by using the machines that they compromised. DFIR teams acquire physical or logical disk images of the disks belong to compromised machines to detect and track the traces of the attackers. It is important to collect digital evidence of the incidents in incident response and digital forensic processes. In any case, it takes a long effort to acquire disk image from infected machines and analyze it. In some cases, Incident Response Analysts have to collect and analyze data from some machines as quick as possible in order to keep track of the attackers. Disk image acquiring processes can be achieved by collecting several file systems records or log files from devices with Windows operating systems to detect the root cause of the cyber-attack. It will be sufficient for the Incident Response Analysts to collect important operating system files from a live system or a forensic disk image for quick analysis of the case. In this article, Evidence of Program Execution, Deleted File or File Knowledge, Account Usage records will be discussed within the scope of analysis process. In this paper studies about collecting important records on local or remote machines with Windows operating systems by triage methods will be explained. As part of this thesis, a software called PS-TRIAGE, developed in the PowerShell script, was encoded that allows you to remotely connect to devices located in the Windows Active Directory and collect file system and application records via devices. PS-TRIAGE software also provides pre-analysis on machine-collected triage records and provides output to the incident response analyst.
Benzer Tezler
- Linux sistemler için derinlemesine adli analiz yapılarak kalıcılık yapılarının tespit edilmesi
Detection of persistence structures by performing in-depth forensics analysis for linux systems
BÜŞRA AYTEKİN
Yüksek Lisans
Türkçe
2022
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFırat ÜniversitesiAdli Bilişim Mühendisliği Ana Bilim Dalı
DOÇ. DR. FATİH ERTAM
- Iskra: Bare-metal windows malware dynamic analysis framework
Iskra: Dinamik zararlı yazılım platformu
YUSUF ARSLAN POLAT
Yüksek Lisans
İngilizce
2020
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSabancı ÜniversitesiSiber Güvenlik Ana Bilim Dalı
PROF. DR. ERKAY SAVAŞ
- Bilgisayar tabanlı bilişim suçlarının adli bilişim çerçevesinde incelenmesi ve analizi
Within the framework of computer forensics computer based information technology crime investigations and analysis
İSMAİL MELİH TAŞ
Yüksek Lisans
Türkçe
2013
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolMarmara ÜniversitesiElektronik-Bilgisayar Ana Bilim Dalı
DOÇ. DR. HAKAN KAPTAN
DOÇ. DR. ALİ BULDU
YRD. DOÇ. DR. ÖMER KORÇAK
- Modeling static and dynamic dial-a-ride problem
Müşteri rotalama probleminin statik ve dinamik olarak modellenmesi
DİLEK EKİZ
Yüksek Lisans
İngilizce
2019
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DOÇ. DR. SANEM SARIEL
- Acil sağlık hizmetleri çalışanlarının KBRN tehditlerine yönelik risk algısı ve hazırlılık durumları arasındaki ilişkinin değerlendirilmesi
Evaluation of the relationship between risk perception and prepadness of emergency health care workers towards CBRN threats
ZEYNEP TAZEARSLAN
Yüksek Lisans
Türkçe
2021
Sağlık Yönetimiİskenderun Teknik ÜniversitesiKBRN-P Savunma Ana Bilim Dalı
DR. ÖĞR. ÜYESİ CEYHUN BEREKETOĞLU