Ana içeriğe atla

Timestomp ile Zaman Bilgisi Değiştirilen Dosyaların Tespit Edilmesi

Dosya ile ilgili oluşturulma, değiştirilme ve son erişim tarihlerini tutan veriler; "dosya adı" veya "MFT kayıt numarası" gibi "essentials" yani olmazsa olmaz veriler değildirler. Bu nedenle değiştirilmeleri işlevsel olarak bir sorun teşkil etmez...

Metasploit içerisinde gelen timestomp aracı ile NTFS dosya sistemi üzerindeki dosyaların zaman bilgileri değiştirilebiliyor. Bu durumda dosya özelliklerine bakıldığında dosyanın oluşturma, değiştirme ve son erişim tarihleri olması gerekenden farklı şekilde görüntüleniyor.

Dosyanın zaman bilgilerinde bir değişiklik yapılıp yapılmadığını görmek için The Sleuth Kit araçlarını kullanabiliriz...

NTFS dosya sistemi üzerinde c:\test.txt dosyası bizim kobay dosyamız. C: sürücünde dir komutunu vererek dosyaları listeleyelim...

C:\>dir
 C sürücüsündeki birimin etiketi yok.
 Birim Seri Numarası: C038-BD41

 C:\ dizini

10.06.2009  23:42                24 autoexec.bat
10.06.2009  23:42                10 config.sys
14.07.2009  04:37    <DIR>          PerfLogs
13.11.2015  13:43    <DIR>          Program Files
15.11.2015  17:50                14 test.txt
13.10.2015  22:22    <DIR>          Users
15.11.2015  17:49    <DIR>          Windows
               3 Dosya               48 bayt
               5 Dizin    4.504.195.072 bayt boş


Yukarıdaki çıktıda görüleceği üzere dosyanın zaman bilgisi 15.11.2015 17:50 olarak görünüyor. Biraz daha detaylı bakmak için tsk araçlarını kullanalım. Öncelikle dosyanın MFT kaydını bulmak için C: sürücündeki dosyaları fls komutu ile listeleyelim...

C:\>fls \\.\c:
r/r 4-128-4:    $AttrDef
r/r 8-128-2:    $BadClus
r/r 8-128-1:    $BadClus:$Bad
....
d/d 261-144-6:  ProgramData
d/d 16827-144-1:Recovery
d/d 11291-144-6:System Volume Information
r/r 51165-128-1:test.txt
d/d 357-144-5:  Users
d/d 517-144-5:  Windows
d/d 61696:      $OrphanFiles

Yukarıdaki çıktıda görüldüğü üzere test.txt dosyası 51165-128-1 numaralı MFT kaydı tarafından gösterilmekte. Şimdi bu kayıt numarasını ve istat komutunu kullanarak dosyanın detaylarını görelim...

C:\>istat \\.\c:  51165-128-1
MFT Entry Header Values:
Entry: 51165        Sequence: 5
$LogFile Sequence Number: 371519735
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 891  (S-1-5-32-544)
Last User Journal Update Sequence Number: 62453296
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:18.147115700 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:18.147115700 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

$FILE_NAME Attribute Values:
Flags: Archive
Name: test.txt
Parent MFT Entry: 5     Sequence: 5
Allocated Size: 0       Actual Size: 0
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:17.741514900 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:17.741514900 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 82
Type: $DATA (128-1)   Name: N/A   Resident   size: 14

Yukarıdaki çıktıdan görüleceği üzere dosyaya ait zaman bilgileri $STANDARD_INFORMATION ve $FILE_NAME özellikleri içerisinde tutulmakta...

Şimdi meterpreter timestomp modülü ile dosyamızın zaman bilgilerini 11/11/2011 11:11:11 olarak değiştirelim...

meterpreter > timestomp  -z "11/11/2011 11:11:11" c:\\test.txt
11/11/2011 11:11:11
[*] Setting specific MACE attributes on c:\test.txt

Şimdi dir komutu ile dosyanın zaman bigileri değişmiş mi bir bakalım?...

C:\>dir
 C sürücüsündeki birimin etiketi yok.
 Birim Seri Numarası: C038-BD41

 C:\ dizini

10.06.2009  23:42                24 autoexec.bat
10.06.2009  23:42                10 config.sys
14.07.2009  04:37    <DIR>          PerfLogs
13.11.2015  13:43    <DIR>          Program Files
11.11.2011  11:11                14 test.txt
02.11.2015  17:33    <DIR>          tsk
13.10.2015  22:22    <DIR>          Users
15.11.2015  17:49    <DIR>          Windows
               3 Dosya               48 bayt
               5 Dizin    4.504.195.072 bayt boş

Çıktıda görüleceği üzere sistemimiz bu dosyanın 11.11.2011 11:11 tarihinden kalma olduğunu düşünüyor.



Şimdi bir kez daha istat komutu ile dosyaya ait MFT kaydını inceleyelim...

C:\>istat \\.\c:  51165-128-1
MFT Entry Header Values:
Entry: 51165        Sequence: 5
$LogFile Sequence Number: 371553895
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 891  (S-1-5-32-544)
Last User Journal Update Sequence Number: 62470080
Created:        2011-11-11 11:11:11.000000000 (GTB Standart Saati)
File Modified:  2011-11-11 11:11:11.000000000 (GTB Standart Saati)
MFT Modified:   2011-11-11 11:11:11.000000000 (GTB Standart Saati)
Accessed:       2011-11-11 11:11:11.000000000 (GTB Standart Saati)

$FILE_NAME Attribute Values:
Flags: Archive
Name: test.txt
Parent MFT Entry: 5     Sequence: 5
Allocated Size: 0       Actual Size: 0
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:17.741514900 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:17.741514900 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 82
Type: $DATA (128-1)   Name: N/A   Resident   size: 14 

Çıktıdan görüleceği üzere $STANDARD_INFORMATION alanındak zaman bilgileri değiştirilmiş. Ancak $FILE_NAME alanındaki zaman bilgileri doğru olarak görünme devam etmekte. Sistem kullanıcılara dosya zaman bilgilerini gösterirken $STANDARD_INFORMATION alanını kullandığı için biz faniler dosyanın eski bir dosya olduğunu düşünüyoruz. Ancak TSK araçları kullanılarak inceleme yaptığımızda $STANDARD_INFORMATION ve $FILE_NAME bilgilerinin farklı olduğunu görüyoruz. Bu durumda dosyanın zaman bilgilerinin değiştirildiğini düşünebiliriz...

Yorumlar

Bu blogdaki popüler yayınlar

Crunch ile Wordlist Oluşturmak

Crunch seçilen karakter kümesinden, istenilen uzunlukta parolalar üreten ve bu parolaları bir dosyaya yazarak wordlist oluşturan kullanışlı bir araçtır. Çalışmak için özel bir yetkiye ihtiyaç duymaz. Yalnızca derlenip çalıştırılması yeterlidir. Çalıştığında istenilen karakter kümesinden parolalar üretir ve bir dosyaya yazar.
Oldukça hızlı çalışır ve kolay kullanılır.



Crunch Kurulumu
Öncelikle crunch yazılımını indirelim.
harun@gondor:~$ wget http://garr.dl.sourceforge.net/project/crunch-wordlist/crunch-wordlist/crunch-3.0.1.tgz
İndirme işlemi bittikten sonra crunch-3.0.1.tgz arşivini açalım.

harun@gondor:~$ tar zxvf crunch-3.0.1.tgz crunch3.0/ crunch3.0/Makefile crunch3.0/GPL.TXT crunch3.0/crunch.1 crunch3.0/charset.lst crunch3.0/crunch.cArşivin açılmasıyla oluşan crunch3.0/ dizinine geçelim ve ardından make komutunu vererek derleme işlemini başlatalım.
harun@gondor:~$ cd crunch3.0/ harun@gondor:~/crunch3.0$ make Building binary... /usr/bin/gcc -Wall -lm -pthread -std=c99 -m32 -D_LARGEF…

Captive Portal Ek Özellikler

PfSense üzerinde gelen Captive Portal özelliği hot spot çözümü olarak kullanılabilecek güzel bir özelliktir. Captive Portal, kablosuz ağınıza dahil olan kullanıcıların tüm internet erişimlerini engeller ve web sayfalarına erişmek isteyen kullanıcılara bir karşılama ekranı getirerek oturum açmalarını ister.

İnternete erişmek isteyen kullanıcı, kendisine ait kullanıcı adı ve parolası ile oturum açarak internet erişimi sağlayabilir. Bu nedenler kafeler, oteller ve benzeri yerler ile misafirlerini kendi yerel ağlarına bağlamak istemeyen şirketler için oldukça güzel bir çözümdür. Ancak hali hazırda var olan özellikleriyle Captive Portal yeterince kullanışlı değildir.

Bu nedenle  PfSense üzerinde bir şeyler yazmam ve sistemi modifiye etmem gerekmişti. Bu çalışma sırasında aşağıdaki özellikler sisteme eklemiştim...
Captive Portal da kullanıcı hesapları açabilen ancak sistemin geri kalan ayarlarına ulaşamayan bir sınırlı kullanıcı hesabı.Saat sınırlamalı kullanıcı hesabı açılabil…

Ubuntu, Aireplay-ng, Atheros AR9285, mon0 Channel -1 Problemi

Bir süre önce kullandığım Intel 4965 kablosuz ağ kartı ile "Channel -1" sorunu yaşadığımı ve bu sorunu çözmek için neler yaptığımı yazmıştım. Aireplay-ng ile paket sokuşturma yapmaya çalıştığımda aireplay-ng aşağıdaki hatayı veriyor ve çalışmıyordu.

21:09:28  mon0 is on channel -1, but the AP uses channel 1
Daha sonra emektar dizüstü bilgisayarımın ekran sorunları nedeniyle yeni bir makine almak zorunda kaldım. Tabii doğal olarak yeni makine (Asus N53SN) yeni bir kablosuz ağ arabirimi (Atheros 9285) demekti.

root@gondor:~# lspci | grep Wireless 03:00.0 Network controller: Atheros Communications Inc. AR9285 Wireless Network Adapter (PCI-Express) (rev 01)

Aynı sorunu bu kez "AR9285 Atheros wireless network adapter" için çözmek zorunda kaldım. Aynı şeyleri Intel 4965 için daha önce de yazdığımdan, bu kez yapılacakları kısaca özetliyorum.

İlk olarak yeni sürücümüzü indirilerim wireless.kernel.org adresinden indirelim ardından da gerekli yamaları indirip sürücü kayna…