Ana içeriğe atla

Timestomp ile Zaman Bilgisi Değiştirilen Dosyaların Tespit Edilmesi

Dosya ile ilgili oluşturulma, değiştirilme ve son erişim tarihlerini tutan veriler; "dosya adı" veya "MFT kayıt numarası" gibi "essentials" yani olmazsa olmaz veriler değildirler. Bu nedenle değiştirilmeleri işlevsel olarak bir sorun teşkil etmez...

Metasploit içerisinde gelen timestomp aracı ile NTFS dosya sistemi üzerindeki dosyaların zaman bilgileri değiştirilebiliyor. Bu durumda dosya özelliklerine bakıldığında dosyanın oluşturma, değiştirme ve son erişim tarihleri olması gerekenden farklı şekilde görüntüleniyor.

Dosyanın zaman bilgilerinde bir değişiklik yapılıp yapılmadığını görmek için The Sleuth Kit araçlarını kullanabiliriz...

NTFS dosya sistemi üzerinde c:\test.txt dosyası bizim kobay dosyamız. C: sürücünde dir komutunu vererek dosyaları listeleyelim...

C:\>dir
 C sürücüsündeki birimin etiketi yok.
 Birim Seri Numarası: C038-BD41

 C:\ dizini

10.06.2009  23:42                24 autoexec.bat
10.06.2009  23:42                10 config.sys
14.07.2009  04:37    <DIR>          PerfLogs
13.11.2015  13:43    <DIR>          Program Files
15.11.2015  17:50                14 test.txt
13.10.2015  22:22    <DIR>          Users
15.11.2015  17:49    <DIR>          Windows
               3 Dosya               48 bayt
               5 Dizin    4.504.195.072 bayt boş


Yukarıdaki çıktıda görüleceği üzere dosyanın zaman bilgisi 15.11.2015 17:50 olarak görünüyor. Biraz daha detaylı bakmak için tsk araçlarını kullanalım. Öncelikle dosyanın MFT kaydını bulmak için C: sürücündeki dosyaları fls komutu ile listeleyelim...

C:\>fls \\.\c:
r/r 4-128-4:    $AttrDef
r/r 8-128-2:    $BadClus
r/r 8-128-1:    $BadClus:$Bad
....
d/d 261-144-6:  ProgramData
d/d 16827-144-1:Recovery
d/d 11291-144-6:System Volume Information
r/r 51165-128-1:test.txt
d/d 357-144-5:  Users
d/d 517-144-5:  Windows
d/d 61696:      $OrphanFiles

Yukarıdaki çıktıda görüldüğü üzere test.txt dosyası 51165-128-1 numaralı MFT kaydı tarafından gösterilmekte. Şimdi bu kayıt numarasını ve istat komutunu kullanarak dosyanın detaylarını görelim...

C:\>istat \\.\c:  51165-128-1
MFT Entry Header Values:
Entry: 51165        Sequence: 5
$LogFile Sequence Number: 371519735
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 891  (S-1-5-32-544)
Last User Journal Update Sequence Number: 62453296
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:18.147115700 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:18.147115700 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

$FILE_NAME Attribute Values:
Flags: Archive
Name: test.txt
Parent MFT Entry: 5     Sequence: 5
Allocated Size: 0       Actual Size: 0
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:17.741514900 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:17.741514900 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 82
Type: $DATA (128-1)   Name: N/A   Resident   size: 14

Yukarıdaki çıktıdan görüleceği üzere dosyaya ait zaman bilgileri $STANDARD_INFORMATION ve $FILE_NAME özellikleri içerisinde tutulmakta...

Şimdi meterpreter timestomp modülü ile dosyamızın zaman bilgilerini 11/11/2011 11:11:11 olarak değiştirelim...

meterpreter > timestomp  -z "11/11/2011 11:11:11" c:\\test.txt
11/11/2011 11:11:11
[*] Setting specific MACE attributes on c:\test.txt

Şimdi dir komutu ile dosyanın zaman bigileri değişmiş mi bir bakalım?...

C:\>dir
 C sürücüsündeki birimin etiketi yok.
 Birim Seri Numarası: C038-BD41

 C:\ dizini

10.06.2009  23:42                24 autoexec.bat
10.06.2009  23:42                10 config.sys
14.07.2009  04:37    <DIR>          PerfLogs
13.11.2015  13:43    <DIR>          Program Files
11.11.2011  11:11                14 test.txt
02.11.2015  17:33    <DIR>          tsk
13.10.2015  22:22    <DIR>          Users
15.11.2015  17:49    <DIR>          Windows
               3 Dosya               48 bayt
               5 Dizin    4.504.195.072 bayt boş

Çıktıda görüleceği üzere sistemimiz bu dosyanın 11.11.2011 11:11 tarihinden kalma olduğunu düşünüyor.



Şimdi bir kez daha istat komutu ile dosyaya ait MFT kaydını inceleyelim...

C:\>istat \\.\c:  51165-128-1
MFT Entry Header Values:
Entry: 51165        Sequence: 5
$LogFile Sequence Number: 371553895
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 891  (S-1-5-32-544)
Last User Journal Update Sequence Number: 62470080
Created:        2011-11-11 11:11:11.000000000 (GTB Standart Saati)
File Modified:  2011-11-11 11:11:11.000000000 (GTB Standart Saati)
MFT Modified:   2011-11-11 11:11:11.000000000 (GTB Standart Saati)
Accessed:       2011-11-11 11:11:11.000000000 (GTB Standart Saati)

$FILE_NAME Attribute Values:
Flags: Archive
Name: test.txt
Parent MFT Entry: 5     Sequence: 5
Allocated Size: 0       Actual Size: 0
Created:        2015-11-15 17:50:17.741514900 (GTB Standart Saati)
File Modified:  2015-11-15 17:50:17.741514900 (GTB Standart Saati)
MFT Modified:   2015-11-15 17:50:17.741514900 (GTB Standart Saati)
Accessed:       2015-11-15 17:50:17.741514900 (GTB Standart Saati)

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 82
Type: $DATA (128-1)   Name: N/A   Resident   size: 14 

Çıktıdan görüleceği üzere $STANDARD_INFORMATION alanındak zaman bilgileri değiştirilmiş. Ancak $FILE_NAME alanındaki zaman bilgileri doğru olarak görünme devam etmekte. Sistem kullanıcılara dosya zaman bilgilerini gösterirken $STANDARD_INFORMATION alanını kullandığı için biz faniler dosyanın eski bir dosya olduğunu düşünüyoruz. Ancak TSK araçları kullanılarak inceleme yaptığımızda $STANDARD_INFORMATION ve $FILE_NAME bilgilerinin farklı olduğunu görüyoruz. Bu durumda dosyanın zaman bilgilerinin değiştirildiğini düşünebiliriz...

Yorumlar

Bu blogdaki popüler yayınlar

Crunch ile Wordlist Oluşturmak

Crunch seçilen karakter kümesinden, istenilen uzunlukta parolalar üreten ve bu parolaları bir dosyaya yazarak wordlist oluşturan kullanışlı bir araçtır. Çalışmak için özel bir yetkiye ihtiyaç duymaz. Yalnızca derlenip çalıştırılması yeterlidir. Çalıştığında istenilen karakter kümesinden parolalar üretir ve bir dosyaya yazar.
Oldukça hızlı çalışır ve kolay kullanılır.



Crunch Kurulumu
Öncelikle crunch yazılımını indirelim.
harun@gondor:~$ wget http://garr.dl.sourceforge.net/project/crunch-wordlist/crunch-wordlist/crunch-3.0.1.tgz
İndirme işlemi bittikten sonra crunch-3.0.1.tgz arşivini açalım.

harun@gondor:~$ tar zxvf crunch-3.0.1.tgz crunch3.0/ crunch3.0/Makefile crunch3.0/GPL.TXT crunch3.0/crunch.1 crunch3.0/charset.lst crunch3.0/crunch.cArşivin açılmasıyla oluşan crunch3.0/ dizinine geçelim ve ardından make komutunu vererek derleme işlemini başlatalım.
harun@gondor:~$ cd crunch3.0/ harun@gondor:~/crunch3.0$ make Building binary... /usr/bin/gcc -Wall -lm -pthread -std=c99 -m32 -D_LARGEF…

Linux Kullanıcı ve Grup İşlemleri

Linux sistemlerde yeni bir kullanıcı eklemek için useradd komutu kullanılabilir. Aşağıdaki komut hakan isminde yeni bir kullanıcı hesabı açacaktır.

root@gondor:/home# useradd -m  -G admin,cdrom  hakan
-m paramesi kullanıcı için ev dizini oluşturulmasını sağlar.
-G parametresi kullanıcının üye olduğu grupları belirtir.

Şimdi hakan kullanıcına parolasını atamak için passwd komutunu kullanalım.

root@gondor:/home# passwd hakan Yeni parolayı girin: Yeni parolayı tekrar girin: passwd: şifre başarıyla güncellendi
Şimdi hakan kullanıcısını "disk" grubuna eklemek için aşağıdaki gibi bir komut verelim.

root@gondor:/home# usermod -a -G disk hakan
Bakalım hakan kullanıcısı hangi gruplara üyeymiş. Bunun için id komutunu "id kullanıcıadı" şeklinde kullanalım.
root@gondor:/home# id hakan uid=1001(hakan) gid=1001(hakan) gruplar=1001(hakan),6(disk),24(cdrom),118(admin)
Yukarıdaki çıktıya göre hakan kullanıcısı hakan, disk,cdrom ve admin gruplarına üyeymiş. Şimdi hakan kullanıcısını …

Aircrack ile WEP Crack

İlk olarak airmon-ng aracıyla wlan0 kablosuz ağ arayüzünden, dinleme ve paket sokuşturma işlemleri için kullanacağımız mon0 isimli sanal ağ arayüzünü oluşturalım.

airmon-ng start wlan0
Bu komutun ardından ekran çıktısı aşağıdaki gibi olacaktır...



Dinleme ve paket sokuşturma işlemlerini yapacağımız mon0 arayüzü oluştuğuna göre şimdi etrafımızdak kablosuz ağları tespit edelim. Bunun için airodum-ng aracını aşağıdaki gibi kullanabiliriz.

airdump-ng mon0

airodump-ng yukarıkdakine benzer şekilde çevrenizdeki kablosuz ağları listeleyecektir. Benim örneğimde yalnızca evde kullandığım kablosuz ağım yer alıyor. Dolayısıyla hedefdeki kablosuz ağ Seker isimli WEP şifreli kablosuz olacak...

Hedef ağı tespit ettikten sonra Ctrl+C tuş kombinasyonuyla airodump-ng aracını durduralım ve daha sonra yalnızca hedef ağı dinleyecek şekilde tekrar başlatalım.

airodump-ng -c 6 --bssid 00:a0:c5:98:1f:f9 -w Seker mon0
Bu komut -c parametresi ile 6. kanalı, --bssid parametresi ile MAC adresi verilen kablosuz ağ no…