Dijital Delil Toplama: Komut Satırı Araçlarının Rolü
Bu yazıda, dijital delil toplama sürecinde kullanılan temel komut satırı araçlarını detaylı bir şekilde inceleyeceğiz.
Dijital çağda suçlar artık yalnızca fiziksel dünyada değil, sanal ortamda da işlenmektedir. Bu nedenle dijital delillerin toplanması, analiz edilmesi ve sunulması adli bilişim süreçlerinin temel taşlarından biri haline gelmiştir. Dijital delil, bilgisayar sistemleri, taşınabilir cihazlar, ağlar ve diğer dijital ortamlarda saklanan verilerden elde edilen, hukuki süreçlerde kullanılabilir nitelikteki bilgi ve izlerdir. Bu tür delillerin etkin bir şekilde toplanabilmesi, olayların nasıl geliştiğini anlamak, suçun failini tespit etmek ve dijital ortamda iz bırakmış faaliyetleri gün yüzüne çıkarmak için son derece önemlidir.
Elektronik delil toplama sürecinde en çok başvurulan yöntemlerden biri, komut satırı araçlarını kullanarak sistemin mevcut durumu hakkında kapsamlı bilgi elde etmektir. Bu araçlar, hem Windows hem de Linux sistemlerinde, sistemin belleği, çalışan işlemleri, kullanıcı hesapları, ağ bağlantıları gibi kritik verilerin toplanmasına olanak tanır. Bu yazıda, dijital delil toplama sürecinde kullanılan temel komut satırı araçlarını detaylı bir şekilde inceleyeceğiz.
Systeminfo (Windows)
Systeminfo komutu, Windows işletim sistemlerinde sistemin genel durumu hakkında detaylı bilgiler elde etmek için kullanılır. Bu komut, işletim sistemi sürümünden fiziksel belleğe, sistem üreticisinden BIOS versiyonuna kadar pek çok veriyi bir arada sunar. Adli bilişim süreçlerinde bu bilgiler sistemin geçmişi ve konfigürasyonu hakkında fikir verir. Örneğin bir saldırının başarılı olup olmadığı sistemin zayıf noktalarına bakılarak anlaşılabilir. Güncel olmayan bir sistem, eksik yamalar gibi bulgular olayın gelişimi hakkında kritik ipuçları sunar.
PsInfo (Windows)
Sysinternals araç paketi içerisinde yer alan PsInfo, sistemin yazılım ve donanım bilgilerini detaylı bir şekilde listeleyen bir komuttur. PsInfo sayesinde birden fazla sistemin uzaktan sorgulanması da mümkündür.
Adli bilişim alanında PsInfo, özellikle hedef bilgisayarın sistem durumu ve geçmişine dair bilgi edinmek amacıyla kullanılır. Hangi yazılımların kurulu olduğu, yazılım sürümleri, sistemin ne kadar süredir açık olduğu gibi bilgiler; olayların zamanlamasının analiz edilmesinde kritik öneme sahiptir.
Aracı indirmek için aşağıdaki bağlantıyı kullanabilirsiniz:
https://download.sysinternals.com/files/PSTools.zip
Netstat (Windows)
Netstat komutu, bir sistemin aktif ağ bağlantılarını ve bağlantı durumlarını listeler. Hangi IP’lerle, hangi portlardan bağlantı kurulduğu, bağlantıların açık mı kapalı mı olduğu bu komutla tespit edilebilir. Özellikle kötü amaçlı yazılımların dış sunucularla olan bağlantılarını tespit etmekte, sistemin yetkisiz erişim alıp almadığını anlamada önemli bir araçtır.
ListDLLs (Windows)
Fitreleme örneği:
ListDLLs aracı, çalışan işlemlere bağlı olarak yüklenen tüm DLL dosyalarını listeler. Bir işlemin hangi kütüphaneleri çağırdığı, bellek alanında neler çalıştığı gibi bilgiler, özellikle zararlı yazılım analizlerinde kritik öneme sahiptir. Olası bir arka kapı (backdoor) yerleştirme işlemi tespit edilebilir.
Aracı indirmek için aşağıdaki bağlantıyı kullanabilirsiniz:
https://download.sysinternals.com/files/ListDlls.zip
TaskList (Windows)
TaskList komutu, sistemde çalışan işlemleri ve bu işlemlerin kaynak kullanım durumlarını listeler. Hangi işlem ne kadar bellek veya CPU kullanıyor, hangi kullanıcı tarafından başlatılmış gibi bilgiler incelenebilir. Özellikle gizlenmiş işlemleri tespit etmek için önemli bir ilk adımdır.
IpConfig (Windows)
IpConfig komutu, bilgisayarın ağ ayarlarını gösterir. IP adresi, varsayılan ağ geçidi, DNS sunucuları gibi bilgiler bu komutla öğrenilir. Adli incelemelerde sistemin bağlı olduğu ağ, aldığı IP adresi ve bağlantı geçmişi analiz edilir. Ağ içinden ya da dışından gelen tehditlerin kaynağı belirlenebilir.
NetUser (Windows)
Kullanıcı hesaplaeını listeleme:
Kullanıcı hesap detayı öğrenme:
NetUser komutu, sistemdeki kullanıcı hesaplarını listelemek ve yönetmek için kullanılır. Hesapların ne zaman oluşturulduğu, son oturum açma zamanı gibi bilgilerle bir kullanıcının olay anında sistemde aktif olup olmadığı tespit edilebilir. Yetkisiz kullanıcı hesaplarının varlığı önemli bir güvenlik açığıdır.
NetShare (Windows)
NetShare komutu, sistemde paylaşıma açılmış klasör veya yazıcı gibi kaynakları listeler. Olası veri sızıntılarını önceden fark etmek için hangi kaynakların paylaşıldığı bilinmelidir. Yetkisiz paylaşımlar veya kötü niyetli şekilde açılmış klasörler adli incelemelerde hedeflenebilir.
Cat (Linux)
Örnek log inceleme:
Cat komutu, dosya içeriklerini komut satırında görüntülemek için kullanılır. Metin dosyaları başta olmak üzere pek çok log dosyasının içeriği incelenebilir. Özellikle sistem logları, erişim kayıtları gibi verilerin okunmasında temel araçlardan biridir.
Uname (Linux)
Uname komutu, işletim sisteminin türünü, çekirdek versiyonunu ve sistem mimarisini gösterir. İnceleme yapılan sistemin türüne göre kullanılacak araçların seçimi bu bilgiye göre yapılır. Ayrıca güvenlik açıklarının değerlendirilmesinde de işletim sistemi bilgileri yol gösterici olur.
Echo (Linux)
Echo komutu, kullanıcıdan alınan girdileri ya da değişkenleri komut satırında yansıtır. Shell script’lerde hata ayıklama ve değişken kontrolü gibi işlemler için kullanılır. Elektronik delil toplama süreçlerinde, scriptlerin çalışma mantığını analiz etmek için yararlıdır.
Uptime (Linux)
Uptime komutu, sistemin ne kadar süredir çalıştığını ve ortalama yük seviyesini gösterir. Bir olayın ne zaman meydana geldiği veya sistemin kesintisiz çalıştığı süreler belirlenebilir. Bu da saldırının zamanlamasını ve etkisini analiz etmek açısından önemlidir.
Top (Linux)
Top komutu, sistemde çalışan işlemleri canlı olarak izlemek için kullanılır. CPU ve RAM kullanımı, işlem sıraları gibi bilgilerle sistemin anlık yük durumu görülebilir. Bir zararlı yazılımın sisteme getirdiği yük, şüpheli işlem aktiviteleri bu şekilde tespit edilebilir.
