Sleuthkit Nedir?

Sleuthkit, dijital forensik incelemelerde kullanılan açık kaynaklı bir araç kiti veya kütüphanesidir. Bilgisayar sistemlerinde, veri depolama cihazlarında (örneğin sabit diskler, USB sürücüler, bellek kartları vb.) ve dosya sistemlerinde (NTFS, FAT, Ext2/3/4, HFS+ gibi) bulunan verileri analiz etmek, keşfetmek ve kurtarmak için tasarlanmıştır.

Sleuthkit, bir dizi araç içerir ve bu araçlar:

  • Autopsy: Grafiksel bir kullanıcı arayüzü sunan bir araçtır. Forensik inceleme için dosya sistemi analizi, bellek analizi, anahtar kelime araması ve raporlama gibi işlevleri gerçekleştirebilir.
  • The Sleuth Kit (TSK): Komut satırı tabanlı araçlardan oluşur. Disk ve dosya sistemleri üzerinde inceleme yapmak için kullanılır.

Sleuthkit Kullanım Amacı Nedir?

  • Ceza yargısı ve kolluk kuvvetleri tarafından dijital delil toplamak ve incelemek için kullanılır.
  • Bilgi güvenliği uzmanları ve dijital forensik uzmanları, sistemlerdeki olası güvenlik ihlallerini araştırmak ve analiz etmek için Sleuthkit’i kullanabilir.
  • Ayrıca, veri kurtarma uzmanları ve sistem yöneticileri yanlışlıkla silinen veya kaybolan verileri kurtarmak için Sleuthkit’in araçlarını kullanabilirler.

Sleuthkit, açık kaynaklı olması ve çeşitli dosya sistemlerini desteklemesi nedeniyle, dijital forensik alanında yaygın olarak tercih edilen bir araçtır. Örneğin, bir bilgisayar korsanlığı olayını incelemek için bir dijital forensik uzmanı, bir bilgisayarın sabit diskini incelemek üzere Sleuthkit’i kullanabilir. Uzman, sistemdeki belirli bir tarihte gerçekleşen şüpheli faaliyetleri araştırmak için Sleuthkit araçlarını kullanabilir.

Sleuthkit’i kullanarak, şunları analizler yapılabilir;

  • Dosyalar ve Dosya Sistemleri: Uzman, bilgisayarın dosya sistemini tarayarak, belirli bir kullanıcı tarafından erişilen veya değiştirilen dosyaları inceleyebilir. Örneğin, şüpheli bir kullanıcının belirli bir tarihte eriştiği veya silindiği düşünülen dosyaları bulabilir.
  • Meta Veriler: Dosya sistemine ait meta verileri (dosya oluşturma/güncelleme tarihleri, dosya boyutları, dosya adları vb.) analiz ederek, şüpheli faaliyetlerin tespit edilmesine yardımcı olabilir. Örneğin, bir dosyanın son erişim tarihi veya değiştirilme zamanı incelenerek, hangi dosyaların son zamanlarda değiştirildiği belirlenebilir.
  • Silinen Veriler: Silinmiş dosyaları bulma ve kurtarma yeteneği sayesinde, şüpheli bir kullanıcının izlerini silebileceği veya gizlemeye çalıştığı belirli dosyaların varlığını tespit edebilir. Bu, silinmiş dosyaların geri getirilerek incelenmesini sağlar.
  • Bellek Analizi: Şüpheli bir işlem veya programın bellekteki izlerini araştırarak, anlık bellek durumunu analiz edebilir. Örneğin, zararlı bir yazılımın bellekteki faaliyetlerini inceleyebilir ve bu yazılımın sisteme nasıl etki ettiğini belirleyebilir.
  • Anahtar Kelime Aramaları: Belirli anahtar kelimeleri veya desenleri (örneğin, “şifre”, “hacker”, belirli kod parçaları vb.) arayarak, şüpheli faaliyetlerle ilişkili belirli terimleri veya dosyaları bulabilir.

Önerilen yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir