Değerli Okuyucular Merhaba . Ben Ahmet PAYASLIOĞLU. Bugün silinen verileri nasıl geri kurtarabiliriz biraz inceleyelim. Yazının başında sizlere biraz teorik bilgi verdikten sonra uygulamaya geçeceğim. Örnek bir seneryo düşünürsek bazı fotoğraflarınızı veya dökümanlarınızı bilerek veya bilmeyerek silmiş olabilirsiniz. Ya da başka bir seneryo üzerinden hareket edersek bir delil incelemek için herhangi bir disk içerisinde önceden silinmiş verileri geri kurtararak inceleme yapabilirsiniz. Biz bu yazıda bilerek silinmiş pdf ve jpeg uzantılı 2 tane veriyi geri getireceğiz. Sonrasında bu verileri geri getirememek için neler yapabiliriz yani antiforensic işlemi nasıl olur , verileri tamamen nasıl silebiliriz , kanıtları tamamen nasıl yok edebiliriz onlara değineceğiz 🙂

Öncelikle silinen verilerimizi geri getirmek için veri kazıma işlemi yapmamız gerekiyor. Bugün bu işlemi yapmak için Forensic katagorisinde olan Foremost aracını kullanacağız. Yazıya başlamadan söylemek isterim ki %100 verilerinizi geri getirmenizi kimse garanti edemez. Fakat bazı kriterlere uyuyorsanız silinen verilerinizin bir kısmını geri getirebilirsiniz. Bu kriterlere biraz değinmek istiyorum. Bildiğiniz üzere veriler 1 ve 0 lardan oluşur. Disk üzerinde bir şeyler sildiğiniz de o veriler aslında silinmez. O verilerin silinmesi için üzerine yeni verilerin eklenmesi gerekir. Yani kaba tabiriyle altta kalanın canı çıksın olur. Siz disk üzerine veri yazdıkça eski verilerinizi geri getirme şansınız o kadar düşer. Eğer bir delili tamamen silmek istiyorsanız bu mantık üzerinden yola çıkarak wipe işlemi yapmanız gerekiyor. Nedir bu wipe ? Yazının devamında anlatacağım.Bu dediğim işlemlerin hepsine yazının devamında göz atacağız. Şimdi biraz uygulamaya geçelim.

Test Etme Zamanı

Öncelikle flash diskimizin içerisinin boş olduğuna ve verilerimizin silindiğine emin olalalım . Sonrasında önceden içerisinde olan jpeg ve pdf dosyamızı geri getirmeye çalışalım. Silinen verileri geri kurtarma ‘ya başlayalım.

Sonrasında verilerimizi kurtarmak için Foremost aracımızı indirelim.

apt-get install foremost

Sonrasında bu aracın hangi parametlerle çalıştığına bir göz atalım.

foremost -h

Yukarıda gördüğünüz bazı parametleri açıklamak istiyorum

-v tararken bize ayrıntılı bilgi verir

-q hızlı modda tarama yapar

-t ile alınacak dosya türünü belirtebiliriz örnek ( pdf,jpeg,docx,png)

-o ile bu verileri hangi dosyaya çıkartmak istediğimizi belirtiriz

Şimdi de hangi disk üzerinden veri kurtarma yapacağımıza bakmamız için fdisk -l komutunu yazıyoruz . Bu komut mevcut disklerinizi görüntüleyecektir . Ben flash disk üzerindeki silinmiş bir kaç veriyi geri getireceğim. Aşağıdaki fotoğrafta gördüğünüz üzere benim flash diskim /dev/sdb olarak gözüküyor

Diskimizin isminide öğrendiğimize göre artık veri kazıma işlemine başlayabiliriz.

foremost -v -q -t jpeg,pdf -o ahmetpayas /dev/sdb komutunu yazarak veri kurtarma işlemini başlatıyorum. Bu işlem geri getirmek istediğiniz verilerin boyutuna göre zaman değişkenliği gösterebilir.

şlem bittikten sonra 1 adet pdf dosyası ve 1 adet jpg dosyasını geri getirdiğini söyledi. Yazının başında zaten bu verileri geri getirmek istediğimi ve bunları bilerek sildiğimi belirtmiştim. Yani amacımıza ulaştık.

Şimdi verilerimizi kontrol edelim bir problem veya eksiklik var mı diye.

ahmetpayas dizinine gidiyorum. 3 tane dosya ile karşılaşıyorum.

1.si audit.txt = geri getirmeye çalıştığımız veri kazıma sürecindeki ayrıntılı bilgileri veriyor.

2.si jpg klasörü

3.sü pdf klasörü

Öncelikle jpg dosyamı kontrol ediyorum. display (dosya adı) komutuyla resmimi açıyorum. Aşağıdaki fotoğrafta gördüğünüz gibi problemsiz bir şekilde veriyi geri getirdik.

Sonrasında pdf klasörümüze bir göz atalım . Pdf dosyamı açmak için xdg-open (dosya adı) komutunu kullanıyorum. Aşağıdaki resimde gördüğünüz gibi pdf dosyamda sorunsuz bir şekilde geri getirildi.

Verileri Kalıcı Olarak Silme İşlemi

Değerli okuyucular gördüğünüz gibi istediğim verileri geri getirmiş oldum. Şimdi bu verileri ne yapsaydık geri getiremezdik ondan bahsetmek istiyorum . Silinen verileri nasıl geri kurtarma işlemi yapamayız biraz da onlara değineceğim . Yazının başında biraz bahsetmiştim . Wipe işlemi yapılan disklerdeki verileri geri kurtaramayız. Wipe dediğimiz kavram verinin üzerinde binlerce yeni veri ekleyerek eski verileriniz tamamen yokolmasına yol açar. Peki nasıl wipe yaparız diyorsanız , wipe işlemi için bazı araçlar var fakat en basitinden windows -> biçimlendir yaparak wipe edebilirsiniz. Dikkat edin genelde hızlı biçimlendirme kutucuğu dolu olarak gelir. O kutucuktaki tik işaretini kaldırmanız gerekiyor. Sonrasında biçimlendirme işlemini başlatabilirsiniz. Bu işlem uzun sürecektir çünkü diskinizin üzerine binlerce veri yazılıp silinecektir. Aşağıdaki resimde gördüğünüz işlemi yaparsanız verileriniz bir daha geri getirilmemek üzere yok olur . Antiforensic işlemi diyebiliriz. Delilleri böylece yokedebilirsiniz.

Evet değerli okuyucular bir yazımın daha sonuna geldik . Yukarıda belirttiğim işlemleri silinen verilerinizi geri getirmek için faydalı olarak kullanabilirsiniz. Verilerinizi tamamen nasıl ortadan kaldırabileceğinize de değindim . Yazdıklarımın hepsi eğitim amaçlıdır 🙂 Bu dökümanın video halini hazırladım . Yakın zaman aşağıya linkini bırakacağım. Kendinize iyi bakın teknoloji ile kalın !

Cyber Security Researcher https://twitter.com/Computeus7

Cyber Security Researcher https://twitter.com/Computeus7