Kali Linux, genellikle sızma testi (penetrasyon) ve etik hacking ile ilişkilendirilse de, aynı zamanda güçlü bir Dijital Adli Bilişim (Digital Forensics) araç setine de ev sahipliği yapar. Bir siber saldırı, veri sızıntısı veya suç vakası sonrası, dijital kanıtları doğru bir şekilde toplamak ve analiz etmek için bu araçlar vazgeçilmezdir.

 

Giriş: Adli Bilişimde “Sertifika Zinciri” Kavramı

 

Dijital adli bilişimdeki en önemli kural, elde edilen delilin mahkemede geçerli olabilmesi için “Sertifika Zincirinin (Chain of Custody)” korunmasıdır. Yani:

  • Delile müdahale edilmediği.
  • Delilin kaynağının ve toplama yönteminin yasal olduğu.
  • Delilin bütünlüğünün bozulmadığı (hash değerinin değişmediği).

Kali Linux, bu süreçleri yönetmek için özel araçlar sunar.

 

I. Delil Toplama ve Bütünlüğü Koruma Araçları

 

Adli süreç, her zaman canlı sistemden ziyade, sistemin kopyası (imajı) üzerinde yapılır. Bu, orijinal delilin bozulmamasını sağlar.

 

1. dd (Disk Dump) Komutu: Disk İmajı Alma

 

Kali Linux’un çekirdeğinde bulunan bu basit ama güçlü komut, adli bilişimde ilk adımdır: delil teşkil eden bir diskin veya hafıza kartının birebir kopyasını (imajını) almak.

  • Ne Yapar? Diskin tüm bitlerini kopyalar, böylece silinmiş veya görünmeyen veriler de imaja dahil edilir.
  • Kullanım Örneği (Diskin İmajını Alma):

    Bash

    dd if=/dev/sda of=/mnt/usb/delil_disk.img bs=4M status=progress
    • if=/dev/sda: Giriş dosyası (İmajı alınacak disk).
    • of=/mnt/usb/delil_disk.img: Çıkış dosyası (İmajın kaydedileceği yer).

 

2. sha256sum ve md5sum: Bütünlüğü Doğrulama

 

Delilin toplanmasından hemen sonra, orijinal disk ile alınan imajın tam olarak aynı olduğundan emin olmak gerekir. Bu, hash değerleri ile yapılır.

  • Ne Yapar? Bir dosyanın veya imajın benzersiz bir dijital parmak izini (hash) hesaplar. Hash’lerin eşleşmesi, delilin kopyalanırken bozulmadığını kanıtlar.
  • Kullanım Örneği:

    Bash

    sha256sum delil_disk.img > hash_dogrulama.txt

 

II. Kayıp Veri Kurtarma ve Dosya Sistemi Analizi

 

İmaj alındıktan sonra, analiz süreci başlar. Bu aşamada silinmiş, gizlenmiş veya bozuk olan veriler aranır.

 

1. Foremost: Dosya Tipi Tabanlı Kurtarma (File Carving)

 

Bir dosya silindiğinde, dosyanın içeriği hemen silinmez, sadece dosya sistemindeki adresi silinir. Foremost, diski tarayarak dosya başlıkları (header) ve altlıkları (footer) ile eşleşen verileri kurtarır.

  • Ne Yapar? Silinmiş JPEG, PDF, DOCX, ZIP gibi belirli dosya türlerini disk imajından kurtarır.
  • Kullanım Örneği:

    Bash

    foremost -t jpg -i delil_disk.img -o /root/kurtarilan_jpgler
    • -t jpg: Sadece JPEG dosyalarını kurtar.
    • -i: Giriş imajı.
    • -o: Çıktı klasörü.

 

2. Sleuth Kit & Autopsy: Kapsamlı Grafiksel Analiz

 

Bu ikili, Kali’deki en kapsamlı adli bilişim çözümüdür. Sleuth Kit, düşük seviyeli disk analizi araçlarını içeren bir komut satırı aracı setidir. Autopsy ise, Sleuth Kit üzerine inşa edilmiş, verileri görselleştiren grafik arayüzüdür (GUI).

  • Ne Yapar?
    • Dosya sistemi yapısını inceler (NTFS, FAT, ext4 vb.).
    • Silinmiş dosya isimlerini, metadata’yı ve dosya zaman damgalarını kurtarmaya çalışır.
    • Grafiksel bir arayüzde binlerce dosyayı ve log kaydını kolayca filtreleyerek analiz etmenizi sağlar.
  • Kullanım Örneği (Autopsy):
    1. Terminalde autopsy komutunu çalıştırın.
    2. Tarayıcınızda açılan arayüzde yeni bir vaka (case) oluşturun.
    3. Aldığınız disk imajını (delil_disk.img) sisteme yükleyerek görsel analize başlayın.

 

III. Anahtar Kelime Arama ve Veri Madenciliği

 

Büyük bir veri yığınında belirli bir suça veya duruma işaret eden kanıtları bulmak için kullanılır.

 

1. strings Komutu: ASCII Metinleri Çıkarma

 

İmaj içindeki ikili (binary) veya anlaşılmaz dosyalardan okunabilir ASCII metin dizilerini çıkarmaya yarar.

  • Ne Yapar? Bir bellek dökümü veya disk imajı içinde gömülü olan potansiyel parolaları, URL’leri veya gizli notları bulmanızı sağlar.
  • Kullanım Örneği:

    Bash

    strings delil_disk.img | grep "gizli_sifre"

 

2. Volatile Systems (Bellek Analizi) İçin Volatility Framework

 

Bir bilgisayarın kapatılmaması gereken (canlı) durumlarda, saldırganın kullandığı programlar, şifreler ve ağ bağlantıları RAM’de (Bellekte) bulunur. Volatility, RAM dökümlerini analiz etmek için kullanılır.

  • Ne Yapar? Canlı sistemin RAM imajını inceleyerek çalışan süreçleri, açık ağ soketlerini, tarayıcı geçmişlerini ve bellekten şifreleri çıkarmayı sağlar.
  • Kullanım Örneği (RAM İmajı Analizi):

    Bash

    vol.py -f ram_dump.vmem --profile=Win7SP1x64 pslist

 

Sonuç: Yasal Çerçevenin Önemi

 

Dijital adli bilişim araçlarını kullanmak, yasal bir görevi yerine getirmek demektir. Bu araçlar, kendi sistemlerinizdeki bir olayı analiz etmek veya resmi makamlardan yetki alarak delil toplamak için kullanılmalıdır.

Kali Linux, bu alanda uzmanlaşmanız için size gerekli tüm araçları sunar.

Kategori:

GenelKali LinuxLinux