USB Analiz Rehberi: Hızlı ve Doğru İnceleme

USB Analizine Giriş: Neden ve Nasıl Yapılmalı?

USB bellekler, harici diskler ve diğer USB tabanlı depolama aygıtları, günlük hayatta veri taşımanın en yaygın yollarından biridir. Ancak bu cihazlar aynı zamanda kötü amaçlı yazılım bulaştırma, veri sızıntısı veya adli delil saklama gibi riskleri de beraberinde getirir. USB analizi, bir cihazın içeriğini anlamak, üzerinde adli inceleme yapmak veya şüpheli bir USB’yi güvenli bir şekilde değerlendirmek için kullanılan kritik bir süreçtir. Bu rehber, USB analizinin temel adımlarını, kullanılan araçları ve dikkat edilmesi gereken noktaları kapsamlı bir şekilde ele almaktadır. Amaç, hem adli bilişim uzmanlarına hem de güvenlik meraklılarına hızlı ve doğru bir inceleme yöntemi sunmaktır.

USB analizi dendiğinde akla ilk gelen, cihazın depolama alanının incelenmesidir. Ancak analiz yalnızca dosyalara bakmakla sınırlı değildir. Silinmiş veriler, dosya sistemi yapısı, USB denetleyici bilgileri ve hatta cihazın üretim detayları bile incelenebilir. Dahası, USB protokol seviyesinde analiz yaparak cihaz ile bilgisayar arasındaki iletişim trafiği de değerlendirilebilir. Bu çok yönlü yaklaşım, USB cihazlarının hem güvenlik hem de adli amaçlarla derinlemesine incelenmesini sağlar. Aşağıda, USB analizinin temel alanlarını ve her bir alanda uygulanan yöntemleri detaylandıracağız.

USB Analiz Rehberi: Hızlı ve Doğru İnceleme - 1

Adli USB Analizi: Delillerin Korunması ve İmaj Oluşturma

Adli bilişimde USB analizinin en önemli kuralı, orijinal delilin asla doğrudan incelenmemesidir. Bunun yerine, cihazın bit düzeyinde bir kopyası (forensic image) oluşturulur. Bu işlem, cihazdaki tüm verileri, boş alanları ve silinmiş dosya kalıntılarını içerir. Standart kopyalama yöntemleri genellikle yalnızca erişilebilir dosyaları kopyalarken, adli imaj atılmayan sektörleri de kapsar. Bu sayede silinmiş dosyalar, gizli veriler ve dosya sistemi metaverileri korunur.

Bu süreçte kullanılan en yaygın araçlardan biri FTK Imager’dır. FTK Imager, USB cihazını bir blok cihaz olarak tanır ve tüm sektörleri birebir okuyarak .dd veya .e01 formatında bir imaj dosyası oluşturur. İmaj oluşturulduktan sonra, orijinal cihazın hash değeri (MD5 veya SHA-256) hesaplanır ve imajın hash değeri ile karşılaştırılır. Bu karşılaştırma, imajın orijinal cihazla birebir aynı olduğunu kanıtlar. Hash doğrulaması, adli delilin bütünlüğünü sağlamak için kritik öneme sahiptir. Kaynak: USB Forensics - Urban PC.

USB Analiz Rehberi: Hızlı ve Doğru İnceleme - 2

Güvenli Analiz: Şüpheli USB Cihazlarını İnceleme Yöntemleri

Bir USB cihazının kötü amaçlı yazılım içerdiğinden şüpheleniyorsanız, onu doğrudan ana bilgisayara bağlamak büyük risk taşır. Bu durumda güvenli analiz için ayrı bir eski bilgisayar veya sanal makine kullanmak en doğru yaklaşımdır. Ancak sanal makineler bile bazı kötü amaçlı yazılımların konak sisteme sızmasına izin verebilir. Bu nedenle, fiziksel olarak izole edilmiş bir ortam tercih edilmelidir.

Güvenli analiz sırasında izlenmesi gereken adımlar şunlardır: Öncelikle, USB cihazına bir yazma engelleyici (write blocker) takılır. Yazma engelleyici, cihaza hiçbir veri yazılmasını önlerken okuma işlemine izin verir. Bu, cihazdaki verilerin değişmeden incelenmesini sağlar. Daha sonra, cihazın adli imajı alınır ve bu imaj Autopsy gibi bir adli bilişim aracı ile analiz edilir. Autopsy, dosya sistemi analizi, silinmiş dosya kurtarma ve karma arama gibi özellikler sunar. Analiz sırasında cihazın orijinaline asla müdahale edilmez. Kaynak: Reddit Cybersecurity - Safe USB Analysis.

USB Analiz Rehberi: Hızlı ve Doğru İnceleme - 3

USB Protokol Analizi: Trafik İzleme ve Hata Ayıklama

USB analizi yalnızca depolama aygıtlarına özgü değildir. Klavyeler, fareler, kameralar ve diğer USB çevre birimleri de protokol seviyesinde incelenebilir. USB protokol analizi, cihaz ile bilgisayar arasındaki veri alışverişini yakalamak ve analiz etmek için kullanılır. Bu işlem, özellikle özel donanım geliştiren mühendisler ve güvenlik araştırmacıları için önemlidir.

USB analizörleri, genellikle bir donanım probu ve yazılım arayüzünden oluşur. Bu cihazlar, USB veri yolu üzerinden geçen tüm paketleri yakalar ve zaman damgaları ile birlikte kaydeder. Analiz yazılımı, bu paketleri insan tarafından okunabilir hale getirir ve hata düzeltme, durum geçişleri ve veri aktarım hızları gibi bilgileri sunar. USB protokol analizi, bir cihazın USB standartlarına uygunluğunu test etmek veya olası bir donanım saldırısını tespit etmek için kullanılabilir. Örneğin, bir USB klavyenin tuş vuruşu verilerini şifrelemeden göndermesi protokol analizi ile tespit edilebilir.

USB Analiz Rehberi: Hızlı ve Doğru İnceleme - 4

Windows Ortamında USB Analizi: Sürücü ve Donanım Bilgileri

Windows işletim sistemi, USB cihazları için kapsamlı bir destek sağlar. USB analizi yaparken, işletim sisteminin cihazı nasıl tanıdığını ve hangi sürücüleri kullandığını bilmek önemlidir. Windows, USB 1.0, 2.0, 3.0 ve 3.1 gibi farklı standartları destekler. USB 3.0, teoride 5 Gbps'ye kadar aktarım hızı sunarken USB 2.0 yalnızca 480 Mbps ile sınırlıdır. Cihazın hangi standartta çalıştığını belirlemek için Aygıt Yöneticisi veya USBView gibi araçlar kullanılabilir.

Windows'ta USB analizi yaparken dikkat edilmesi gereken bir diğer nokta, cihazın sürücü yığınıdır. Windows, her USB cihazı için bir sürücü yığını oluşturur ve bu yığın üzerinden iletişim sağlar. Adli analiz sırasında, cihazın sürücü yığınındaki girişler silinmiş veya değiştirilmiş olabilir. Bu nedenle, USB kayıt defteri anahtarları ve olay günlükleri incelenerek cihazın geçmiş bağlantıları tespit edilebilir. Microsoft'un USB FAQ belgeleri, Windows'ta USB analizi için temel referans kaynaklarındandır. Kaynak: Microsoft USB FAQ.

USB Analiz Rehberi: Hızlı ve Doğru İnceleme - 5

USB Analizinde Kullanılan Temel Araçlar ve Yöntemler

USB analizi sırasında kullanılabilecek çok sayıda araç bulunur. Bu araçlar, imaj alma, dosya sistemi analizi, protokol yakalama ve hash doğrulama gibi farklı amaçlara hizmet eder. İşte en yaygın kullanılan araçlardan bir liste:

  • FTK Imager: Adli imaj alma ve hash doğrulama.
  • Autopsy: Dosya sistemi analizi, silinmiş dosya kurtarma ve karma arama.
  • USBlyzer: USB protokol analizi için bir yazılım tabanlı analizör.
  • Write Blocker: Donanım tabanlı yazma engelleyici cihazlar (Tableau, WiebeTech).
  • USBDeview: Windows'ta bağlı tüm USB cihazlarını listeleme ve detaylı bilgi görüntüleme.
  • HxD: Hex editörü, ham veri düzeyinde inceleme için.
  • Wireshark (USB yakalama eklentisi): Linux ortamında USB trafiğini yakalamak için.

Bu araçların her biri belirli bir analiz aşamasında kullanılır. Örneğin, bir cihazın adli imajını alırken FTK Imager vazgeçilmezdir. İmaj alındıktan sonra Autopsy ile dosyalar kategorize edilebilir ve silinmiş dosyalar kurtarılabilir. Protokol analizi gerekiyorsa USBlyzer veya donanım tabanlı bir analizör tercih edilir. Yazma engelleyiciler ise tüm bu işlemler sırasında cihazın bütünlüğünü korur.

Farklı Analiz Türlerinin Karşılaştırması

Aşağıdaki tablo, USB analizinin üç ana türünü karşılaştırmaktadır: adli analiz, güvenlik analizi ve protokol analizi. Bu karşılaştırma, hangi durumda hangi yöntemin kullanılması gerektiğine karar vermede yardımcı olacaktır.

Analiz Türü Amaç Temel Araçlar Korunma Yöntemi
Adli Analiz Delil toplama ve silinmiş veri kurtarma FTK Imager, Autopsy, EnCase Yazma engelleyici ve hash doğrulama
Güvenlik Analizi Kötü amaçlı yazılım tespiti Yazma engelleyici, Autopsy, sandbox İzole ortam ve yazma engelleyici
Protokol Analizi USB iletişiminin incelenmesi
USB analiz inceleme hız testi güvenlik uyumluluk veri aktarımı depolama
Uyarı Bu içerik genel bilgilendirme amaçlıdır ve profesyonel teknik değerlendirme yerine geçmez.
Yazar

Stefano Barcellos

Visite Barbados katkıda bulunanı.

« Önceki gönderi
Varsayılan Tercih Edilen Yazıcınızı Nasıl Ayarlarsınız