Eric Zimmerman, dijital adli analiz (digital forensics) alanında tanınmış bir uzman ve geliştiricidir. Özellikle Windows işletim sistemleri üzerinde adli analiz yapmak için kullanılan bir dizi ücretsiz ve açık kaynaklı araç geliştirmiştir. Bu araçlar, adli analistlerin, güvenlik uzmanlarının ve BT profesyonellerinin sistemlerdeki olayları incelemesine, veri toplamasına ve analiz etmesine yardımcı olur. İşte Eric Zimmerman’ın en popüler araçları ve bu araçların kullanım alanları:
—
1. SANS SIFT ile Uyumlu Araçlar
Eric Zimmerman’ın araçları, SANS Institute’un SIFT Workstation (SANS Investigative Forensic Toolkit) gibi popüler adli analiz platformlarıyla tam uyumludur. Bu, araçların dijital adli analiz süreçlerinde yaygın olarak kullanılmasını sağlar.
—
2. Eric Zimmerman’ın Popüler Araçları
a. KAPE (Kroll Artifact Parser and Extractor)
– Ne İşe Yarar? KAPE, dijital adli analiz süreçlerinde hızlı ve etkili bir şekilde veri toplamak için kullanılan bir araçtır.
– Özellikleri:
– Hedef sistemden önemli artefaktları (örneğin, prefetch dosyaları, event loglar, registry kayıtları) otomatik olarak toplar.
– Toplanan verileri analiz için uygun formatta dışa aktarır.
– Modüler yapısı sayesinde özelleştirilebilir.
– Kullanım Alanları: Olay müdahalesi (incident response), adli analiz, veri toplama.
b. Registry Explorer (RECmd)
– Ne İşe Yarar? Windows kayıt defteri (registry) analizi için kullanılan bir araçtır.
– Özellikleri:
– Kayıt defteri dosyalarını (NTUSER.DAT, SYSTEM, SOFTWARE vb.) analiz eder.
– Önceden tanımlanmış veya özel oluşturulmuş komut dosyalarıyla otomatik analiz yapar.
– Kullanıcı dostu arayüzü ve raporlama özellikleri sunar.
– Kullanım Alanları: Kayıt defteri analizi, kullanıcı aktivitelerinin incelenmesi.
c. Timeline Explorer
– Ne İşe Yarar? Zaman çizelgesi (timeline) analizi için kullanılan bir araçtır.
– Özellikleri:
– Sistemdeki olayları kronolojik sırayla görselleştirir.
– Çeşitli veri kaynaklarından (event loglar, dosya sistemleri, registry) zaman çizelgeleri oluşturur.
– Filtreleme ve arama özellikleriyle analizi kolaylaştırır.
– Kullanım Alanları: Olay müdahalesi, zaman tabanlı analiz.
d. MFT Explorer (MFTECmd)
– Ne İşe Yarar? NTFS dosya sistemindeki Master File Table (MFT) analizi için kullanılır.
– Özellikleri:
– MFT dosyalarını ayrıntılı bir şekilde analiz eder.
– Dosya oluşturma, değiştirme ve erişim zaman damgalarını (timestamps) inceler.
– CSV veya JSON formatında raporlar oluşturur.
– Kullanım Alanları: Dosya sistemi analizi, silinmiş dosyaların kurtarılması.
e. Prefetch Explorer (PECmd)
– Ne İşe Yarar? Windows Prefetch dosyalarının analizi için kullanılır.
– Özellikleri:
– Prefetch dosyalarından uygulama çalıştırma bilgilerini çıkarır.
– Kullanıcı aktivitelerini ve program çalıştırma geçmişini analiz eder.
– Kullanım Alanları: Kullanıcı aktivitelerinin incelenmesi, kötü amaçlı yazılım analizi.
f. Jump List Explorer (JLECmd)
– Ne İşe Yarar? Windows Jump List dosyalarının analizi için kullanılır.
– Özellikleri:
– Jump List dosyalarından son kullanılan dosyaları ve uygulamaları çıkarır.
– Kullanıcı aktivitelerini analiz etmek için kullanılır.
– Kullanım Alanları: Kullanıcı davranış analizi, adli analiz.
g. Amcache Parser (AmcacheParser)
– Ne İşe Yarar? Windows Amcache.hve dosyalarının analizi için kullanılır.
– Özellikleri:
– Amcache dosyalarından uygulama yükleme ve çalıştırma bilgilerini çıkarır.
– Kötü amaçlı yazılımların tespiti için kullanılır.
– Kullanım Alanları: Uygulama analizi, kötü amaçlı yazılım tespiti.
h. Event Log Explorer (EvtxECmd)
– Ne İşe Yarar? Windows Event Log dosyalarının (EVTX) analizi için kullanılır.
– Özellikleri:
– Event log dosyalarını ayrıntılı bir şekilde analiz eder.
– CSV veya JSON formatında raporlar oluşturur.
– Kullanım Alanları: Olay günlüklerinin analizi, güvenlik olaylarının incelenmesi.
—
3. Araçların Ortak Özellikleri
– Ücretsiz ve Açık Kaynak: Eric Zimmerman’ın araçları ücretsiz olarak sunulur ve açık kaynaklıdır.
– Komut Satırı ve GUI Desteği: Hem komut satırı arayüzü (CLI) hem de grafiksel kullanıcı arayüzü (GUI) seçenekleri sunar.
– Raporlama ve Çıktı Formatları: Analiz sonuçlarını CSV, JSON, HTML gibi formatlarda dışa aktarabilir.
– Modüler Yapı: Araçlar, özel senaryolara uyacak şekilde özelleştirilebilir.
—
4. Araçların Kullanım Senaryoları
– Olay Müdahalesi (Incident Response): Sistemdeki anormal aktiviteleri hızlı bir şekilde tespit etmek.
– Adli Analiz (Digital Forensics): Dijital delilleri toplamak ve analiz etmek.
– Kötü Amaçlı Yazılım Analizi: Zararlı yazılımların sistemdeki etkilerini incelemek.
– Kullanıcı Aktivite Analizi: Kullanıcıların sistemdeki davranışlarını analiz etmek.
—
5. Araçlara Nasıl Erişilir?
Eric Zimmerman’ın araçlarına aşağıdaki bağlantıdan erişebilirsiniz:
– [Eric Zimmerman’ın GitHub Sayfası](https://github.com/EricZimmerman)
– [Eric Zimmerman’ın Blogu](https://binaryforay.blogspot.com/)
—
Eric Zimmerman’ın araçları, dijital adli analiz ve olay müdahalesi süreçlerinde vazgeçilmez bir kaynaktır. Bu araçlar, özellikle Windows sistemlerinde hızlı ve etkili analiz yapmak isteyen uzmanlar için büyük bir kolaylık sağlar. Eğer dijital adli analiz veya siber güvenlik alanında çalışıyorsanız, Eric Zimmerman’ın araçlarını mutlaka incelemelisiniz.
Daha fazla bilgi için:
– [Eric Zimmerman’ın GitHub Sayfası](https://github.com/EricZimmerman)
– [SANS Digital Forensics and Incident Response Blog](https://www.sans.org/blog/)
