ID:
PASS:


 
 
 
 
Sayfa Adı :  Crime Investigation
   
Crime Investigation 
     
 

- (Key Logger Tespiti) Yazan: AntiCrime Tarih: 16.03.2007

Geçtiğimiz günlerde bir çalışanımız kimliği belirsiz bir kişi tarafından tehdit e-postaları almaya başlamıştı. Bu kişi gönderdiği e-postalarda çalışanın gezdiği tüm sitelerden haberdar olduğunu ve hatta google arama motorunda arattığı sözcüklerin bile kayıtlarına sahip olduğundan bahsediyordu. Suçunu akılsızca üstlenmesinin yanı sıra I.T bölümünde çalışanları ve güvenlik ile ilgilenenleri (ki bu ben oluyorum) açıkça tiye alıyordu. İlk esnada Windows işletim sistemi kullanan bu kullanıcının antivirüs yazılımının kullanımdan çıkartılmış olduğunu farkettim ve yeniden yüklenmesi sorunun çözüleceğini düşünmüştüm. Ancak bu kötü niyetli kişi diğer çalışanlarımızıda rahatsız etmeyi kafasına koymuştu ve haddini aşarak tehditler savurmaya başlamıştı. Bu durumda iş başa düşmüştü ve CRIME and INVESTIGATION macerası başlamıştı.

İlk olarak kullanıcının sabit diskinin imajını almakla işe başladım. Daha sonra kendi bilgisayarımda bu imajı salt okunur olarak mount ettim. Basit keyloggerların WINDOWS klasörü altında ve genellikle SYSTEM32 klasörü altında yer aldığını bildiğim için ilk bakacağım yeri kafamda netleştirmiştim. Klasöre girdiğimde ilk yaptığım iş dosyaları Date Modified 'a göre sıralatmak olmuştu. Yukarıdan aşağıya doğru göz gezdirdiğime hemen dikkatimi bir kaç dakika önce Date Modified zamanı değişen History.txt dosyası çekmişti. Bu dosyayı açtığımda kullanıcının gezdiği tüm sitelerin kayıtları hemen göze çarpıyordu. Ardından diğer dosyalara göz atmaya başladığımda ikinci olarak Information.txt dosyası dikkatimi çekmişti. Bu dosyayı açtığımda ise içinde çalışan tüm processlerin kayıtlarının tutulduğunu gördüm. Bu process listesine göz gezdirdiğimde ise svchostss.exe processi içerisinde iki tane s harfi bulundurduğu için hemen dikkatimi çekmişti. İki adet antivirüs yazılımı ile bu dosyayı kontrol ettiğimde herhangi bir virüse rastlanmamıştı ancak geçmişte hex editör ile bir keyloggerın imzalarını değiştirerek herhangi bir antivirüs yazılımına yakalanmamasını sağlayan biri olarak bunun ne kadar aldatacı olabileceğinden şüphem yoktu.

Hemen bir hex editor programı ile bu dosyayı açtım ve sadece stringleri göster opsiyonunu aktif hale getirdiğim. Kötü niyetli kişinin kötüniyetli@gmail.com e-posta adresi ve gmail smtp sunucusu hemen gözüme çarpıyordu. E-posta adresinin hemen altında ise 30 değeri yer alıyordu. Daha önce sayısız keylogger incelediğim için bu değerin kayıtları ne kadar sürede bir kötü niyetli kişiye göndereceğini belirten bir değer olduğundan şüphem yoktu. Hex editörümde kötüniyetli stringini mötüniyetli yaptıktan sonra 30 değerini 10 yaptım ve dosyayı kayıt edip hex editörümü kapattım. Ardından GMAIL'den mötüniyetli adında bir kullanıcı hesabı aldım. Daha sonra svchostss.exe dosyasını sanal makinama kopyalayıp çalıştırdım ve test için bir kaç internet sitesi ziyaret ettim ve on dakinanın dolması için kendime kısa bir kahve molası verdim. On dakika sonra WINDOWS/SYSTEM32 klasörüne baktığımda History.txt dosyasının yaratıldığını ve içerisinde test olarak gezdiğim internet sitelerinin kayıtlarını gördüm. Sonrasında GMAIL hesabıma girdim ve keyloggerın tüm kayıtları başarıyla hesabıma gönderdiğini farkettim ve geriye yapacak tek birşey kalmıştı, polise haber vermek...

Yeterince kanıt ve kayıt topladığımdan emin olduktan sonra hemen durumu İstanbul Emniyet Müdürlüğüne bağlı Internet ve Bilişim Suçları yetkililerine bildirdim ve elimdeki tüm verileri kendilerine ilettim.
- Mutlu Son -

  
     
  <<< Geri Dön  
     
  Phishing Nedir?
  Exploit Nedir?
  Casus Yazılımlar Nedir?
  Sniffing Nedir?
 
  İp Numaram Nedir ?
  İp No - Domain Sorgu
  Encoder Kit
  Char List
 
  Tcp / Ip Nedir?
  MAC Adresi Nedir?
  IP Numarası Nedir?
  HTTP, FTP, SMTP, LAN Nedir?
  İnternetin Tarihi
  Windowsun Bazı Püf Noktaları
  Diğer Genel Bilgi Makaleleri ...
 
  Karikatür - Dünyadan
  Sevdiğim Yazılar
  Güldüğüm Yazılar
95035
 





Google