| Tez No | İndirme | Tez Künye | Durumu |
| 517441 |
|
Adli bilişim için ram imajı alınarak elektronik delil elde etme / Obtaining digital evidence by acquiring ram image for computer forensics Yazar:AHMET ALİ SÜZEN Danışman: DR. ÖĞR. ÜYESİ KUBİLAY TAŞDELEN Yer Bilgisi: Süleyman Demirel Üniversitesi / Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı / Bilgisayar Mühendisliği Bilim Dalı Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control Dizin: |
Onaylandı Doktora Türkçe 2018 105 s. |
| Bu çalışmada, Kernel Mode RAM sürücü ile RAM (Random Access Memory) imajı alan ve RAM imajından MS Word, PDF dosyalarını kazıyarak içerisindeki okunabilir bilgilerin çıkartılmasını sağlayan yazılımlar geliştirilmiştir. Kernel Mode RAM sürücüsü kullanan RAM imajı alma yazılımı (RİMAY) Windows'da Kernel mode seviyesinde RAM'in sanal adreslerine, fiziksel adreslerine ve tablo sayfalarına erişim sağlamaktadır. Geliştirilen imaj alma yazılımı RAM'in tüm adreslerini bit-to-bit kopyalayarak imajını almaktadır. Alınan imaj dosyasına, Windows'ta geçici hafıza olarak kullanılan pagefile.sys'de dahil edilmiştir. Dosya kazıma ve analizi yazılımı (DOKAY), RAM imajı yazılım ile alınan imaj dosyasını kullanmaktadır. Yazılım tasarımında dizgi arama, imza tarama ve veri kazıma teknikleri kullanılmıştır. Analiz işlemleri 14 GB'lık RAM imajı dosyasında yapılmıştır. İmaj dosyasında yapılan veri kazımada 41dk 10sn'de 10 adet doc uzantılı, 37dk 45sn'de 10 adet docx'e ait document.xml dosyasına ve 45dk 01sn'de 10 tane PDF dosyasına ulaşılmıştır. Word dosyalarının her biri üzerinde dizgi arama ve sıkıştırma çözme teknikleri uygulanarak veriler kurtarılmıştır. PDF dosyalarında flatedecode sıkıştırma algoritması kullanıldığından dolayı, veri blokları çözülerek verilere ulaşılmıştır. Kurtarılan veriler, orijinal dosyadaki veriler ile karşılaştırılarak her dosya için başarı oranı çıkartılmıştır. Sonuç olarak docx dosyalarında ortalama %40,4'lük, doc dosyalarında %35,6'lık ve pdf dosyalarında %16'lık başarı sağlandığı görülmüştür. RAM'e yüklenen word veya pdf dosyasının boyutunun artması, içerisindeki verinin kurtarılma oranını azalttığı tespit edilmiştir. Geliştirilen imaj alma yazılımı RAM'de 156 KB'lık yer kaplamaktadır. Bu sonuç ile de RAM'e yazılımın yüklenmesinden kaynaklı veri kayıpları en aza indirilmiştir. | |||
| In this study, capture RAM with Kernel Mode RAM Driver and a piece of software has been developed to recover the readable data by carving MS Word and PDF files from the RAM image. Virtual addresses, physical addresses and table pages for RAM can be accessed using the developed RAM imager software in windows. In this way, image acquisition software using this driver is able to carry out bit-to-bit copying of RAM. File carving and analysis software use the image file received with the RAM image software. String searching, signature scanning, and data carving methods are used in the design of the software. The analysis was performed on a RAM image of 14 GB by using the software that was developed. In 41m and 10s, 10 files with DOC extension were recovered, in 37m and 45s, 10 document files with XML extension files of the 10 DOCX files were recovered, and in 45m and 1 s, 10 PDF files were recovered during data carving on the image file. Data carving was carried out separately for the MS Word and PDF files. The data was recovered by applying string searching and decoding techniques to each MS Word file. Since a flatedecoding algorithm was used for the PDF files, the data were accessed by decoding the data blocks. The success rate for each file was determined by comparing the recovered data to the data in the original file. In the end, it was observed that the average of the success rate was 42% for the MS Word files and 16% for the PDF files. It was determined that the rate of data recovery decreases as the size of the MS Word or PDF files loaded onto RAM increases. 10 files with DOC extension, 10 DOCX files and 10 PDF files were recovered during data carving previously used on the image file. When the image retrieval software is installed in RAM it occupies a meager 156 KB of space. | |||