GET File Hash

Dosyaların Hash’lerini Görüntüleme Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilkContinue reading “GET File Hash”

Terminal Server License Servers Group Members

Terminal Server License Servers grubunun üyeleri AdminSDHolders üzerinde aşağıdaki yetkilere sahiptir. Yani default’da bu grup üyeleri service administrators grubu üyelerinin hesaplarını resetleyebilme haklarına sahiptir. O nedenle düzenli olarak bu grubun üyelerinin kontrol edilmesi önerilmektedir. SPECIAL ACCESS for terminalServerWRITE PROPERTYREAD PROPERTY

Group Policy Object Creation and Modification Time

Active Directory group policy’lerin oluşturulma ve değiştirilme zamanları Grup politikalarının oluşturulma ve değiştirilme zamanlarının görüntülenmesi, herhangi bir security incident olduğunda araştırılması gereken öncelikli konulardan birisidir. Bu işlem aşağıdaki powershell komutları ile yapılabilinir. $DN = (Get-ADDomain -Current LocalComputer).DNSRootget-gpo -all -domain $DN | sort-object creationTime | ft Displayname, CreationTime, ModificationTime

User Credentials in Computer/Server

Bilgisayarda bulunan credentialları görüntülemek için aşağıdaki yöntemler uygulanır. rundll32 keymgr.dll,KRShowKeyMgr cmdkey /list komutu kullanılır. Yada Credential Manager’dan Web Credential ve Windows Credential kontrol edilir. Regedit HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon altında Default Password string’I var mı kontrol edillir. Schedule Tasks Kullanıcı adı ile oluşturulmuş Schedule Task var mı kontrol edilir. Services Kullanıcı adı ile çalışan (Disable, Manuel) servis varContinue reading “User Credentials in Computer/Server”

Protected Users Security Group

Bu grubun üyelerinin hesaplarına otomatik olarak uygulananan korumalar bulunmaktadır. Korunan öz nitelikler değiştirilememektedir. Bu gruba servis hesapları ve bilgisayar hesapları eklenmemelidir. Ayrıca bu gruba üye edilmiş kullanıcılar aşağıdaki özelliklere sahiptirler, NTLM authentication kullanılamamaktadır. Kerberos Auth. DES ve RC4 kullanılamamaktadır. Cache mode da oturum desteklenmemektedir. Kerberos TGT LT süresi 4 saattir. Korumalı Kullanıcılar grubu AD özellikleriContinue reading “Protected Users Security Group”

Windows 10 Permission History

SafeSearch Strict – Moderate – Off SafeSearch’ü off etmek için Active Directory’de yeni bir Group Politikası hazırlanır. Computer Configuration\Administrative Templates\Windows Components\Search Off Secilir ve ilgili OU’ya linklenir. This policy setting allows you to control the SafeSearch setting used when performing a query in Search. If you enable this policy setting, you can specify one ofContinue reading “Windows 10 Permission History”

Windows Server/Client Startup Applications

Windows Server ve Client’ların startup’ında çalışan uygulamaları powershell ile görüntülemek için aşağıdaki komutlar kullanılabilir. Bu kontrol ile bilginiz dışında herhangi bir zararlı yazılım bilgisayarınızın açılışında çalışıyor ise bunu tespit edebilirsiniz. Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Enterprise Access Reporting

ACL-X-RAY Active Directory, Domain, Server ve Client’larda bulunan tüm ACL’lerin kontrolünü yapan Microsoft’un Lisanslı Tool’u olan ACL-X-Ray’in kurulum ve konfigürasyonu aşağıdaki gibidir. SQL Standard yada Express kurulur. SQL Feature’larını kurulur. PowerBI Kurulur. C:\ACLXRAY klasörü oluşturulur. Toolset altındaki Core ve Script klasörü C:\ACLXRAY klasörüne kopyalanır. Toolset altındali Licence.Lic dosyasını c:\aclxray\scripts altına kopyalanır. C:\aclxray\script\config.txt dosyasının içeriği aşağıdkaiContinue reading “Enterprise Access Reporting”

E01 Viewer Forensics Analysis Tool

E01 Dosya Türü Nedir? Encase Forensic, Guidance Software inc. Tarafından üretilmiş, yaygın olarak adli analiz’ler de kullanılan araçlardandır. Encase Forensic, disk görüntüleme ve koruma, veri kurtarma gibi özellikleri bulunmaktadır. E01 imaj dosya formatı, EnCase Forensic yazılımı tarafından Expert Witness Format (EWF) uygulamasında kullanılmaktadır. Yani, EWF dosyaların uzantısı .E01türündedir. E01 dosyası, disklerin görüntülenmesi, logical dosyaların depolanmas,Continue reading “E01 Viewer Forensics Analysis Tool”

Xplico Network Forensics Tools

Xplico, network  analiz yapabilen açık kaynak kodlu adli bilişim aracıdır. Gerçek zamanlı ve daha önceden oluşturulmuş olan dosyaları (pcap files) analiz edebilmektedir. Böylece, network üzerinden gerçekleşmiş yada gerçekleşebilecek olayların izlenmesi ve analizi konusunda çözümler üretmektedir. Xplico Netmon ve Wireshark gibi araçların açık kaynak kodlu bir alternatifi olarak da düşünebiliriz. Xplico Özellikleri Ağ trafiğini anlık olarakContinue reading “Xplico Network Forensics Tools”