Google Chrome Tarayıcı Adli Bilişim Analizi : HİNDSİGHT

Bugün sizlerle dünyada en çok kullanılan tarayıcılardan biri olan Google Chrome Üzerinde Adli analiz işlemi gerçekleştireceğiz.

Açık Kaynak Programı İlgili Windows Sistemlerde Kurulumu ve İndirme Linki verilmiş olup programla ilgili geniş bilgiler verilmiştir.
İndirme Linki:  https://github.com/obsidianforensics/hindsight


              Hindsight, web tarayıcıyı analiz etmek için ücretsiz bir araçtır. Google Chrome web tarayıcısının tarama geçmişiyle başladı ve diğer Chromium tabanlı uygulamaları destekleyecek şekilde genişletildi. Hindsight, URL’ler, indirme geçmişi, önbellek kayıtları, yer imleri, otomatik doldurma kayıtları, kaydedilmiş şifreler, tercihler, tarayıcı uzantıları, HTTP çerezleri ve Yerel Depolama kayıtları (HTML5 çerezleri) dâhil olmak üzere bir dizi farklı web sayfalarını ayrıştırabilir. Veriler her dosyadan çıkarıldıktan sonra, diğer geçmiş dosyalarındaki verilerle ilişkilendirilir.

İlk Önce Açık Kaynak Kodlu Programımızı Oluşturan Dosya ve Klasöre Bakalım.

İncelemecinin Kullanacağı Esas Dosya dist Klasörün içinde olup hindsight_gui isimli exe dosyalardır. Diğer Dosyalar python ile yazılan arka işlemleri gerçekleştiren processlerdir.

1.1. Hindsight_gui.exe Çalıştırılması
hindsight_gui.exe yi Yönetici olarak Çalıştır Şeçeneği ile tıklanır bu sayede sistem kaynaklarını daha verimli olarak kullanır.

hindsight_gui.exe uygulaması bizim chrome uygulamasını analiz yapabileceğimiz  dinleme portunu verir. Bu port Verilmiş ise Server Başlatılmış Demektir.

1.2. Portun Dinlemeye Alınması
Bu dinleme Portunu Chrome dışında herhangi bir tarayıcıya yapıştırarak Server Yüklenmesini bekliyoruz. (Örnekte MOZİLLA FİREFOX Kullanılmıştır.)

Bağlantıya Girildiği Zaman Analiz İşlemlerin yapılacağı özelliklerin belirleneceği arayüz karşımıza çıkar. Bu aradaki Tüm özelliklerin hakkındaki bilgi kullanım kılavuzunda verilmiştir.

Yine hindsight_gui altında anlık olarak yapılan işlemleri gönderilen ve alınan istekleri görebilirsiniz.

1.3. Dosya Yolunun Belirlenmesi ve Süreçin Başlaması
Profile Path Kısmına chrome programının kurulu olduğu alanın dosya yolunu veriyoruz.

Varsayılan Profil Dosya Konumları

Chrome varsayılan profil klasörü varsayılan konumları:

  • WinXP: [userdir]\Local Settings\Application Data\Google\Chrome\User Data\Default
  • Vista/7/8/10: [userdir]\AppData\Local\Google\Chrome\User Data\Default
  • Linux: [userdir]/.config/google-chrome/Default
  • OS X: [userdir]/Library/Application Support/Google/Chrome/Default
  • iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
  • Android: /userdata/data/com.android.chrome/app_chrome/Default
  • CrOS: \home\user\<GUID>

İncelemeyici ye lazım olacak eklentiler şeçilir. Çok eklenti şeçilmesi demek daha uzun süre ve daha fazla veri demektir. Buda daha fazla analiz ister.

Log kayıtlarımızın tutulacağı adı ve Timezone yani chrome tarayıcımızın saat ve tarih ayarını programımızın saat ve tarih ayarına eşlemesini sağlar.

Ve Gerekli olan ayarlamalardan sonra analiz başlatılır.

1.4. HindSight Program Hataları ve Çözümleri
Görüldüğü gibi bir hata ile karşılaştık hata sebebini şimdi birlikte inceleyelim.

İlk sayfalarda belirtiğimiz gibi Tüm işlemleirn ve tüm parametrelerin hindsight_gui altında anlık görüntüleyebiliriz diye ifade etmiştik. Buda demek oluyor ki İlk incelenecek yer bu hindsight_gui başlık altındadır.

Böyle bir hata ile karşı karşıya geldik.
SQLite3 error; is the Chrome profile in use?  Hindsight cannot access history files if Chrome has them locked.  This error most often occurs when trying to analyze a local Chrome installation while it is running.  Please close Chrome and try again.

Yani ya profil yolumuz yanlış yada Google chrome uygulamamız açık idi.

Chrome Uygulaması açık ise Bu analiz işlemi hata vermektedir. Derhal Tarayıcıyı kapatmamız gerekmektedir.

Başka bir hata verecek neden ise Güncel Python sürümü kullanılmalıdır. Programızın Python ile yazıldığını ifade etmiştik bu nedenle bir python derleyecisine ihtiyaç olmaktadır.

1.5. Analiz Sürecinin Başlaması

Oluşabilecek hatalar önlendikten sonra artık programımız analiz yapmaya hazır olup analiz yapan kişiden Runa tıklamayı beklemektedir.

Başlatılan Analiz Sürecinde ilk aşamada chrome versiyonu . kayıtlı url ve indirilen kayıtları belirler.

Daha sonra 5 – 10 dk arasında analiz işlemini yapamay devam eder. An ve an bulduğu kayıtları , verileri hindsight_gui başlık altındada görebiliriz.

Bu Veriler geldiğinde ve Tarayıcı istek almayı bırakmış ise analiz bitmiş demektir.

1.6. Analiz Sürecinin Yorumlanması
Analiz süreci bittikten sonra http://localhost:8080/results Bağlantısı altında analizde elde edilen verileri göstermektedir.

Chrome verileri tabloda gösterilir.

Bu verilerin kayıtların sayısı ise Parsed Artifacts altında görülebilir.

  • Chrome versiyonu
  • Kayıtlı url , indirme kayıtı
  • Önbellek kayıtları
  • Cookie Kayıtları
  • Bookmark Kayıtları
  • Login kayıtları

Gibi bilgilere ulaşılabilir.

1.7. Elde Edilen Verilerin Ve Kayıt Edilmesi
http://localhost:8080/results altında bulunan analiz sonuçlarının kayıt olması adli bilişim açısından öneme sahip olup bu kayıtlarında incelenmesi bu kadarda önemlidir. Kayıtların Excel Uzantsı biçiminde XLSX veya SQLite Biçimde kayıt edilmesini imkan tanır. Bu uzantıların analiz aşamasında inceleme yapan kişiye  daha çok filtreleme özelliği sunup daha kısa zamanda incelemecinin hedeflendiği bulgulara ulaşmasına imkan sağlamaktadır.

Yukarıdan Herhangi bir türden kayıt edildiği zaman kayıtı indirme işlemi başlar.

Dosyamız İnmiş olup  Görüldüğü gibi dosya Windows tarafından tanınıyor. Bunu sebebi ise Hindsight geliştiricileri tarafından raporu export ederken dosya uzantısını vermeyi unutmasıdır şeklinde yorumlanabilir.

Bizim bu dosyaya excel türünde indirmiş isek .xslx SQLite için indirmiş isek .sqllite uzantısı eklemeliyiz. Bunun içinde gerekli olan aşamalar :

Dosya özelliklerine gelip dosya adı kutusunda uzantıyı yazmamız gerekmektedir.

İşlem tamamlandığında artık dosyamızın Windows tarafından tanındığı ve incelemeye hazır olduğu görülmektedir

1.8. Kayıtların incelenmesi
Kayıtları içeren Dosyamız gerekli program tarafından açıldığında genel olarak filtresiz tüm kayıtlarımızı gösteririr.

Kayıtların Filtreleme Başlıkları bulunmaktadır :

Type : Analiz türünü  yani indirilen veya cookie kayıtlarını filtreler

Timestamp : Chrome Tarayıcıyı kullanan kişi bu kayıtları hangi zamanda oluşturmuştur .

Url : Kayıtların Bağlantılarını gösterir.

Title / Name : Kayıtlara bağlı parametrelerin başlıklarını belirtir.

Data/Value/Path : Parametrelere bağlı değerleri gösteririr Ör : Kayıtlı Şifreler ve Kullanıcı adları gibi

Kayıtların Filterlenmemiş hali olup Kırmızı renk ile boyanan yerler tarayıcıda bulunan Kullanıcı adı ve Şifreleri içeririr.

Timestamp : Chrome Tarayıcıyı kullanan kişi bu kayıtları hangi zamanda oluşturmuştur .

Url : Kayıtların Bağlantılarını gösterir.

Title / Name : Kayıtlara bağlı parametrelerin başlıklarını belirtir.

Data/Value/Path : Parametrelere bağlı değerleri gösteririr Ör : Kayıtlı Şifreler ve Kullanıcı adları gibi

Kayıtların Filterlenmemiş hali olup Kırmızı renk ile boyanan yerler tarayıcıda bulunan Kullanıcı adı ve Şifreleri içeririr.

1.9. Kayıtların Filtrelenmesi

  1.9.1. Type Sekmesi
Type Sekmesi Altından kayıt türlerini seçebilir en aza indirilebilir veya gereksiz olan kayıtları devre dışı bırakabilirsiniz

Type kayıt türünün download olan kayıtları filtreledik.

Type kayıt türünün cookie olan kayıtları filtreledik.

Bu kayıtların hepsinin sayısını belirtir. Toplam 6138 kayıt altından kolaylıka beklemezsizin filtreleri uygulayıp anlık analiz yapma imkanı tanınmaktadır.

  1.9.2. Timestamp Sekmesi

Timestamp Sekmesi altında kayıtların oluşturulduğu örneğin :

Şifrenin kayıt edildiği , Linkin Girildiği , Cookie Bilgisinin alındığı tarihleri belli bir zaman aralığında filtreyelip hızlı analiz yapabiliriz.

Filtreleme Şeçeneği şeçilir.

Kayıtlar o tarihe ve zamana göre listelenmektedir.

  1.9.3. Url  Sekmesi
Girilen Sitelerin Bulunduğu kayıtları filtrelemek için kullanılır .
Ör : Google.com altında bulunan urlin listelenmesi bu şekilde analiz yapan kişi daha fazla url inceleyebilir. Daha iyi analiz yeteneğinin geliştirilmesini Sağlayabilir.

Filtreleme Şeçeneği şeçilir.

Kayıtlar Şeçilen Url ye göre listelenmektedir.

Ör : Google.com a ait  cookie parametreleri ve değerleri :

  1.9.4. Title/Path ve Data / Value Sekmesi
Bu sekme altında kayıtlı olan urllere gönderilen isteklerin , veya urllerden dönen cevapların tuttuğu başlık ve yolları , o başıklara bağlı değerlerin gösterilip filtrelenmesini sağlar.

Filtreleme Şeçeneği şeçilir.

Kayıtlar Şeçilen Başlığa ya göre içerdiği parametre ile listelenmektedir.

Abc.com sitesiden giriş yapılan username başlığının tuttuğu değer abc ve password başlığının tuttuğu sifre abm Şeklinde yorumlanabilir.

Kırmızı Alan ile boyanmış her başlığa ait bir kullanıcı adı veya şifre içermektedir.Eğer içermez ise o değer yerine <User chose to “Never save password” for this site> Bu site için bu başlık için değer kayıt edilmemiştir uyarısı vermektedir.

Hindsight Analiz Raporu(Özeti)

Hindsight adlı açık kaynak program ile bir chrome tarayıcı analizine imkan veren arayüz sayesinde Chrome Tarayıcıya ait dosyaların nasıl incelendiğini ve nasıl analiz yaptığını Linux ve Windows ortamında test edilmiş olup bu açık kaynak kodlu programın adli analiz ve rapor oluşturma programlarına yardımcı program olarak kullanılabilirliğini yapılan kullanım kulavuzunda göstermiş olduk.

Hindsight isimli programına ait 4 ana klasör ve 8 ana dosyadan oluştuğu dosyaların çoğunluğunun python yazılımı ile kodlandığı ve programın bir localhost servisinde çalıştığını programın kaynak kodları ile programın çalıştırılmasını yazılan tez formatındaki kılavuzda gösterilmiştir.

Chrome tarayıcı analiz programı olan hindsightin Linux ortamında çalışması için bir python derleyicisine ihtiyaç olduğu bu python derleyici komut satırında çalıştırıldaktan sonra programına ait kullanım parametreleri hakkında bilgi ve nasıl kullanıldığı ilede çalışmalar yürütüldü.

Windows işletim sistemi ortamında ise programın sadece bir .exe uzantısı ile çalıştırıldığı ve .exe uzantısının sistem kaynaklarının daha verimli ve daha analiz yapabilmesi için yönetici olarak çalıştırıldığı ve arayüzün  http://localhost:8080 linkinden bir chrome tarayıcı dışında başka tarayıcı vasıtasıyla çalıştırılması gerektiğini raporumuzda detaylı şekilde belirtilmiştir.

Başka bir tarayıcıda açılan http://localhost:8080 ait arayüzün kullanımı basit olduğu sadece analiz için Google chrome tarayıcısının kurulu olduğu dosyanın yolunun girilmesi gerektiği bu dosya yollarının Windows , Linux , MacOS , İOS , Android gibi sistemlerde varsayılan olarak program arayüzünde gösterilmiştir. Analiz yapılması hedeflenen tarayıcıya ait bölümlerin hepsinin veya incelemeyeciye lazım olacak alanların şeçilmesine imkan tanır. Bu şekilde hem zamandan hemde veri fazlalığından tasarruf etmiş olup ve analizde timezone yani zaman diliminin ayarlanması analizin daha kolaylıkla yapılmasını sağlamaktadır

Analiz işlemleri çalıştırıldıktan sonra ortalama 5 – 10 dakika arasında analizin sürdüğü ve analizin o işlem anında bulduğu kayıtların isimleri ve kayıtlara ait sayıların gösterildiği hindsight_gui.exe penceresinden takip edilebilir. Analiz sonucunda Raporlamanın birden fala dosya türü formatında kayıt olduğu bu dosya türü formatların .xlsx ve .sql olduğu bu dosya formatlarında veri filtreleme veya inceleme daha kolay olduğundan analiz sonuçların bu dosya formatları yoluyla kayıt edip kolayca incelenebileceği Kullanım kılavuzunda  belirtilmiştir.

Raporlamanın dosya türüne göre ile açıldığında (.xlsx dosyaları için Excel ve .sql dosyaları içinde Sqllite önerilir.) bulunan verilerin satır satır olduğunu ve bu verilere ait filtremeler yapıldığı filtreleme işleminin ise hızlı olduğu  gözlemlenmiştir.Raporlar kolay analiz edebilirliğini kılavuz gösterilmiştir.



Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir