Açık Kaynak Ücretsiz Adli Bilişim Aracı Tsurugi Linux

TSURUGI LINUX

Tsurugi Linux, Tsurugi LAB olarak da adlandırılan, DFIR soruşturmalarını, kötü amaçlı yazılım analizini ve OSINT (Açık Kaynak İstihbarat) faaliyetlerini desteklemek için tasarlanmış ağır özelleştirilmiş bir Linux dağıtımıdır. Sistem, 64 bit Ubuntu LTS (Uzun Süreli Destek) tabanlıdır ve başlangıçta daha fazla desteklenen araçlarla daha istikrarlı bir sistem elde etmek için 16.04 sürümünü tercih ettik. Ancak yol haritamızda, büyük yükseltme olan 20LTS sürümü, 2020.2 sürümü ile Q3/Q4’te sunulacaktır. Yeni araçlar, birkaç düzeltme ve birçok araç güncellemesi ile tam bir sistem yükseltmesi içeren özel bir “bahar sürümü” Mart ayında yayınlandı. Hata düzeltmeleri, iyileştirmeler ve özel güncellemeleri sunabilmek için iki depo (ana ve geliştirme) oluşturulmuştur. Diğer güvenlik güncellemeleri resmi Ubuntu depoları tarafından garanti edilmektedir. Tsurugi Linux projesinin ana fikri basitlikle ilgilidir, ancak bazı konular gerçekten karmaşık olabilir. Doğru şekilde çalışmak ve en iyi şekilde yararlanmak için temel Linux becerileri zorunludur. Tsurugi Linux [LAB] canlı modda kullanılabilir, ancak ana hedefi yüklenebilir bir şekilde kurulup varsayılan adli bilişim laboratuvarı haline gelmektir. Bu, yaklaşık 200 geliştirme ISO’suyla oluşturulan ilk üç halka açık sürümle iyi test edilmiş bir projedir… Aşağıda, ana varsayılan masaüstünde birçok temel ancak önemli özelliklerin hazır olarak mevcut olduğu canlı modda Tsurugi Linux ekran görüntüsü bulunmaktadır.

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Özel özellikler
Bu dağıtım, derinlemesine bir adli bilişim veya olay yanıtı soruşturması yapmak için gereken en ünlü araçların en son sürümlerini içeren birkaç gizli ve özel özellikle birlikte gelir.
Ana menü sıralama ve araç sınıflandırması
Ana Tsurugi menüsü, altı soruşturma aşamasına (Tanımlama, Koruma, Toplama, İnceleme, Analiz ve Sunum) dayanan özel bir mantıkla sıralanmış ve sınıflandırılmıştır, böylece analiz sırasında menüye başlayabilir ve aşağı kaydırabilirsiniz.

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Özel özellikler
Bu dağıtım, derinlemesine bir adli bilişim veya olay yanıtı incelemesi yapmak için gereken en ünlü
araçların en son sürümlerini içerir ve birkaç gizli ve özel özelliğe sahiptir.
Ana menü sıralaması ve araç sınıflandırması
Ana Tsurugi menüsü, altı inceleme aşamasının bir kısmına dayalı özel bir mantık temelinde sıralanmış ve
sınıflandırılmıştır (Tanımlama, Koruma, Toplama, İnceleme, Analiz ve Sunum), bu nedenle analiz sırasında
menüye başlanabilir ve aşağı kaydırılabilir.
Araçlar, özelliklerine göre birkaç menüye yerleştirilir, bu nedenle bir aracın birden fazla özelliği varsa, birden fazla menüde bulunabilir. Bu fikirle, belirli bir inceleme görevini aratarak doğru aracı bulmak ve belki de aynı tür işlem için yeni belirli araçlar keşfetmek mümkün olacaktır.

Görüntüleme Menüsü
İşte bazı “Görüntüleme Menüsü” Tsurugi menülerinin örnekleri, dijital adli kopyaları RAW, AFF ve EWF gibi birkaç standartla yapmak için gereken tüm araçlar burada bulunur.

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Artifact Analysis

“Artifact Analysis” menüsü altında birkaç alt kategori bulunur ve burada birçok özel araç bulmak mümkündür.

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Açık Kaynak Ücretsiz Adli Bilişim Araçları

Kötü Amaçlı Yazılım Analizi

“Malware Analysis” bölümü altında, araçlar olası teknik analiz türüne göre düzenlenir ve filtrelenir.

Kötü Amaçlı Yazılım Analizi

Kötü Amaçlı Yazılım Analizi

Kernel yazma engelleyici

Cihaz yazma erişimini ve bütünlük değişikliğini önlemek için kernel düzeyinde bir Yazma Engelleyici sistemi uygulanmıştır, böylece sisteme bağlı her cihaz varsayılan olarak Salt Okunur modunda olacaktır. Adli bilişim yaması uygulanmış kernel, birçok yeni sürücü ve özellik içeren 5.4.2 sürümüne dayanmaktadır.

Grafiksel cihaz kilidi açıcı

Adli bilişim yamasıyla değiştirilmiş kernel, varsayılan olarak her cihazı Salt Okunur modda kilitleyen özel bir grafik cihaz kilidi açıcı ile inşa edilmiştir, böylece gerektiğinde değişiklik yapmak için bağlı cihazları Kolay Oku/Yaz moduna kolayca geçirebilirsiniz. Gelişmiş bir mod kullanıcıya ihtiyaç duyulduğunda bölüm düzeyinde de seçim yapma ve kilitleme imkanı sunar. Tabii ki, “blockdev” komutu veya eski ve yeni script sözdizimini dikkate alan “wrtblk-disable” değiştirilmiş script ile aynı işlemleri yapmak mümkündür.

Kernel write blocker

Kernel write blocker

Varsayılan yapılandırma koruması

Gelecekteki güncellemeler nedeniyle olası ayar değişikliklerini önlemek için, her kullanıcı oturumu başladığında, “cihaz otomatik bağlama”, “cihaz otomatik çalıştırma” ve “sistem hazırda bekletme” seçenekleriyle ilgili tüm değerler varsayılan özelleştirilmiş değerlerle birlikte kullanılır.

Otomatik HI-DPI ayarı

2560 pikselden daha yüksek ekran çözünürlüğü için, çok küçük simgelerin oluşmasını önlemek için sistem genelinde otomatik olarak yakınlaştıran gizli bir özellik bulunmaktadır. Masaüstünde ve grafik menüsü içinde, her zaman orijinal ekran çözünürlüğüne geçmek için izin veren bir simge bulunur.

Özelleştirilmiş önyükleme seçeneği

Canlı modda, önyükleme aşamasında, Tsurugi Linux’u grafiksel veya CLI modunda, hem doğrudan sistemde hem de tamamen RAM bellekte yükleyerek başlatmaya karar vermek mümkündür. Muhtemel grafik donanım sorunlarını önlemek için, özelleştirilmiş grub menüsünde doğrudan görselleştirme sorunları veya potansiyel çökmeler durumunda belirli grafik sürücülerini devre dışı bırakmak da mümkündür.

Default configuration protection

Default configuration protection

OSINT profil değiştirici

OSINT Profil Değiştirici (profile_switcher_tsurugi), kullanıcıların DFIR profillerinden OSINT profillerine hızlı bir şekilde geçmelerine ve masaüstü simgesine tıklamaları yeterli olan bu son araçları vurgulamalarına olanak tanıyan bir özelliktir. Fark, Tsurugi menüsünün daha hafif hale gelmesidir çünkü sadece birkaç kategori OSINT faaliyetleri için yararlıdır. İki profili kolayca ayırt etmek için, varsayılan duvar kağıdı da değişir. Gizli bir özellik, kullanıcıların tüm menüleri ve duvar kağıtlarını varsayılan değerlere (DFIR ve OSINT profilleri) sıfırlamalarına izin verir (komut satırı: profile_switcher_tsurugi default).

DFIR MENÜSÜ

Aşağıda, OSINT araçlarının hala mevcut olduğu ancak birçok başka menü kategorisi tarafından boğulduğu varsayılan DFIR görünümü gösterilmiştir ve bu nedenle daha az kullanışlıdır. Bu nedenle, özel bir OSINT profil eklenmiş ve kolayca geçiş yapmak için yeni bir özellik mevcut hale getirilmiştir.

OSINT profile switcher

OSINT profile switcher

OSINT Profil Değiştirme Butonu

Masaüstünde (ve aynı zamanda Tsurugi Linux menülerinde de) “OSINT profil değiştirici” düğmesi bulunur ve varsayılan görünümü değiştirerek OSINT profil ortamına geçiş yapmak için kullanıcılara olanak tanır.

OSINT profile switcher button

OSINT profile switcher button

OSINT Profili

Basit bir tıklama ile, Masaüstü görünümü değişir ve Tsurugi menüleri sadece kullanışlı OSINT araçları kategorilerini gösterir.

useful OSINT tools

useful OSINT tools

OSINT Araçları 

Tsurugi Linux’in ana amacı DFIR analizidir, ancak sosyal ağlar, IP adresleri, alan adları ve birçok başka alanda araştırmalar yapmak için birçok OSINT aracı da yüklenmiştir.

Menüde, özelleştirilmiş bir OSINT tarayıcısı bulunabilir ve bu tarayıcıda birçok kullanışlı eklenti ve yer imi birkaç ana kategori altında düzenlenmiştir. Bu kategoriler aşağıdaki gibi sıralanabilir:

• Taşımacılık (DENİZ, HAVA, DEMİRYOLLARI…) • Sosyal ağlar • Metadata • Tarih-zaman • Web sitesi analizi • Coğrafi temelli araştırmalar • Radyo • Arama motorları (belirli IOT kategorileriyle) • Ticari kayıtlar • ve daha fazlası…

Aşağıda OSINT araçlarının bir listesi yer almaktadır (BÖLÜM 1):

OSINT araçları listesi

OSINT araçları listesi

OSINT araçları listesi  (BÖLÜM 2):

OSINT araçlarının listesi

OSINT araçlarının listesi

Grafiksel gösterge paneli

Gerçek zamanlı bilgilerle birlikte grafiksel bir gösterge paneli, masaüstünde kullanılabilir durumdadır (gerektiğinde, “Gösterge paneli sıfırla” düğmesi veya Komut Satırı Arayüzünde “dashboard” komutu ile sıfırlanabilir).

Fare tuşu anahtarı

Fare imlecinin yalnızca tuş takımıyla kolayca hareket ettirilebilmesi için Fare tuşu anahtarı işlevi eklenmiştir. Açma / kapama düğmesi, Masaüstünde mevcuttur.

Otomatik SSH anahtarları oluşturma

Tüm ISO dosyalarında aynı SSH gizli anahtarlarını paylaşmayı önlemek için, canlı oturumun başlatılması sırasında güvenli SSH anahtarları oluşturan otomatik bir işlem bulunmaktadır.

RAM doygunluğu çalışma yöntemi

Belirli durumlarda, canlı modda, RAM’i doyuracak kadar büyük bir hata günlüğü miktarı oluşturan hatalı veya uyumsuz donanım bulunabilir. Bu özel durum için, “RAM doygunluğu çalışma yöntemi” düğmesi altında bulunan özel bir logrotate yapılandırması eklenmiştir, bu, kullanıcıların bu donanım sorunuyla çalışmasını sağlar.

Bilgisayar Görüşü

2019’dan bu yana, birçok özel aracın bulunduğu Bilgisayar Görüşü araştırmalarına adanmış özel bir bölüm de Tsurugi Linux’a eklenmiştir. Bu araçlar arasında otomatik yüz tanıma görevleri gerçekleştirmek, fotoğrafları karşılaştırmak, fotoğraf veya videolarda (canlı veya kayıtlı) bir kişiyi veya nesneyi tanımak mümkündür. Nesne tanıma Tsurugi Linux’da uygulanan nesne tanıma araçları ile resim, video veya canlı yayında belirli nesnelerin (insanlar, arabalar, sandalyeler vb.) otomatik olarak tespit edilmesi ve bulunması mümkündür.

Object recognition

Object recognition

Yüz Çizgileri

Yüz tanıma araçlarıyla, resimlerin üzerinde otomatik olarak “yüz çizgileri” yerleştirilerek yüz ölçüleri hesaplanabilir ve böylece resimlerde, videolarda veya canlı yayınlarda belirli bir kişiyi bulmak mümkündür.

Face landmarks

Face landmarks

Yüz tanıma araçları sayesinde, resimlerde, videolarda veya canlı yayınlarda belirli bir kişiyi bulmak için yüz hatlarına “yüz işaretçileri” yerleştirilebilir ve yüz ölçümleri hesaplanabilir.

Yüz işaretçilerine ve çeşitli diğer algoritmalara dayanarak, birçok resimde belirli bir kişiyi aramak ve benzerlik yüzdesi ile tam eşleşmeyi göstermek mümkündür.

Aşağıda, tüm eşleşmeler için otomatik olarak oluşturulan HTML raporunun bir kısmı yer almaktadır.

Face recognition match

Face recognition match

TSURUGI ACQUIRE

Tsurugi Acquire, bir bilgisayarı başlatmak ve kütle depolama aygıtlarını edinmek için gerekli temel araçları sağlamayı amaçlayan Tsurugi Linux [LAB] in hafif ve basitleştirilmiş bir versiyonudur. Bu nedenle, yükleyici silinmiştir ve yalnızca canlı modda çalışır. Tüm ISO’yu daha küçük yapmak için küçük bir araç alt kümesi yüklenmiş ve temel amaçları RAM’de kolayca yer almak, hızlı önyükleme yapmak ve mümkün olan kadar çok sayıda mimariyi desteklemektir. Ubuntu 16.04 LTS tabanlı ve Tsurugi Linux ana dağıtımı gibi yamasız bir 5.4.2 çekirdeği kullanır, ancak daha fazla uyumluluk sağlamak ve en eski cihazlarda kolayca çalıştırmak için 32 bit bir çekirdeğe sahiptir. Aşağıda, sadece belirli edinim araçlarına sahip en küçük menü ile Tsurugi Acquire ana masaüstü görülmektedir.

TSURUGI ACQUIRE

TSURUGI ACQUIRE

BENTO Toolkit

Bento, canlı hukuk bilimi ve olay yanıtı soruşturmaları için tasarlanmış taşınabilir bir USB DFIR araç setidir. CSI’yi arama ve el koyma faaliyetleri sırasında desteklemek için yapılan Bento DFIR araç seti, ilk müdahalecileri dijital delillerin belirlenmesi, bilgi toplama, edinme, el koyma ve korunması gibi en yaygın faaliyetlerle karşı karşıya kalmaları durumunda tam ve kolay bir yol sağlar. Bento, yalnızca canlı modda sıkıntılı gerekli soruşturmalar için dışında, adli analiz için tasarlanmamıştır. Bento, çoğunlukla Windows işletim sistemlerinde çalışır, ancak Linux ve macOS için de birçok araç bulunmaktadır. Otomatik güncellemeler Ana arayüzü başlatarak en son araç güncellemelerini kolayca almak mümkündür. Mevcut olan tüm güncellemeler aşağıda gösterilir, bu nedenle araçları güncelleştirmeyi onaylamak ve başlatmak kolaydır.

Bento toolkit

Bento toolkit

Yeni Araç Yükleme

New tools installation

New tools installation

Bento’da yeni araçlar eklemek de özel menü kullanılarak mümkündür.

bento toolkit

bento toolkit

Tsurugi Linux ek bilgiler ve iletişim bilgileri Tsurugi Linux, ana hedefinin bilgi paylaşmak ve “topluluğa geri vermek” olduğundan herhangi bir ticari markayı içermeyen tamamen ücretsiz ve bağımsız bir açık kaynak projesidir. Proje hakkında bilgi ve ekibimizle iletişim kurmanın yolları aşağıda belirtilmiştir: Resmi web sitesi: https://tsurugi-linux.org Twitter hesabı: @tsurugi_linux E-posta: [email protected] İndirme sayfası: https://tsurugi-linux.org/downloads.php

Yorum Ekle