Ana Sayfa / Adli Bilişim / Sistem saati kontrolü

Sistem saati kontrolü

Sistem saatinde yapılan değişiklikleri kontrol etmek için aklınızdakilere ek olarak şöyle bir yöntem kullanabiliriz. Buradaki senaryomuz sistem saatinin geri alınmış olması üzerine kurulacak.

Bu senaryomuzda sistem saatinin geriye yönelik olarak değiştirildiğini düşünüyoruz, ileriye yönelik bir değişim olması durumunda da benzer mantığı yürütebilirsiniz.

Şimde geçelim işin mantığına, sistem olay kayıtlarını (event log) sıralayalım ve bu olayların tarih, olay kayıt numarası ve hepsinin sıralarına dikkat edelim, hem zamanlar hemde kayıt numaraları sıralı mı devam ediyor yoksa anormal bişey var mı? Sadece bu sıralamalara bakarak da karar verebilirsiniz.

XP işletim sisteminde olay kayıtları içerisinde “Güvenlik” (security) kaynağında yer alan ve olay ID si 520 olan kayda bakalım. Bu olay sistem saatinin sorunsuz bir şekilde değiştirildiğini gösterir aynı zamanda bu kayıt içerisinde; PID (işlem-program kimliği diyebiliriz) ve değişikliğe neden olan işlem, ek olarak da eski sistem saati (değişiklikten önceki) ve yeni sistem saati bulunur. Bununla ilgili canlı ve gerçekten güzel bir örneğe( tıklamadan önce uyarı bağlantıda 400MB e01. imajı var)

Bu içeriğe erişebilmek için tarafınıza ulaştırılan şifreyi girin

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

TCP/IP Hijacking

TCP/IP hijack çok basit ve güçlü bir atak yöntemidir. Bu yöntemi kullanarak switch ile kurulmuş …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir