Veri Saklama: Linux'da Durgun Alan(Slack Space)

Durgun Alan: Durgun alanın tanımına geçmeden önce blok (block)-Linux’da ve yığılımın (cluster)-Windows’da iyi anlamak gerekir. Blok dosya sistemi tarafından data dopalanması için kullanılan belli bir büyüklüğe sahip depolama alanıdır.

Bloklar yüzlerce sektörden oluşurlar. Dosyalar bir veya daha çok bloktan oluşur. Eğer dosyalar tam olarak depolandığı blokları dolduruyorsa durgun alan ortaya çıkmaz. Fakat eğer depolandığı bloklar dosya için fazla geliyorsa durgun alan ortaya çıkmış demektir. Bu alan dosyanın bittiği yerden başlar ve blokun sonuna kadar gider.

Linux durgun alanı sıfırlarla doldurur. Bu durgun alanda bilgi bulmanın zor olduğu anlamına da gelmektedir. Fakat imkansız değildir. Bu blog girdisinde bmap adlı yazılım kullanarak Linux sistemlerde slack space(durgun alana) üzerine nasıl veri saklanacağını inceleyeceğiz.

Bmap

Bmap(bilgi saklama yazılımı) durgun alanı kullanarak bilgiyi saklayabilir. Adli bilişim profosyonelleri için birçok yararlı fonksiyonu içinde barındırır. Fakat bu yazıda sadece bilgi saklama özelliğine odaklanacaktır.

Bmap Kurulumu

http://www.gupiaoya.com/down.php adresinden bmap’i Linux sisteminize indirerek aşağıdaki komutlarla kurulumu gerçekleştirebilirsiniz

#tar xvzf bmap-1.0.17.tar.gz
#cd bmap-1.0.17
#make

Tercihen bmap sbin veya bin klasörlerine klasörüne yerleştirilip indirilen klasöre gidilmeden de komut çalıştırılabilinir.
ln -s yourBmapFilePath /sbin/bmap

Durgun Alanda Veri  Saklama


Aşağıdaki örnekte durgun alanda bazı text dosyaların saklama işlemi gerçekleştirilmektedir. Fakat öncelikle bmap ile hangi opsiyonların kullanılacağına göz atılmasında yarar vardır:

bmap –help
bmap:1.0.17 (12/25/10) newt@scyld.com
Usage: bmap [OPTION]… []
use block-list knowledge to perform special operations on files
–doc VALUE
where VALUE is one of:
version display version and exit
help display options and exit
man generate man page and exit
sgml generate SGML invocation info
–mode VALUE
where VALUE is one of:
map list sector numbers
carve extract a copy from the raw device
slack display data in slack space
putslack place data into slack
wipeslack wipe slack
checkslack test for slack (returns 0 if file has slack)
slackbytes print number of slack bytes available
wipe wipe the file from the raw device
frag display fragmentation information for the file
checkfrag test for fragmentation (returns 0 if file is fragmented)
–outfile write output to …
–label useless bogus option
–name useless bogus option
–verbose be verbose
–log-thresh logging threshold …
–target operate on …
Aşağıda örneklerde -mode opsiyonu slack, putslack, wipe, map değerleri ile birlikte kullanılacaktır. Örnekler için bga.txt dosyası oluşturulmuştur. Bu dosyanın hangi sektörlerde bulunduğunu belirlemek için şu komut kullanılır:

bmap –mode map bga.txt
3113400
3113401
3113402
3113403
3113404
3113405
3113406
3113407
 
Görüldüğü gibi bga.txt 8 sektör kullanmaktadır. Bu 1 bloka karşılık gelmektedir. Kullanılan text  dosya oldukça küçüktür ve bulunduğu bloktaki tüm sektörleri işgal edememektedir. Bu durumda durgun alan ortaya çıkmıştır.

Durgun alanın büyüklüğü için aşağıdaki komut kullanılır:

bmap –mode slack bga.txt
getting from block 389175
file size was: 8
slack size: 4088
block size: 4096
 
Dosya yalnızca 8 byte işgal etmektedir. (1 sektör 512 byte büyüklüğündedir, buradan dosyanın sadece ilk sektördeki küçük bir alanı işgal ettiğini anlaşılabilinir) Diğer yedi sektör ve ilk sektörün 504 byte’lik alanı durgun alanı oluşturmaktadır. Linux durgun alana sıfır yazdığından dolayı tüm bu durgun alan sıfırlar harici hiç bir dataya sahip değildir. Bu alan bilgi saklamak için kullanılabilir.
#echo “Bu alana bilgi sakliyorum, kolayca gorememen icin!” | bmap –mode putslack bga.txt
stuffing block 389175
file size was: 8
slack size: 4088
block size: 4096
 
Şimdi durgun alana koyduğumuz dataya bakalım:

#bmap –mode slack bga.txt
getting from block 389175
file size was: 8
slack size: 4088
block size: 4096
Bu alana bilgi sakliyorum, kolayca gorememen icin!
(Yukarıdaki komut dosyanın kaçıncı blokta yer aldığını da belirtmektedir-389175)  Şimdi durgun alandaki data silinebilinir:

bmap –mode wipe bga.txt

bmap –mode slack bga.txt
getting from block 389175
file size was: 8
slack size: 4088
block size: 4096

Özet

Durgun alan data saklamak için kullanılabilir. Adli bilişim araçları saklanan datayı açığa çıkaracak donanıma sahip olsa bile çoğu bilgisayar kullanıcısı ve sistem yöneticisi fazla zaman alacak olmasından dolayı tüm durgun alanları kontrol altına alıp monitör edemeyeceklerdir.

Güvenlik mühendisleri olarak saldıraya uğramış ve ele geçirilmiş Linux sistemlerini incelerken durgun alana saklanabilecek bilgileri atlamamak da fayda var.

İsmail Güneydas

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.