Durgun Alan: Durgun alanın tanımına geçmeden önce blok (block)-Linux’da ve yığılımın (cluster)-Windows’da iyi anlamak gerekir. Blok dosya sistemi tarafından data dopalanması için kullanılan belli bir büyüklüğe sahip depolama alanıdır.
Bloklar yüzlerce sektörden oluşurlar. Dosyalar bir veya daha çok bloktan oluşur. Eğer dosyalar tam olarak depolandığı blokları dolduruyorsa durgun alan ortaya çıkmaz. Fakat eğer depolandığı bloklar dosya için fazla geliyorsa durgun alan ortaya çıkmış demektir. Bu alan dosyanın bittiği yerden başlar ve blokun sonuna kadar gider.
Linux durgun alanı sıfırlarla doldurur. Bu durgun alanda bilgi bulmanın zor olduğu anlamına da gelmektedir. Fakat imkansız değildir. Bu blog girdisinde bmap adlı yazılım kullanarak Linux sistemlerde slack space(durgun alana) üzerine nasıl veri saklanacağını inceleyeceğiz.
Bmap
Bmap(bilgi saklama yazılımı) durgun alanı kullanarak bilgiyi saklayabilir. Adli bilişim profosyonelleri için birçok yararlı fonksiyonu içinde barındırır. Fakat bu yazıda sadece bilgi saklama özelliğine odaklanacaktır.
Bmap Kurulumu
http://www.gupiaoya.com/down.php adresinden bmap’i Linux sisteminize indirerek aşağıdaki komutlarla kurulumu gerçekleştirebilirsiniz
#tar xvzf bmap-1.0.17.tar.gz
#cd bmap-1.0.17
#make
Tercihen bmap sbin veya bin klasörlerine klasörüne yerleştirilip indirilen klasöre gidilmeden de komut çalıştırılabilinir.
ln -s yourBmapFilePath /sbin/bmap
Durgun Alanda Veri Saklama
Aşağıdaki örnekte durgun alanda bazı text dosyaların saklama işlemi gerçekleştirilmektedir. Fakat öncelikle bmap ile hangi opsiyonların kullanılacağına göz atılmasında yarar vardır:
bmap –help
bmap:1.0.17 (12/25/10) newt@scyld.com
Usage: bmap [OPTION]… []
use block-list knowledge to perform special operations on files
–doc VALUE
where VALUE is one of:
version display version and exit
help display options and exit
man generate man page and exit
sgml generate SGML invocation info
–mode VALUE
where VALUE is one of:
map list sector numbers
carve extract a copy from the raw device
slack display data in slack space
putslack place data into slack
wipeslack wipe slack
checkslack test for slack (returns 0 if file has slack)
slackbytes print number of slack bytes available
wipe wipe the file from the raw device
frag display fragmentation information for the file
checkfrag test for fragmentation (returns 0 if file is fragmented)
–outfile write output to …
–label useless bogus option
–name useless bogus option
–verbose be verbose
–log-thresh logging threshold …
–target operate on …
Aşağıda örneklerde -mode opsiyonu slack, putslack, wipe, map değerleri ile birlikte kullanılacaktır. Örnekler için bga.txt dosyası oluşturulmuştur. Bu dosyanın hangi sektörlerde bulunduğunu belirlemek için şu komut kullanılır:
bmap –mode map bga.txt
3113400
3113401
3113402
3113403
3113404
3113405
3113406
3113407
Görüldüğü gibi bga.txt 8 sektör kullanmaktadır. Bu 1 bloka karşılık gelmektedir. Kullanılan text dosya oldukça küçüktür ve bulunduğu bloktaki tüm sektörleri işgal edememektedir. Bu durumda durgun alan ortaya çıkmıştır.
Durgun alanın büyüklüğü için aşağıdaki komut kullanılır:
bmap –mode slack bga.txt
getting from block 389175
file size was: 8
slack size: 4088
block size: 4096
Dosya yalnızca 8 byte işgal etmektedir. (1 sektör 512 byte büyüklüğündedir, buradan dosyanın sadece ilk sektördeki küçük bir alanı işgal ettiğini anlaşılabilinir) Diğer yedi sektör ve ilk sektörün 504 byte’lik alanı durgun alanı oluşturmaktadır. Linux durgun alana sıfır yazdığından dolayı tüm bu durgun alan sıfırlar harici hiç bir dataya sahip değildir. Bu alan bilgi saklamak için kullanılabilir.
#echo “Bu alana bilgi sakliyorum, kolayca gorememen icin!” | bmap –mode putslack bga.txt
stuffing block 389175
file size was: 8
slack size: 4088
block size: 4096
Şimdi durgun alana koyduğumuz dataya bakalım:
#bmap –mode slack bga.txt
getting from block 389175
file size was: 8
slack size: 4088
block size: 4096
Bu alana bilgi sakliyorum, kolayca gorememen icin!
(Yukarıdaki komut dosyanın kaçıncı blokta yer aldığını da belirtmektedir-389175) Şimdi durgun alandaki data silinebilinir:
bmap –mode wipe bga.txt
bmap –mode slack bga.txt getting from block 389175 file size was: 8 slack size: 4088 block size: 4096
Özet
Durgun alan data saklamak için kullanılabilir. Adli bilişim araçları saklanan datayı açığa çıkaracak donanıma sahip olsa bile çoğu bilgisayar kullanıcısı ve sistem yöneticisi fazla zaman alacak olmasından dolayı tüm durgun alanları kontrol altına alıp monitör edemeyeceklerdir.
Güvenlik mühendisleri olarak saldıraya uğramış ve ele geçirilmiş Linux sistemlerini incelerken durgun alana saklanabilecek bilgileri atlamamak da fayda var.
İsmail Güneydas