Türkçe odaklı, GitHub üzerinde yayımlanabilir bir dijital adli bilişim inceleme paketi (case study + prosedür + şablon + betik). Üç ana araç hattı — FTK Imager (elde etme), Cyber Triage (hızlı triyaj), Autopsy (derin analiz ve RCA) — tek iş akışında birleştirilir; KVKK uyumlu maskeleme ve raporlama ile kapatılır.
Sürüm geçmişi: CHANGELOG.md
Saldırı senaryosu animasyonu ve proje özeti: Veo Video’yu izle / indir
| Modül | Amaç | Ana bileşenler |
|---|---|---|
| Acquisition | İmaj alımı ve bütünlük | FTK Imager (E01 + hash) |
| Triage | Risk skorlaması ve öncelik | Cyber Triage (IOC / risk skoru) |
| Deep Analysis | Artefakt ve RCA | Autopsy (USB/LNK/keyword/carving/timeline) |
| Anti-Forensics | Tarih manipülasyonu şüphesi | wolf_anti_forensics.py (+ wolf_collector.ps1) |
| Law | KVKK / TCK çerçevesi | docs/LEGAL.md, docs/5651-..., SECURITY.md |
| Education | Eğitim ve mülakat hazırlığı | docs/INTERVIEW_PREP.md |
| Reporting | Rapor motoru ve şablon | wolf_report_engine.py, templates/FINAL_REPORT.md |
Bu proje, KVKK (6698) ve TCK 243/244 çerçevesinde teknik bulguların raporlanmasını hedefler. KVKK odaklı maskeleme (scripts/anonymizer.py) ile hassas alanlar paylaşım öncesi korunur. Ayrıca 5651 “yer sağlayıcı trafik kayıtları” bağlamı için ayrı raporlama şablonları (docs/5651-...) ve uyumluluk notları eklenmiştir.
wolf_report_engine.py ile üretilen rapor taslağı:
bilirkişi_raporu.md(varsayılan)--docxilebilirkişi_raporu.docx--pdfilebilirkişi_raporu.pdf
Şablon: templates/FINAL_REPORT.md (ve kök FINAL_REPORT.md girdi özeti).
Önce kanıt bütünlükle mühürlenir (E01 + hash), sonra Cyber Triage ile risk ve öncelik çıkarılır, en sonda Autopsy ile kanıt tabanlı hikâye ve kök neden analizi yazılır.
Teknik iş akışı (adım adım): docs/WORKFLOW.md
flowchart LR
subgraph acquire["1. Elde etme"]
FTK["FTK Imager<br/>E01 + hash"]
end
subgraph triage["2. Teşhis"]
CT["Cyber Triage<br/>Bad / Suspicious"]
end
subgraph analyze["3. Analiz"]
AU["Autopsy<br/>RCA + zaman çizelgesi"]
end
FTK --> CT
CT --> AU
| Aşama | Araç | Dokümantasyon |
|---|---|---|
| Elde etme | FTK Imager (E01, doğrulama) | 02, SOP USB→E01 |
| Teşhis | Cyber Triage (IOC, skor) | 04, 05 akış |
| Analiz | Autopsy (artefakt, carving, RCA) | 05, 15 RCA |
Bu proje Python betiklerini temel alır.
Gerekli:
- Python 3.10+ (öneri)
DOCX/PDF çıktısı için (Wolf-Report Engine):
pip install -r requirements-report-engine.txtKişisel veri, rapor paylaşımı ve TCK 243 / 244 bağlamı için: docs/LEGAL.md · Operasyonel maskeleme betikleri: SECURITY.md · Kök maskeleme kısayolu: python anonymizer.py → scripts/anonymizer.py
5651 trafik kayıtları (BTK bağlamı) için: docs/5651-yer-saglayici-trafik-kayitlari-uyum-notlari.md · Log analizi şablonu: templates/5651-yer-saglayici-trafik-kayitlari-log-analiz-sablonu.md · Dili uyumlulaştırma: python scripts/btk_kvkk_report_compliance.py
- Olay anlatısı ve diyagramlar: docs/00-olay-anlatisi-giris-mudahale.md
- Final rapor şablonu (kapsamlı): templates/FINAL_REPORT.md · Girdi özeti: FINAL_REPORT.md
- Saldırı senaryosu animasyonu + proje özeti (MP4): GitHub’da izle / indir
| Bileşen | Durum |
|---|---|
Hukuki notlar (docs/LEGAL.md, SECURITY.md, .cursor/rules) |
Tamam |
| KVKK / maskeleme betikleri ve dokümanlar | Tamam |
| Üçlü araç akışı (FTK → Cyber Triage → Autopsy) | Tamam |
Final rapor şablonu + anonymizer.py ([PROTECTED]) |
Tamam |
Olay anlatısı ve Mermaid diyagramları (docs/00) |
Tamam |
| Wolf-Sense heuristic karar destek uyarısı | Tamam (v1) |
Bu proje, FTK Imager (E01 + hash) + Cyber Triage + Autopsy çıktılarını birleştirip bilirkişi raporu taslağı üretir.
Gerekli minimum set:
ftk-report: FTK Imager rapor metni (.txt)triage: Cyber Triage özeti (.jsonveya.txt)autopsy-keyword-hits: Autopsy keyword hits (.csv/.json)autopsy-usb-devices: Autopsy USB devices (.csv/.json)
Opsiyonel:
autopsy-timeline: Autopsy timeline (.csv/.json)anti-forensics-*: FS vs MFT tarih tutarsızlığı (timestomping şüphesi)
Temel rapor (DOCX/PDF istemiyorsan komut yine çalışır):
python scripts/wolf_report_engine.py --case-meta case_meta.json --ftk-report ftk.txt --triage triage_summary.json --autopsy-keyword-hits keyword_hits.csv --autopsy-usb-devices usb_devices.csv --output-base bilirkişi_raporuÇıktılar: bilirkişi_raporu.md (varsayılan) ve istersen --docx/--pdf ile bilirkişi_raporu.docx + bilirkişi_raporu.pdf.
Geliştirilmiş rapor (timeline + anti-forensics + DOCX/PDF):
python scripts/wolf_report_engine.py --case-meta case_meta.json --ftk-report ftk.txt --triage triage_summary.json --autopsy-keyword-hits keyword_hits.csv --autopsy-usb-devices usb_devices.csv --autopsy-timeline autopsy_timeline.csv --anti-forensics-fs mft_fs_export.csv --anti-forensics-mft mft_mft_export.csv --anti-forensics-key "Name/FileName" --anti-forensics-col-fs-created "Created Time" --anti-forensics-col-mft-created "FileCreated" --anti-forensics-tolerance-minutes 60 --output-base bilirkişi_raporu --docx --pdfÇıktılar: bilirkişi_raporu.md + bilirkişi_raporu.docx + bilirkişi_raporu.pdf.
Wolf Malware Check(strings + IP/URL + PE header hafif kontrol):python scripts/wolf_malware_check.py "dosya.bin" --output wolf_malware_check.mdWolf Analyzer(Autopsy Keyword Hits + USB Devices korelasyonu; son 24 saat):Not: Aynı klasördepython scripts/wolf_analyzer.py --keyword-hits keyword_hits.csv --usb-devices usb_devices.csv --output wolf_analyzer_report.md
USB_History.csvvarsawolf_analyzer.pyotomatik okuyup şüpheli USB takılma anlarını rapora ekler.Wolf-Sense(CSV/JSON evidence üzerinde heuristic korelasyon):python scripts/wolf_sense.py --inputs ./vaka_klasoru/*.csv ./vaka_klasoru/*.json --output wolf_sense_report.md --anonymize --with-irp-plan
Anti-Forensics (Timestomping uyarisi)(FS ↔ MFT tarih tutarsizligi):python scripts/wolf_anti_forensics.py --anti-forensics-fs mft_fs_export.csv --anti-forensics-mft mft_mft_export.csv --anti-forensics-key "Name/FileName" --anti-forensics-col-fs-created "Created Time" --anti-forensics-col-mft-created "FileCreated" --anti-forensics-tolerance-minutes 60 --output wolf_anti_forensics_report.md
Varsayim (senin export örneğinle ayni):
- FS:
Name+Created Time - MFT:
FileName+FileCreated - Join anahtari:
Name/FileName
wolf_collector.ps1 betiğini bir EXE’ye çevirip, kullanıcıdan vaka numarası alarak USB_History.csv dahil ön-toplama çıktısını üretebilirsin.
Install-Module -Name ps2exe -ForceEn kolay yol:
.\dist_prep\build_exe.ps1Alternatif (manuel ps2exe): Repo kök dizininde çalıştır:
ps2exe .\scripts\wolf_collector.ps1 .\dist\Lonely_Wolf_Collector.exe `
-title "Lonely Wolf Forensic Collector" `
-requireAdmin `
-iconFile .\assets\wolf_icon.icoNot:
.\dist_prep\assets\wolf_icon.icoyoksa icon otomatik atlanir.- Manuel ps2exe kullanırsan
-iconFilesatırını kaldırabilirsin.
.\dist\Lonely_Wolf_Collector.exeEXE çıktıları varsayılan olarak:
C:\Lonely_Wolf_Export\<CaseId>\
💡 Uzman Notu: Lonely_Wolf_Collector.exe çalıştırıldıktan sonra oluşan C:\Lonely_Wolf_Export\<CaseId>\ klasörü (L-W_REPORT_[VakaNo]) içindeki çıktıları doğrudan wolf_analyzer.py içine sürükleyebilir veya aynı dizinde çalıştırarak saniyeler içinde Bilirkişi Raporu taslağınızı alabilirsiniz.
USB_History.csv dosyası aynı klasörde olduğunda wolf_anti_forensics.py bunu otomatik bulup rapora
USB takılma ↔ FS dosya oluşturma tutarsızlığı uyarısını ekler (ayrıca --usb-history vermene gerek yok).
Örnek:
python scripts/wolf_anti_forensics.py --anti-forensics-fs File_System_Audit.csv --anti-forensics-mft mft_export.csv --anti-forensics-key "Name/FileName" --anti-forensics-col-fs-created "Created Time" --anti-forensics-col-mft-created "FileCreated" --anti-forensics-tolerance-minutes 60 --output anti_forensics_report.md- İş akışı: imaj → triage → derin analiz
- SOP: FTK Imager 4.5+ USB → E01
- Cyber Triage 3.16 skorlama + Autopsy iş akışı
- Wolf-Report Engine (bilirkişi raporu otomasyonu)
- Wolf-Sense: heuristic karar destek katmanı
- Wolf Anti-Forensics (Timestomping şüphesi)
- Wolf Collector (Canlı ön-toplama)
- INTERVIEW_PREP: mülakat soruları + çözümler
- Wolf Malware Check
- Hukuki çerçeve (KVKK, TCK 243/244)
- Güvenlik ve uyumluluk
- KVKK: Autopsy derin kazı, etik ve Sensitive Data - Hidden
- $MFT ve USN Journal (USB zaman çizelgesi)
- USB ve harici cihaz izleri (fiziksel erişim)
- LNK ve Shellbag analizi (dosya kaynağı)
- Final rapor: girdi noktası
- Adli bilişim final raporu — tam şablon (TR)
- Zincir-of-custody şablonu (CSV)
- Anti-forensics / maskeleme ile uyumlu raporlama notları
-gold.svg){kind=icon}
Bu proje Apache License 2.0 ile lisanslanmıştır. Projenin kopyalarını veya önemli bölümlerini dağıtırken LICENSE ve varsa NOTICE.md dosyalarını koruyun.
Mümkünse, referans olarak şunu ekleyin: Lonely_Wolf — RECEP ŞENEL (Digital Forensics Investigation Suite).
Bu proje; şablonlar, rapor motoru ve uyumluluk dokümantasyonu tarafında dikkatli bir şekilde iyileştirilerek hazırlandı. Kullananların LICENSE + NOTICE.md ile birlikte projeyi referans göstermesi ve geri bildirim/katkı paylaşması (issue/PR) bu emeğin görünür kalmasını sağlar.