Adli Bilişim’de İmaj Alma Yöntemleri Bölüm 1

Merhaba, son yıllarda dünyada ve ülkemizde yaşanan ve yaşanmaya devam eden siber olaylar özellikle ülkemizde siber güvenlik farkındalığı yarattı. Büyük olsun küçük olsun özel veya kamu sektöründe siber güvenlik konusunda yatırımlar yapılmaya, personellere siber güvenlik alanında eğitimler verilmeye başlandı. Devletimiz bu konuda bir çok önlem aldı almaya devam ediyor. Bunlardan biri de Siber Güvenlik Kurulunun kurulması.

Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi ve Koordinasyonuna İlişkin Karar” 20 Ekim2012 tarihli Resmi Gazetede Bakanlar Kurulu Kararı olarak yayımlanmış ve siber güvenliğe ilişkin program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla “Siber Güvenlik Kurulu” oluşturulmuştur. Siber Güvenlik Kurulu, Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı kabul etmiş ve 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır. Detaylı bilgi için

Söz konusu eylem planı çerçevesinde kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME’ler, Sektörel SOME’ler) oluşturulmasına karar verilmiştir. Bu kapsamda, 11 Kasım 2013 tarihli ve 28818 sayılı Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ Resmi Gazetede yayımlanmıştır.

Bu kapsamda :

Kurumsal SOME

Bakanlıklar, Müstakil Kamu Kurumları, Bilgi İşleme sahip diğer kamu kurumlarını kapsamaktadır.

Sektörel SOME

Bankacılık ve Finans, Enerji, Ulaştırma, Kritik Kamu Hizmetleri, Su Yönetimi, Elektronik Haberleşme sektörlerini kapsamaktadır.

SOME Ekipleri kurmak zorunludur ve 7/24 esasına göre hizmet vermesi gerekmektedir.

Bu kadar bilgiden sonra yavaş yavaş teknik kısımlara geçebiliriz.

Çalışmakta olduğunuz kurumda veya iş yerine bir siber olay gerçekleştiğinde dijital materyallerin zarar ve tahrip edilmeden kayıt ve koruma altına almanız gerekmektedir. Bunun için birçok donanım ve yazılım mevcuttur. Bu makale dizisinin ile bölümünde FTK IMAGER yazılımını tanıyacağız, devamında gelen makalelerde Windows ve Linux tabanlı tool larıda beraber inceleyeceğiz.

Bir adli olay olduğunda şüpheli bir bilgisayar karşınıza geldiğinde neler yapmanız gerektiği nasıl adli imaj alınması ve alınan adli imajın daha sonra nasıl tekrardan incelenmek üzere açılacağı gibi konuları anlatmaya çalışacağım.

Bu kadar açıklamadan sonra simülasyon ortamından başlayarak yavaş yavaş giriş yapalım

Senaryo

Bir adet şüpheli bilgisayar var ve üzerinde kurulu olan işletim sistemi Windows 10.

Bizden istenen bu bilgisayarın adli imaj alma esaslarına uygun olarak imajlarının alınmasını sağlamamız.

Aşağıda görüldüğü gibi disk yapımızda iki adet disk mevcut. Bir tanesi işletim sisteminin bulunduğu ” C ” sürücüsü 50 GB kapasiteli diğeri ise ” E ” sürücüsü imajı alacağım sürücü yine 50 GB kapasitesi mevcut.

İşlem Adımları

FTK IMAGER Kurulumu

Adli bir olay olduğunda çok dikkatli olmalısınız yapacağınız bir hata çok kıymetli olan dijital delillere zarar verebilir. Adli bir olay gerçekleştiğinde ve size ilgili bilgisayarın imajının alınması söylendiğinde ( burası çok önemli ) hem ram imajının hem de sistemdeki tüm disklerin imajının sağlıklı bir şekilde almanız gerekmektedir. Burada sağlıktan kasıt, adli imaj alınırken beraberinde MD5 ve SHA1 HASH bilgileri ile beraber alınır böylece siz imajları aldıktan sonra orijinal veri üzerinde oynama yapılsa dahi siz elinizdeki HASH değerini karşılaştırarak verinin değiştirip değiştirilmediğini anlayabilirsiniz.

FTK IMAGER yazılımı adli imaj işlemlerinde çok kullanılan uluslararası kabul gören yazılımlardan biridir. İlk işlem olarak bu yazılımı indirmeniz gerekli. FTK IMAGER yazılımının birden çok versiyonları bulunmakta https://accessdata.com/product-download adresine gidip, FTK IMAGER VERSION 4.3.0 indiriyorum ( en son sürüm benim makaleyi yazdığımda buydu, çok fark etmez ) bu arada FTK IMAGER ücretsizdir.

Basit bir kurulumu var, indirdiğim .exe çift tıklayarak kurulumu başlatıyorum

Şimdi disk yapımıza bir göz atalım. Aşağıda sistemin kurulu olduğu “ C – 50GB “ diski ve ram, disk imajlarını alacağım “ E – 50GB “ diski görülmekte.

İstenmesi durumunda harici diskler hatta network üzerinden de imajların başka ortamlara yazabilirsiniz tercih tamamen size kalmış.

Kurulum bittiğine göre imaj işlemlerine başlayabiliriz.

Memory (RAM) İmajı Alma İşlem

Bir adli olay olduğunda ve karşınıza bir bilgisayar geldiğinde ilk olarak memory ( ram ) imajını almak çok önemlidir. Bunun nedeni o anda kullanılmakta olan birçok veri ram üzerinde çalışmakta ve burada yapılacak bir adli analiz işlemi birçok olayı aydınlatacak türde veri içerebilmektedir.

RAM Üzerinde şu verilere ulaşılabiliyor

İlk olarak FTK programını çalıştırıyorum ve aşağıdaki ekran geliyor. Programın pencerelerini tek tek anlatmayacağım programının en çok kullanılan bölümlerini tek tek inceleyeceğiz.

Sonraki adım aşağıda görüldüğü gibi “ File > Capture Memory “ butonuna tıklayarak devam ediyorum

Bizi aşağıdaki ekran karşılıyor. Bu ekranda birkaç seçenek var sırayla inceleyelim.
1 – Destination Path: İmajı kayıt edeceğimiz alan ( sisteme taktığınız ikinci bir disk, harici bir disk veya network üzerinde bir paylaşım )

2 – Include pagefile: pagefile.sys windows işletim sisteminin sanal bellek olarak kullandığı dosyadır. Alınması gerekmektedir bilginiz gibi bu dosya ramin yetmediği yerde devreye giriyor ve diskte bu iş için ayrılan alanda ram deki veriler saklanıyor bu yüzden bu alanda da adli veriler olabileceğinden alınmasında fayda var.

3 – Create AD1 file: Bunu seçerseniz hem memory hem de pagefile dosyalarını paket yapıp imaj haline getiriyor ben seçiyorum her zaman imajın fazlası göz çıkarmaz.

Tüm bu işlemlerden sonra memory imaj almaya hazırız ” Capture Memory ” butonuna tıklayarak işleme başlayabiliriz

İmaj işlemi devam ediyor

İmaj işlemi başarılı bir şekilde tamamlandı. Aşağıda görüldüğü gibi ram imajları sağlıklı bir şekilde alındı.

Disk İmajı Alma İşlemi

Yine ” File > Create Disk Image ” butonun tıklayarak devam ediyoruz.

Aşağıdaki ekranda görebileceğiniz gibi bizi birçok seçenek bizi karşılıyor. Şimdi teker tekrar bunlara bakalım

Ben fiziksel diskimin imajını alacağım için ” Physical Drive ” seçeneği ile devam ediyorum. Aşağıdaki gelen ekranda ” Source” kaynak diskimi yani imaj alacağım diski seçmemi istiyor ve seçiyorum ” Finish ” diyerek pencereyi kapatıyorum

Aşağıda gelen ekranda ” Add ” diyerek devam ediyorum

Add ” butonuna tıkladığımızda bizi aşağıdaki ekran karşılıyor. Şimdi bu seçenekleri beraber inceleyelim.

Ben E01 ile devam ediyorum ve ” İleri ” butonuna tıklıyorum. Aşağıdaki ekran bizi karşılıyor.

Alanları yaşanan olay için uygun olarak doldurduktan sonra ” Next ” ile devam ediyoruz.

Sonrasında aşağıdaki ekran ile devam ediyoruz

Aşağıdaki ekranı incelediğimizde

Ben herhangi bir sıkıştırma veya imajı bölmek istemediğim için ” Image fragment Size ” ve ” Compression ” ” Sıfır ” yaptım ve Finish butonuna tıklayarak ekranı kapattım.

Aşağıdaki ekran ile devam ediyoruz.

Evet tüm ayarlamaları yaptım ” Start ” butonuna tıkladım.

Evet bir hata ile karşılaştık. Bunu hatayı görmeniz için bilinçli olarak hazırladım. Hatırlarsanız bilgisayarda iki adet disk alanı vardı ve kapasiteleri 50 şer GB olarak ayarlanmıştı. Eğer imaj alma işleminde herhangi bir sıkıştırma yapmayacak yani bire bir boyutta imaj alacaksanız imaj alacağınız disk boyutu kaynak diskten büyük olmasına dikkat edin yoksa aşağıdaki gibi bir hata ile karşılaşırsınız.

Yeni bir düzenleme yaparak imaj alacağım ” E ” disk boyutunu 50 GB dan 100 GB genişlettim.

İmaj işlemi başladı

İmaj işlemi, bitti şimdi imajın doğrulama işlemi başladı.

İmaj işlemi bitti ve özet bir görüntü ekranı bizi karşıladı.

Son ekranda başarılı bir şekilde imaj alındığını bize gösteriyor.

Aşağıdaki ekran da görüldüğü gibi imajlarımız ve diğer dosyalarımız oluşturulmuş durumda.

Evet memory ve disk imajı alma işlemleri bu şekilde bir sonraki makalede alınan imajları açma ve üzerinde nasıl işlem yapılacağı üzerinde duracağız. Keyifli okumalar.

Exit mobile version