Adli Bilişim’de İmaj Alma Yöntemleri Bölüm 2
Merhaba ilk makalemiz olan “Adli Bilişim’de İmaj Alma Yöntemleri Bölüm 1 ” de kanun ve yasalardan bahsetmiş, sonrasında örnek bir senaryo üzerinde adli bir olay meydana geldiğinde neler yapılması gerektiğini örnek senaryo üzerinde gerçekleştirmiştik.
Şu ana kadar imaj işlemlerinde FTK IMAJER programını kullanarak senaryomuzdaki “şüpheli“ bilgisayarın önce ram sonra disk imajlarını alarak makalemizi tamamlamıştık.
Bu makalemiz ile kaldığımız yerden devam ediyoruz. Yapmak istediğimiz aldığımız imajları açarak incelemek
Hedefler
1- RAM ve Disk imajını açmak
2 – Açılan imaj üzerinde arama yapmak
3 – İmaj içerisinden delil çıkarmak.
4 – Çıkarılan delilerin imajını almak
5 – Alınan yeni imajı görüntülemek
Aşağıda ” Add Evidence Item.. ” bu menü sayesinde biz aldığımız imajları açabiliyor üzerinde inceleme başlatıyoruz. Buraya tıklayarak başlıyoruz.
1- Physical Drive – Fiziksel bir diski inceleme için kullanılır ( Canlı adli imaj inceleme – Live Forensics )
Not: “Burada bir not düşmek istiyorum. FTK’nın portable sürümü de var ( FTK Imager Lite version ) olarak geçiyor. Bu sürümü bilgisayara kurmadan çalıştırabiliyorsunuz örneğin bir bilgisayar var hemen onun üzerinde çalışma yapmak zorunda kalabilirsiniz bu durumda hemen bu sürümü kurmadan şüpheli bilgisayarda çalıştırıp adli incelemelerinizi yapabiliriz.”
2 – Logical Drive – Disk üzerindeki bölümler üzerinde çalışmak için ( C,D ) kullanılır.
3 – Image File – Mevcut bir imaj dosyası üzerinde çalışmak için kullanılır.
4 – Contents of a Folder – Bir klasörün ve dosya üzerinde çalışma yapmak için kullanılır.
Ben daha önce aldığım imajları inceleyeceğim için ” Image File ” ile devam ediyorum.
Şimdi aşağıdaki ekrandaki ekranda bir detaydan bahsetmek istorum. İlk makalede ram ( memory ) imajı alırken bazı seçeneklerimiz vardı.
Aşağıdaki ekranda eğer “Create AD1 file” seçeneğine tıklar da imaj alırsanız hem ram imajını hem de “pagefile.sys” imajını alarak tek imaj haline getirir bunun yanında içersin de HASH bilgilerinin de olduğu bir dosya oluşturur.
Yok bunu seçmez sadece ram imajını yada onun yanında “pagegile.sys“seçeneğini seçip imaj alırsanız, iki imajı ayrı ayrı alır ve bilgi dosyayı üretmez aklınızda olsun o yüzden ben hepsini seçip öyle imaj alıyorum.
Yukarıda bahsettiğim şekilde hem tüm seçenekleri seçtiğim için tüm şekillerde imaj aldı.
1 – AD1 imajı ( içerisinde ram ve pagefile.sys imajları var )
2 – Ram imajı
3 – Pagefile.sys imajı
Öncelikle “memcapture.ad1” imajı yüklüyorum.
Bakın az önce bahsettiğim gibi tek bir imaj içerisinde hem ” ram ” hem de ” pagefile.sys ” var.
Ve imaj ile beraber oluşturulan HASH bilgilerinin de olduğu dosya.
Şimdi ram imaj dosyamızı açtık. Burada en çok kullandığımız dört bölüm var.
1 – Burada açılan imaj dosyamız görülmektedir.
2 – Custom Content Source – Bu alanın nasıl kullanacağımızı makalenin devamında örnekler ile göstereceğim ama kısa bir bilgi vereyim. Bu bölüm diyelim ki bir adli inceleme yapıyorsunuz ve incele esnasında bir veriyi ( bir dosya yada bir klasörde olabilir ) başka biri ile paylaşmak istiyorsunuz işte bu gibi durumlarda bu menü kullanılır.
3- Bölümde imajın içeriğini görebiliyoruz.
4 – Bölümde verinin içeriğini görebiliyoruz.
Şimdi ram imajı içerisinde arama yapmak istiyorum. Bunu yapmak çok kolay yukarıda ki resimdeki dördüncü bölüme tıklayıp “ctrl+f” tuş kombinasyonunu kullanarak arama kutusunu açıp istediğimiz aramayı gerçekleştirebilirsiniz.
Bu işlemi ister bu imajdan devam edebilirsiniz yani az önce açtığımız “memcapture.ad1” imajından yada direk ram imajını yada “pagefile.sys” açıp yine arama yapabilirsiniz. Ben örnek olarak “memdumb.mem” yani ram imajımı açıyorum.
imaj içerisinde “vmtoolds.exe” olduğunu görebilmekteyiz
Yine başka bir örnek “oneDrive” olduğunu görebilmekteyiz
Şimdide yine daha önce aldığım disk imajını açıyorum
Görüldüğü gibi disk imajımı aştım ve yine istediğim gibi imaj içerisinde inceleme işlemlerine başlayabilirim.
Şimdi şunu yapmak istiyorum, bir imajı inceliyorsunuz ve imaj içerisindeki bazı dosyaları başka kişiler ile paylaşmak istiyorsunuz yada bazı dosyalar var sadece onları içeren bir imaj dosyası hazırlama istiyorsunuz.
Şimdi bu işlemi yapmak için “Custom Content Image” özelliğini kullanacağız.
İnceleme yaptığımız imaj içerisinde hangi dosyalar ile yeni bir imaj oluşturmak istiyorsak ilgili dosya ve klasöre sağ tıklayıp “Add to Custom Content Image (AD1)” tıklayarak ekliyoruz
Biz dosyaları ekledikçe aşağıdaki resimde görüldüğü gibi “Custom Content Sources” kısmına ekleniyor.
Tüm eklenmesini istediğimiz objeleri ekledikten sonra “File>Create Custom Content Image (AD1)” menüsü ile devam ediyorum böyle yeni bir imaj oluşturabileceğiz.
Yine imajıma bir isim veriyorum
Burası önemli “Image Fragment Size” burası şu işe yarıyordu. İmaj dosyalarını belirlediğiniz MB boyutlarına bölmek için kullanıyordu.Burayı “0” yaparsanız tek parça olarak imaj oluşturulabiliyor. Yanız “Custom Content Image (AD1)” imaj almaya özel eğer burayı “0” sıfır yaparsanız hata alırsınız aşağıdaki ekran görüntülerinde bunu görebilirsiniz.
Görüldüğü gibi “0” sıfır yaptım.
Ve hatayı görüyorsunuz.
Yeniden varsayılan değere getirdim “1500“
İmaj işlemini başlattım.
Aldığım imajı açtım ve görüldüğü gibi sadece eklediğim dosyalar gözükmekte.
Bir sonraki makalede imaj HASH bilgisi doğrulama ( imajların değiştirip değiştirilmediğini kontrol etme ) , imaj üzerinde şifrelenmiş veri arama ve bulma, imaj üzerindeki registry kayıtları üzerinde çalışma gibi konuları ele alacağız.
Keyifli okumalar.
Elinize sağlık
Rica ederim, iyi okumalar.
Eline sağlık
Rica ederim hocam saygılar.
Elinize sağlık, devamını bekliyor, takip ediyorum.
Rica ederim, iyi okumalar.
Elinize sağlık. Konuyu takip ediyorum, devamını bekleriz. İyi çalışmalar.
Hocam bu güzel yorumlarız için çok teşekkürler. İyi okumalar.
Başarılar üstat. Yazını ilgiyle takip ediyoruz.
Başarılar diliyorum
Hocam çok teşekkürler, çok sağolun.
Keyifli okumalar.
Hocam eline sağlık.Çok güzel olmuş.
Hocam çok teşekkürler, sağolun.
İyi günler,E01 uzantılı dosyaları nasıl açacağımı bir türlü bulamadım bilginiz varsa ve yardımcı olursanız çok sevinirim.Dosyalar E01,E02,E03… tarzında gidiyor sanırım encase dosya olarak geçiyormuş ama çok bilgim yok.
Merhaba, bu dosyaları ftk programı ile açabilirsiniz.