FTK Imager ile İmaj Alma

-

 FTK Imager, Adli bilişim incelemeleri yapılacak bir diskin kopyasını almaya yarayan bir araçtır.



Programı açtığımızda bizi böyle bir ekran karşılayacak bizim ilk yapmamız gereken ise belirlediğimiz diski arayüzden ekleyip daha sonra imaj alma kısmına geçmek, diskimizi seçelim.


Şekil-1

Şekil-2

Şekil-3

Şekil.1 Kısımda File kısmından Add Evidence İtem bastıktan sonra 

Şekil.2 ise görüntünün Fiziksel sürücü, Mantıksal sürücü ya da bir imaj dosyasının tekrar kopyasını almak için kullanılır. Biz bunlardan Fiziksel sürücüyü kullanacağız. 

Şekil.3 de ise imaj alacağımız diski belirtiyoruz.

Fiziksel Sürücü: Sürücünün mantıksal bölümlemelere bakılmaksızın tamamının imajı alınır. Adli bilişim incelemelerinde verilerin gözden kaçmasını önlemek için fiziksel imaj alınması tavsiye edilir.
Mantıksal Sürücü: Diskin mantıksal bölümlerinin imajını almak için kullanılır. Bu secenekte herhangi bir mantıksal sürücü için tahsis edilmemiş sektörlerin imajı alınamaz.
İmaj Sürücü: Bir imaj dosyasının kopyasının alınması için kullanılır.


Şekil-4

Şekil-5


Şekil.4 Evidence Tree penceresinin altına seçtiğim disk ile ilgili bilgilerin meydana geldiğini görüyoruz. 
Şekil.5 de Evidence Tree altındaki en dış pencereye sağ tıklayarak Export Disk Image diyerek dışarıya imaj alacağımızı belirtiyoruz.

Şekil-6

Şekil-7

Şekil-8

Şekil.6 da Add basarak hedef yolumuzu ayarlamaya başlıyoruz. 

Şekil.7 de ise imaj formatının hangisi olacağı ile ilgili belirtmemizi istiyor. Belirttikten sonra ileri yapıyoruz. 


Şekil.8 de İmaj adı , numarası , kanıt bilgisi, İmajı alan kişi ve not şeklinde gerekli kısımları doldurarak ileriye basıyoruz.

Raw(dd): İmaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca ham veri bulunur, herhangi bir metadata verisi yer almaz.
SMART: Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.
E01:  EnCase imaj formatıdır, veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir.
AFF: Gelişmiş Dosya Formatıdır(Advanced File Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır.




Son olarak İmajı nereye çıkartmak istediğimiz ile ilgili yolu giriyoruz. İmaja adını veriyoruz. Imajları bölerek almasını istemiyorsak Image Fragment Size kısmını 0 yapalım ve bitir diyerek imaj alma sürecini başlatmış olalım. İmaj alma süresi diskin boyutuna göre bitiş süresi farklılık göstermektedir.

Şekil-9


Şekil-10


Şekil.9 İmajın başlamış olduğunu ve ne ne kadar süreceği bilgisini vermektedir. 

Şekil.10 daki bilgiler ise imaj aldığımız diskin Hash bilgilerinden bahsetmektedir. Bu bilgiler çok önemlidir. İncelendikten sonra hash bilgilerinde bir değişiklik var mı ? Buna bakılması gerekmektir. Değişiklik olduğu takdirde incelenmiş imajın farklılıklar gösterdiğinden bir hükmü kalmamış olacaktır. Geçerliliğini yitirmiş olacaktır.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Ping Komutu ve CMD komutları

-
        Öncelikle kısaca ping’i açıklayalım ardından da ping kodlarının anlamlarına geçelim. Ping programı, 1983 yılında Mike Muuss tarafından yazılmış bir programdır. Bir makineye genelde 32 baytlık bir ICMP pakedi gönderir ve aynı pakedin geri gelmesini bekler. Bu basit program, birçok işe yarayabilir. Sunucu size ne kadar uzak ise, bu süre de o kadar artmaktadır. örneğin Türkiye’deki sunuculara 20-30 ms ile bağlanırsınız. Ama Almanya’daki bir sunucuya bağlanmak istediğinizde mesafe arttığı için bu süre 80-90 ms gibi seviyelere çıkar. ping 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. ping -a 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. “-a” parametresi ile ipdeki bilgisayarın adresi görüntülenir. ping -a -n 20 192.168.0.2 —>  -n parametresinin yanındaki değer kadar veri paketleri gönderilerek test edilir. pathping –> bu komut sayesinde routerlar üzeriden geçe
Devamı

Uzak Masaüstü Bağlantı (RDP) Kısayol Oluşturma

-
Resim
Sık kullandığınız Uzak Masaüstü bilgisayarlarınız her bağlanmanız gerektiğinde bağlantı bilgilerini tekrar tekrar yazmak yerine  aşağıdaki yöntemle çok basit bir şekilde masaüstümüzde kısayol oluşturarak kullanabiliriz Masaüstümüzdeyken sağ tık kısayol oluştur diyelim.  Bu alana tercihinize göre bilgisayar adı ya da ip kullanarak dolduralım. mstsc.exe /v:BilgisayarAdı   veya   mstsc.exe /v:IPADRESI Hepsi bu kadar....
Devamı

hiberfile ve pagefile.sys dosyaları nedir nasıl silinir?

-
Resim
pagefile.sys:   Bu dosya, bilgisayarımızın RAM’inin yeterli olmadığı durumlarda, Windows’un kullanması için hard disk üzerinde ayrılmış bir alanı ifade eder. Hard diskin bir bölümünün RAM olarak kullanılmasını sağlar. Bu dosyanın boyutu bizim tarafımızdan belirlenebilir veya dosya kaldırılabilir.  Bunun için; Bilgisayar Özelliklerinden, Gelişmiş Sistem Araçları bölümünde Performans bölümü Ayarlar seçeneğinden Gelişmiş sekmesindeki Sanal Bellek kısmını açmamız gerekiyor. Bu işlemlerin ardından pagefile.sys dosyasının artık var olmadığını göreceksiniz.  (Not: Bu işlemden bilgisayarınızda yavaşlamalar söz konusu olabilir. Sonuçta RAM bellek boyutunu düşürüyoruz.) hiberfil.sys:   Bu dosya bilgisayarın Hazırda Beklet (Hibernate) modu için oluşturulmuş bir dosyadır. Bilgisayarın bekleme konumunda ( uyku modu ) olması anlamına gelen Hibernation ile bilgisayar en düşük güç tüketim moduna geçerek   hazırda bekler . Disklerin dönmesi durdurulur, anakartınız destekliyorsa fan
Devamı