Adli Bilişim Araçlarına Genel Bakış-FTK Imager Programı

Merhaba Arkadaşlar

Diğer Adli Bilişim girişindeki konuda belirttiğim üzere adli bilişimde verilerin orjinal halde korunması oldukça önemli bir husustur.Tabi insanın aklına şu gelebilir.Orjinal veriyi bozmadan veri üzerinde nasıl bilgi toplayıp analiz sürecine gireceğiz.Bu konuda adli bilişimde kullanılan belirli programlar var.Bunlardan bir taneside FTK programıdır.FTK imaj programının özelliği incelenicek datalar üzerinde ön inceleme için imajını almasını imkan sağlayan bir yazılımdır.Program USB,HDD,CD-DVD gibi donanımsal aygıtlar üzerinde bulunan verilerin imajını alabilmektedir.

Programın en önemli özelliği adli kanıt barındıran dosyalar üzerinde MD5 ile SHA-1 denilen hash algoritmaları oluşturma özelliğine sahip olmasıdır.Adli suç unsuru barındıran dataların hepsinden Hash değerlerini oluşturma ve raporları çıkarabilmek özelliğine sahiptir.Bunun avantajı ise hedef datanın hash değerlerinin tutarlı olduğunu gösterebilmesdir.

Uygulamayı indirip çalıştırdıktan sonra karşınıza çıkan ekrandaki File menüsünden Create Disk Image seçeneğini seçip disk imajı oluşturma aşamasına geçiyoruz.

Program kurulduktan sonra aşağıdaki gibi bir panel bizi karşılamakta.

Bu kısımda imaj almak istediğimizde Create Disk İmaj seçeneğini seçiyoruz.Bu arada Program menüsündeki araçlardan kısaca bahsetmek gerekirse;

  • Add Evidence Item:Yeni bir olay yani suç unsurundan şüphelendiğimiz delil eklemek için kullanılan kısımdır.
  • Add All Attached Devices:Bağlı bulunan bütün aygıtların eklenmesi için kullanılır.
  • Image Mounting:Var olan delillerin sanal bir kopyasının açılması için kullanılır.
  • Remove Evidence Item:Var olan delil kopyasının kaldırılması için kullanılır.
  • Remove All Evidence Items:Bütün verilerin kopyasının kaldırılması için kullanılır.
  • Create Disk Image:Yeni bir imaj oluşturmak için kullanılır.
  • Export Disk Image:Var olan imajı dışarı export eder.
  • Export Logical Image:Var olan mantıksal imajı dışarı export eder.
  • Add to Custom Content Image:Özel içerik kutusuna eklemek için kullanılır.
  • Create Custom Content Image:Özel içerik oluşturmak için kullanılır.
  • Decrypt AD1 Image:AD1 imajlarında alınan dataları decrypt eder.
  • Verify Drive/Image:Var olan imajın doğrulanmasını içerir.
  • Capture Memory:Ram imajının alınması için Kullanılır.
  • Obtain Protected Files:Koruma modundaki sistem dosyalarını almak için kullanılır.

Create disk imaj dedikten sonra bizde hangi donanım üzerinden imaj almak istediğimizi sormakta.Biz örnek bir USB üzerinden imaj alacağımızdan ve bu usb fiziksel bir donanım olduğundan ilk seçeneği seçerek listedeki hedef donanımı tanımlıyoruz ve Finish diyoruz.

Create imaj seçeneği karşımıza gelmekte.Burdan Add butonuna tıklayarak incelenicek datanın hedef kısmını seçiyoruz.Karşımıza imaj tipinin ne olucağını soruyor.İlk seçeneği seçerek devam ediyoruz.

Evince Item Information kısmında Case numarasını,açıklamalar,not kısmını kendi isteğiniz gibi doldurabiliyorsunuz.Adli bilişim standartlarına göre doldurmanız birden fazla data analizi yapıcaksanız düzenli şekilde bulunmasını sağlar.

Select Image Destination kısmında ise dataların tutulacağı alanı belirleyip USB  formatını hazırlıyoruz.Aşağıdaki seçeneklerden  “Image Fragment Size (MB)” kısmınını Sıfır moda getiriyoruz.Hemen altında bulunan “Compression” seçeneği ise eğer imajı sıkıştırma durumu mevcut ise yani formatlardan bunu seçtiğiniz düşünülürse aktif hale gelmektedir.En alttaki seçenek ise alacağınız formattaki verinin şifreli olmasını durumda “Use AD Encryption” seçeneği seçilmelidir.

Seçtiğimiz imaj konfigürasyonuna göre imaj için gerekli prosedürleri tamamladık.Start diyerek imaj alma işlemini başlatıyoruz.

İmaj alma işlemi datanın boyutuna göre 5 dakika ile 2-3 saat arasında sürebilir.

İmaj alma işlemi tamamlandı.Belirlediğimiz path e imajı aldıktan sonra İmage Summary kısmından alınan dosya imajının genel bilgileri mevcut durumdadır.

Kontrol ettiğimizde belirlediğimiz path üzerine ilgili klasörün imajı .rar şeklinde görünmekte.

Peki imajı aldık ama bu imaj ile ne yapabiliriz ? Bunun cevabı yine programda saklı.İmaj aldıktan sonra yeni virtual disk oluşturup size bu konuda çalışma alanı sağlayan FTK programına tıklayıp aldığımız imajı Image Mounting sekmesine tıklıyoruz.

Aldığımız imajın pathini gösterip open diyoruz.

İmajımızı program mount edip ayrı bir sanal disk oluşturuyor.

Görüldüğü üzere program aldığımız imajın kopyası için virtual disk oluşturarak dosyaların orjinalden farklı ama hash değerleri aynı olan dosyaları açarak verilerin orjinalliğini bozmadan çalışma ortamı sunmakta.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!