Görüntü Dosyası Biçimi

Encase Forensic, Guidance Software Inc. tarafından üretilen ve piyasaya sürülen, en yaygın olarak bilinen ve kullanılan adli araçlardır. Encase, disk görüntüleme ve koruma, mutlak veri kurtarma gibi nitelikleri içeren çeşitli adli işlevlerle donatılmıştır. Bit dizisi, vb. Bu seri uygulamalarda, Encase sabit sürücü, CD, USB sürücüsü vb. gibi yedeklemelerin (yani Görüntülemenin) oluşturulması için kullanıldığında “E01” olarak bilinen bir dosya üretilir. Bu “.e01” uzantılı dosya öncelikle “Encase Image File Format” olarak tanınır. E01 görüntü dosyası formatı ayrıca EWF (Uzman Tanık Formatı kısaltması) olarak da bilinir. Encase yazılımı tarafından geliştirilen E01 encase görüntüsünün kavramı, Adli Tıp Uzmanlarına yardımcı olmak için Rehberlik Yazılımının etkin çabalarının sonucu olarak ortaya çıkmıştır.

E01 Dosyası Nedir?

E01 (Encase Image File Format) dosyası, disk görüntülemesi, mantıksal dosyaların depolanması vb. İçeren çeşitli dijital kanıtların yedeklenmesini sağlar. Bir araştırmacı (veya bir Adli Uzman) Encase’i kullanarak, mevcut veri yedeklerini oluşturmak için kullanılır. Sabit disk, verilerin fiziksel bir bit akışı üretilir. Bu prosedür Disk Görüntüleme olarak bilinir. Encase ve E01 görüntü dosyası formatı arasındaki ilişkinin arkasındaki temel teori, sabit diskteki verilerin görüntülerini oluştururken, Encase’nin tüm verileri belirlediğiniz (Örneğin 2048 MB) veri parçalarına ayırmasıdır. 2018 MB’lık duraklamadaki bu veri bölümü nedeniyle, çok sayıda veri dosyası, önemli sabit disk bilgilerinin saklanmasıyla oluşturulur. Bu dosyaların en kendine özgü özelliği dosya uzantısının değiştiği sırada dosyaların isminin aynı kaldığı (kullanıcı tarafından adlandırıldığı gibi) olmasıdır.

Örneğin, “Delil.E01” adıyla 2048 MB’lık ilk yığın oluşturulduysa, sonraki 2018 MB’lık parçalar “Delil.E02”, ardından “Delil.E03”, “Delil.E04” olarak adlandırılır. , “Delil.E05 ………” vb.

Not: Dosya uzantısının 2048 MB (örn. E01, E02, E03, E04 vb.) sınırı geçtikten sonra değişmesine rağmen, dosyanın iç yapısı tamamen bozulmadan kalır.

E01 Dosyasının Yapısı:

E01 görüntü dosyası formatı “Vaka Bilgisi” başlığı ile öneklenir, 64 sektörün her bloğundan sonra, yani 32 KB. CRC’lerle (Döngüsel Artıklık Kontrolü) karıştırılır. E01 dosyasının altbilgisi, görüntülenen verilerin tamamının MD5 karma değerini içerir.

Üstbilgi: E01 Encase görüntü dosyasının başlık kısmı temel olarak “Durum Bilgileri” ni içerir . Disk görüntülemesi sırasında, kullanıcının bu ayrıntıları EnCase’e girmesi gerekir.

Bu bilgiler şunları içerir:

• Kişinin adı (veya Araştırmacı)
• Durum Adı (asıl dava ile ilgili olarak)
• Ortam tanımı (verilerin toplandığı sabit diskin yapılandırması, vb.)
• Tarih / saat bilgisi (encase görüntü dosyası tamamlandığında)
• Kullanılan Encase Yazılımının sürümü
• Encase Software’in çalışmakta olduğu işletim sistemi (yani, edinilen aygıtta yüklü işletim sistemi)

CRC (Döngüsel Artıklık Kontrolü): CRC, Döngüsel Artıklık Kontrolü için bir kısaltmadır. CRC, E01 dosyalarındaki Encase tarafından orijinal verilerdeki herhangi bir yanlışlıkla değişiklik olup olmadığını kontrol etmek için kullanılan bir hata tespit kodudur. CRC temel olarak bir karma işlevidir. Her bir veri bloğu için bir CRC kodu, yazılım tarafından işleminin başlangıcında oluşturulur ve saklanır. Daha sonra, bu belirli veri bloğu tarandığında, ortaya çıkan e01 encase görüntüsünün CRC kodu tekrar hesaplanır. Yeni hesaplanan CRC kodu ve önceden kaydedilmiş CRC eşleşirse, veri bloğu hatasız olur, bazı veri hatası oluştu. CRC sağlama toplamı, her 32 KB çentik veride karıştırılır.

Veri Blokları: E01 dosyası (Encase Image File) veri parçaları içerir. Bunlar, veri yığınları, veri 32 KB bloklara bölünür ve her veri bloğu arasında herhangi bir hata olup olmadığını kontrol etmek için CRC checksum gömülüdür.

Altbilgi: E01 görüntü dosyası biçiminin altbilgi kısmı, söz konusu dosyada bulunan tüm ileti akışının bir MD5 değerini içerir. Ham görüntü dosyasının bu MD5 karma değeri, başka bir üçüncü taraf aracı tarafından oluşturulan aynı görüntü dosyasının MD5 değeriyle karşılaştırılabilir ve karşılaştırılabilir. Her iki MD5 değeri eşleşirse, orijinal disk görüntü dosyasında herhangi bir değişiklik yapılmamıştır. Eğer aksi ise dosya değiştirilmiştir.

Kaynak: Guidance Software Encase Forensic

 2,822 total views,  1 views today