BÖLÜM 1: FTK IMAGER HAKKINDA KISA BİR BİLGİ:

FTK IMAGER İLE ADLİ İMAJ GÖRÜNTÜLEME

        Bu makalemizde Amerika’da Kurulu AccessData firmasının ürettiği ücretsiz olarak firmanın İnternet adresinden indirilebilen FTK Imager yazılımı ile elimizde bulunan ADLİ İMAJ DOSYASI (e01-raw- vb uzantılı) dosyaların açılması konusunu işleyeceğim.

İndirme Adresi : http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.3

Kısaca FTK Imager programından bahseder isek, adli bilişim standartlarında imaj aldığı için bu alanda en çok tercih edilen adli imaj alma yazılımlardan bir tanesidir.  İmaj dosyasının içeriğindeki tahsis edilmemiş tüm alan ile birlikte gizli dosyaları da gösterebilmektedir. FTK Imager ile alınan imaj dosyasının bulunduğu alana oluşturulan metin dosyası içinde, adli bilişim açısından ihtiyaç bulunan tüm bilgiler  ( Hash değeri , imaj tarihi vb) yer almaktadır. AccesData firması, FTK Imager yazılımının ve güncel versiyonlarının ücretsiz kullanımına izin vermektedir. FTK Imager yazılımı ile ham halde (dd), E01 (Expert Witness, Encase) ve AFF biçimlerinde birebir kopyalar alınabilmekte, alınan imaja sonradan erişebilme, farklı formata dönüştürebilme ve imaj dosyasını disk sürücüsü gibi görebilmeyi de sağlamaktadır. Tüm dosya sistemleri (Windows, Linux, Machintosh) ile uyumlu olması üstün özelliklerinden biridir. Ayrıca FTK Imager, FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de desteklemektedir. [1]

Diğer bir özelliği de erişilebilen medyaların MD5 veya SHA hash değerlerini üretebilmesidir. Gerçek anlamda, MD5 hash değerinin üretilmesi, orijinal verilerin bütünlüğünün korunduğunun garantisini verebilmek maksadıyla yapılır.[9]  Yazılımın ana amacı veri depolama birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Yazılımın veri kurtarmadaki etkinliği, genellikle verinin silindiği zamana bağlıdır.

FTK Imager ile sabit disk, CD, DVD, disket, zip disk, klasör veya dosya imajı alınabilmekte ya da ön izlemesi yapılabilmektedir. Yerel bilgisayarda veya ağ üzerindeki bir ortamda kayıtlı imajın içeriğini görüntülenebilmektedir. Ayrıca Ram imajı da alınabilmektedir. Alınan imaj dosyalarını salt okunur (Read-only) olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlim görmesine de ortam hazırlar ve imaj dosyaları içerisinden dizin ya da dosyaların dışarı kopyalanmasına imkân tanır. Dosyaların ve disk imajının veya imaj içerisindeki dosyaların hash değerlerini hesaplayabilmektedir. Alınan imaj dosyaları şifrelenebilmektedir.[2]

 Genel Özellikleri;

• Medyalar içerisinde bulunan verilerin ön izlemesi yapılabilir,
• Birebir kopyası alınmış olan medyaların kopyalarının ön izlemesi yapılabilir,
• Alınmış olan birebir kopyalar sadece okuma modunda (read-only) görüntülenebilir (mount),
• Kopyalar içerisinden veriler dışarı Windows ortamına aktarılabilir,
• Silinmiş ve çöp kutusuna atılmış olan dosyalar görüntülenebilir,
• MD5 ve SHA-1 algoritmalarını kullanarak hash değeri üretilebilir,
• Birebir kopyalar ile normal dosyalar için hash raporları üretilebilir. [3]

FTK IMAGER PROGRAMININ KULLANIMI:

       FTK Imager tüm özelliklerine erişmek için Menü Çubuğunu kullanabilirsiniz. Menü Çubuğu her zaman görünür ve erişilebilir haldedir. Menü Çubuğu üzerinde dört öğe vardır. Bunları bu bölümde ayrıntılı olarak ele alacağız.

Programın genel görünümü aşağıdaki gibidir.

Menülerin genel görünümü:

File Menu: Dosya menüsü Araç Çubuğu kullanabileceğiniz tüm özelliklere erişim sağlar.

View Menu: Programın genel görünümünde görünmesi istenen pencerelerin aktif veya pasif edildiği bölümdür.
Mode Menu: Ön izleme modu seçmenizi sağlar

Help Menu: Yardım menüsü FTK Imager Kullanıcı Kılavuzu erişim sağlar ve program sürümü ve hakkında bilgi verir.

Toolbar: Araç Çubuğu Exit hariç, Dosya menüsünden ulaşılabilir tüm araçlar, işlevler veya özellikler içerir. Aşağıdaki tabloda, her özelliği temel bilgiler sağlar.

FTK Imager Araç Çubuğu Bileşenleri:

BÖLÜM 2: 

KONU: ADLİ OLARAK ALINMIŞ BİR İMAJI GÖRÜNTÜLEME:

Kısaca FTK Imager nedir?
– FTK araç seti, FTK Imager adlı bağımsız bir disk görüntüleme programı içerir. FTK Imager, sabit disk görüntüsünü bir dosyada ya da daha sonra yeniden yapılandırılabilen bölümlerde kaydetme yeteneğine sahiptir.
– MD5 karma değerlerini hesaplar ve dosyaları kapatmadan önce verilerin bütünlüğünü onaylar.
– FTK Imager ile silinen dosyaları kurtarabilirsiniz.

Daha önce yayımladığım makalemde Adli İmajın nasıl alınacağından bahsetmiştim.  ( https://fatihberber.com/adli-bilisim-incelemelerinde-birebir-kopya-alma) Şimdi ise alınan Imajın FTK Görüntüleyiciyi Kullanarak Kanıt Ürünlerini Ekleme işleminin nasıl yapıldığından bahsedeceğim.

Süreci göstermek için flash belleğimin bir adli imajını oluşturdum. Bu imaja bir delil öğesi olarak şimdi bakalım.

Aşama 1 : 

AccessData FTK Imager programımız Yönetici olarak çalıştırıyoruz. Menülerden Adli Delilimizi eklemek için  – “” seçiyoruz.

Dosya (File) menüsünden kanıt ağacına tek bir kanıt öğesini eklemek için Kanıt Ekle (Add Evidence Item…)  öğesini seçiyoruz. Ayrıca fiziksel ve mantıksal aygıtların tümünü eklemek için ise Tüm Ekli Aygıtları Ekle’yi (Add All Attached Devices” de seçiyoruz. (CD veya DVD veya bir DVD-RW gibi bağlı bir aygıta ortam yoksa, aygıt atlanır). Biz konumuz gereği tek bir kanıt ekleyeceğiz.

Aşama 2 : 

Açılan pencerede bize “Kaynak Kanıt Türü” nü sormaktadır. Bilgisayarımıza bağlı Fiziksel sürücü ( Physical Drive) veya mantıksal sürücü (Lojical Drive) (daha önce belirtildiği gibi, fiziksel bir cihaz birden fazla mantıksal sürücü içerebilir) seçebilmekteyiz. Belirli bir klasöre bakmak için ise daha önce oluşturduğunuz bir görüntü dosyasını veya Bir Klasörün İçeriğini görüntülemek için bir Görüntü Dosyası ( Contents of a Folder) da seçebilirsiniz . Bu örnekte, aldığımız flash belleğe ait imajı görüntüleyeceğimizden dolayı “Image File” işaretleyip “İleri” diyoruz.

Aşama 3 : 

Ardından bize delil dosyasının yerini soran gözat penceresi karşımıza gelmektedir. Delil dosyasını bulup içeriğinde olan “*.001 veya *.e01” dosyasını seçip aç diyoruz. ( Dosya uzantısı Raw olarak alınmış ise *.001 şeklinde, eğer Encase formatında sıkıştırılmış olarak alındı ise *.E01 şeklinde olmaktadır ).  Daha sonra Son (Finish)  düğmesini tıklayarak delil dosyamızı açmış oluyoruz.

Aşama 4 : 

Bu aşamada eklediğimiz kanıt dosyasının içeriğine bakmak için dosyaların olduğu bölümümü açarak buradan öğenin içeriğine ayrıntılı bir şekilde ulaşabiliyoruz. Buna bölümler ve bölümlenmemiş alan, kök klasörden aşağıya doğru olan klasörler ve kurtarılabilir veriler içerebilen ayrılmamış alanlar da dahildir.

Ben konuyu anlatma için daha önce sildiğim “Resimlerim” klasörüne baktığımızda, dosya boşluğu ile birlikte klasördeki dosyaların bir listesini görüyoruz. (Dosya boşluğu, dosyanın sonuyla ve depolandığı disk kümesinin sonundaki boşluktur. Veriler nadiren kümeleri tam olarak doldurduğundan adli incelemelerde daha eski bir dosyayla aynı kümeye daha küçük bir dosya yazılması durumunda kalıcı veriler ortaya çıkar ve potansiyel olarak silinmiş veri üzerinden delil elde edilmiş olur.)

Dosya Listesi bölümüne baktığımızda silinen dosyaların üzerinde çarpı işaretinin olduğu görülmektedir. Seçim yapıldığında önizleme bölümünde ise silinmiş dosya görüntülenmektedir. Özellikler (Properties) bölümünde ise oluşum-Erişim ve silme tarihleri dahil dosya hakkında teknik bilgileri içermektedir.

Burada tüm diski inceleyerek silinmiş dosyalar dahil aradığımız verileri görebilmekteyiz. Ayrıca Hex olarakta veriler incelenebilmektedir.

Ayrıca bazen aradığımız dosya “Unallocated space” alanında olmaktadır. İnceleme yapılır iken bu alana da bakmayı unutmayınız.

Aşama 5 : 

Bu aşamada Silinmiş Görüntüyü Kurtarma işlemi yapmak için resmin bulunduğu dosyayı sağ tıklayıp çıkan pencereden Dosyaları Dışa Aktar “Export Files” seçeneğini seçiyoruz.

Aşama 6 : 

Daha sonra bize Hedef klasörü seçmemiz için pencere çıkarmaktadır. Eğer bir klasör oluşturmadık ise yeni klasör oluşturabiliriz veya daha önce oluşturduğumuz bir dosyayı seçerek tamam dediğimizde delilleri dışarı çıkartıyoruz.

Aşama 7 : 

İşlem tamamlandığında bize durum bilgisini göstermektedir.

Aşama 8 : 

Adli olarak incelenen ve raporlanan dava dosyasının içeriğinde hakkımda çıkan delilin üzerinde oynana yapılıp yapılamadığını anlamak için tarafınıza verilen imajın “HASH” değerleri ve dosayalara ait “HASH” değelerini ve dosya yolu  uzantılarını karşılaştırma yapmamız için;

– seçtiğiniz dosya üzerinde sağ tıklayıp açılan pencereden “Hash List” seçilmelidir.

Açılan pencerede listemizin kaydedileceği yeri sormaktadır.

Kaydedilen CSV dosyasının içerisinde MD5, SHA1 ve dosya yolu bilgileri gözükmektedir. Buradan karşılaştırma işlemi yapılabilmektedir.

Umarım makalem faydalı olmuştur. Bir sonraki makalemde görüşmek üzere….

Not: Burada temsil edilen görüşler yalnızca yazarın görüşleri olup bilgi amaçlı olarak sunulmaktadır. Açık yazılı izni olmaksızın yayımlanan içeriğin çoğaltılması uygun değildir. Kaynak gösterilmesi koşulu ile alıntı yapılabilir. Lütfen emeğe saygı gösterelim. © 2017

KAYNAKÇA:

İlgili adresten  Kullanım kılavuzunu indirerek daha ayrıntılı bilgiler edinilebilir. https://support.accessdata.com/hc/en-us/articles/204275735-FTK-Imager-version-3-3-0-User-Guide

[1] Altheide, C. & Carvey, H. & Davidson, R. ‘‘Disk and File System Analysis’’, Digital Forensics with Open Source Tools, Editor: Davıdson, R., Elsevier Inc, MA, 39-67, 2011.

[2] Editörler Çakır, H. & Kılıç, S.K. (2014) Adli Bilişim ve Elektronik Deliller, S-213, Seçkin Yayınları, Ankara

[3] AccesData, ‘‘FTK Imager User Guide 2012’’, https://ad-pdf.s3.amazonaws.com/Imager %203_1_4_UG.pdf, (Erişim Tarihi: 08.12.2014)