Adli Bilişimde Kullanılan İmaj Alma Yazılımları

Adli Bilişim ile ilgili bu haftaki makalemde sizlere Adli Bilişimde Kullanılan İmaj Alma Yazılımları hakkında bilgi vereceğim.

Adli bilişim uzmanları farklı yazılım ve donanımlar kullanarak imaj alma işlemini gerçekleştirmektedir. Yazılımlara; Encase Forensics, Forensic Tool Kit, ProDiscover, SMART, The Sleuth Kit/Autopsy, donanımlara ise; Tableau yazma-koruma cihazları, Voom Technology cihazları, Solo-III kopyalama cihazları örnek olarak verilebilir.

1. İmaj Alma Yazılımları

Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar. Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların kullanılması ile yapılabilmektedir. [1]

Disk imajının oluşturulması, elektronik delillerin adli analiz sürecinin başlangıç noktasıdır. Disk imajının doğru bir şekilde alınması, tüm adli süreci etkileyebilecek kadar önemli bir konudur. Alınan imajın doğruluğunun, elektronik delillerin adli analizinin yapılması ve mahkeme süreci esnasında sorgulanması bunun bir göstergesidir. Elektronik delilerin analizinin yapılması, üzerinde suç şüphesi bulunan veri depolama biriminin zarar görmesi ya da inceleme yapan kişi tarafından verilerin değişmesi olasılığına karşı, adli inceleme kuralları çerçevesinde doğru bulunmamaktadır. Bu nedenle, orijinal diskin adli kopyasının (bire-bir kopya) alınmasının bir zorunluluk olduğu söylenebilir. Olay yerinin özelliğine bağlı olarak, bu işlemin canlı inceleme sonrasında yapıldığı örneklerle de karşılaşmak mümkündür.

Yazılımlar genel olarak donanım sistemleri üzerinde çalışmaya programlanmış kod dizileridir. Bilgisayar programcıları tarafında belli bir amacı gerçekleştirmeye yönelik olarak üretilirler. Birkaç satır kodla oluşturulmuş yazılımlar olabileceği gibi milyonlarca satır koddan oluşmuş yazılımlar da olabilir. Adli bilişimde kullanılan yazılımlar genellikle en alt seviye donanım birimleri ile iletişim kurmaya yetenekli karmaşık yazılımlardır. Genel olarak toplumun kullandığı yazılımlar olmadıkları için çoğunlukla kanun kuvvetlerinin ihtiyaçları ve talepleri doğrultusunda hazırlanırlar. Bu nedenle fiyatları diğer popüler programlara göre daha fazladır.

Adli bilişim dalında kullanılan yazılımlar bazen kendilerini has donanım kullanılmasını gerektirirler. Bu tür yazılımlar kullanım sırasında gereken esnekliği azalttıkları için pek tercih edilmezler. Bazı tür yazılımlar ise ortak bir dosya formatı (mesela imaj) standardı oluşturmaya çalışırlar. [1]

2.1. Kapalı Kaynak Kodlu Yazılımlar

2.1.1. Accessdata FTK Imager

Tüm dünyada en çok tanınan ve bilinen adli kopya alma yazılımıdır. Çeşitli yapıda bulunan dijital delilleri yine çeşitli formatlarda en seri ve hızlı şekilde kopyalamanıza imkân verir. Ayrıca, alınan bir adli kopyayı mevcut işletim sistemine disk olarak bağlamanıza imkân sağlar. Kullanımı kolay ve kullanıcı dostu bir yazılımdır. İndirme adresi: https://www.exterro.com/forensic-toolkit

2.1.2. Guidance Software EnCase Forensic Imager

Accessdata firması ile rekabet içerisinde bulunan Guidance Software tarafından üretilen ücretsiz bir yazılımdır. FTK Imager’dan farklı olarak mobil cihazların adli kopyasını da alabilmektedir. Ancak mobil cihaz adli kopyalarını incelemek için lisanslı EnCase yazılımı gerekmektedir. İndirme adresi: https://www.opentext.com/products/encase-forensic

2.1.3. GETDATA Forensic Imager

GETDATA firması tarafından geliştirilen yazılım adli kopya alma ve farklı adli kopyaları birbirine çevirmek için kullanılabiliyor. İndirme adresi http://www.forensicexplorer.com/ download.php

2.1.4. ProDiscover Standart

TechPathways firması tarafından geliştirilen yazılımın adli kopya alma ve farklı adli kopyaları birbirine çevirme sürümü (standart sürüm) ücretsiz olarak indirilip kullanılabilmektedir. [2]

İndirme adresi http://www.arcgroupny.com

2.2. Açık Kaynak Kodlu Yazılımlar

2.2.1. dd Imager Yazılımı (Komutu)

dd Imager, UNIX/LINUX tabanlı bir yazılım olup açık kaynak koduna sahiptir. Windows işletim sisteminde de gerekli konfigürasyonların yapılması ile kullanılabilmektedir. Günümüzde birçok sabit disk kopyalama yazılımının kaynağı olarak kullanılmaktadır. Dd Imager, dd komutunun arayüzü olup kopyalama işlemi için sadece dd komutu da kullanılabilir. dd, bilgisayarda en alt seviyede kopyalama yapılmasına imkân sağlayan bir komuttur. Başka bir ifade ile medyaların sektörel kopyalarının alınması için yazılmıştır.

2.2.2. Guymager Yazılımı

Guymager, adli bilişim uzmanlarının, medyaların ham veya EWF (Expert Witness Format) biçimlerinde kopyalarını alınmasına imkân sağlamaktadır. Daha ayrıntılı olarak, dd üzerine geliştirilmiş bir grafik arayüze sahip, dijital delil birebir kopyalama yazılımıdır. Daha çok Debian ve Ubuntu türü sistemlerde kullanılmak üzere geliştirilmiştir. Bilgisayara sonradan bağlanan medyalar üst bölümde sıralanır ve bu diskler üzerinde işlem yapılamaz. Böylece yanlış diskin kopyasının alınması önlenir. [3]

Diğer özellikleri;

• Farklı dil desteği ve kolay kullanım arayüzüne sahip olması,
• Sadece belirli Linux platformlarında çalışabilmesi.
• Hızlı ve aynı anda birden çok imaj alabilme özelliğine sahip olması,
• Çok işlemcili makinelerde bütün işlemcileri kullanabilme özelliğine sahip olması,
• Raw (dd), EWF (E01) ve AFF formatlarında imaj alabilme özelliğine sahip olması,
• Disk klonlama özelliğinin bulunması,
• Ücretsiz olması,
• MD5 ve SHA-256 algoritmalarını kullanarak hash değeri üretebilmesi,
• Alınan birebir kopyanın doğru olarak alınıp alınmadığının doğrulamasının yapılabilmesi,
• Alınan kopyayı istenilen boyutlarda parçalara bölebilmesi,
• Qt arayüzünü kullanmasıdır.

2.2.3. dcfldd Komutu

dcfldd, dd komutunun geliştirilmesi neticesinde adli bilişim uzmanları tarafından kullanılması maksadıyla 2002 yılında yazılmıştır. dd’nin özelliklerine ek olarak algoritma imzası hesaplama ve kopyalama işleminin doğrulanması gibi işlemlerin yapılmasına da imkân sağlar. Bu yazılımın dezavantajı ise sadece ham (raw) biçimde kopyalama yapılmasına imkân sağlamasıdır. Yani kopya dosyasına, yapılan işlemler ile ilgili üst veri (metadata) bilgisi yazılamamaktadır.

Dcfldd’ nin dd ye ek olarak geliştirilmiş özellikleri şunlardır:

• İşlem sırasında hash değeri hesaplama – dcfldd veri transferi esnasında veri bütünlüğünü sağlamak için hash hesaplama işlemi yapabilmektedir.
• İşlem sonuç çıktısı – dcfldd işlem esnasında ne kadar veri transferi yapıldığını ve geride transfer edilecek ne kadar verinin kaldığını gösterir.
• Esnek disk temizleme – dcfldd disk temizleme işlemi yapabilmektedir.
• İmaj/wipe doğrulama – dcfldd imaj alma ve wipe işlemlerinin sonuçlarını doğrulayabilmektedir.
• Çoklu çıktılama – dcfldd aynı anda farklı dosya veya disklere veri aktarımı yapabilmektedir.
• Çıktı dosyasının bölünmesi – dcfldd, dd’nin split parametresine göre dışa aktarılan verilerin daha güvenilir dosyalara bölünebilmesi imkânı vermektedir.
• Çıktı üzerinden işlem ve loglama – dcfldd, log dosyaları ile dışa aktarılan verileri farklı lokasyonlara aktarılmasını sağlayabilmektedir. [4]

2.2.4. sdd Komutu

dd’nin genelde debian sistemlerde kullanılan gelişmiş bir türevi olup dd’ye ek olarak;

• Daha iyi istatistik tutma ve zaman yönetimi,
• Girdi ve çıktı arasında arama yapabilme özelliği,
• Boş girdi ve çıktıları daha hızlı işleme,
• Daha iyi veri bütünlüğü sağlama,
• Tekrar eden veri transferlerini önleme özelliklerine sahiptir. [5]

2.2.5. dd_rescue Komutu

dd’nin komut satırından çalışan geliştirilmiş bir versiyonudur. dd’ye göre hatalı girdi ve çıktıları daha az göz önünde bulundurarak, bozuk ve hasarlı medyalardan veri kurtarma işlemlerinde kullanılmaktadır. Kopyalama sırasında hatalı bir alana rastlaması durumunda okuma alanını daha küçük parçalara bölerek veriyi okumaya çalışır. Komut parametreleri dd den farklıdır; Örnek: dd_rescue /dev/hda birebirkopya.img Örnek: ddrescue –no-split /dev/hda1 imagefile logfile. [6]

2.2.6. dc3dd Komutu

dd yazılımının adli bilişim için geliştirilmiş (patch) bir versiyonudur. ABD Savunma Bakanlığı Siber Suçlar Merkezi tarafından geliştirilmiştir. dc3dd, dcfldd yazılımının sahip olduğu tüm özelliklere sahip olmakla beraber, dcfldd’de olmayan dd yazılımının sahip olduğu bazı önemli özellikleri de bünyesinde barındırmaktadır. dcfldd yazılımında kullanılan komut satırı argümanlarının aynısı dc3dd yazılımında da kullanılabilmektedir.

dc3dd yazılımının, dd yazılımına ek özellikleri;

• dc3dd disk wipe etme işleminde belli bir hexadecimal veya string değer kullanabilmektedir.
• MD5, SHA-1, SHA-256, ve SHA-512 hash algoritmalarını desteklemektedir.
• Girdi/çıktı verisine göre süreç cetveli bulunmaktadır.
• Hata ve hash loglarını birlikte gösterebilmektedir.
• Ciddi ardışık hatalarda ayrı bir log dosyası üretmektedir.
• Girdi ve çıktı verisi arasında doğrulama özelliğine sahiptir.
• Dışa aktarılan dosyalarda numerik veya alfabetik uzantılarla kaydetmektedir. [7]

2.2.7. AIR – Automated Image and Restore

AIR (Automated Image and Restore) dd ve dc3dd yazılımları ile adli bilişim amaçlı imaj alınabilmesi için hazırlanmış grafik arayüze sahip bir programdır.
Yazılımın özellikleri;

• IDE, SCSI, CD-ROM ve tape yedekleme ünitelerini otomatik görüntüleme,
• dd veya dc3dd yazılımlarını ayrı ayrı kullanım seçeneği,
• MD5 veya SHA1/256/384/512 algoritmaları kullanarak kaynak ve kopya arasında imaj doğrulama özelliği,
• gzip/bzip2 formatında imaj sıkıştırma ve açma özelliği,
• TCP/IP protokolü üzerinden netcat/cryptcat ile ağ üzerinden imaj alma özelliği,
• SCSI tape sürücü desteği,
• Disk veya bölüm wipe edebilme özelliği,
• İmaj dosyasını daha küçük dosyalara bölebilme,
• Tarih/saat ve kullanılan komutları gösteren detaylı log kayıtları tutabilme özellikleridir.

AIR yazılımının en önemli özelliği, otomatik olarak medyaları tanımlayarak üzerinde işlem yapılmasına imkân sağlamasıdır. Yazılım çalıştırıldığında, medyaların tanımlı olarak bulunduğu işletim sistemi dosyalarına inceleyerek, bilgisayara bağlanmış durumda olan tüm medyaların bir listesini çıkartır. [8]

2.2.8. Advanced Forensic Format Library (afflib)

Advanced Forensic Format Library (afflib) adli bilişim amaçlı geliştirilmiş bir tür dosya formatı ve bu formatı kullanan programlar bütünüdür. AFF (Advanced Forensic Format) biçimi kopyaların yukarıda bahsedilen diğer kopyalama türlerine nazaran temel iki üstünlüğü vardır. Bunlar;

• İmaj dosyalarına üst veri (metadata) bilgileri gibi dosya bilgileri de eklenebilmesi,
• Sıkıştırma teknolojisi sayesinde imaj dosyalarının daha az yer kaplamasıdır.

AFF yazılımı, kullanıcıları veri segmentlerini, sıkıştırmasını veya diğer teknik verileri anlamaya zorlamak yerine, af_open(), af_read() and af_seek() gibi komutlar aracılığıyla AFF türü kopya dosyaları birer veritabanı gibi kullanılabilmekte ve sorgulanabilmektedir. [9]

KAYNAKLAR

1. Say, K. (2006). Bilişim Suçlarında Elde Edilen Delillerin Olay Yerinden Toplanması ve Laboratuvarlarda İncelenmesi, Yüksek Lisans Tezi, Ankara Üniversitesi.
2. Web: http://www.difose.com/blog/index.php/acik-kaynak-yazilim/118-acik-kaynak-adli-bilisim-cozumleri, Erişim Tarihi: 22 Aralık 2014
3. Web: Guymager, http://guymager.sourceforge.net, Erişim Tarihi: 22 Aralık 2014
4. Web: dcfldd, http://dcfldd.sourceforge.net, Erişim Tarihi: 22 Aralık 2014
5. Web: http://www2.opensourceforensics.org/tools/unix, Erişim Tarihi: 22 Aralık 2014
6. Web: http://www.gnu.org/software/ddrescue/ddrescue.html, Erişim Tarihi: 22 Aralık 2014
7. Web: http://dc3dd.sourceforge.net, Erişim Tarihi: 22 Aralık 2014
8. Web: http://sourceforge.net/projects/air-imager, Erişim Tarihi: 23 Aralık 2014
9. Web: http://www.forensicswiki.org/wiki/AFF, Erişim Tarihi: 23 Aralık 2014