Encase Arayüzü – Yeni Case Oluşturma

by Fatih Berber · 04/12/2018

Yeni Olay (New Case)

Makaleme başlamadan önce aklıma gelen ilk hatırlatmayı unutmadan yazayım;

Adli incelemerde dava dosyasının raporu ilgili birime teslim edildikten sonra arşivlenmesi çok önemlidir. İmajlar ve inceleme aşamasında kullanılan yazılımlarda arşivlenmelidir. Çünkü daha sonra tekrar imaj incelenmek istenir ise aynı versiyon yazılımların setup dosyaları o zamanın şartlarına göre bulunamayalabilir.

Adli aşamalarda kafaya takilan diğer konu bu yazılımların delile müdahale edip etmediği yönündedir. Encase gibi forensic yazılımları imaj dosyasına hiç bir şekilde müdahale etmemektedir. Müdahale adli (forensic) incelemelerde yapılmaz ancak veri kurtarmak için kullanılabilir. Örneğin bir dosyanın sebebi bilinmeyen bir durumdan dolayı MBR kaydında bozulmalar olmuş olabilir. Bu aşamada MBR düzeltilerek dosya içeriğine ulaşılabilmektedir. (XWAYS yazılımı olan WinHex editör yazılımı ile yapılabilmektedir.)

Encase imaj formatları

Encase imaj formatları aşağıdaki şekilde olmaktadır.

E01: Encase Forensic İmage
Ex01: Encase V7 ile gelen özellik
L01: Encase Logic image
Lx01: Encase V7 ile gelen özellik

Yukarıda isimleri yazılmış Encase imaj formatları sıkıştırılmış formattadır. Sıkıştırılmamış yani birebir kopyalanmış ise RAW formatında olmaktadır. RAW imaj formatına ham data da denilmektedir. RAW imaj dosyasını E01 imaj dosyasına dönüştürmek için ücretsiz yazılım olan FTK imager yazılımından faydanalılabilir.

Adli incelemede sahada genel olarak ham imaj yani RAW formatı tercih edilemektedir. Bunun sebebi sıkışturma yapmadığından hızlı imaj alınmakta ve zaman kaybı olmamaktadır. E01 ile RAW arasında adli inceleme açısından herhangi bir fark yoktur. E01 sıkıştırıldığından daha az yer kaplamaktadır.

örneğin 2 TB lık diskin içerisinde 100 gb lık veri olup diskin diğer kısımları ham halde ise sıkıştırılmada bu alanlar “0” olarak işaretlendiğinden az yer kaplayıp 2 TB dan daha küçük bir diske imajı alınabilir. Eğer RAW olarak alacak isek hedef disk 2 TB dan büyük olmak zorundadır. Yer açısından ise E01 formatı tercih edilmektedir.

Case dosyası, bir incelemeye ait bilgilerin kaydedildiği dosyadır. Case dosyası aşağıdaki bilgileri içermektedir.

Delil Dosyasının İşletim Sistemi İçindeki Yeri
Bookmark bilgileri
Arama sonuçları
Sınıflandırmalar
Hash değeri analizleri
Dosya imzaları sonuçları
Olay ile ilgili encase üzerinde yapılan çalışmalar
Adli incelemeciye ait bilgiler

Case dosyasında değişiklikler yapıldığında değişikliklerin kalıcı olması için kaydedilmesi gerekmektedir. İşlemlerin bir süre çalıştıktan sonra sonuç getireceği düşünüldüğünde kaydetmenin önemi anlaşılacaktır.

Encase kullanımı hakkında aşağıdaki kitaptan faydalanabilirsiniz.