FTK IMAGER ile Adli İmaj Görüntüleme
BÖLÜM 1: FTK IMAGER HAKKINDA KISA BİR BİLGİ:
FTK IMAGER İLE ADLİ İMAJ GÖRÜNTÜLEME
Bu makalemizde Amerika’da Kurulu AccessData firmasının ürettiği ücretsiz olarak firmanın İnternet adresinden indirilebilen FTK Imager yazılımı ile elimizde bulunan ADLİ İMAJ DOSYASI (e01-raw- vb uzantılı) dosyaların açılması konusunu işleyeceğim.
İndirme Adresi : http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.3
Kısaca FTK Imager programından bahseder isek, adli bilişim standartlarında imaj aldığı için bu alanda en çok tercih edilen adli imaj alma yazılımlardan bir tanesidir. İmaj dosyasının içeriğindeki tahsis edilmemiş tüm alan ile birlikte gizli dosyaları da gösterebilmektedir. FTK Imager ile alınan imaj dosyasının bulunduğu alana oluşturulan metin dosyası içinde, adli bilişim açısından ihtiyaç bulunan tüm bilgiler ( Hash değeri , imaj tarihi vb) yer almaktadır. AccesData firması, FTK Imager yazılımının ve güncel versiyonlarının ücretsiz kullanımına izin vermektedir. FTK Imager yazılımı ile ham halde (dd), E01 (Expert Witness, Encase) ve AFF biçimlerinde birebir kopyalar alınabilmekte, alınan imaja sonradan erişebilme, farklı formata dönüştürebilme ve imaj dosyasını disk sürücüsü gibi görebilmeyi de sağlamaktadır. Tüm dosya sistemleri (Windows, Linux, Machintosh) ile uyumlu olması üstün özelliklerinden biridir. Ayrıca FTK Imager, FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de desteklemektedir. [1]
Diğer bir özelliği de erişilebilen medyaların MD5 veya SHA hash değerlerini üretebilmesidir. Gerçek anlamda, MD5 hash değerinin üretilmesi, orijinal verilerin bütünlüğünün korunduğunun garantisini verebilmek maksadıyla yapılır.[9] Yazılımın ana amacı veri depolama birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Yazılımın veri kurtarmadaki etkinliği, genellikle verinin silindiği zamana bağlıdır.
FTK Imager ile sabit disk, CD, DVD, disket, zip disk, klasör veya dosya imajı alınabilmekte ya da ön izlemesi yapılabilmektedir. Yerel bilgisayarda veya ağ üzerindeki bir ortamda kayıtlı imajın içeriğini görüntülenebilmektedir. Ayrıca Ram imajı da alınabilmektedir. Alınan imaj dosyalarını salt okunur (Read-only) olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlim görmesine de ortam hazırlar ve imaj dosyaları içerisinden dizin ya da dosyaların dışarı kopyalanmasına imkân tanır. Dosyaların ve disk imajının veya imaj içerisindeki dosyaların hash değerlerini hesaplayabilmektedir. Alınan imaj dosyaları şifrelenebilmektedir.[2]
Genel Özellikleri;
- Medyalar içerisinde bulunan verilerin ön izlemesi yapılabilir,
- Birebir kopyası alınmış olan medyaların kopyalarının ön izlemesi yapılabilir,
- Alınmış olan birebir kopyalar sadece okuma modunda (read-only) görüntülenebilir (mount),
- Kopyalar içerisinden veriler dışarı Windows ortamına aktarılabilir,
- Silinmiş ve çöp kutusuna atılmış olan dosyalar görüntülenebilir,
- MD5 ve SHA-1 algoritmalarını kullanarak hash değeri üretilebilir,
- Birebir kopyalar ile normal dosyalar için hash raporları üretilebilir. [3]
FTK IMAGER PROGRAMININ KULLANIMI:
FTK Imager tüm özelliklerine erişmek için Menü Çubuğunu kullanabilirsiniz. Menü Çubuğu her zaman görünür ve erişilebilir haldedir. Menü Çubuğu üzerinde dört öğe vardır. Bunları bu bölümde ayrıntılı olarak ele alacağız.
Programın genel görünümü aşağıdaki gibidir.
Menülerin genel görünümü:
File Menu: Dosya menüsü Araç Çubuğu kullanabileceğiniz tüm özelliklere erişim sağlar.
View Menu: Programın genel görünümünde görünmesi istenen pencerelerin aktif veya pasif edildiği bölümdür.
Mode Menu: Ön izleme modu seçmenizi sağlar
Help Menu: Yardım menüsü FTK Imager Kullanıcı Kılavuzu erişim sağlar ve program sürümü ve hakkında bilgi verir.
Toolbar: Araç Çubuğu Exit hariç, Dosya menüsünden ulaşılabilir tüm araçlar, işlevler veya özellikler içerir. Aşağıdaki tabloda, her özelliği temel bilgiler sağlar.
FTK Imager Araç Çubuğu Bileşenleri:
BÖLÜM 2:
KONU: ADLİ OLARAK ALINMIŞ BİR İMAJI GÖRÜNTÜLEME:
Kısaca FTK Imager nedir?
– FTK araç seti, FTK Imager adlı bağımsız bir disk görüntüleme programı içerir. FTK Imager, sabit disk görüntüsünü bir dosyada ya da daha sonra yeniden yapılandırılabilen bölümlerde kaydetme yeteneğine sahiptir.
– MD5 karma değerlerini hesaplar ve dosyaları kapatmadan önce verilerin bütünlüğünü onaylar.
– FTK Imager ile silinen dosyaları kurtarabilirsiniz.
Daha önce yayımladığım makalemde Adli İmajın nasıl alınacağından bahsetmiştim. ( https://fatihberber.com/adli-bilisim-incelemelerinde-birebir-kopya-alma) Şimdi ise alınan Imajın FTK Görüntüleyiciyi Kullanarak Kanıt Ürünlerini Ekleme işleminin nasıl yapıldığından bahsedeceğim.
Süreci göstermek için flash belleğimin bir adli imajını oluşturdum. Bu imaja bir delil öğesi olarak şimdi bakalım.
Aşama 1 :
AccessData FTK Imager programımız Yönetici olarak çalıştırıyoruz. Menülerden Adli Delilimizi eklemek için – “” seçiyoruz.
Dosya (File) menüsünden kanıt ağacına tek bir kanıt öğesini eklemek için Kanıt Ekle (Add Evidence Item…) öğesini seçiyoruz. Ayrıca fiziksel ve mantıksal aygıtların tümünü eklemek için ise Tüm Ekli Aygıtları Ekle’yi (Add All Attached Devices” de seçiyoruz. (CD veya DVD veya bir DVD-RW gibi bağlı bir aygıta ortam yoksa, aygıt atlanır). Biz konumuz gereği tek bir kanıt ekleyeceğiz.
Aşama 2 :
Açılan pencerede bize “Kaynak Kanıt Türü” nü sormaktadır. Bilgisayarımıza bağlı Fiziksel sürücü ( Physical Drive) veya mantıksal sürücü (Lojical Drive) (daha önce belirtildiği gibi, fiziksel bir cihaz birden fazla mantıksal sürücü içerebilir) seçebilmekteyiz. Belirli bir klasöre bakmak için ise daha önce oluşturduğunuz bir görüntü dosyasını veya Bir Klasörün İçeriğini görüntülemek için bir Görüntü Dosyası ( Contents of a Folder) da seçebilirsiniz . Bu örnekte, aldığımız flash belleğe ait imajı görüntüleyeceğimizden dolayı “Image File” işaretleyip “İleri” diyoruz.
Aşama 3 :
Ardından bize delil dosyasının yerini soran gözat penceresi karşımıza gelmektedir. Delil dosyasını bulup içeriğinde olan “*.001 veya *.e01” dosyasını seçip aç diyoruz. ( Dosya uzantısı Raw olarak alınmış ise *.001 şeklinde, eğer Encase formatında sıkıştırılmış olarak alındı ise *.E01 şeklinde olmaktadır ). Daha sonra Son (Finish) düğmesini tıklayarak delil dosyamızı açmış oluyoruz.
Aşama 4 :
Bu aşamada eklediğimiz kanıt dosyasının içeriğine bakmak için dosyaların olduğu bölümümü açarak buradan öğenin içeriğine ayrıntılı bir şekilde ulaşabiliyoruz. Buna bölümler ve bölümlenmemiş alan, kök klasörden aşağıya doğru olan klasörler ve kurtarılabilir veriler içerebilen ayrılmamış alanlar da dahildir.
Ben konuyu anlatma için daha önce sildiğim “Resimlerim” klasörüne baktığımızda, dosya boşluğu ile birlikte klasördeki dosyaların bir listesini görüyoruz. (Dosya boşluğu, dosyanın sonuyla ve depolandığı disk kümesinin sonundaki boşluktur. Veriler nadiren kümeleri tam olarak doldurduğundan adli incelemelerde daha eski bir dosyayla aynı kümeye daha küçük bir dosya yazılması durumunda kalıcı veriler ortaya çıkar ve potansiyel olarak silinmiş veri üzerinden delil elde edilmiş olur.)
Dosya Listesi bölümüne baktığımızda silinen dosyaların üzerinde çarpı işaretinin olduğu görülmektedir. Seçim yapıldığında önizleme bölümünde ise silinmiş dosya görüntülenmektedir. Özellikler (Properties) bölümünde ise oluşum-Erişim ve silme tarihleri dahil dosya hakkında teknik bilgileri içermektedir.
Burada tüm diski inceleyerek silinmiş dosyalar dahil aradığımız verileri görebilmekteyiz. Ayrıca Hex olarakta veriler incelenebilmektedir.
Ayrıca bazen aradığımız dosya “Unallocated space” alanında olmaktadır. İnceleme yapılır iken bu alana da bakmayı unutmayınız.
Aşama 5 :
Bu aşamada Silinmiş Görüntüyü Kurtarma işlemi yapmak için resmin bulunduğu dosyayı sağ tıklayıp çıkan pencereden Dosyaları Dışa Aktar “Export Files” seçeneğini seçiyoruz.
Aşama 6 :
Daha sonra bize Hedef klasörü seçmemiz için pencere çıkarmaktadır. Eğer bir klasör oluşturmadık ise yeni klasör oluşturabiliriz veya daha önce oluşturduğumuz bir dosyayı seçerek tamam dediğimizde delilleri dışarı çıkartıyoruz.
Aşama 7 :
İşlem tamamlandığında bize durum bilgisini göstermektedir.
Aşama 8 :
Adli olarak incelenen ve raporlanan dava dosyasının içeriğinde hakkımda çıkan delilin üzerinde oynana yapılıp yapılamadığını anlamak için tarafınıza verilen imajın “HASH” değerleri ve dosayalara ait “HASH” değelerini ve dosya yolu uzantılarını karşılaştırma yapmamız için;
– seçtiğiniz dosya üzerinde sağ tıklayıp açılan pencereden “Hash List” seçilmelidir.
Açılan pencerede listemizin kaydedileceği yeri sormaktadır.
Kaydedilen CSV dosyasının içerisinde MD5, SHA1 ve dosya yolu bilgileri gözükmektedir. Buradan karşılaştırma işlemi yapılabilmektedir.
Umarım makalem faydalı olmuştur. Bir sonraki makalemde görüşmek üzere….
Not: Burada temsil edilen görüşler yalnızca yazarın görüşleri olup bilgi amaçlı olarak sunulmaktadır. Açık yazılı izni olmaksızın yayımlanan içeriğin çoğaltılması uygun değildir. Kaynak gösterilmesi koşulu ile alıntı yapılabilir. Lütfen emeğe saygı gösterelim. © 2017
KAYNAKÇA:
İlgili adresten Kullanım kılavuzunu indirerek daha ayrıntılı bilgiler edinilebilir. https://support.accessdata.com/hc/en-us/articles/204275735-FTK-Imager-version-3-3-0-User-Guide
[1] Altheide, C. & Carvey, H. & Davidson, R. ‘‘Disk and File System Analysis’’, Digital Forensics with Open Source Tools, Editor: Davıdson, R., Elsevier Inc, MA, 39-67, 2011.
[2] Editörler Çakır, H. & Kılıç, S.K. (2014) Adli Bilişim ve Elektronik Deliller, S-213, Seçkin Yayınları, Ankara
[3] AccesData, ‘‘FTK Imager User Guide 2012’’, https://ad-pdf.s3.amazonaws.com/Imager %203_1_4_UG.pdf, (Erişim Tarihi: 08.12.2014)
Güzel çalışma, herkes tarafından rahatça anlaşılacak düzeyde yazmış sınız. Başarılar
İlginiz için teşekkür ederim.
Bilgi güçtür..teşekkür ederim..çok faydalı bilgiler..
İlginiz için bende teşekkür ederim.
Fatih bey imaj acılırsa delil özelliği kaybolur deniliyor. Doğrumudur? Ozellik degişir yada kaybolurmu acaba? İmajın kopyası alınıp o kopya uzerinden goruntulemeye calıssak olmazmı?
Adli İnceleme yazılımları ile adli imajlar açıldığından dolayı herhangi bir delilde zarar veya hash değeri değişmemi olmaz.
herhangi bir sorun olmaz. zaten imaj alınmasındaki amaçta bu. ayrıntılı bilgi için programın kullanım klavuzu: https://support.accessdata.com/hc/en-us/articles/204275735-FTK-Imager-version-3-3-0-User-Guide
Cep telefonu imagerlarının açılması farklı mı oluyor? Bi çok fotoğraf müzik doğrudan gözüküyor. Diğer imager olan dosyaları açmak istiyorum. Programı kurdum. Sizin tarife göre programa ımage dosyasını ekledim. Fakat alt tarafında harfli rakamlı kodlar çıktı başka bişey çıkmadı. yardımcı olurmusunuz?
e-posta adresinize dönüş yapılmıştır.
Hocam aynı problemden müzdaribim. Acaba dönüş yapma şansınız var mıdır? Şimdiden teşekkür ettim.
Fatih Bey öncelikle İyi çalışmalar diliyorum Çok güzel bir yazı paylaşmışsınız Raw biçimli HDD yi açmak için ne yapabilirim Yardımcı olursanız çok sevinirim
http://www.r-studio.com/ veya http://www.recovermyfiles.com/ yazılımları ile verilerinizi geri getirebilirsiniz.
Güzel ve kapsamlı aynı zamanda anlaşılır bir çalışma olmuş.. İyi çalışmalar diliyorum..Bir konu hakkında bilginize ihtiyacım vardır geri dönüş yaparsanız sevinirim..
Yardımcı olmaya çalışırım?
Şimdiden Teşekkürler Fatih hocam.
Merhaba,
Elimde TD2u programı ile (ver:1.2.0) sıkıştırılmış bir hardisk yedeği var. Bunu açmam gerekiyor. Önerdiğiniz AccessData_FTK_Imager_3.4.3_x64 ile bunu açmaya çalıştım ancak [root] dizini altında yedeğin açılmamış kendi halini görüyorum. HEX kodları alt ekranda görünüyor. Hardisk exFat olarak biçimlendirilmiş. Acaba o yüzden mi ben image içeriğini göremiyorum ?
Konuyla ilgili tecrübelerinizi paylaşırsanız çok memnun olurum
Eğer yönergelere göre açıyorsanız açılması gerekmektedir. eğer tekrardan açamaz iseniz ekran görüntülerini mail ile gönderirseniz yönelendirme yapabilirim. fatihberber.com@gmail.com
Selam Fatih hocam. Ben Mersin Asayiş Şb.de Bilişim suçları ile ilgili olarak çalışmalar yapmaktayım. FTK programınını fiyatı ne kadardır?. ücretsiz olan sürümünü nasıl temin edebilirim?
Bilgilendirirseniz sevinirim.
Teşekkürler,
İyigünler
Sayın hocam kolay gelsin.2016 yılında bilgisayarım ve harddisklerimin imajı TABLEAU cihazı ile imajıı alındı.Şuanda imaj lar harddiskte.Adli imaj olduğu için birebir kopya halinde alındı sanırım.Yalnız 2-3 gb şeklinde parçalanmış ve sıkıştırılmış dosyalar halinde.Uzantılar E01 şeklinde .
http://fatihberber.com/ftk-imager-ile-adli-imaj-goruntuleme/ linkinizden anlattıklarınızı uygulamaya çalışacağım.Ftk imager proğramını kurdum.Ama dosyaların birleştirilip görüntülenme işini yapamıyorum.İçinden dosyaları birleştirip almak istediğim sadece 1 dosyam var.Daha önce imajı alınan cihazım geri dönüşülmeyecek şekilde arızalandı.Sadece elimde şuan imaj aktarılmış harddiskler var.O yüzden çok elzem bu dosyayı bulup tekrar imaj dosyalarından çıkarmam.Yoğunluğunuzun arasında ilgilenip yönlendirebilirseniz memnun olurum.
gönderdiğim e-posta içeriğindeki aşamaları takip ederek sorununuzu çözebildiniz mi?
Fatih bey elimde 001 uzantılı usb dosyaları vardı onu dediğiniz şekilde açtım ancak birde 1tblık hdd nin var onu aynı yöntemle denedim unrecognized file system dedi, select source kısmından diğerlerini denedim root içinde çıktı ama yine dosyalar 001 uzantılı ek olarak File slack uzantılı birer dosya daha çıktı. Ne yapmam gerek acaba
e-posta adresinize dönüş yapılmışır.
Fatih bey silinen dosyaların ne zaman materyale yüklendiği de görülebilir mi
Eğer silinen dosya tanımlama bilgileri üzerine herhangi bir veri yazılmadı ise Dosya adı, türü, boyutu, tarihi ve daha fazlasını görüntüler. Örneğin Orijinal oluşturma ve değiştirilmiş veya silinmiş dosya tarihlerini geri yükler.