FTK IMAGER
Herkese merhaba, bu yazımda FTK Imager kurulumu, arayüz tanıtımı, hash alma, usb bellek ve ram imajı alma işlemlerinden bahsedeceğim.
Adli bilişim suçla ilgili dijital delillerin zarar görmeden anlaşılır şekilde adalet önüne sunulmasıdır. Çeşitli araçlar kullanılır. Bu araçlardan biri olan Ftk Imager dijital delillerin (telefon, hard disk, ssd, flash bellek, ram, klasör-dosya, cd/dvd gibi) adli imajını almak, verileri incelemek, silinmiş verileri ve metadata’yı görüntülemek için kullanılmaktadır.
İmaj alma işlemleri sırasında hash değerlerini (dosyanın dijital parmak izi) MD5 ve SHA1 hesaplar. İmajın bütünlüğünü korumak için kullanılır. Delilin değişmediğini ispatlamak için kritik bir rolü vardır. Dosyada en ufak bir değişiklik bile olsa hash değeri değişir ve delilin bozulduğuna işaret eder.
İmajları E01, AFF, Raw (dd) gibi formatlarda kaydedebilir.
Avantajları ücretsiz, hızlı, portable kullanılabiliyor olması ve interaktif dosya inceleme olarak sayabiliriz.
Dezavantajları ise sadece imaging ve temel analiz yapabilmektedir, derin analiz için ek yazılımlar gerekmektedir.
Kurulum işlemine başlayalım.
İndirme linki için tıklayabilirsiniz.
Bilgilerimizi girip indirme işlemini başlatalım.
Lisansı kabul edip next seçeneğine tıklayarak kurulum işlemini tamamlayabiliriz.
Programı açalım.
Arayüzü incelediğimizde üst kısımda File, View, Mode ve Help sekmelerini, sekmelerin altında ise tool bar üzerinde kısayol seçeneklerini görüntülüyoruz.
Üst kısımda yer alan File sekmesini inceleyelim.
Add Evidence Item seçeneği ile inceleme yapılacak veriyi sisteme dahil ederiz.
Add All Attached Devices seçeneği bilgisayara bağlı tüm cihazları otomatik olarak ekler.
Image Mounting seçeneği daha önce alınmış bir imaj dosyasını okuma amaçlı sisteme sanal olarak bağlar.
Remove Evidence Item seçeneği seçilen kanıtı silmeden listeden kaldırır.
Remove All Evidence Items seçeneği ise tüm eklenmiş kanıtları kaldırır.
Create Disk Image ile disklerin adli imajı alınır.
Physical Drive tüm disk için (detaylı analiz), Logical Drive belirli bir bölüm için (biraz daha yüzeysel), Image File imaj dosyası için (daha önce alınmış delili inceleme için), Contents of a Folder sadece dosyalar için, Ferrico Device ise CD/DVD Drive, optical drive için kullanılır.
İmaj aldıktan sonra Add Evidence Item ile daha önce alınmış imaj dosyası veya canlı diskin analizi için de kullanılır.
Export Logical Image (AD1) seçeneği mantıksal düzeyde imaj alır, ad1 formatı accessdata içindir.
Add to Custom Content Image (AD1) daha önce başlatılmış ad1 imajına dosya ekler.
Create Custom Content Image (AD1) seçeneği ile seçilen dosya ve klasörlerden ad1 imajı oluşturur.
Decrypt AD1 image seçeneği şifreli ad1 imajlarını çözer.
Verify Drive/Image imajın hash doğrulama işlemini gerçekleştirir.
Capture Memory kısmında ise Ram imajı alınır.
Obtain Protected Files sistemdeki kilitli dosyalar gibi dosyaları çıkarmaya çalışır.
Detect EFS Encryption seçeneği efs ile şifrelenmiş dosyaları tespit eder.
Export Files seçilen dosyaları dışarı aktarır.
Export File Hash List ise dosyaların hash listesini dışa aktarır.
Export Directory Listing seçilen klasör yapısının liste halinde dışa aktarılmasını sağlar.
Exit uygulamayı kapatmamızı sağlar.
View sekmesi ise görünüm ayarları yapmamızı sağlar. Tool bar, status bar görünümünü açıp kapatabiliriz.
Evidence tree ile imaj alınan dosyaları ağaç yapısında görmemizi sağlar.
File list kısmında seçilen klasör dosyaları listelenir.
Properties kısmında ise seçilen dosyanın özellikleri, tarihi, boyutu ve hash bilgileri görüntülenir.
Hex Value Interpreter hex değeri yorumlayıcı, Custom Content Sources özel içerik kaynakları, Icons simge görünümü, List Liste görünümü, Show Hex Position Values hex konum değerlerini göstermeyi ve Reset Docked Windows yerleştirilmiş pencereleri sıfırlamayı sağlar.
Mode sekmesi ise dosya içeriklerinin nasıl görüntüleneceğini belirlemede kullanılır, çalışacağı modu belirler.
Expand compound files işaretliyse, compound file içeriği otomatik olarak genişletilir.
Automatic (IE) seçeneğiyle dosya türüne göre otomatik olarak uygun bir önizleme seçilir.
Text seçeneğiyle dosya yalnızca düz metin olarak gösterilir.
Hex seçeneğiyle dosya içeriği hex ve ASCII formatında gösterilir. Binary dosyaların analizinde faydalı.
Help kısmında ise kullanıcı kılavuzu, sürümü hakkında bilgiler alabiliriz.
Şimdi uygulama kısmına geçelim.
İlk olarak bir word dosyası oluşturalım ve hash değerlerini almak için işlemlere başlayalım.
Tüm dosya yapısının hash değerini almak için File sekmesindeki Add Evidence Item seçeneğine tıklayalım.
Kaynak olarak Image file seçeneğini seçelim.
Dosyamızı Browse seçeneği ile seçelim veya dosya yolunu yazalım.
Finish ile ekranı kapatalım.
File sekmesindeki Export File Hash List seçeneğine tıklayalım.
Hash değerini kaydedeceğimiz dosya isim bilgisini girelim.
MD5, SHA1 değerlerini ve dosya isimlerini liste halinde çıkarttık.
Oluşturduğumuz dosyanın ftk imager’da incelemek için File sekmesindeki add evidence item seçeneğine tıklayalım.
Konumunu seçelim.
View sekmesindeki Evidence Tree ve File List seçeneklerine tıklayalım.
Dosyadaki metin bilgileri gibi dosyaya dair bilgileri inceleyebiliriz.
Şimdi ise dosya yapısının değil sadece bir dosyaya ait hash bilgilerini alalım. Bunun için ise test dosyamızı seçtikten sonra File sekmesindeki Export File Hash List seçeneğine tıklayalım.
Farklı bir isimle dosyayı kaydedelim.
View sekmesindeki Properties seçeneğine tıklayalım ve dosya bilgilerini gözlemleyelim.
Oluşturulma tarihi, boyutu, dosya adı gibi bilgileri görüntüleyebiliriz.
Read-only (R), dosyanın salt okunur olduğunu ve değiştirilemeyeceğini,
Hidden (H), dosyanın klasör görünümünde gizlendiğini,
System (S), dosyanın işletim sistemi tarafından kullanılan kritik bir sistem dosyası olduğunu,
Compressed, dosyanın disk alanından tasarruf için sıkıştırıldığını,
Encrypted (E), dosyanın yalnızca yetkili kullanıcılarca erişilebilecek şekilde şifrelendiğini,
Archive (A) dosyanın değiştirildiğini ve yedeklenmesi gerektiğini gösterir.
Şimdi USB bellek için imaj alalım.
File sekmesindeki Create Disk Image seçeneğine tıklayalım.
Physical hdd, ssd, usb bellek gibi bilgisayara fiziksel bağlı olan tüm disk imajı için kullanılır.
Logical C:\ veya D:\ gibi görünen bölümlerden birini seçerek, sadece seçilen dosya ve klasörler için kullanılır Daha az yer kaplar ve hızlı bir seçenektir. Dosya sistemi dışındaki verileri almaz ~dosya bazlı inceler~, avantajlıdır.
Image file imaj dosyası için (daha önce alınmış delili incelemek için),
Contents of a Folder bir klasörün içeriğinin imajı için ~dosyalar için~,
Ferrico Device ise CD/DVD Drive, optical drive için kullanılır.
Usb belleğimizi seçelim ve Finish seçeneğine tıklayalım.
Daha sağlıklı bir imaj almak için en alttaki üç seçeneği de aktif hale getirelim. Böylelikle görüntüleri oluşturduktan sonra doğrular, ilerleme istatistiklerini önceden hesaplar, tüm dosyaların oluşturulduktan sonra dizin listelerini oluşturur, kısaca hem imaj dosyalarını oluşturur hem karşılaştırır.
Add seçeneğine tıklayalım.
Raw diskin birebir, ham kopyasını içerir. Sıkıştırma veya metadata içermez. Dosya boyutu oldukça büyük olabilir. Ancak formatın sade yapısı sayesinde çoğu adli bilişim aracı tarafından desteklenir.
Smart formatı, özellikle ASR SMART gibi eski adli yazılımlarla uyumlu olup, bazı durumlarda tercih edilebilir. Daha çok olay müdahale, olay incelemede kullanılıyor. Delil toplanmasını destekliyor.
E01 formatı en çok kullanılanlardan biri. Diski sıkıştırarak daha az yer kaplamasını sağlar ve segmentasyon yaparak veriyi parçalara bölebilir. Hash bilgisi, metadata, case bilgisi, delil numarası, tarih gibi bilgileri içerir. Hata kontrolü, izlenebilirlik ve doğrulama imkanı sağlar. Metadata ile delil bütünlüğü sağlanır. Format, parçalara bölünebilir. (15 parçaya bölebiliyoruz) Dezavantajı ise bazı eski araçlarda kullanılamıyor.
AFF açık kaynaklı ve esnek bir imaj formatıdır. Segmentlere bölünebilme, veri sıkıştırma ve şifreleme gibi özellikleri destekler. Özgür yazılım araçlarında tercih edilmekte olup, gelişebilir yapısıyla dikkat çeker.
ISO formatı eski sürümlerde bulunabilir. Cd dvd gibi optik medyaların imajlanması için kullanılır.
E01 seçeneğini seçelim ve sonraki seçeneğine tıklayalım.
Case Number vaka numarası, Evidence Number delil/dosya numarası, Unique Description açıklama, dosya tipi veya içeriğine dair, Examiner incelemeyi yapan kişi bilgisi, Notes ise eklenecek notların bilgisini oluşturur.
Browse seçeneği ile imajı almak istediğimiz klasörü seçelim.
1500 yazmasının sebebi 15 parça halinde verilecek anlamındadır. Tek parçada almak istediğimiz için 0 yazalım ve tek parçada alalım.
Compression değeri, imaj dosyasının ne kadar sıkıştırılacağını belirler. 1 en az sıkıştıran, 9 ise en fazla sıkıştıran seçenektir. Genellikle 6 değeri, hız ve sıkıştırma oranı arasında dengeli bir tercih olduğu için en yaygın kullanılan ayardır.
Encription imaj dosyasını şifreleyip vermektedir.
Finish seçeneği ile pencereyi kapatalım ve sonrasında Start seçeneğine tıklayarak işlemi başlatalım.
Özet dökümünü inceleyebilir ve close ile ekranı kapatabiliriz.
İşlem tamamlandığında 3 tane farklı dosya formatı oluşturuyor. E01, csv ve txt.
Txt dosyasında ftk imager’a ait sürüm bilgisi, hash değerleri, tarih bilgisi, drive model gibi bilgiler yer almaktadır.
csv dosyasında ise hangi klasörlerin hangi tarihte oluşturulduğu, adı, path bilgisi, boyutları hakkında bilgi vermektedir.
E01 dosyasını ise FTK Imager üzerinden detaylı inceleyebiliyoruz. Hemen inceleyelim.
File sekmesindeki Add Evidence Item seçeneğine tıklayalım.
Image File seçeneğini seçelim.
Browse ile E01 dosyamızı seçelim ve finish seçeneğine tıklayalım.
Evidence tree ve file list yapılarını inceleyelim.
Var olan veya silinen dosyaları root dizininde görüntüleyebiliriz. Dosyaların silinip silinmediği hakkında yorum yapabiliriz. Silinen tüm dosyaları göstermeyebilir. (Silinen dosyaları ftk imager ile veri kurtarma işlemi yapmak mümkün değildir.)
Şimdi ise flash belleği biçimlendirip tekrar imaj alalım ve iki sonucu karşılaştıralım.
Biçimlendirme işlemini tamamladıktan sonra crete disk image seçeneği ile az önceki işlemi tekrarlayalım, usb imajını alalım.
Farklı bir isimde kaydedelim.
Yine tek parçada almak istediğimiz için Fragment Size kısmını 0 olarak değiştirelim.
İşlem tamamlandıktan sonra imaj dosyamızı açalım.
Evidence tree ve file list yapılarını inceleyelim.
Root dizini usb belleğimizde bulunan veya silinen dosyaları görüntülüyordu. Biçimlendirdiğimiz için sonucun değişip değişmediğini gözlemleyebiliriz.
Ftk imager’a %100 güvenemeyiz. Biçimlendirilme sonrası yukarıdaki örnekte olduğu gibi silinen bazı dosyalar görüntülenemeyebilir, sonuçlar değişebilir. Veri var mı yok mu fikir edinmek için kullanabilmekteyiz.
Usb imajında son olarak imaj dosyasının da hash listini alalım.
Kaydedileceği yeri seçelim.
Bu şekilde de imaj dosyalarının hash değerlerini almış ve kaydetmiş olduk.
Şimdi ise Ram imajı alalım.
File sekmesindeki Capture Memory seçeneğine tıklayalım.
Browse ile hangi klasöre kaydedeceğimizi seçelim ve Capture Memory seçeneği ile işlemimizi başlatalım.
Başarıyla tamamladıktan sonra Close ile pencereyi kapatabiliriz.
Ftk Imager ram imaj dosyasını inceleyebilir ama sınırlı analiz yapabilir. Derin analizler için Volatility gibi özel ram analiz araçlarını kullanmamız daha iyi olur.
File sekmesinden Add Evidence Item seçeneğini seçelim.
Dosya olduğu için Contents of a Folder ile devam edelim.
Bulunduğu dizini seçip finish ile pencereyi kapatalım.
Dosya sistemine ekleyip hex olarak görüntüleyebiliriz.
Okuduğunuz için teşekkür ederim..
https://www.siberguvenlik.web.tr/magnet-ram-capture-volatility3/
#MemoryForensics #DigitalForensics
