Merhaba sevgili kernelblog takipçileri. Bu yazımda sizlere FTK Imager ile imaj almanın önemini ve adli bilişim açısından önemini ele alacağım.
Bir bilişim suçunun aydınlatılmasında sorguya mahal vermeyecek şekilde imaj almaktır. Imaj alma işlemi inceleme yapılacak cihazın birebir kopyaları oluşturularak ve ya mantıksal bölümlerin kopyaları alınıp sonra inceleme işlemine başlanır.
Cihazın çalıştırılabilir bir kopyasını oluşturmak için fiziksel imaj, disk bölümleri üzerinde inceleme yapmak için mantıksal imaj alınır. İmaj alınırken dikkat edilmesi gereken en önemli özellik HASH’dir. Hash, imajı alan kişinin inceleme yapılacak cihaz üzerinde değişiklik yapmadığının ispatıdır.
Hash dediğimiz kavram bir veri bütününe benzersiz bir sayısal değer oluşturmaktır. Bir nevi insanlardaki T.C. kimlik numarası gibidir. İki farklı dosyanın aynı hash’e sahip olması çok çok düşük bir ihtimaldir. Bu yüzden yok sayılır. İnceleme açısından hash değerinin değişmemiş olması önemlidir. Zira cihaz üzerinde en ufak bir klavye tuş basışı bile hash değerini tamamen değiştirir ki bu da hiç istemediğimiz durumlar arasındadır. Değişen hash değerleri delil karartmaya girer ve inceleme için dikkate alınmaz. FTK Imager analiz edilecek cihazın Message Digest 5 (MD5) ve Secure Hash Algorithm (SHA-1) hashleri oluşturma yeteneğine de sahiptir. Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanabilir.
İmaj almak için birçok Adli Bilişim Yazılımı mevcuttur. Bunlardan biriside FTK Imager yazılımıdır. Access Data firması tarafından üretilmiş olan fiziksel depolama cihazlarının adli kopyalarının alınmasını sağlayan, RAM imajının alınmasını sağlayan şifreli disklerin açılmasına olanak sağlayan, loglama yapabilen, disk şifreleyebilen bir dijital delil analiz programıdır.
Delil incelemede ve delilleri raporlamada başarılı olan bu program, başta emniyet birimlerimiz olmak üzere tüm dünyada yoğun olarak kullanılmaktadır. Program oldukça verimli ve işlevsel olmasının yanı sıra bütün mahkemeler tarafından, bu program aracılığı ile mahkemeye sunulan rapor ve verilerin delil niteliğinde olduğu kabul edilmektedir. FTK Imager diskte bulunan tüm verileri başka bir forensic aracına ihtiyaç duymadan analizine olanak sağlar. Bu araç, tüm fiziksel disklerin, fiziksel disklerde bölümlenmiş olan mantıksal alanların USB ve hafıza kartlarının, CD/DVD gibi veri depolanan disklerin imajını rahatlıkla alabilir.
Bunun yanından FTK Imager, dijital delillerin bulunduğu depolama aygıtlarının imajını almadan görüntülenmesine de olanak tanımaktadır. FTK Imagerin diğer bir özelliği de, disk imajı bulunan(raw,e01 vs.) adli kopyaların temel bir biçimde incelenmesine de olanak sağlar. Aynı zamanda elimizdeki imaj dosyalarını Read-only olarak mount ederek, bu imajların sabit bir disk sürücüsüymüş gibi görünmesine izin verir ve imaj dosyalarından dosya dizinleri kopyalayabilmemizi sağlar. Silinmiş olan dosyaları geri getirme özelliği olmasa da silinen dosyaların isimlerini görünmesini ve eğer ki üzerine veri yazılmamışsa geri getirilmesini sağlayabiliyor.
Windows ortamında kullanılmak üzere “FTK Imager” ve “FTK Imager Lite” olmak üzere iki versiyonu vardır. FTK Imager için kurulum gerekli ama FTK Imager Lite için herhangi bir kuruluma ihtiyaç duymadan ve direkt olarak harici bir disk içine kopyalanarak bir disk üzerinde çalıştırılabilir. Ayrıca Ubuntu, Fedora ve Mac üzerinde çalışacak versiyonları da vardır.
FTK Imager’ i kullanmak istiyorsanız sizde, oluşturduğum Türkçe kullanım kılavuzuna KernelBlog Arşivden adli bilişim dokümanları klasörlerinden ulaşabilirsiniz.
Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.
test
Elinize sağlık. Kullanım kılavuzu çok açıklayıcı olmuş.