Fex Imager Kullanım Kılavuzu

Fex Imager Kullanım Kılavuzu

Merhaba arkadaşlar. Bu yazımda fex imager nedir sorusunun yanında, nasıl kullanabileceğinizi de anlatacağım. Şimdiden keyifli okumalar 🙂

Fex Imager Nedir?

MD5, SHA1 ve SHA256 karma kimlik doğrulama yöntemleri ile bit düzeyinde imaj alma işlemi gerçekleştiren ücretsiz bir yazılımdır. Fex imager mantıksal sürücüyü ,fiziksel sürücüyü, uzak cihazları , adli imajları ,dosya ve klasörleri alabilir veya imajı  alınmış bir diskin tekrar imajını alabilir. DD/RAW ,E01,L01 formatlarını desteklemektedir. Edinme bilgilerini EnCase E01 ve L01 formatlarında yazabilir. Sektör boyutları ayarlanabilir. FEX Imager, HPA/DCO alanlarının alınmasını desteklemez. HPA en çok önyükleme ve tanılama yardımcı programları tarafınca kullanılır. DCO ise sistem satıcıların potansiyel o alarak farklı HDD ler satın alarak aynı sektöre sahip olacak şekilde yapılandırmasıdır.

İmaj Alma Nedir?

Bir cihazın veya depolama aygıtlarının o andaki verilerinin kopyasının alınmasına denir. Tıpkı klon oluşturmak gibi. İmaj almak önemlidir çünkü adli bir vakada orijinal delillerde işlem yapmak veri kaybına yani delili yok etme tehlikesi vardır. İmaj alırken sormamız gereken soru dd mi yoksa E01 mi diye?

1. Raw ( dd ) : Imaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır.

2. E01 : Bu imaj dosyaları içerisinde metadata (bir kaynağın ya da verinin öğeleri hakkında bilgi veren datalardır.) bilgileri tutulur. İmajın sıkıştırılması desteği mevcuttur.

Fex imager yazılımını ücretsiz bir şekilde getdataforensics sitesinden indirebilirsiniz.

Şimdi birlikte fex imager aracımızı tanıyalım, bize neler sunduğuna bakalım.

1. Arayüz

Fex İmager - Arayüz
Fex İmager – Arayüz

Basit, kullanışlı bir ara yüze sahiptir. Arayüzünde neler var?

  • Source: Kaynaktır yani imajı alınacak verileri buradan yüklüyoruz.
  • Imagine Entire Drive: Cihaz yada diskin tamamı anlamına gelir.
  • Start Sector: Sektör başlangıcıdır.
  • End Sector: Sektör bitişidir.
  • Destination: Hedef
  • Progress: Gelişim bize sonucu gösterir.
  • Sector Size: Sektör büyüklüğünü ifade eder.

2. Menüler

Fex Imager - Menü
Fex Imager – Menü

  Menülerde sağda ve solda üç çizgi bulunur. Programın sol tarafında visit website, help, about,exit seçenekleri bulunuyor.

  • Visit Website: Bizi getdataforensics sitesine yönlendiriyor.
  • Help: Fex imagerin kullanım kılavuzunu ve açıklamasını görebiliyoruz.
  • About: Programın hangi versiyonunu hangi websitesinden indirdik gibi bize bilgileri gösteriyor.
  • Exit: Programdan çıkışı ifade ediyor.

 Programın  sağ tarafında kaynaklar bulunuyor. Fiziksel Sürücü, mantıksal Sürücü, bir bölümdeki dosya veya klasörler, hazır bir imaj, Uzak sürücü seçenekleri bulunuyor. Herhangi bir kaynak seçmeden önce programı yönetici olarak çalıştırmamız lazım.

3. Fiziksel İmaj (Physical Driver)

Fiziksel diskin bütünsel olarak kopyalanmasıdır. Delil türü olarak en iyisi denebilir.

Fex Imager - Fiziksel İmaj (PYHSICAL DRIVER)
Fex Imager – Fiziksel İmaj (PYHSICAL DRIVER)

Kaynak cihazın seçim penceresi yukarıdaki gibidir. Ben burada hard disk 1’i seçtim.

  • Add Image: İmaj eklenecek kısımdır.
  • Add RAID:  RAID eklenecek kısımdır. RAID, Yedekli Ucuz  Disk Dizisi, veri yedekliliği, performans geliştirme veya her ikisi için birden fazla fiziksel disk sürücüsü bileşeni bir veya daha fazla mantıksal birimle birleştiren bir veri depolama sanallaştırma teknolojisidir.
  • Remote: Uzaktan erişim seçeneğidir.
  • Remove: Seçtiğimiz işlemleri kaldırmak için kullanılır.
  • Refresh: Yenileme için buton
  • Label: Etiketlemek
  • Size: Boyuttur.
  • Fs: Sürücüdeki dosya sistemidir. Örnek verecek olursak FAT,HFS,APFS gibi.
  • Device: Ekranda görüntülenen aygıttır.
  • Type: Sürücünün bilgisayara bağlanma şeklini açıklar.

Hard disk 1’i seçtikten sonra ok butonuna basıyoruz. Daha sonra bize seçtiğimiz cihaz ile ilgili bilgileri gösteriyor.

Boyutu büyük olduğundan ben sektör başlangıç ve bitişini yakınlaştırdım.

Daha sonra destination butonuna basıp ikinci aşamaya geldim.

Bu kısımda imaj tipini, dosya adını, folder yani hangi klasöre koyulacaksa onu seçiyoruz. Image hash seçiyoruz  .Ben MD5 seçtim. Burada MD5 128 bitlik, SHA1 160 bitlik, SHA256 256 bitlik bir hash değeri oluşturuyor. Comperession (kısaltma yada sıkıştırma) seçiyoruz. Hızlı, iyi, en iyi gibi. Case details ( vaka ayrıntıları) kısmında vaka adını, kanıt numarasını, inceleyen kişiyi, notlar ve tasvirini oluşturuyoruz. Segment size de ise kaç mb den sonra imaj dosyasını bölmesi gerektiğini giriyoruz. Bu kısımda verifty image after creation kutucuğunu seçmeyi unutmayalım. Bu kutucuğu seçmezsek imajın doğrulamasını yapamayız. Tüm bunları yaptıktan sonra start tuşuna basıp son aşamaya geçiyoruz.

Burada işlemin sona erdiği görülmektedir ama daha önce imaj almadığımız için herhangi bir eşleştirme olmadı. İmaj dokümanı içerisindeki ifadelere bakalım:

  • Verification started: Doğrulama işlemi başlangıç kısmıdır.
  • Elapse time: Geçen zamanı gösterir.
  • Verification finished: Doğrulama işlemi bitişini belirtir.
  • Elapse time verify: Geçen zaman (doğrulama işleminde)
  • Acquisition completed: İşlem tamamlandı demektir.
  • Acquisition Failed: Elde etme sonucunun başarısız olduğunu gösterir.

4. Mantıksal İmaj ( Logical  Driver)

Belirli alandaki verilerin kopyasını aldığımız imaj türüdür.

5. Folder And Files (Dosya Ve Klasörler)

  Daha önce aldığımız imaj dosyanı içe aktarıp bu dosyayı izleyebiliriz.

Bitiş ve başlangıç sektörlerini sıfır seçtik ayrıca boyutu sıfır olduğu için bu işlemi gerçekleştiremedi.

6.Forencis Image (Adli İmaj)

İmajı alınmış bir dosyanın tekrar imajının alınmasıdır.

7. Remote (Uzaktan Bağlantı)

 Uzaktan bağlantı ile imaj alma işlemidir. Server ile ilgili IP ve gerekli ayarlamalar girilerek bağlantı sağlanır ve işleme devam edilir.

  • Server IP Address: Bağlanılacak olan cihazın IP adresi girilir.
  • Max Packet Size: Maksimum bölünecek paket sayısını belirtir.
  • Port: Bağlanılacak olan port bilgisi verilir. 
  • Checksum Network Packets:  Doğrulama toplamı ağ paketleri
  • Use Compression: Sıkıştırma kullan kısmıdır (Sadece yavaş bağlantılarda geçerlidir).
  • Speed Test: Hız testidir.

Bu yazımın da sonuna geldik. Umarım faydalı olmuştur 🙂

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir