DİJİTAL ADLİ TIP ARACI "AUTOPSY"

AUTOPSY (ADLİ VERİ İNCELEME ARACI)

 Adli incelemelerde sizlere yardımcı olabilecek birçok araç kullanılmaktadır. Bunların bazıları;

• Autopsy
• SANS Investigate Forensic Toolkit(SIFT)
• Access Data FTK İmager
• DEFT (DART)
• Oxygen Forensics..

Gelin kısaca özelliklerine bakalım..

SANS Investigate Forensic Toolkit :  RAW DD, E01 ve AFF gibi adli imaj türlerini destekler.

Access Data FTK İmager : İmaj alma ve alınan imajı bilgisayara bağlama , adli kopya alma gibi işlemlerde kullanılır.

DEFT (DART) : Mobil-Ağ-Bilgisayar incelemelerinde tercih edilir.

Oxygen Forensics : Mobil cihazların, cep telefonlarının detaylı taramasını sunar. Mesaj-çağrı-konum-takvim gibi detayları verir.

 Şimdi gelelim sizler için seçtiğim aracı incelemeye. Bugün sizlerle beraber AUTOPSY aracının özelliklerini ve kullanımını inceleyeceğiz. İlk olarak  AUTOPSY  açık kaynak kodlu olup ücretsiz Adli bilişim araçlarından biridir. Grafiksel arayüze sahip olan disk/dosya analiz aracıdır. Peki bu aracımızla neler yapabiliriz haydi bakalım..

• Encase-AFF-DD ve türleri uzantılı adli kopyalar üzerinde tarama yapılabilir.

• Kelime araması yapılabilir.

• İncelenen dataların otomatik hash hesaplaması yapılabilir.

• Kaybolan verilerin kurtarılması yapılabilir.

• NFTS-FAT-UFS1-UFS2 gibi birçok dosya türlerini desteklemektedir.

Adım 1: Uygulamamızı açıyoruz. Eğer daha önceden herhangi bir vaka incelemediyseniz NEW CASE i, kayıtlı olan bir davanız varsa OPEN CASE veya OPEN RECENT CASE seçeneğine basmanız gerekiyor. Ben NEW CASE e tıklıyorum.

Adım 2: Bu adımda vakamıza vereceğimiz adı ve nerede kayıt etmek istediğimizi seçiyoruz. Eksiksiz tamamladıktan sonra Next diyip ilerleyelim.

Adım 3: Dava numarasını ve araştıran kişinin bilgilerini girip ilerleyelim.

Adım 4: Bu adım çok önemli. Analiz yaptıracağımız verinin kaynak türünü seçiyoruz. İlk 3 seçenek en çok tercih edilen seçenektir. Kısaca bakacak olursak;

              Disk ımage or VM File : Dosya uzantılı imajları analiz etmektedir.

Local Disk: Sabit disk ya da Hard disk analiz etmektedir.

                 Logical Files: Fiziksel dosyada bulunan kayıtları analiz etmektedir.

Ben analizimi Logical Files ile yapacağım.

Adım 5: Analiz edeceğimiz dosyayı Add tuşu ile ekleyelim. Ben daha önce paylaştığım yazının dosyasını seçiyorum.

Adım 6: Modül seçme ekranına geldik. Buranın güzel tarafı modülleri seçmek araştıran kişiye özgü olması. Hiçbir ayar değiştirmeden ilerleyelim.

Adım 7: Analizi yapacağımız ekrana geldik. Sağ alt köşede programın analiz  etme kısmı vardır. Tamamlandığı zaman çok daha doğru sonuçlar elde etmemizi sağlayacaktır. Tam anlamıyla bitmesini beklemenizi tavsiye ederim.

Adım 8: Listing altında bulunan seçeneklerden Summary i inceleyelim. Bu kısım dosyamızın özetini görsel olarak vermektedir. Görüldüğü gibi mor kısım fotoğrafların,yeşil kısım belgelerin ne kadar yer kapladığını yüzdelik olarak gösteriyor.

Adım 9: Summarynin hemen solunda bulunan Thumbnail seçeneğine bakalım. Bu kısım dosya içerisinde bulunan küçük resimleri bizlere verir. Resimleri ayrı ayrı inceleyebiliriz. Ok ile gösterdiğim kısım File Metadata kısmıdır yani verinin ögelerini tanımlayan kısımdır. Burada seçili görselin MD5   SHA-206 ID No gibi bilgilerini elde ederiz.

Adım 10:  Seçili görselin HEX değerini ok ile gösterilen yerden görebiliriz.

Adım 11: EXİF METADATA modülü resim, saat, tarih, kamera modeli ve ayarları , coğrafi konum verilerini içeren kısımdır. Değiştirilebilir Görüntü Dosyası Biçimi olarak da geçer. Ok ile gösterdiğim kısımdan ulaşabilirsiniz.

Adım 12: Gelelim METADATA modülümüze. Bu kısım bize hangi programı kullandığı-tarih bilgileri-kişi bilgilerini verir. Bu mod verileri kurtarmak ve bir dosyaya ayrıntılı bir şekilde bakmak için kullanılabilir.

Adım 13: Metadata modülünden TEXT kısmı ise bize içerik hakkında detaylı bilgi vermektedir.