DOSYA İMZA ANALİZİ NEDİR VE NASIL YAPILIR?

DOSYA İMZA ANALİZİ

Dosya İmza Analizi (File Signature Analysis), depolama bölümündeki dosya doğrulama, gizli veya silinmiş olabilecek dosyaları bulma işlemleri için dosya başlık ve uzantılarının bilinen bir veri tabanı ile karşılaştırması ile gerçek uzantılarının bulunmasıdır.

Delil analizi açısından öneme sahip olan noktalardan biri olması sebebi ile Adli Bilişim açısından incelenmesi gereken önemli bir noktadır.

DOSYA İMZA ANALİZİ YAPILIŞI 

Dosya imza analizinde dikkat gerektiren kısımların başında bir dosyanın hexadecimal karşılığına denk gelen ilk byte sektörleridir. İlk bitlere bakılarak dosya uzantısı hakkında bilgi sahibi olunabilmektedir.

Dosya imza analizi başta “Encase, FTK” gibi çeşitli Adli bilişim yazılımları ile otomatik olarak yapılabilmektedir. Ayrıca bu işlem farklı olarak "HexEditör " aracı ile de yapılabilmektedir. HexEditör, bu işlemi manuel bir şekilde yapmaya imkan sağladığı için bu aracı kullanacağım.

HexEditör aracını indirme linki--> HexEditör

Hex Editör Nedir? 

Bu program, bilgisayar sistemi üzerinde hexadecimal formda kodlanmış verileri analiz, görüntüleme, çalıştırılma ve incelenme imkanını sağlamaktadır. Basit bir kullanım ara yüzüne sahiptir.

Hex Editör aracını incelemek gerekirse üst sekmedeki kısımlardan program hakkındaki gerekli ayarlamalar yapılabilir ve incelenecek dosya program üzerindeki alana sürüklenerek veya “dosya” sekmesinden açılabilir. Program ekranındaki “Offset(h)” kısmında bit adresleri gözükmektedir. Merkezde incelenecek olan dosyanın hexadecimal değerleri, çözülmüş metin alanında ise dosyanın karakterleri ve içerik bilgisi görüntülenir.

HEX Editör ile İmza Analizi

Uzantısı silinen dosyalar aşağıdaki gibi görülmektedir. Uzantısı silindiğini anlamanın yollarından biri dosyayı açmaya çalışmaktır. Dosyalar düzgün çalışmayacağından buradan anlaşılabilir. Uzantıları da şekildeki gibi yok olduğu gözükmemektedir. Ayrıca bu dosya uzantısı tespiti işlem esnasında dosya içerisinde bir veri kaybı olmayacağı da güzel bir ayrıntıdır.

Dosyaların uzantılarının tespiti için Hex Editör aracına girerek herhangi bir dosyanın incelemesi yapalım. İlk olarak “test2” isimli dosyayı HEX Editör üzerinde inceleyelim.

Dosyamızın uzantısını bulmak için internet üzerinde tüm dosya türlerinin hexadecimal karşılığının bulunduğu bir siteyi kullanmamız gerekmektedir. Bu siteye kolayca ulaşabilmeniz için sizler için sitemize eklediğimiz link üzerinden erişebilirsiniz:)

Site Linki--> http://imzaanalizi.sibermetin.com/

Genellikle ilk bitler dosyanın türünü belirtmektedir. Bu site üzerinde CTRL+F kısayolu ile arayacağımız dosyanın belirli bir bit kısmını alıyoruz ve site üzerinde aratıyoruz.

Hexadecimal değeri arattığımızda "test2" dosyamızın Microsoft Office dosyası olduğu görülmektedir. Daha kesin bir bilgi için “.docx”, “.pptx” ve “.xlsx” uzantılarını deneyerek dosyanın gerçek uzantısını bulmak gerekmektedir.

Denemelerimiz sonucunda dosyamızın “.docx” uzantılı bir Microsoft Word Belgesi olduğunu belirlemiş olduk.

Daha sonra “test” adlı dosyamızın uzantısını tespit etmek için yine aynı işlemi yapıyoruz. Hexadecimal değerini sitede aratıyoruz.

Hexadecimal değeri arattığımızda test dosyamızın “.mkv” veya “.webm” uzantılı bir dosya olduğu görülmektedir. Daha kesin bir bilgi için .mkv ve .webm uzantılarını dosya üzerinde deneyerek dosyanın gerçek uzantısını bulmak gerekmektedir.

Yine denemelerimiz sonucunda dosyamızın ".mkv" uzantılı bir video dosyası olduğunu belirlemiş olduk. Ayrıca diğer uzantı da dosya üzerinde denendiğinde uyuşmaktadır.

Diğer uzantıları bilinmeyen dosyaların uzantılarını da yine bu şekilde kolayca bulabilmekteyiz.

Bu yazımda "File Signature Analysis"(Dosya İmza Analizi) işlemini anlatmaya çalıştım. Umarım size bir şeyler katabilmişimdir. Yazı ile ilgili merak ettiğiniz soruları profilimdeki sosyal medya hesaplarımdan sorabilirsiniz. Bir sonraki yazılarımda görüşmek üzere keyifli okumalar, teşekkürler:)