FEX IMAGER NEDİR VE KULLANIMI
FEX İmager NEDİR?
FEX Imager, karma kimlik doğrulaması ile bit bazında adli görüntü(imaj) çıkarabilen bir adli bilişim yazılımıdır. FEX Imager, fiziksel, mantıksal sürücü, klasörler ve dosyalar veya adli bir görüntüyü (DD/RAW, E01, L01) tekrardan alabilir. Adli bir görüntü, adli bilişim alanında oldukça önemlidir.
Her araçta olabileceği gibi desteklemediği kısımlar da vardır. Örneğin FEX Imager, HPA/DCO alanlarının alınmasını desteklememektedir.
Ayrıca FEX Imager yazılımı ücretsiz bir şekilde getdataforensics ‘in sitesinden indirebilirsiniz.
https://getdataforensics.com/product/fex-imager
Şimdi ise aracımızı tanıyalım ve bize sunduğu arayüzden yapabileceklerimizi inceleyelim.
1-) Yazılım Arayüzü
Basit bir arayüzü bulunmaktadır. Arayüzdeki alanları açıklamak gerekirse:
Image Entire Drive: Diskin veya cihazın tamamı anlamına gelir.
Start Sector: Sektör başlangıcıdır.
End Sector: Sektör bitişini belirtir.
Sector Size: Sektör büyüklüğünü ifade eder.
Source(kaynak), imaj alınacak verilerdir. Kaynaklara örnekler şunlardır:
- Fiziksel Sürücü
- Mantıksal Sürücü
- Bir bölümdeki dosya veya klasörler
- Hazır bir imaj
- Uzak sürücü
Daha sonra kaynak seçilerek menüye giriş yapılır.
2-) Menüler
Menüler de aşağıdaki seçenekler gibidir. İşlemler bu menü içerisindeki seçenekler aracılığı ile yapılmaktadır.
3-) Fiziksel (Physical) Sürücü
MBR'den en son sektöre kadar fiziksel diskin bütünsel olarak kopyalanmasıdır. En iyi delil türü olarak söylenebilir. Ayrıca imaj dosyalarından bilgisayara bağlı fiziksel sürücüler de görülebilir. Biz burada USB sürücüsüne işlem yapacağımız için onu seçtik.
Sayfadaki bölümleri açıklamak gerekirse:
Add Image: İmaj eklenecek kısımdır.
Add RAID: RAID eklenecek kısımdır.
Remote: Uzaktan erişim butonu.
Refresh: Yenilemek.
Label: Etiketlemek.
Devices: Ekranda görüntülenen aygıtlar.
Size: Boyut bilgisini gösterir.
FS: Sürücüdeki dosya sistemini gösterir (FAT, NTFS, HFS, APFS).
Type: Sürücülerin bilgisayara bağlanma şeklidir.
Karşımıza seçtiğimiz cihaz ile ilgili bilgiler gelmektedir. Alt kısımdaki yerlerde ise imaj ile ilgili parametreler isteğe bağlı bir şekilde değiştirilebilmektedir.
“Hash” seçeneğinden ise alınacak hash türleri seçilebilir. Biz burada MD5 formatını seçtik. Sonra ise destination(hedef) seçeneği ile devam edelim.
Karşımıza böyle bir arayüz gelmektedir. Arayüzü inceleyelim ve neler olduğunu açıklayalım.
Image Type: İmaj tipi seçimidir.
Filename: Dosya adı seçimidir (deneme).
Folder: Kaydedilecek alan.
Segment Size: Parça boyutu
Image Hash: Hash türlerini belirtir.
Compressions: Sıkıştırma modeli seçilir(yok, hızlı, daha küçük ama yavaş, en küçük ve yavaş.
Case Details kısmından dava ile ilgili isim, inceleyicinin bilgisi, delil numarası, tanım ve notlar girilir. Tanımlama açısından oldukça önemlidir.
Gerekli ayarlamalar yapılır ve “Start” butonu ile işlem başlatılır. Alınan imaj ve cihaz ile ilgili bilgiler görüntülenebilir.
İşlem sonuçlandığında alınan imajla ilgili doğrulama işlemi yapıldığı görülebilir. Ayrıca hesaplanan hash değerleri ve diğer bilgiler incelenebilir.
Burada ise işleminin sona erdiği görülmektedir. İmaj dokümanı içerisindeki verilerden bazılarını açıklamak gerekirse:
Verification started: Doğrulama işlemi başlangıç kısmıdır.
Elapse time: Geçen zamanı gösterir.
Verification finished: Doğrulama işlemi bitişini belirtir.
Elapse time verify: Geçen zaman (doğrulama işleminde)
Acquisition completed: İşlem tamamlandı demektir.
4-)Mantıksal (Logical) Sürücü
Fiziksel sabit diskin tamamını değil de sadece dosya sistemi katmanı bazında bölümlerin (partition) imajları alınmasıdır. Burada da aynı şekilde imaj alınacak disk seçilir. İşlemler uzun süreceğinden ötürü ben seçmedim. Uygulamak isterseniz seçebilirsiniz:)
5-)Dosya ve Klasörler (Folder and Files)
İmajı alınacak dosya veya klasörün ekleneceği kısımdır.
6-)Forensic İmage (Adli İmaj)
Bir imajın tekrar imajının alınmasıdır. Kayıtlı olan imaj yüklenerek işleme devam edilir. Ayrıca buna convert işlemi de denebilir. Örnek olarak dd bir imajı sıkıştırmak için e01 imaj formatına dönüştürmektir.
7-)Remote (Uzaktan Bağlantı)
Uzaktan bağlantı ile imaj alma işlemidir. Server ile ilgili IP ve gerekli ayarlamalar girilerek bağlantı(connect) sağlanır ve işleme devam edilir.
Server IP Address: Bağlanılacak olan cihazın IP adresi girilir.
Max Packet Size: Maksimum bölünecek paket sayısını belirtir.
Port: Bağlanılacak olan port bilgisi verilir.
Checksum Network Packets: Doğrulama toplamı ağ paketleri
Use Compression: Sıkıştırma kullan kısmıdır (Sadece yavaş bağlantılarda geçerlidir).
Speed Test: Hız testi
Bu yazımda "Adli Bilişim" alanında kullanılan yazılımlardan "FEX Imager"in tanıtımını ve kullanımını anlatmaya çalıştım. Umarım size bir şeyler katabilmişimdir. Yazı ile ilgili merak ettiğiniz soruları profilimdeki sosyal medya hesaplarımdan sorabilirsiniz. Bir sonraki yazılarımda görüşmek üzere keyifli okumalar, teşekkürler:)