FTK IMAGER TÜRKÇE KULLANIM KILAVUZU
İÇİNDEKİLER
1.GİRİŞ
2.FTK IMAGER İNCELEMESİ
3.FTK IMAGER KURULUMU
4.FTK IMAGER ARAYÜZ
5.FTK IMAGER ARAYÜZ DETAYLARI
6.FTK IMAGER İLE DİSK İMAJ İŞLEMİ
7-FTK IMAGER İLE RAM İMAJ İŞLEMİ
8.FTK IMAGER İLE MOUNT İŞLEMİ
9.FTK IMAGER İLE ADLİ İMAJ GÖRÜNTÜLEME VE İNCELEME
1.GİRİŞ
FTK Imager Adli Bilişim açısından oldukça önemli bir programdır. Sağlamış olduğu imkanlar ile birçok konuda bize kolaylık sağlar. Hazırlamış olduğum kullanım kılavuzu sayesinde sizlerin de bu programı kolayca kullanabilmenizi amaçlıyorum.
2.FTK Imager İncelemesi
FTK Imager Acces Data firması tarafından üretilip ücretsiz olarak kullanım sağlayan adli inceleme yazılımıdır. Windows, Linux ve Mac ile uyumludur. Windows için 2 versiyonu vardır. Bunlar “FTK IMAGER” ve “FTK IMAGER LITE” tır. LITE versiyonu için kurulum gerekmemektedir. FTK IMAGER için kurulum gerekmektedir. Linux versiyonu ise terminalde çalışmaktadır arayüzü bulunmamaktadır. Bizlere sunduğu en güzel özellik incelemek istediğimiz diskte herhangi bir değişiklik olmadan imaj alabilmemizi sağlamasıdır. Loglama yapabilme, şifreli diskleri açabilme, disk şifreleyebilme, delil inceleyip raporlayabilme gibi özellikleri de vardır. FTK Imager ile birbirinden farklı birçok imaj alınabilir. Bunlara örnek verecek olursak tüm fiziksel diskler-mantıksal alanlar-USB-DVD-hafıza kartları gibi verileri depolayabildiğimiz disklerin imajını alabilir. FTK Imager ile dd-E01-AFF biçimlerinde imaj alınabilir. Read-only ile imajları sabit disk sürücüsü gibi gösterebilir ve alınan imaj dosyalarından dizin kopyalayabilmemize imkan sunar. Bu işleme mount etmek denir ilerleyen sayfalarda detaylı anlatacağım.Ftk Imager silinmiş dosyaları geri getiremiyor fakat silinen dosyaların adını gösterebilmektedir. Üzerine herhangi bir veri yazılmamışsa geri getirilmesini sağlayabiliyor.
3.FTK IMAGER KURULUMU
AccesData’ nın web sitesinden FTK Imager yazılımını ücretsiz indirip kullanabilirsiniz.
https://accessdata.com/product-download linke tıklayarak son sürümü indirebilirsiniz.
**Kullanmak istediğiniz versiyonu ‘sayfayı indir’ butonuna basıp indirdikten sonra aşağıdaki adımları takip ederek kurulumu tamamlayınız.
** Sayfayı İndir butonuna bastıktan sonra bizlere indirme bağlantısı göndermek için e-posta ve telefon bilgisi istiyor. E-postanızı yazıp sağ alttan ‘evet’ kutusunu işaretlemek yeterli olacaktır.İşlemi yaptıktan sonra mail kutunuzu kontrol edin.
**Mailinize gelen linke tıklayarak indirme işlemini başlatınız.
**Karşınıza gelen ekranda ‘NEXT’ e basın ve devam edin.Karşınıza çıkan diğer sayfada sizlere sözleşme vermektedir.Sözleşmeyi kabul edip ‘NEXT’ e basıp devam edin.
**Programı kuracağınız dizini seçip ‘NEXT’ butonuna basarak devam edin.
**Ayarlamaları yaptık şimdi ‘install’ butonuna basıp kurulum bittikten sonra ‘Finish’ butonuna basarak programı kullanmaya başlayabiliriz.
4.FTK IMAGER ARAYÜZ
**Evidence Tree – File List – Custom Content Sources – Hex Value Interpreter olmak üzere 4 bölümden oluşan arayüze sahiptir. Tüm bu arayüzleri tek tek inceleyeceğiz.
1-Evidence Tree : Eklenen imajın dizin ağaç yapısının gösterildiği yerdir.
2-File List : Seçtiğimiz dizin içerisinde yer alan dosyaların gösterildiği yerdir.
3-Custom Content Sources : Özel içerik alanlarını gösterip aynı zamanda imaj alma düzenleme gibi işlemlerin gösterildiği yerdir.
4- Hex Value Interpreter : Seçilen dosyaların hexadecimal karşılığının gösterildiği yerdir.
5.FTK IMAGER ARAYÜZ DETAYLARI
**Arayüz detaylarına genel olarak baktığımızda File-View-Mode-Help olmak üzere 4 adet seçenek gelmektedir.
**İlk olarak File menüsünü inceleyelim. File menüsü, dosya menüsü araç çubuğunda kullanabileceğimiz tüm özelliklere erişim imkanı sağlar.
Add Evidence Item : Tek kanıt-delil ekleme.
Add All Attached Devices : Bağlı olan tüm cihazların eklenmesi.
Image Mounting : İmajı mount etme.
Remove Evidence Item: Tek kanıt-delil silme.
Remove All Evidence Items : Tüm delilleri silme.
Create Disk Image: Disk imajı oluşturma.
Export Disk Image : Alınan disk imajını dışarı aktarma.
Export Logical Image: Lokal imajı dışarı aktarma.
Add to Custom Content Image : Özel imaj içeriği ekle.
Create Custom Content Image: Özel imaj içeriği oluştur.
Verify Drive/Image : Sürücüyü/Görüntüyü doğrulama. Capture Memory : Hafızayı yakalama Obtain Protected Files: Korunan dosyaları elde etme.
Detect EFS Encryption: EFS şifrelemesini algıla.
Export Files : Dosyaları dışarı aktarma.
Export File Hash List: Hash listelerini dışarı aktarma.
Export Directory Listing: Klasör listelerini dışarı aktarma.
Exit : Çıkış.
**File menüsünden sonra VİEW menüsü gelmektedir. View menüsü bizlere bölümlerin görünümünü özelleştirmek için izin verir. Bölmeleri gösterme-gizleme ve kontrol çubukları bu kısımda bulunmaktadır.Görünmesi istenen bölümlerin aktif pasif edildiği kısımdır.
Tool Bar : Araç çubuğu
Status Bar: Durum çubuğu
Evidence Tree : Olay ağacı
File List:Dosya listesi
Properties : Seçenekler
Hex Value Interpreter: Hex yorumlayıcı
Custom Content Sources: Özel içerik kaynakları
Icons: İkonlar
List: Liste
Details: Detaylar
Show Hex Position Values: Hex pozisyon değerini gösterme
Reset Docked Windows: Yerleşik windows sıfırlama
** View menüsünden hemen sonra Mode menüsü gelmektedir. Mode menü ön izleme modu seçmemizi sağlar.
Automatic: Otomatik mod dosyaya göre bir dosyanın içeriğini önizlemek için en iyi yolu otomatik olarak seçer.
Text: Text modu dosya metin dosyası olmasa bile içeriği ASCII veya Unicode olarak görmemizi sağlar. Görünmeyen metin ve ikili verileri göstermede faydalıdır.
Hex : Hex modu dosyadaki her bayt veriyi onaltılık kod olarak görmemizi sağlar.
6.FTK IMAGER İLE DİSK İMAJ İŞLEMİ
**Öncelikle programımızı açıyoruz. File kısmından Create Disk Image kısmını seçelim.
**Açılan sekmede imaj türünü seçmemiz gerekiyor.Bizlere fiziksel disk imajı mı alınacak yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alacağımızı belirliyoruz. Türlere bakacak olursak;
1-Physical Drive: Delinin tamamının çalışır haldeki imajını alır veya bir bölümün bire bir imajını alır.
2-Logical Drive: Diskin belirli bir bölümünün imajını alır.
3-Image File: İmaj dosyasının imajını alır.
4-Content of Folder: Herhangi bir klasör içeriğinin imajını alır.
5-Fernico Device : Çoğaltılabilir CD/DVD gibi disklerin imajını alır.
**Karşılaşılabilecek durumlardan dolayı sabit diskin fiziksel imajını almak en sağlıklı yaklaşımdır. İlk seçenek olan Physical Drive seçeneğine basıp ilerliyoruz. Karşımıza çıkan ekranda hangi sabit diskin imajını almak istersek onu seçip Finish butonuna basıp ilerliyoruz.
**Bu sefer diskin nereye kaydolacağını gösteren sekme karşımıza çıkacak. ADD butonuna bastığımızda hangi formatta imaj almak istediğimizi seçip ilerliyoruz.
İmaj türünü seçtikten sonra aşağıda 3 adet seçenek var. Bunları inceleyecek olursak;
1-Verify İmages After They Are Created :Dosyanın Hash’i yoksa bu seçenek 1 adet oluşturur.
2- Precalculate Progess Staticts : İlerlemeyi istatiksel olarak hesaplar. İmaj işleminin tahmini bitiş süresini vermektedir.
3- create directory listings of all files in the image after they are created: Görüntüdeki tüm dosyaların dizin listelerini oluşturur. İçlerinde imaj içindeki dosyalar ve bunlara ait bilgiler vardır.
4-Add Overflow Location: İmajı yazdığınız alanın bitmesi durumunda imaj işleminin sonlanmaması için bu buton ile path eklenebilir.
1-Raw(dd): Sıkıştırma desteğ bulunmadığından imaj alınan disk ile boyutu ile aynıdır.Ayrıca imaj dosyasının içerisinde hamveri bulunmaktadır.Herhangi bir metadata verisi bulunmaz.
2-Smart: Linux işletim sistemi için geliştirilmiştir. Hamveri metadata ve doğrulama değerlerini içereren dosyadır.
3-E01: Sıkıştırma desteği sağlamaktadır.Veri imaj alınırken bloklara bölünmektedir.Her bloğa ait checksum değeri verinin arkasına yazılır bu nedenlde hem hamveri hemde metadata bilgisi taşır.
4-AFF: Metadata saklama ve sıkıştırma özelliği vardır. Veri ile metadata bilgileri birleştirilerek aynı dosyada saklanır.
**RAW türünü seçip ilerliyoruz. Karşımıza çıkan ekranda bizden bazı bilgiler istemekte. Bilgileri eksiksiz girmeye çalışınız. Bilgileri girdikten sonra Sonraki butonu ile devam ediyoruz.
1-Case Number: Vaka numarasının girildiği kısımdır.
2-Evidence Number: Kanıt numarasının girildiği kısımdır. Kaçıncı kanıtı incelediğinizi belirtir.
3-Unique Description: Yapılan inceleme için kısa açıklama yapılan kısım.
4-Examiner: Vakayı inceleyen kişinin bilgisinin girildiği kısım.
5-Notes: Yapılan incelemeye eklenecek notlar kısmıdır.
**Karşımıza gelen ekranı inceleyim ve daha sonra bilgileri girip devam edelim.
Destination Folder: İmajı alacağımız klasördür.
Image Filename : İmajın görünen ismidir.
Image Fragment Size : İmajların MB cinsinden büyüklüğüdür. Tanımladığınız boyutlarda bölünerek imaj alınır.
Compression : İmaj dosyalarının sıkıştırılması için verilen 0-9 aralığında değer seçilmesi gerekir. Değer arttıkça imaj süresi uzayacaktır.
Use AD Encryption: İmajın açılmasında şifre verilmek istenirse bu seçenek tıklanmalıdır. Şifreleme sistemidir.
** Finish butonuna bastıktan sonra imaj alma işlemi başlatıldı. Bu ekranda imaj süresini ve ne kadar hızla imaj aldığının bilgisini görebiliriz.
7.FTK IMAGER İLE RAM İMAJ İŞLEMİ
**Ram imajı almak için ilk olarak file menüsünden Capture Memory seçeneğine basıyoruz.
**Karşımıza gelen ekranda 3 adet seçenek çıkmakta.
Destination Path: İmajı kaydedeceğimiz alandır.
Include Pagefile: Pagefile.sys Windows işletim sisteminin sanal bellek olarak kullandığı dosyadır. Bu dosya ramin yetmediği sıraya devreye girmektedir.
Create AD1 File: Memory ve Pagefile dosyalarını paket yapıp imaj haline getirmektedir.
**Bilgileri doldurduktan sonra Capture Memory butonuna basıp devam ediyoruz.
**İmaj işlemimiz başlatıldı. İmaj işlemi bittikten sonra imajı kayıt ettiğiniz alandan kontrol edebilirsiniz.
8.FTK IMAGER İLE MOUNT İŞLEMİ
**Mount işlemi alınan imaj dosyasını harici bir sürücü gibi gösterme işlemidir. İlk olarak file menüsünden Image Mounting seçeneğine tıklıyoruz.
**Karşımıza çıkan pencerede Image yolu seçilip Mount butonuna tıklıyoruz. Tıkladıktan sonra aşağıda bulunan Mapped Image Lıst alanına yeni sürücü olarak eklenecektir. Bu işlem sonunda sanki fiziksel disk gibi gözükecektir.
Mount type : Mount işlem türüdürr.
Drive letter : Mount işlemi için kullanılacak sürücü harfi seçilir.
Mount Method: Mount etme yöntemleridir.
Block Device/Read Only :Cihazı blok cihaz olarak okur.Yani cihaz Fiziksel ad sorgulama gerçekleştiren Windows uygulaması ile görünebilir.
Block Device/Writable : Delillere yazıp not almaya izin verir. Gösterimler ön bellek dosyasına kaydedilir fakat orjinalinde değişiklik olmaz.
File System/Read Only: Cihazı Windows gezgini’nin görebileceği salt okunan bir aygıt olarak okur.
9.FTK IMAGER İLE ADLİ İMAJ GÖRÜNTÜLEME VE İNCELEME
**Adli imaj görüntüleme işlemi için ilk önce kendi flashımızın imajını alıyoruz. Aldığımız imajı yeni bir klasöre ekledim. İmaj alma işlemi tamamlandı. Yan tarafta imajımızın hash değerlerini görebiliriz.
**Aldığım imaj klasörümün içine geldi. İnceleme yapmak için en üstte bulunan ‘imaj.001’ adlı sıkışmış dosyayı seçmemiz gerekmektedir.
**Şimdi File menüsüne tekrardan gelip ‘Add Evidence Item..’ seçeneğini seçiyoruz.
**Add Evidence Item seçeneğini seçtikten sonra karşımıza çıkan ekranda ‘Image File’ seçeneğini seçiyoruz. Flashımızın imajı üzerinden işlem yapacağımız için bunu seçtik. Yukarıda bahsettiğim gibi Image file imajın imajını alma işlemidir.
**Image File seçeneğini seçtikten sonra inceleyeceğimiz delil dosyasını açıyoruz. Bu işlem ile imajı ayrıntılı olarak inceleyebiliriz.
NOT: Dosya uzantısı Raw olarak alınmış ise *.001 şeklinde, eğer Encase formatında ise *.E01 şeklindedir.
**Açtığımız imaj dosyası ara yüzümüze geldi. Evidence tree bölümünde aldığımız imaj içerisindeki dosyalar gözükmektedir. Ana klasörden aşağı doğru olan klasörler ve kurtarılabilir veriler içerebilen alanlara kadar detaylı inceleme yapabiliriz. Aynı zamanda silinen bir dosyayı da görebiliriz. Aşağıda örneğini vereceğim.
**İmaj dosyasını hex olarakta inceleyebiliriz.
**File list bölümünde dosya boyutlarını, oluşturulma tarihlerinin bilgileri yer alır. Herhangi bir davada delil incelemede oldukça önemli bir unsurdur.
**Şimdi klasörleri incelemeye başlayalım. Rastgele bir tanesine tıkladım ve resim düzgünce ekrana geldi. Veri silinmemiş veya zarar görmemiş. Tek tek dosyaların içerisinde gezinip incelediğiniz delil hakkında bilgi edinebilirsiniz.
**Silinen dosyaların üzerinde kırmızı çarpı işareti bulunmakta.Silinmiş görüntüyü kurtarmak için resmin olduğu dosyayı sağ tıklayıp çıkan pencereden ‘Export Files’ seçeneğini seçiyoruz.
**Daha sonra bizden hedef klasör seçmemizi istiyor.Hedef klasörü girerek delili dışarı çıkartıyoruz. Silinen dosya adında yeni bir klasör açtım.
**İşlemin başarılı bir şekilde tamamlandığını durum bilgisi olarak göstermektedir.