Root > Documents > Crime Investigation > FTK Imager Tool
Cyber-Warrior.Org \ Doküman \ Crime Investigation > FTK Imager Tool
Madde
  Yazar : EMİROĞLU
  Date : 13.02.2019 16:04:04
 
# FTK Imager Tool
 
Adli bilişim incelemelerinin en önemli adımlardan birisi de incelenecek disklerin sorguya mahal vermeyecek şekilde, disk üzerinde herhangi bir değişiklik yapmadan imajlarını almaktır. İşte FTK Imager bu gereksinimleri karşılayan ve dijital delil dosyaları üzerinde ön inceleme yapıp bu dosyaların[I] [/I]imajını almaya imkan tanıyan, AccessData firması tarafından geliştirilip ücretsiz şekilde kullanıma sunulan bir yazılımdır. Bu yazılım ile lokal sabit sürücülerin, USB hafıza kartlarının, Zip sürücülerin, CD ve DVD’lerin, dizinleri yada tek bir dosyanın imajını alabilir. Aynı zamanda FTK Imager bu ortamlardaki dijital delillerin imajını almadan önizlenmesine de imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olmasa da silinerek çöp kutusuna gönderilmiş fakat üzerine henüz başka dosya tarafından yazılmamış dosyaları da kurtarabilir. Windows, Linux ve Macle uyumlu olan FTK Imager FAT,NTFS,ext2,ext3 gibi dosyalama biçimlerini desteklemektedir.

Genel Özellikleri;

1-) Medyalar içerisinde bulunan verilerin ön izlemesi yapılabilir,
2-) Birebir kopyası alınmış olan medyaların kopyalarının ön izlemesi yapılabilir,
3-) Alınmış olan birebir kopyalar sadece okuma modunda (read-only) görüntülenebilir (mount),
4-) Kopyalar içerisinden veriler dışarı Windows ortamına aktarılabilir,
5-) Silinmiş ve çöp kutusuna atılmış olan dosyalar görüntülenebilir,
6-) MD5 ve SHA-1 algoritmalarını kullanarak hash değeri üretilebilir,
7-) Birebir kopyalar ile normal dosyalar için hash raporları üretilebilir.

Program ücretsiz nbsp; olarak dağıtımda olup aşağıdaki linkten programın en son versiyonunu indirebilirsiniz.

FTK Imager Download



Programın genel görünümü yukarıdaki gibidir. Kullanımı basit arayüzü gözü çok yormayan sade bir yapıdadır. Ve adli inceleme esnasında temel analizlerini yapmak için tasarlanmış bir yazılımdır. Programın araç çubuğundaki menülerin ne işe yaradıklarını aşağıdaki resimde bulabilirsiniz.



Create Disk Image :

Bir Imaj dosyası oluşturmak için nbsp; File Menüsü altında Create Disk Image butonuna tıklamanız gerekiyor.



Bu işlemi yaptıktan sonra karşınıza kaynağınızın yolunu belirteceğiniz bir ekran gelecek ekran görüntüsü aşağıdaki gibidir.



Burdan istediğiniz birtanesi seçip devam etmeniz gerekli.

Physical Drive = fiziksel sürücüleri
Logical Drive = Mantıksal sürücü
Not: Bir temel disk üzerindeki uzatılmış bölümde oluşturulan birim. Mantıksal sürücülere biçimleme yapılabilir ve sürücü harfi atanabilir ancak, üzerlerinde bir işletim sistemi barındırılamaz.
Image File = Elinizde bulunan bir imaj dosyası
Ferrico Device = CD, DVD gibi cihazlar üzerindeki dosyaları
Contents of Folder = bunlar dışında kalan herhangi bir dosya dizini belirtir.

Bunlardan birini seçtikten sonra Next diyerek bir sonraki adıma geçiyoruz. Seçiminize göre analiz edeceğiniz dosya cihaz imaj mantıksal sürücü ne ise yolunu belirtiyoruz. Bunun için ekranın alt kısmındaki Add butonuna tıklayıp hedefi belirtiyoruz.



Daha sonra Next dedikten sonra karşımıza aşağıdaki ekran gelecek bu kısımda kaynak sürücü yolunu belirtmemiz gerekli. Finish dedikten sonra diğer ayarlara geçebiliriz



Finish dedikten sonra aşağıdaki ekran gelecek ve bizden format tipini isteyecek



Bu ekrandan oluşturulacak imaj dosyasının formatını belirleyip Next ile bu ekranı geçiyoruz. Daha sonra analiz dosyasına ait bilgilerin girileceği kısım gelecek bu kısımdaki bilgileri işin durumuna göre opsiyonel olarak doldurmanız gereklidir.



Next ile bu ekranı da geçtikten sonra Select Image Destination bölümünde dosyanın çıkartılacağı kısmı belirtiyoruz. Yine dosya ismine de buradan ekleyebilirsiniz.



Burada gerekli alanları doldurduktan sonra finish butonu aktif hale gelecek ve imaj oluşturma işlemini bitirmiş olacağız.



Bütün işlemler bittikten sonra Tekrar Create Image ekranına dönmüş olacağız. Ve Start butonuna tıkladıktan sonra dosyanın yapılan ayarlara göre import işlemi gerçekleştirilecektir.



İşleminiz başarılı olduğunda aşağıdaki gibi bir ekran gelecektir. Ve imaj dosyası oluşturulduktan sonra nbsp; Close diyip ekranı kapatabilirsiniz.



Hash Doğrulama

Şimdi Elinizde olan bir adli olarak incelenmesi gereken ve raporlanan dava (case) dosyasının içeriği hakkında çıkan delillerin üzerinde herhangi bir oynama yapılıp yapılmadığını anlayabilmek için FTK size çözüm sunar Hash fonksiyonu sayesinde Adli dosya üzerinde oynama yapılıp yapılmadığı hash doğrulaması sayesinde anlaşılır. Bunun için isterseniz import ettiğiniz imaj dosyasının hash bilgilerine bakabilirsiniz.



Ya da isterseniz imaj içerisinde seçtiğiniz dosyaların hash değerlerinden değişip değişmediğini anlayabilirsiniz. Bunun içinde;
Seçtiğiniz dosya üzerinde sağ tıklayarak Export File Hash List fonksiyonunu kullanabiliriz. Daha sonra bize kayıt yeri soracak istediğiniz bir yolu belirterek dosyayı kayıt edebilirsiniz. Yukarıdaki örnekte görüldüğü gibi hash değerlerini incelerseniz dosyanın ilk halinin de analiz sonrası halininde aynı olduğunu görürsünüz. Program kayıt ettiğiniz dosyayı açtığınızda aşağıdaki örnekteki gibi dosyayı kayıt edip size sunacaktır.



Using FTK to view hex

Analiz edilecek dosyaların hex değerlerine bakabilmek ve incelemek için FTK imager programında File menüsü altında Add Evidence Item sekmesine tıklıyoruz



Daha sonra yukarıda yaptığımız gibi kaynağımızın ne olduğunu belirtiyoruz. Image File sekmesini seçip devam ediyoruz.



Daha sonra imaj dosyamızın nerede olduğun belirtmemizi isteyen bir ekran gelecek buradan imaj yolumuzu belirtiyoruz. Open diyerek devam ediyoruz



En sonra adımda Finish diyerek import edilmesini sağlıyoruz.



Program ana ekranında sol tarafta simport ettiğimiz imaj dosyasının eklenmiş olması gerekli yanndaki + işaretine tıklayarak seçimi genişletiyoruz.



Alt tarafa doğru genişleyen içerik listesinden istediğiniz bir dizini seçtiğinizde dizin içerisinde olan herşey ekranın sağ tarafında belirecektir. Burdan istediğiniz bir tanesine tıklayarak ekranın alt tarafında o dosyaya ait hex değerlerini görebilir ve inceleyebilirsiniz.



Örneğin ekranda bir resim formatı üzerine tıklayıp resmi seçtiğinizde üst kısımdaki gözlük simgesine tıkladığınızda resmin orijinal halini görürsünüz.



Aynı dosyanın hex değerlerini görmek için bu sefer gözlük simgesinin yanındaki altında HEX yazan gözlük simgesine tıklamanız yeterlidir. Bu size seçtiğiniz dosyanın hex değerlerini verecektir.

   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©