Root > Documents > Crime Investigation > X-WAYS Fornsics Tools
Cyber-Warrior.Org \ Doküman \ Crime Investigation > X-WAYS Fornsics Tools
Madde
  Yazar : EMİROĞLU
  Date : 14.02.2019 09:02:01
 
# X-WAYS Fornsics Tools
 

X-WAYS Fornsics Tools



Almanya menşeili olan firma veri inceleme adli bilişim çözümleri (computer forensics) alanında uzun yıllardır çözüm sağlamaktadır. Kullanım kolaylığı ve veri inceleme alanındaki başarı, X-ways Forensicsin özellikle kolluk kuvvetleri tarafından tercih nedeni olmasına sebep olmuştur. X-Ways Forensics veri inceleme adli bilişim çözümleri (computer forensics) alanında dünyaca kabul görmüş, kullanımı son derece kolay ve faydalı bir yazılımdır. Disk klonlama ve görüntüleme, ham resim dosyalarını ISO,VHD ve VMDK görüntüleri içinde bölümleme ve dosya sistemi yapılarını okuma, disk içerisindeki kaybolan/silinmiş kısımların otomatik olarak tanımlanması ve daha birçok özelliği ile ideal bir inceleme çözümüdür. Programın ana ekran görüntüsü aşağıdaki gibidir.







Image Creation



Yeni bir imaj oluşturmak için aşağıdaki yollardan birisini deneyebilirsiniz. Birinci yolda File menüsü altında Open Disk düğmesine tıklayın yada araç çubuğunda veya menüde Options menüsünden sadece F9 tuşuna basın ve Disk iletişim kutusunu görüntüleyin. Fiziksel sürücüyü seçebilirsiniz veya mantıksal bir sürücü seçip devam edeblirsiniz.







Open desired partition on the disk



Opsiyonel olarak eğer isterseniz seçtiğiniz imaj dosyasının içinden analiz etmek istediğiniz bir bölümü seçebilirsiniz.







Eğer full imajı analiz etmek istiyorsanız bu adımı geçebilirsiniz.



Create the disk image



Yeni bir imaj dosyası oluşturmak için File menüsü altında Create Disk İmage seçeneğine tıklamanız gerekmekte. Daha sonra aşağıdaki gibi bir pencere açılacak









Ekrana gelen menüde imajınızla alakalı ayarları yapabilirsiniz. Sol üst tarafta imajın dosya sistemi onun hemen altında imajın cihaz üzerinde ki yolunu seçebiirsiniz. 2nd copy seçeneği ile istenirse aynı anda iki kopya oluşturularbilir. Examiner kısmına ise analiz yapan kuruluş firma şahız bilgisi girilebilir. Sağ tarafta ise nbsp; imajları bölme ile ilgili ayarlarınızı yapabilirsizin.



Case Creation, Adding Images



Create New Case







File menüsü altında Create New Case seneğine tıklayarak yeni bir olay, vaka, Analiz dosyası (case) oluşturabilirsiniz. Bu seçeneğe tıkladığınızda karşınıza aşağıdaki gibi bir ekran gelecek.







Bu ekran da analiz edilecek case dosyasının özelliklerini ayarlayabilirsiniz. Üst kısımda case dosyanızın adı ve doya yolunu belirtmeniz gerektiğini size smzylüyor program. Sol kısımdaki boşluk analiz edilecek dosya ile ilgili bir genel tanılama yapmanızı istiyor bunlar opsiyonel şeyler istenilirse girilmeyebilir. Sağ tarafta analizi yapan kişi şahız kurum bilgilerini girebilirsiniz. Alt kısımda yapılacak işlemleri seçebilirsiniz. İyi bir analiz için hepsinin seçilmesi uygundur ama yapılacak tarama işlemi uzar. Ayarlarınızı yaptıktan sonra OK tuşuna bastığınızda program case (vaka,olay) dosyasını oluşturucak ve ekrana aşağıdaki ekran gelecektir.







Artık son aşamada oluşturduğumuz Case çalışmasının içine analiz edeceğimiz İmaj dosyasını tanımlamamız gereklidir. Bunun için; Ana ekranda File menüsü altında Add Image butonuna tıklamanız gereklidir.







Açılan ekrandan Ham dosyalar (.dd / .001) Kanıt dosyaları (.e01) sanal sürücüler (.VHD / .VMDK) dosyalarından birisini seçebilirsiniz. Daha sonra aşağıdaki gibi seçiminize ve yaptığınız ayarlara uygun olarak analiz verileri ekrana yüklecektir. Program bütün yaptığınız işlemleri kategorize ederk ekrana verecektir. Buda daha düzgün çalışmanıza olanak sağlar.







Yukarıdaki resim örnektir. Burada fiziksel sürücülerin ayrı dosya ve klasörlerin ayrı olarak tanımlanmış hallerini görebilirsiniz. Sol taraftan seçtiğiniz herhangi bir şey ekranın sağ tarafında görünecektir.Oluşturulan içeriklerin detaylarına herhangi bir içeriğe sağ tıklayarak Properties üzerinden de ulaşabiliriz.







Report table association



Dosyalarınıze ve dizinlerinizi seçtikten sora sağ tık yapıp Report Table Association sekmesini tıklayarak rapor oluştururken içeriğinin ne olacağına dair istediğiniz dosyaları seçebilirsiniz.







Daha sonra aşağıdaki gibi bir ekran gelecektir.







Burada oluşturacağınız rapora istediklerinizi ekleyebilir ismini değiştirebilirsiniz.







Tablolarınızı ayarladıktan sonra istediğiniz gibi isimlendirmeler yapabilir en sonunda Create düğmesine basarak seçtiğiniz dosyaları ve klasörleri eklediğiz tablolar ile ilişkilendirebilirsiniz.







Ekrandaki kırmızı kısımlar eklediğiniz tablolara ait kısa yol tuşlarıdır. Daha sonradan eklediğiniz. Dosyaları kısayol tuş kombinasyonları ile uğraşmadan ekleyebilirsiniz.







Eklediğiniz dosyaların kenarlarında yeşil renkte üçgenler belirecektir. Tüm işlemler bittikten sonra File menüsü altında Create Report sekmesini kullanarak raporunuzu oluşturabilirsiniz.







Daha sonra aşağıdaki ekran gelecektir karşınıza.





Bu kısımda raporunuza logo ekleyebilir. Header atayabilirsiniz. Sağ taraftaki menüde üst kısımda oluşturulacak rapora hangi tabloların ekleneceğini seçebilirsiniz. Sağ alt kısımda ise raporun içereceği kısımları seçebilirsiniz. Tamama bastığınızda rapor oluşturulacak eğer herşey düzgün gitmiş ise aşağıdaki ekran gelecektir.





nbsp;Daha sonra isterseniz raporunuzu Options menüsü altında Viewer Programs sekmesinden raporunuzu görüntüleyebilirsiniz. Oluşturulan bir raporun örnek görüntüsü aşağıdadır.




Refine Volume Snapshot

Refine Volume Snapshot ile sıkıştırılmış klasörleri e-mail arşivlerini e-mail arşivleri içerisindeki ekli dosyaları resimleri dosyaların metadalarını hepsinin içeriğini tarayabilirsiniz. Bunun için F10 tuşu ile modülü aktifleştirebilirsiniz. Ya da Specialist menüsü altında Refine Volume Snapshot tıklayabilirsiniz.




Office Metadata

nbsp;Refine Volume Snapshot ekranına tekrar geri gelin. Bunun için F10 tuşu ile modülü aktifleştirebilirsiniz. Ya da Specialist menüsü altında Refine Volume Snapshot tıklayabilirsiniz. Ekrana gelen ayarlardan Extract interna metadata, browser history, and more butonuna tıklayın ve aktifleştirin. Daha sonra sağ tarafında bulunan ? butonuna tıklayın karşınıza aşağıdaki gibi bir pencere açılacak.



Seçeneklerden kırmızı çizgi içindeki Copy meta? ile başlayan seçeneği seçin. Daha sonra OK tuşuna basın ve çıkın daha sonra Options menüsü altında Directory Browser butonuna tıklayın.Buna isterseniz program üzerinde simgelerden de kısa yolla ulaşabilirsiniz.



Daha sonra ekrana aşağıdaki ekran gelecek buradan en alttaki Metadata bölümüne gelen ve oraya bir değer verin örneğin : 400



Bu girilen sütun sayımızı belirtiyor istenirse daha sonra değiştirilebilir. Daha sonra OK diyip onaylayın ve çıkın. Daha sonra nbsp; ana ekranda sol taraftaki listeden herhangi birisine sağ tıklayın ve Explore recursively seçeneğine tıklayın. Gelen ekranda nbsp; kırmızı çizgi içindeki filtreleme nbsp; seçeneğine tıklayın.




Yukarıdaki gibi seçimi yapıp Activate butonu ile oanylayın. Daha sonra Metada kısmı boş olmayan dosyalar ekrana gelecektir. Daha sonra gelen ekrandan tekrar filtre simgesine tıklayın. Açılan ekranda üst kısımdaki kutucuğa istediğiniz herhangi birşeyi yazın yazdığınız değer Metada sütunu içerisinde taranacak ve bulunanlar listelenecektir.





nbsp;Yada seçimizi daha farklı opsiyonlarla aşağıdaki gibi genişletebilirsiniz. Program seçiminize uygun birden fazla filtreyi işleme sokarak tarama gerçekleştirecektir.






Search:

Enter search terms and options:

nbsp;Arama komutunu kullanarak analiz edilen dosya veya dizin içerisinde istenilen bilgilere ulaşılabilir. Bunun için herhangi bir dosya veya dizine sağ tıklayıp Simultaneous Search sekmesine tıklayın açılan pencerede





nbsp;OK tuşuna bastıktan sonra seçeneklerine uygun sonuçlar aşağıdaki ekranda ki gibi görünecektir.





nbsp;Burada numaralandırılmış kısımların ne anlama geldikleri aşağıda yazılıdır. Buna nbsp; göre analizlerinizi gerçekleştirebilirsiniz.


nbsp;1-) Bu düğmeye bastığınızda arama terimleri listelenir. İsteğe göre değiştirilebilir.

2-) Aramaların hangi kriterlere göre listelendiği kısım

3-) Dosyalar - Dizinler ve alt kategorilerinin bulunduğu kısım

4-) filtreleme yöntemlerinin değiştirilip düzenleneceği kısım

5-) Arama terimlerinin olduğu listedir. Ekrana yansıtmak istediğiniz seçimlerinizin üstüne tıklayarak aktifleştirebilir ve sadece onları ekrana çağırabilirsiniz.

6-) Seçimlerinize ait analizlerinizi detaylandıracağınız kısım burada dosyaların detaylarına bakabilirsiniz.

7-) Arama terimleriniz ile ilgili tarama yaparken dosyalarda belirli terimlerden birden çok var ise hepsini göstermemesi sadece 1 tane bile bulsa ekrana yansıtmasıdır. Aramalarınızı daha dar yapmanızı sağlar ve analizleriniz daha sade ve hızlı olur.


Copying Files:


nbsp;Analiz sonucunda istediğiniz herhangi bir dosyanın kopyasını alabilir. Silinmiş dosyaları kurtarabilirsiniz. Örnek olarak silinmiş resim dosyalarının kurtarılması için bütün dosyaları seçtikten sonra herhangi bir kısımda sağ tıklayarak Recover/Copy sekmesine tıklayın





Evidence File Container

Create the Evidence File Container

nbsp;Ana menüde Specialist menüsü altında Evidence File Container sekmesinde New seçerek modülü başlatıyoruz.





Daha sonra aşağıdaki resimdeki gibi bir ekran açılacak buradan Internal Designation ve Descr*iption kısımlarına tıklayarak Dosya adı, analiz bilgileri gibi değerlerinizi girin. X-ways dosya formatını otomatik olarak .CTR olarak atayacaktır. Sol taraftaki ayarları kendinize göre yapmanız gereklidir.

OK tuşuna basıp ayarlayı kaydedin. ve bir Evidence File yükleme için analiz dosyalarından birisine sağ tıklayın ( hangisini kullanmak istediğiniz size kalmış ) Biraz önce ki ekranda Internal Designation bölümüne yazdığınız isim ne ise onu sağ tık menüsünde göreceksiniz. Bizim örneğimizde Internal Designation bölümünde Demonstration yazdığı için sağ tık menüsü aşağıda ki gibi çıkacaktır.






Close the container

Bütün işlemler bittikten sonra Ana menüde Specialist menüsü altında Evidence File Container altında Close tuşuna basarak onaylayın.

Daha sonra File Menüsü Create Disk Image butonuna basarak karşınıza gelen ekrandan Path and Filename kısmına oluşturduğunuz Evidence file dosyasının yolunu belirtin. Ve OK tuşuna basarak onaylayın.




Add container to the case

nbsp;Daha sonra ekranın sol tarafına dosyanız gelecek buna bir case yüklemek için Case data menüsü altnda File menüsü altında Add Image seçin ve konunun en başında Case yükleme kısmındaki gibi dosyanızı yükleyin.


Kaynak

   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©