Root > Documents > Crime Investigation > Adli Bilişim Yönünden MFT
Cyber-Warrior.Org \ Doküman \ Crime Investigation > Adli Bilişim Yönünden MFT
Madde
  Yazar : Insomnia
  Date : 14.03.2014 15:36:13
 
# Adli Bilişim Yönünden MFT
 

Adli bilisim çerçevesinde degerlendirildiginde MFT için asagidaki açiklamalari yapabiliriz.

MFT hakkinda daha ayrintili bilgileri NTFS bölümünde bulabilirsiniz. Burada adli bilisim yönünden MFT üzerinde, ne tür yorumlar yapabiliriz basliklari degerlendirilecektir.

MFT bilindigi gibi Master File Table kelimelerinin kisaltmasidir. Yani ana dosya tablosu, bir kitabin içindekiler bölümü olarak düsünebiliriz. NTFS dosya sistemindeki kuskusuz en önemli dosyadir. Birimdeki tüm dosyalarin izlemesini yapar, dosyalara ait konum bilgileri, hangi dizine ait, mantiksal konumu, fiziksel konumu ve dosyalara ait metadatalari içerir:Içerdigi metadatalara örnek olarak

Created Date (Olusturma tarihi), Entry Modified Date (Girdi Degisikligi tarihi), Accessed Date (Erisim tarihi) ve Last Written Date (Son Yazma Tarihi), öznitelik bilgileri.

Bir dosyanin fiziksel ve mantiksal boyutu, izinleri (erisim güvenligi) vs. verilerin hepsi MFT kayitlarinda tutulurlar ve "MFT Entries" (MFT girdileri, kayitlari vs. gibi) isimlendirilir. MFT girdileri standart olarak 1024 byte uzunlugundadir. NTFS olarak biçimlendirilmis bir hard disk üzerindeki hersey ve MFT’ nin kendiside bir MFT kaydina sahiptir. MFT de yer alan ilk 16 kayit NTFS sistem dosyalarina ayrilmistir.

Bu dosyalar arasinda ; $MFT, $MFT Mirror ve $BitMap ‘i sayabiliriz.(adi geçen diger sistem dosyalarini NTFS konusu altinda bulabilirsiniz. Daha sonra Adli Bilisim konusu altinda da diger NTFS sistem dosyalarini degerlendirecegim)

MFT genisletilebilir ancak normal sartlar altinda asla küçültülemez. Bu özelligi; adli bilisimciler için hayat kurtaran özellikler arasinda sayabiliriz; örnek olarak silinen bir verinin kurtarilmasi ve bir verinin silinip silinmedigine karar verme konusunda çok önemlidir.

Bir dosya silindiginde, dosya bilgilerini tutan MFT kaydi tekrar kullanim için hazir olarak isaretlenir. Bu kayit üzerine yeni bir dosya kaydi girene kadar degismeden durur. Hard disk üzerinde yeni bir dosya olusturuldugunda; uygun olan bir sonraki MFT kaydinin üzerine yazilir, uygun bir kayit yoksa MFT’ ye yeni bir kayit eklenerek genisletilir.

Örnek 1:

Diyelimki MFT üzerinde 100 kayit var. Örnegimize can verecek olan dosyamiz da X olsun. X silinir ve hemen ardindan 1.000 yeni dosya olusturulursa X isimli dosyamiz üzerine yazilmis hale gelir. Ancak buna ragmen hard disk üzerinde yer alan X dosyasinin tasidigi veriler hala zarar görmemis olabilir. MFT kayitlarinda yer alan isim, metada ta vb. alanlar üzerine yazilmis olabilir.

Örnek 2:

Bu sefer MFT üzerinde 10.000 kayit olsun. 1.000 tanesi silinmis ve hemen ardindan iki yeni dosya hard diske eklenmis olsun. Bu durumda 998 kayit kurtarilabilir durumdadir.Ayni sekilde bagli veriler de (yani kayda karsilik gelen dosyadaki veriler) kurtarilabilirdir. Tabii ki yeni eklenen iki dosya tüm kayitlarin üzerine yazilmamissa. Bu sayilar pek de güzel gelmiyor olabilir ancak, isletim sistemi durmadan bunlari arka planda siz farkinda olmadan yapip durur. Örnegin ön bellege alinan bir Internet sitesi, yazilim kurulumlari için gereken geçici dosyalar ve islem tamamlaninca otomatik men silinmeleri vs. bir yigin islemde gerçekten adli bilisimciler için hiç güzel degil.

Not ve Yorumlar:

Bir dosyada ki veri MFT kaydindan ayridir. Bu duruma pek çok sey neden olur, silinme ve hard disk parçalanmalari en önemli iki neden arasinda sayilabilir. Simdi bir kaç senaryo üzerinde karsilasabilecegimiz durumlara bakalim:

Dosya silinmis fakat MFT kayitlari ve dosya verileri %100 kurtarilabilirdir. Silinen dosya %100 kurtarilir

Dosya silinmistir ve MFT kayitlari kurtarilabilirdir fakat dosyaya ait verilerin kismen üzerine yazilmistir.Bu durumda dosya kismen kurtarilabilir.

Dosya silinmis, MFT kayitlari kurtarilabilir fakat dosya verisi üzerine tamamen yeni veriler yazilmistir. Bu durumda dosya kurtarilamaz fakat dosyaya ait isim, tarihler, boyutlar vs. kurtarilabilirdir.

Dosya silinmis, MFT kaydi ve dosya verisi %100 kurtarilabilirdir. Dosyanin tamami kayip olabilir. Buna ragmen dijital delillendirme yöntemleri ile dosya hakkinda bir çok veriye ulasilabilir.

Dosya silinmis, MFT kaydinin tamaminin üzerine yazilmis fakat dosyaya ait verilerin tamaminin üzerine yeni veriler yazilmamissa bu durumda dosyaya ait verilerin bir kismi ya da dosya parçalanma halinde hard diske dagilmis olarak bulunuyorsa dosyanin tamami geri getirilebilir.

MFT nin olusturma tarihi hard diskin format tarihidir diyebiliriz.

Dosyalarda meydana gelen herhangi bir degisiklik , encase içerisinde yer alan Entry Modifiedisimli stünun tarihinin güncellenmesi demektir, bu tarih MFT içerisinde yer alir.

MFT kayitlarinin tamaminin üzerine yazilmamissa; benzer bir çok senaryo olusturulabilir.
Ilerde kaleme alinacak olan "MFT File Slack" ve "Dosya sistemi ve Adli Analiz" isimli makaleler ile daha çok bilgiye merhaba diyebilirsiniz.

Dökümani Yazan : BILGE KAGAN
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©