Herkese tekrardan merhaba, bu hafta imaj dan , dd aracı ile imajın nasıl alınabileceğinden bahsettim şimdiden keyifli okumalar.
İMAJ(Adli Kopya) Nedir
imaj, adli bilişim alanında yapılan her bir inceleme sonucu ve delil niteliği taşıyabilecek her türlü elektronik cihazın gerçeği ile herhangi bir fark bulunmadan birebir kopyasının fiziksel veya mantıksal olarak imajının alınma işlemidir.
Fiziksel imaj tüm birimlerin incelenmesinde, mantıksal imaj belirli bir bölümün dosyanın incelenmesinde kullanılır. Alınmış birebir kopya ile silinmiş verileri, mevcut verileri, gizli bölümlerinin gözlenmesi ve her sektör ve her byte’ının kopyalanmasıdır. İmajı alırken her zaman esas delilin bir kopyası oluşturulmalıdır veri kayıplarının yaşanmaması için her zaman imaj dosyası üzerinden çalışmalı ve imaj dosyasının gizliliğine ve tutarlığına önem verilmelidir. İmajı dosyasının gizliliği HASH değerleridir. Her bir dosyanın sahip olduğu bir hash değeri vardır bunu insanlara tanımlanan T.C. kimlik numarası ile benzetebiliriz her bir dosyanın hash değeri sayısal imzasıdır. Değiştirilen her bir hash değeri dosyanın değiştirildiğinden ve delil karatma niteliğine girer.
İmajı alırken yazılım ve donanımlar kullanılmaktadır. Yazılımlara; Forensic Explorer, X-ways Forensics, Encase Forensics, Forensic ToolKit, ProDiscover, SMART, The Sleuth Kit/Autopsy,
Donanımlara ise; Tableau yazma- koruma cihazları, CRU imaj oluşturma cihazları, Voom Technology cihazları örnek olarak verilebilir.
Linux üzerinden bir flash belleğin dd aracı ile imajının alımı:
- Sabit diskin ,usb belleğin, CD veya DVD’nin imajı alınabilir.
- Alt seviye kopyalama yapar yani diskin boş alanlarda dahil tamamen kopyalayıp imajını alabilir. Aldığımız bu imajlarla usb bilgisayarımıza takılıymış gibi işlem yapabiliriz.
Sağ alt sekmede bulunan flash simgesinden bilgisayara takılan flash disk türünü belirleyerek makinaya tanıtıp işlemlerimizi gerçekleştirebiliriz.
“lsblk” komutu ile sistemde var olan aygıtları bulmamızı sağlar. Benim sistemimde var olan flash diskimin adı “sdb1”.
Daha sonra bilgisayarıma taktığım sürücünün imajını almak için yukarıda belirtilen kod satırını çalıştırırız.
İF ile seçilecek bellek adı OF ile ise nereye kaydedileceğini belirttim.(busra klasörünü komut satırında mkdir komutu ile oluşturuldu.)
abm.dd= oluşturulan imaj dosya adı.
İmaj alma işlemi biraz uzun sürdü flash diskin boyutuna göre farklılık gösterebilir. İmaj almak için 8gb boyutunda flash disk kullandım.
Abm.dd imaj dosyası oluşturuldu ve 7.5 GB boyutunda.
Count ile belirtilen sayıda bloğun kopyalanması sağlanır. Belirli sektörlere ayırmak istiyorum ve 512 bayt olarak kopyalanmış imajın içerisinden belirli bir parça almak istiyorum ve abc klasörün içerisine fd1.dd olarak kaydetmesini istiyorum.
(512 baytlık alanı ascıı değer tablo görüntüsü)
dd ile imajı alırken görebileceğiniz diğer terimler:
bs=blok boyutunu belirtir.
skip=belirtilen sayıda blogu atla.
conv=noerror ,sync= okuma hatası olduğu zaman işlemi sonlandırma devam et ,kesme yapma
Flash belleğimizin gerekli bölümlemeler yapıldıktan sonra artık imajını aldık bilgisayarımızda flash bellek takılıymış gibi işlem yapabilir ve verileri görüntüleyebiliriz. İmaj dosyaları çeşitli toollar veya mount ederek açılabilir.
Mount etmek için masaüstüne gelerek mkdır komutu ile: imaj_gorüntü
adlı bir klasör oluşturdum ve:
sudo/mount -o offseet =1048576/home/kali/busra/abm.dd /home/busra desktop/imaj_görüntü
Flash disk başlangıç değeri 2048 idi ve sektör boyutu 512 bayt elde edilmişti offseet=2048*512 çarpımı ile elde edildi.
Çalıştırarak imaj dosyam mount edildi ve flash diskde bulunan görüntüler elde edilebildi.
sağlıklı günler!
