Adli Bilişim

EnCase Imager Kullanım Kılavuzu

Adli Bilişim Yazılımları

Photo of Şeyma Bizimyer Şeyma Bizimyer Şubat 12, 2022
0 617 4 dakika okuma süresi

1.Giriş

Hazırlamış olduğum Encase Imager Kullanım Kılavuzu ile adli bilişim alanında önemli bir yeri olan bu yazılımın işimize yarayacak bir takım işlemlerini ve bilgilerini sizlere sunmayı amaçlamaktayım. Encase Imager lisans gerektirmeyen bu alanda ücretsiz bir şekilde kullanılmakta olan bir yazılımdır.

Bu çalışmamda sizlere EnCase Imager yazılımının kullanım şeklinden ve bu programda yapılabilecek bazı işlemlere yer vermekteyim.

 

1.1 EnCase Genel Özellikleri

Zaman kısıtlı olduğunda ve tüm ciltleri veya seçilen tek tek kişiyi almanız gerektiğinde klasörler veya dosyalar, EnCase® Forensic Imager, tercih ettiğiniz araçtır. Güvene dayalı, endüstri standardı EnCase® Forensic edinim teknolojisi, EnCase Forensic Imager:

  • Yerel sürücülerin alınmasını sağlar.
  • İndirmek ve kullanmak ücretsizdir.
  • Kurulum gerektirmez.
  • EnCase Forensic lisansı gerektirmeyen bağımsız bir üründür.
  • Klasör yapıları ve dosya meta verileri dahil olmak üzere potansiyel kanıt dosyalarına göz atılmasını ve görüntülenmesini sağlar.
  • Lx01 ve Ex01 dosyalarını korumak için güçlü AES 256 bit şifreleme kullanır.
  • USB çubuğu aracılığıyla konuşlandırılabilir ve bir canlı cihazdır.

1.2 EnCase Imager İndirme ve Yükleme

EnCase Forensic Imager ile EnCase delil dosyaları ve EnCase logical delil dosyaları oluşturulabiliyor. Kullanıcı ara yüzü EnCase Forensic yazılımına çok benzeyen bu araçta delil işleme, ön izleme ve analiz özellikler mevcut değil. Tamamen ücretsiz olan EnCase Forensic Imager için herhangi bir EnCase lisansı gerekmemektedir.

EnCase Forensic Imager yazılımını başlatmak için;  indirdiğiniz EnCase Forensic Imager.exe dosyasına çift tıklayınız.  EnCase Forensic Imager yürütülebilir dosyalarını Windows Temp dizinine çıkartacaktır.

 Desteklenen imaj formatları; Güncel EnCase delil dosyası formatı (.Ex01),  Güncel Logical delil dosyası formatı (.Lx01),  EnCase delil dosyası formatı (.E01), Logical delil dosyası formatı (.L01).

2.MENÜLER

 

EnCase Imager’ın arayüzünde bulunan menüler bu şekildedir.

 

Sol köşe de bulunan küçük simgeye baktığımızda genel menüleri görüntüleriz.

2.1 Case (EnCase Imager) Menüsü:

Options(seçenekler) tıkladığımızda vakamızın(case)  adını ve gideceği lokasyonu belirleriz.

 

 

 

 

 

 

2.2 View Menüsü:

 

  • Home Page: Ana sayfaya geçiş yapmamızı sağlar.

Ana sayfa görünümü

  • Case tıkladığımızda bize Evidence (delil), Browse(araştırma) ve Case(vaka) başlıkları sunar.

  • Evidence(delil) tıkladığımızda delillerin bulunduğu eklendiği sayfayı açarız.
  • Console: EnCase programında bulunan konsol kısmını karşımıza çıkarır.
  • Perfomance kısmına tıkladığımızda ise program performanına bakabilir, performans testi yapabilir, refresh(yenileme) ve snapshots özelliğini açarak yapılan işlemleri belirlediğimiz sürelerde kaydedebiliriz.

 

2.3 Tools Menüsü:

Araçlar menüsüdür.

  • Verify Evidence Files: Kanıt dosyalarını doğrulama işlemini yapmamızı sağlar.
  • Wipe Drive: Sürücüyü kalıcı olarak silme işlemini yapar.
  • Create Boot Disk: Önyükleme diskini oluşturma işlemini yapar.
  • Generate Encryption Key: Şifreleme anahtarı oluşturur.

  • Options: Seçenekler kısmıyla vaka hakkında bilgileri (tarih, renk, yazı tipi, hata ayıklama) işlemlerini ayarlayıp değiştirebiliriz.

 

2.4 EnScipt Menüsü

  • Run: Çalıştır.
  • New EnScript: Seçeneği ile Yeni komut dosyası açabiliriz.
  • Edit: düzenleme
  • Sessions: Oturum

 

 

2.5 Add Evidence Menüsü

 

  • Add Local Device (Yerel cihaz ekle): Lokaldeki bilgisayarına bağlı bir cihazı direkt olarak davaya eklemek için kullanılmaktadır. Bu FastBloc SE ile bloklanmış, bir sabit disk veya USB disk olabileceği gibi, bir yazma koruma cihazı ile bağlanmış harici bir medya da olabilmektedir.
  • Add Evidence File (Kanıt dosyası ekle): Daha önceden kaydedilmiş bir delil dosyasının davaya eklenmesidir. Bu dosya EnCase E01 delil dosyası veya L01 mantıksal delil dosyası olabilmektedir.
  • Add Raw Image (İşlenmemiş imaj ekle): Raw veya dd imajındaki dosyaları davaya eklemek için kullanılır.
  • Add Crossover Preview (Çapraz önizleme ekle): Crossover kablo ile alınan imajlarda kullanılmaktadır. Genellikle imajı alınacak bilgisayarın içindeki medyaya ulaşılmasının zor olduğu durumlarda tercih edilmektedir. Macintosh laptoplarda ve RAID disk yapılarında kullanılması önerilmektedir.

3.UYGULAMALAR 

3.1 EnCase Imager da İmaj Alma İşlemi

Add Evidence -> Add Local Device ‘a tıklıyoruz.

Çıkan sekmedeki seçeneklerden hangisi uygunsa seçerek ileriyoruz.

İmajını almak istediğimiz diski seçerek işleme devam ediyoruz.

Diskimiz Evidence (dava) kısmına eklendi. Buradan sonra üstteki Acquire butonuna tıklıyoruz.

Bu kısımda İsim, dava numarası, delil numarası, inceleme yapan kişi ismi ve not kısmını doldurarak işlemimizi  başlatıyoruz.

3.2 Ex01 İmaj Dosyasının EnCase Imager’a Eklenmesi

İlk olarak Add Evidence File(Delil ekleme) seçeneğine tıklayarak E01 dosyamızı seçiyoruz.

Dosya eklendikten sonra  sağ alt köşede EnCase’in dosyayı doğrulama işlemine başladığını görmekteyiz.

Evidence Sekmesi: İmaj dosya eklendikten sonra, ana ekrana “Evidence” adlı bir sekme eklenmektedir. İmaj dosyasının üzerine tıklanır. Bu aşamadan EnCase MFT’yi kontrol ederek dosya yapısını görmenize olanak sağlamaktadır.

 

  • Delil üzerinde gezinme ekranı 3 bölgeye ayrılmıştır. Bunlar; Tree (Ağaç), Table (Tablo) ve View (Görünüm) bölgeleridir.
  • Tree ekranında seçilen her nesne, tablo ve görünüm pencerelerini de etkileyecek ve ilgili veri görünece şeklindedir.

Set Included Folder seçeneği, delil altındaki tüm dizinleri, alt dizinleri ve dosyaları tablo bölgesinde gösterir.

 

 

 

 

 

Fields (Alanlar): Metadata bilgilerini gösterir. Buradaki tüm alanlara indeks araması yapıldığında arama sonuçlarında bilgiler görünür.

Sağ tık -> Device -> Modify Time Zone Settings işlemi ile diskin bulunduğu konuma göew zaman ayarlarını değiştirip düzenleyebiliriz.

Aynı şekilde eklenen imaj dosyasına sağ tık-> device-> hash dediğimizde dosyanın MD5 ve SHA1 hash değerlirini   hesaplar.

3.3 Yerel Cihaz Ekleme

Add Evidence menümüzde çıkan Add Local Device seçeneği lokaldeki (yerel) bilgisayara bağlı bir cihazı direkt olarak davaya eklemek için kullanılır. Örneğin bir sabit disk veya USB disk olabilir.

Add Local Device’ a tıkladığımızda karşımıza işaretlemek için bir takım seçenekler çıkar. Bu seçeneklerden uygun olanı işaretleyerek devam edilir.

  • “Only Show Write-blocked” bu seçeneğin seçilmesi yalnızca yazma engellenmiş cihazları gösterecektir. Kısaca bu seçenek seçildiğin de takmış olduğunuz USB cihazını görmeyecektir. Yalnızca Ram’i görür.

Bu kısım da eklemek istediğimiz cihazı seçerek işlemi sonlandırıyoruz.

3.4 Raw veya DD Formatında Dosya Ekleme

 

Add Evidence menüsünden Add Raw Image seçeneğine tıklıyoruz.

Ardından karşımıza çıkan sekmedeki ismi, imaj tipini kısımları eklenecek cihaza göre ayarlayıp, New ‘e tıklayarak imaj dosyamızı seçerek davaya ekleyebilmekteyiz.

3.5 Diski Wipe Etme

Öncelikle tools menüsünden Wipe Drive seçeneğine tıklıyoruz.

 

Bilgisayara takılı olan wipe etmek istediğimiz usb belleği seçiyor ve akabinde sonraki tuşuna basarak ilerliyoruz.

Yapacağımız işleme devam etmek istiyorsak, bu kısma ‘yes’ istemiyorsak ‘no’ yazarak işlemimizi başlatıyoruz.

Detect Tableau Hardware: Bu seçeneğin seçilmesi, tablo aygıtlarını algılamak için Encase desteği sağlar. Böyle bir yazma engelleme aygıtı bağlı değilse, diğer USB aygıtları bağlanırsa sistem sorunları oluşabileceğinden, rehberlik yazılımı bu seçeneğin kapalı bırakılmasını önerir.

Only Show Write-Blocked:  “Only Show Write-blocked” bu seçeneğin seçilmesi yalnızca yazma engellenmiş cihazları gösterecektir. Kısaca bu seçenek seçildiğin de takmış olduğunuz USB cihazını görmeyecektir. Yalnızca Ram’i görür.

Detect Legacy FastBloc: Bu seçeneğin belirlenmesi ile eski FastBloc’u algılamak için Encase desteği sağlar.

Enable DCO Removal: Muhafaza destekli bir donanım konfigürasyonu aracılığıyla bağlandığında sonuç olarak bir disk üzerindeki cihaz konfigürasyonu kaplamasının kaldırılmasına izin verir.

Enable Physical Memory: Tüm fiziksel belleğin önizlemesini etkinleştirin. Erişim sırasında antivirüs veya sistem koruma yazılımı çalışıyorsa, fiziksel belleğe erişmek için kullanılan sürücü sistem kararsızlığına neden olabilmektedir.

Enable Process Memory: Tüm fiziksel belleğin önizlemesini etkinleştirin. erişim sırasında antivirüs veya sistem koruma yazılımı çalışıyorsa, işlem belleğine erişmek için kullanılan sürücü sistem kararsızlığına yine neden olabilmektedir.

Etiketler
Photo of Şeyma Bizimyer

Şeyma Bizimyer

İlgili Makaleler

Photo of SCRIPT NEDİR? SCRIPT NE İŞE YARAR?

SCRIPT NEDİR? SCRIPT NE İŞE YARAR?

Ağustos 14, 2021
Photo of KVKK (Kişisel Verilerin Korunması Kanunu) NEDİR?

KVKK (Kişisel Verilerin Korunması Kanunu) NEDİR?

Mart 27, 2021
Photo of DD ARACI İLE İMAJ ALINMASI VE İNCELENMESİ

DD ARACI İLE İMAJ ALINMASI VE İNCELENMESİ

Mayıs 15, 2021
Photo of ÇEREZLER GÜVENLİ MİDİR?

ÇEREZLER GÜVENLİ MİDİR?

Haziran 10, 2021

Bir yanıt yazın

© Telif Hakkı 2025, Tüm Hakları Saklıdır  |   Siber Eğitmen
Başa dön tuşu
Kapalı