Herkese tekrardan merhaba, bu hafta Ftk imager ne olduğundan, Ftk i̇mager ile neler yapabileceğimizden ve Ftk i̇mager üzerinden Ram imajı alınması uygulamasını gerçekleştireceğim şimdiden keyifli okumlar dilerim.
FTK İMAGER, AccessData firması tarafından yazılmış ücretsiz ve sürekli gelişmekte olan adli bilişim alanında kullanmayı kolaylaştıran bir yazılımdır. Windows, Mac, Linux ile uyumlu bir adli bilişim yazılımıdır.
Ftk imager ile sabit sürücülerin, CD, DVD, disketlerin, klasörlerin, dizinlerin imajı alınabilmekte ve ön izlemesi yapılabilmektedir. Bir dosyanın şifreli disklerin açılmasına, loglama yapabilmesine, disk şifreleyebilen bir dijital delil analiz programıdır.
Ftk imager yazılımı ile dd, e01, Aff biçimlerinde imaj alınabilir alınan imaj dosyaları içerisinde Hash değerleri, bozuk sektörler, imaj tarihi gibi bilgiler elde edilebilir. Elde edilen imaj dosyasına sonradan erişebilme, imaj dosyasını disk sürücüsü gibi görebilmeyi, imaj dosyası üzerinden değişikler yapabilme (her zaman imaj dosyası üzerinden inceleme ve değişiklik yapılmalıdır bilgi kayıplarının yaşanmaması için.) imkanlarını sunar Ftk imager yazılımı.
Ftk Imager analiz edilecek dosyaların md5 ve Sha-1 hashleri oluşturma yeteneği vardır. Bu sayede herhangi bir dosya içeriği ile oynanması halinde hash değerlerde değişmektedir gizlilik konusunda büyük bir imkan sağlamaktadır.
Yazılımın ana amacı veri depolama birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Delil inceleme ve raporlamada, mahkemelere sunulan delil ve raporlarda, emniyet tarafından çözülen bilişim suçlarında Ftk imager yazılımı kullanılmaktadır.
Defalarca adından bahsettiğim imaj alma nedir, ne olabilir?
Günümüzden bir örnekle bahsedersem örneğin x bir şirkette çalışan adli bilişim mühendisi olarak görev yapmaktasınız. İncelenmek istenen veri kaybına uğramış bir cep telefonunda daha önce bulunan fotoğraf dosyalarına ve internet geçmişi kayıtları elde edilmek istenmektedir bunun gibi birçok hizmeti imaj alarak gerçekleştirirsiniz. Yani imaj alma incelenmek istenen dijital meteryalin veri depolama biriminin birebir kopyasına verilen isimdir. İmaj alma 2 çeşittir fiziksel imaj ile tüm birimlerin incelenmesinde, mantıksal imaj ile belirli bölümün imajı alınabilmektedir.
FTK İMAGER KURULUMU VE KULLANIMI
Buradaki adresten ftk imager güncel sürümü indirilir.
1)
Formu doldurup, formda belirtilen e-posta adresine kurulum linki gelmektedir.
2)
3)
4)
5)
Install diyerek kurulum başarılı bir şekilde gerçekleşmiş olur.
Programın genel görünümü aşağıdaki gibidir.
FTK Imager; Evidence Tree, File List, Hex Value Interpreter, Costum Content Sources olmak üzere dört bölümden oluşmaktadır.
Evidence Tree → eklenen imaj ağaç yapısını göstermektedir.
File List→seçilen dizin içindeki dosyaları görüntüler.
Costum Content Sources→özel içerik alanlarını görüntüler
FTK imager menüler:
File, view, mode ,help olmak üzere 4 çeşit menüsü bulunmaktadır.
File menüsü altında;
1-Delil ekleme
2-Tüm dahili sürücüleri ekleme
3-Görüntü ekleme
4-Tüm delilleri kaldırma
5-Sürücü görüntüsü oluşturma
6-Görüntüyü aktar
7-Mantıksal görüntüyü aktar(AD1)
8-Özel içerik görüntüsüne ekle
9-Özel görüntü içeriği oluştur
10-AD1görüntüsünü çözümle
11-Sürücü/Görüntü doğrula
12-Ram görüntüsü
13-Korumalı dosyalar
14-EFS şifreli dosyalar
15-Dosyaları aktar
16-Dosya hashlarıni aktar
17-Dosya listesini aktar
18-Çıkış
View menüsü: FTK imager üzerinden bölüm düzenlenmesi yapılabilir.
Mode menüsü: text veye hex olarak veri okunması yapılabilir.
Help menüsü: kullanım kılavuzu ve ftk ımager hakkında kısımlara yer verilmiştir.
FTK İMAGER İLE RAM İMAJI ALINMASI VE İNCELENMESİ
ADIM 1
“ File > Capture Memory “ seçeneklerine basarak ilerliyoruz.
ADIM 2
Burada iki kısım karşımıza çıktı:
Destination Path: İmajı kayıt edeceğimiz alan
Include pagefile: pagefile.sys windows işletim sisteminin sanal bellek olarak
kullandığı dosyadır.
Create AD1 file: Bunu seçerseniz hem memory hem de pagefile dosyalarını paket yapıp imaj haline getiriyor.
Bu bilgileri doldurduktan sonra Capture Memory butonuna basarak işleme başlayabilirsiniz.
ADIM 3
Yerel disk C de ram imaj adlı klasör oluşturdum ve imajın kayıt edilecek alan olarak seçtim. “Capture Memory” basarak imaj alma işlemi başlatıldı.
ADIM 4
Ram imajı birkaç dakika içinde sorunsuz bir şekilde gerçekleştirildi.
ADIM 5
ram imaj olarak belirtiğim dosya içine imaj kolaylıkla alındı.
Sizlerde bilgisayarınızın ram imajını alarak başlayabilirsiniz.
faydalı olması dileğiyle, sağlıkla kalın!
