Adli Bilişim’de İmaj Alma Yöntemleri

Adli Bilişim’de İmaj Alma Yöntemleri

Adli Bilişim, Siber Güvenlik alanında hızla büyümekte ve gelişmektedir. Hacker’larin hangi kanıtların kurtarılabileceğini anlaması ve Adli Bilişim Mühendisi’nin hacker’ları nasıl bulacağını bilmesi gerekir. Adli Bilişim, suçun kanunlardaki karşılığı, kurumsal araştırmalar, izinsiz ağ girişleri, kötü amaçlı yazılım analizi ve olay müdahalesi gibi alanlarda kullanılır.

Herhangi bir adli soruşturma veya analiz başlamadan önce, veri depolama cihazının adli açıdan imajı alınmalıdır. Adli olarak imajlar, alınan cihazın fiziksel kopyası olmalıdır. Böyle bir kopya olmadan, herhangi bir delil muhtemelen mahkemede kabul edilemez olacaktır.

Bir depolama cihazının adli imajını almanın birçok yolu vardır. Burada en popüler yöntemlerden birkaçına bakacağız.

Linux dd Komutu ile İmaj Alma

dd komutu, çoğu Linux dağıtımının içinde kurulu olarak gelmektedir. Bir depolama cihazını, kaynak dosyasından hedef dosyasına bit bit kopyalar. Bu işlemi gerçekleştirmek için Kali Linux kullanacağız. Fakat herhangi bir Linux dağıtımını da kullanabilirsiniz.

Öncelikle, USB flash sürücümüzün Linux işletim sisteminde nasıl görüldüğünü bulmamız gerekiyor. Bunu bulmak için komutumuz;

kali# fdisk -l

Flash sürücümüz Linux’ta /dev/sdb1 olarak gözükmektedir. Sondaki 1 bölüm numarasını temsil ettiğinden ve tüm cihazın imajını almak istediğimizden, flash sürücüyü basitçe /dev/sdb olarak gösterebiliriz.

Daha sonra USB sürücünün tamamen imajının alınması için, dd komutunu, ardından giriş dosyasını “if=/dev/sdb” komutuyla çağırıp, son olarak çıktı dosyasını çağırmamız gerekir. Bu, çıktı dosyamız, istediğimiz herhangi bir isim olabilir. Burada usbimage.dd adını vereceğim.

kali# dd if=/dev/sdb   of= usbimage.dd

Enter tuşuna bastıktan sonra, dd komutu ,USB sürücüsündeki veriyi usbimage.dd olarak belirlediğimiz dosyaya bit bit kopyalamaya başlayacaktır. Gerçekleşen işlemi kontrol etmek istersek, başka bir terminal penceresi açıp ls -l yazabiliriz.

Yukarıdaki ekran görüntüsünde görebileceğimiz gibi, dd adli olarak imaj oluşturma sürecine başladı.

dd, tüm imaj alma tekniklerinin en temelini temsil eder ve diğer birçok yöntemde kullanılan temeli oluşturur

dcfldd Kullanarak İmaj Alma

Birkaç yıl önce, Amerika Savunma Bakanlığı Bilgisayar Adli Tıp Laboratuvarı (dcfl), adli tıp imajları oluşturmak için özel olarak tasarlanmış dd’nin açık kaynaklı bir sürümünü geliştirdi. dd komutu, depolama aygıtlarını kopyalamak için genel bir komuttur. dcfldd komutu ise adli imaj oluşturmak için uyarlanmış ekstra seçeneklere sahiptir, ancak özünde hala dd’dir.

dcfldd aşağıdaki özelliklere sahiptir;

(1) İmajı anında hashleyin

(2) Bir ilerleme çubuğu

(3) Diskleri silme

(4) Yeni imajın orijinaliyle aynı olduğunun doğrulanması

(5) Birden çok dosyaya veya diske aynı anda çıktı

(6) Loglar ve çıktılar harici uygulamalara aktarılabilir

dd gibidir, dcfldd yalnızca raw(ham) imajlar üretebilir.

USB flash sürücümüzün adli olarak imajını oluşturmak için, dcfldd’yi dd’ye benzer şekilde kullanabiliriz, ancak daha fazla seçeneğimiz var. Örneğin, imajın MD5 hash’ini oluşturmak istersek yazabiliriz;

kali# dcfldd if=/dev/sdb of= usbimage2.dd hash=md5 hashlog=usbimage.log

dcfldd’nin, dd’den farklı olarak bize imaj sürecinizin durumunu gösteriyor.

Dcfldd imajı tamamladığında, kaç blok yazıldığını, içerdiğini ve çıktığını söyleyerek yanıt verir.

İmaj alma tamamlandığında, ls -l yazarak görüntülerin ve log’ların tamamlanıp tamamlanmadığını kontrol edebiliriz.

kali# ls -l

Gördüğümüz gibi, dcfldd, imajı ve aynı zamanda log kaydını da oluşturdu. Log kaydı içerisinde imajın MD5 hash’i bulunmalıdır. Görmek için;

kali# more usbimage.log

dcfldd, adli bilişim açısından cihaz imajları oluşturmak için ilkel olsa da mükemmel bir araçtır. Çok az gösterişli ve arayüzsüzdür, ancak hızlı ve anlaşılırdır.

FTK İmager İle İmaj Alma

Yazılım geliştiricisi Access Data, Adli Araç Kiti(Forensic Tool Kit) veya FTK olarak bilinen bir adli bilişim paketi satmaktadır. Bu araç, takımının bir parçası olarak FTK İmager adıyla geliştirilmiştir. Kullanımı kolay bir arayüzü ile adli imajlar oluşturmak için özel olarak tasarlanmıştır. Bu aracı uzun bir süre ücretsiz olarak sağladılar ve sonuç olarak adli açıdan imaj oluşturmak için birçok adli ortamda tercih edilen araç haline geldi.

FTK İmager’ın son sürümünü buradan indirebilirsiniz.

FTK İmager’i kurduktan ve çalıştırdıktan sonra, aşağıdaki gibi bir arayüzle karşılaşacaksınız.

Birçok Windows uygulaması gibi, “File” ile başlayan üst satır menülerine sahiptir.


“File” üzerine tıklayınız ve “Create Disk İmage” kısmına gidiniz.

Bunu yaptığınızda, aşağıdaki gibi bir pencere açılacaktır.”Physical Drive” kısmını seçiniz.

Bu, kaynak sürücü konumunu seçmenizi isteyen başka bir pencere açacaktır. Burada “General USB Flash Disk” i seçtim. Sizinki biraz farklı olabilir.

Cihazı seçtikten sonra “Finish” i tıklayınız.

Ardından, “İmage Destination” girmeniz istenecektir. “Add” yi tıklayın. Ayrıca, sol alt köşede, imajların oluşturulduktan sonra doğrulanmasını istediğimizi de belirtmeyi unutmayınız.

Ardından, oluşturmak istediğiniz imajın türü sorulmalıdır. Bir “Raw” veya “dd” imaj türünü seçiniz.

İmaj oluşturmamızla ilgili tüm bilgileri girdikten sonra, FTK İmager bizden bir vaka oluşturmamızı isteyecektir. Vaka oluşturma süreci şunları gerektirir;

(1) Bir vaka numarası

(2) Kanıt numarası

(3) Vaka açıklaması

(4) Adli Görevlinin adı

(5) Notlar

Bu formu uygun şekilde doldurunuz ve “Next” kutucuğuna basınız. Bundan sonra imaj için hedefi sorulacak. Burada, özellikle adli imajlar için “c:\forensics images” adlı bir klasör oluşturmuştum. Ayrıca imaj dosyasına “firstimage.dd” adını verdim.

Şimdi “Finish“‘e tıklayın. Şimdi “Create İmage” penceresine geri döneceksiniz. “Start” kutucuğuna tıklayın.

FTK İmager şimdi, cihazı belirlediğiniz dosyaya bit bit kopyalama işlemine başlayacaktır.

Başarıyla tamamlandığında durduğunu göreceksiniz ve durum penceresinde “İmage Created Succesfully” mesajını göreceksiniz. Daha sonra yeni oluşturulan imajın orijinal ile aynı olduğunu doğrulamaya başlayacaktır. Bu biraz zaman alabilir, bu yüzden sabırlı olunuz.

Son olarak, imaj doğrulama tamamlandığında, “İmage Summary” kutucuğuna tıklayınız ve aşağıdaki gibi tüm önemli hash’leri içeren resim üzerinde bir hash istatistik penceresi açacaktır.

Başarılı! USB cihazımızın adli açıdan sağlam bir imajını oluşturduk, orijinaliyle aynı olduğunu doğruladık. Hem MD5 hem SHA1 hash’ini oluşturmuş olduk.

Okuduğunuz için teşekkür ederim, diğer yazılarda görüşmek üzere 🙂

Related Posts

Leave a Reply