BİZİ 7/24 ARAYIN
0(312) 354 77 33

FTK (Forensic Tool Kit) Case Ekleme

FTK (Forensic Tool Kit) Case Ekleme

CASE DELİL EKLEMEK

 

Yeni bir case oluşturduğumuzda, karşımıza “Manage Evidence” ekranı geliyor. Bu ekranda olaya imaj ekliyoruz. İsterseniz imaj dışında bilgisayarımız içeriğinde yer alan klasörleri, dosyaları, disk sürücülerini veya mantıksal sürücüleride ekleyebilirsiniz. Adli Bilişim standartları kapsamında inceleme gerçekleştirdiğimiz için daha önce alınan imaj dosyasını ekliyoruz. İmajı eklemek için “Add” sekmesine tıklamamız gerekmektedir. daha sonra karşımıza eklemek istediğimiz yapı karşımıza gelmektedir. Daha sonra yapmamız gereken işlemler ise delilin adını, açıklamasını yazıyoruz, “Time Zone bölümünden time zone ayarlanıyor. “Merge Case Index” seçeneği seçilirse bu delilin indekslemesi olay indeksi ile birleştiriliyor. “Use UNC Path” seçilirse ağda bulunan bir delilde eklenebilir. Sol alt taraftaki “Add” butonuna basarak görüntü dosyamızı ekleyerek OK sekmesine tıklıyoruz ve imajı gösteriyoruz.

“Manage Evidence” sekmesinde yer alan Language Setting içeriğinde mutlaka dil ayarlamaların yapılması gerekmekltedir. İncelediğimiz medyanın kullanmış olduğu dil neyse o dil seçeneği işaretlenmelidir. Refinement Options sekmesinden ise oluşturduğumuz process işlemlerini kontrol edebilir veya ekleme çıkarma işlemi sağlayabiliriz. Son olarak ise Choose Restore Points sekmesi üzerinden yüklü bulunan işletim sistemlerinin gölge kopyaları var ise koplayarın analiz edilip edilmeyeceğinin belirlendiği yerdir. Özellikle Windows bir işletim sistemi inceliyorsanız gölge kopya (Shadow) dosyalarını mutlaka seçmeniz gerekmektedir.   

 

Olayımıza yeni bir delil eklediğimizde hard diskin şifrelenmiş olma ihtimali bulunmaktadır. PGP (Pretty Good Privacy) şifreleme sistemi kullanılarak şifrelenmiş olabilir. PGP, bir veri şifreleme ve veri çözme yöntemidir. PGP genellikle dosya imzalama, metin, E-posta, hard disk ve dizin şifreleme gibi iletişim güvenliğini artırma yöntemlerinde kullanılır. PGP bir dizi şifreleme algoritmasını destekler. (IDEA, RSA, DSA, MD5, SHA-1 gibi) Eğer delilimiz PGP şifreleme sistemi ile şifrelenmiş ise karşımıza aşağıdaki gibi bir pencere çıkacaktır. PGP ile şifrelenmiş bir alanın içeriğini görebilmek için şifresini bilmemiz gerekmektedir. Bu pencerede User/WDRT açılır penceresinde şifresini gireceğimiz kullanıcı seçilir. Passphrase/WDRT ve Re-enter bölümlerine şifre girilerek OK butonuna basılır.

Tamam dedikten sonra processimiz çalışmaya başlıyor. Process çalışırken biz delilimize bakabiliriz. Evidence sekmesi ve alt klasörlerinin yanındaki kutucukların ismi “quickpick” dir. Eğer guickpick i işaretlersek işaretlediğimiz quickpick ve alt klasörlere ait quickpick dizinleri yeşil renge dönüyor. Bir klasörün quickpick i işaretliyse aşağıdaki “File List” alanında quickpick i seçili olan klasörlerin içeriği listeleniyor olacaktır.

Bir olaya ikinci delili ekleme ve delil gruplandırma

Bir olayda bir şahsın evinde, işyerinde ve arabasında yapılan aramalarda deliller elde edilmişse olay içinde bu delilleri gruplayabiliyoruz. Bunun için delil eklediğimiz Manage Evcidence bölümüne giriyoruz. Gruba ekleyeceğimiz delili Display Name bölümünde seçili hale getirdikten sonra Evidence Group açılır penceresinden delili ekleyeceğimiz grubu seçiyoruz. Daha önce grup oluşturulmamışsa açılır pencerenin sağındaki Manage butonuna basıp açılan pencerede Create New butonuna basıp yeni açılan pencerede yeni oluşturacağımız grup ismini yazıyoruz. Eğer oluşturacağımız grubu diğer olaylarda kullanacaksak “Share With Other Cases” seçeneğini işaretliyoruz. Create butonuna basarak yeni grubumuzu oluşturuyoruz. Başka bir grup oluşturmayacaksak Manage Evidence Group penceresini Close butonuna basarak kapatıyoruz. Yeni grup veya gruplar oluşturmuş olduk. Şimdi delilimizi eklemek istediğimiz grubu seçerek Manage Evidence penceremizi OK butonu ile kapatıyoruz. Böylelikle delilimizi gruplandırmış oluyoruz.

Gerekli tüm ayarlamaları yaptıktan sonra imajımızın Process işlemlerini başlatıyoruz. Process işlemlerin bitme süresi imaj dosyası içeriğindeki veriler, imajın bulunduğu hard diskin hızı, inceleme yaptığımız bilgisayarın işlemci, ram ve hard diskin özelliklerine göre farklılık göstermektedir. Günümüzde veri kullanımının yoğunlaşması, hard disk kapasitelerinin yüksek olması ve incelenen imajların Process seçeneklerinin çok olması nedeniyle üst düzey özelliklere sahip veya Workstation tarzı bilgisayarlar kullanılması gerekmektedir.

Process işlemlerimiz tamamlandıktan sonra artık inceleme ve analiz işlemlerine başlayabiliriz. Bazı durumlarda FTK kendi kendine kapanabilmekte veya elektirik kesintilerinden dolayı bilgisayarımız kapanabilmektedir. Process işlemlerinin bitip bitmediğini veya tamamlanıp tamamlanmadığını kontrol etmek için File sekmesinde yer alan JOB summary Report sekmesinden kontrol etmemiz gerekmektedir. Bu sekme içeriğinde Job Finished yazılı ise process işlemlerinin tamamlandığı anlamına gelmektedir. 

BLOG

BİZE SORU SORUN

Bizimle iletişime geçmek ve soru sormak için iletişim butonuna tıklayınız.