Data Carving'e Giriş
Data Carving veya bazen File Carving olarak da adlandırılan bu teknik, dijital adli soruşturmalar sırasında elde edilen bellek dosyalarından veri elde etmek ve kurtarmak için uygulanan önemli bir tekniktir. Data Carving, dosya yapısı ve dosya başlıkları gibi belirli özellikleri kullanarak ayrılmamış alandan veri ve dosyaları alır.
Ayrılmamış alan, herhangi bir bellek bölümüne ait olmayan ve işletim sistemi tarafından boş olarak işaretlenen bellek bölümünü ifade eder. Belleğin bu kısmı kullanım için ayrılmamış olsa da, üstbilgi ve altbilgi gibi dosyaların öznitelikleri burada kaydedilir ve silinen dosyaların parçalarını veya hatta tamamını geri getirmek için kullanılabilir.
Data carving, üstbilgi ve altbilgilerde kayıtlı bilgileri oyarak silinen dosyaları kurtarmak için bu alanı kullanır.
Anlayışımız için gerekli olan tüm teori budur. Şimdi, verileri işlemek için harika araçlar kullandığımız rehberimizin pratik kısmına geçeceğiz. Takip etmek için, üzerinde pratik yapacağımız örnek veri setlerini indirmemiz gerekiyor.
Basic Data Carving Test #1
Veri kümesi, farklı dosya biçimleri ve uzantılarına sahip birden fazla silinmiş dosyayı içeren bir FAT32 dosya sisteminin bellek görüntüsüdür. Her dosyanın hash'i de dahil olmak üzere açıklaması indirme sayfasının altında verilmiştir. Veri setinin zip dosyasını indirdikten sonra, yeni bir dizine çıkarın ve devam edin.
Foremost ile Dosya Kurtarma
Foremost, dijital adli tıp dünyasında dosya üstbilgilerini ve altbilgilerini kullanarak ayrılmamış alandan dosyaları kurtaran yaygın olarak popüler bir komut satırı aracıdır. Araç güçlüdür ancak basit sözdizimi sayesinde kullanımı kolaydır.
Görüntü dosyasındaki her şeyi oymak için basit bir komut şuna benzer:
İşleme sırasında belirlediğimiz çıktı dizini, dosya türüne göre farklı alt dizinler halinde düzenlenmiş, foremost tarafından başarıyla işlenen tüm dosyaları içerir. Ayrıca, düzenli bir biçimde listelenen tüm ayrıntıları ve bulguları içeren bir audit.txt dosyası oluşturulur.
İşte foremost tarafından başarıyla kurtarılan jpg dosyalarının bir örneği:
Aracı kullanmanın daha iyi bir yolu, dosyaları kurtarmak için harcanan zamanı azaltmak için işlenecek seçili dosya uzantılarını belirtmektir. İşleme sırasında dosya türünü belirtmek akıllıca bir seçim olsa da, bu yöntemi kullanmak için uzantının bilinmesi gerekir. Seçilen dosya türlerini işlemek için kullanılacak komut aşağıdaki gibidir:
foremost -i <girdi_dosyası> -t <uzantılar> -o <çıktı_dizini>
Scalpel ile dosya kurtarma
Foremost ayrılmamış alandan dosyaları almak ve kurtarmak için harika bir araç olsa da, çalışırken yüksek ram ve CPU tüketir. Sonuç olarak Scalpel, foremost'un eski sürümlerinin bir iyileştirmesi olarak geliştirildi. Hız sunarken, verileri işlerken akılda tutulması gereken bazı özelliklerle birlikte gelir. Foremost'un aksine, Scalpel desteklenen tüm dosya formatlarını kendi başına işlemez. Kullanmadan önce gerekli dosya türlerinin kullanıcı tarafından Scalpel yapılandırma dosyasında belirtilmesi gerekir.
Bu dosyaya scalpel.conf adı verilir ve etc/scalpel/ adresinde bulunur.
Dosya türlerini belirtmek için yapılandırma dosyasını düzenleyin ve dosya türünü içeren satırın başındaki açıklamaları kaldırın. Tüm dosya biçimleri varsayılan olarak yorumlanır ve kullanıcının tercihine göre düzenlenmelidir. Orijinal dosyada herhangi bir değişiklik yapmadan önce lütfen her zaman yapılandırma dosyasının bir yedeğini alın.
İşlenecek dosya biçimlerini belirledikten sonra Scalpel'ı aşağıdaki komut ile kullanın:
En başta olduğu gibi, kurtarılan tüm dosyalar dosya formatına göre farklı alt dizinler halinde düzenlenir.
Lütfen ne foremost'un ne de scalpel'ın dosyaları orijinal adlarıyla döndürmediğini ve sonuçların genellikle kopyalar içerdiğini unutmayın. Bu nedenle, sonuçlarınızı doğrulamak için her iki aracı da kullanmayı unutmayın ve tek bir araca güvenmeyin.
Bulk Extractor
Foremost ve Scalpel görüntü, ses, video ve sıkıştırılmış dosyaları kurtarabilirken, bulk_extractor dijital adli soruşturmalarda çok yararlı olabilecek birkaç ek bilgi türünü çıkarır. Geleneksel dosya türleri ve formatlarına ek olarak, Bulk Extractor bellek dosyalarından aşağıdaki yararlı bilgileri çıkarabilir:
terry-work-usb-2009-12-11.E01
Işlenmiş dosyaları ve verileri ayıklamak için sözdizimi aşağıdaki gibidir:
Çıktı dizinindeki dosyaları listelerken, görüntü dosyasından çıkarılan farklı bilgileri depolayan çeşitli metin dosyaları alacaksınız.
Lütfen tüm dosyaların bilgi içermediğini unutmayın. İlgili dosyalarda yalnızca çıkarılan bilgiler saklanır.
Data Carving veya bazen File Carving olarak da adlandırılan bu teknik, dijital adli soruşturmalar sırasında elde edilen bellek dosyalarından veri elde etmek ve kurtarmak için uygulanan önemli bir tekniktir. Data Carving, dosya yapısı ve dosya başlıkları gibi belirli özellikleri kullanarak ayrılmamış alandan veri ve dosyaları alır.
Ayrılmamış alan, herhangi bir bellek bölümüne ait olmayan ve işletim sistemi tarafından boş olarak işaretlenen bellek bölümünü ifade eder. Belleğin bu kısmı kullanım için ayrılmamış olsa da, üstbilgi ve altbilgi gibi dosyaların öznitelikleri burada kaydedilir ve silinen dosyaların parçalarını veya hatta tamamını geri getirmek için kullanılabilir.
Data carving, üstbilgi ve altbilgilerde kayıtlı bilgileri oyarak silinen dosyaları kurtarmak için bu alanı kullanır.
Anlayışımız için gerekli olan tüm teori budur. Şimdi, verileri işlemek için harika araçlar kullandığımız rehberimizin pratik kısmına geçeceğiz. Takip etmek için, üzerinde pratik yapacağımız örnek veri setlerini indirmemiz gerekiyor.
Basic Data Carving Test #1
Veri kümesi, farklı dosya biçimleri ve uzantılarına sahip birden fazla silinmiş dosyayı içeren bir FAT32 dosya sisteminin bellek görüntüsüdür. Her dosyanın hash'i de dahil olmak üzere açıklaması indirme sayfasının altında verilmiştir. Veri setinin zip dosyasını indirdikten sonra, yeni bir dizine çıkarın ve devam edin.
Foremost ile Dosya Kurtarma
Foremost, dijital adli tıp dünyasında dosya üstbilgilerini ve altbilgilerini kullanarak ayrılmamış alandan dosyaları kurtaran yaygın olarak popüler bir komut satırı aracıdır. Araç güçlüdür ancak basit sözdizimi sayesinde kullanımı kolaydır.
Görüntü dosyasındaki her şeyi oymak için basit bir komut şuna benzer:
foremost -i <girdi_dosyası> -o <çıktı_dizini>
İşleme sırasında belirlediğimiz çıktı dizini, dosya türüne göre farklı alt dizinler halinde düzenlenmiş, foremost tarafından başarıyla işlenen tüm dosyaları içerir. Ayrıca, düzenli bir biçimde listelenen tüm ayrıntıları ve bulguları içeren bir audit.txt dosyası oluşturulur.
İşte foremost tarafından başarıyla kurtarılan jpg dosyalarının bir örneği:
Aracı kullanmanın daha iyi bir yolu, dosyaları kurtarmak için harcanan zamanı azaltmak için işlenecek seçili dosya uzantılarını belirtmektir. İşleme sırasında dosya türünü belirtmek akıllıca bir seçim olsa da, bu yöntemi kullanmak için uzantının bilinmesi gerekir. Seçilen dosya türlerini işlemek için kullanılacak komut aşağıdaki gibidir:
foremost -i <girdi_dosyası> -t <uzantılar> -o <çıktı_dizini>
Scalpel ile dosya kurtarma
Foremost ayrılmamış alandan dosyaları almak ve kurtarmak için harika bir araç olsa da, çalışırken yüksek ram ve CPU tüketir. Sonuç olarak Scalpel, foremost'un eski sürümlerinin bir iyileştirmesi olarak geliştirildi. Hız sunarken, verileri işlerken akılda tutulması gereken bazı özelliklerle birlikte gelir. Foremost'un aksine, Scalpel desteklenen tüm dosya formatlarını kendi başına işlemez. Kullanmadan önce gerekli dosya türlerinin kullanıcı tarafından Scalpel yapılandırma dosyasında belirtilmesi gerekir.
Bu dosyaya scalpel.conf adı verilir ve etc/scalpel/ adresinde bulunur.
Dosya türlerini belirtmek için yapılandırma dosyasını düzenleyin ve dosya türünü içeren satırın başındaki açıklamaları kaldırın. Tüm dosya biçimleri varsayılan olarak yorumlanır ve kullanıcının tercihine göre düzenlenmelidir. Orijinal dosyada herhangi bir değişiklik yapmadan önce lütfen her zaman yapılandırma dosyasının bir yedeğini alın.
İşlenecek dosya biçimlerini belirledikten sonra Scalpel'ı aşağıdaki komut ile kullanın:
scalpel <input_file> -o <output_directory>
En başta olduğu gibi, kurtarılan tüm dosyalar dosya formatına göre farklı alt dizinler halinde düzenlenir.
Lütfen ne foremost'un ne de scalpel'ın dosyaları orijinal adlarıyla döndürmediğini ve sonuçların genellikle kopyalar içerdiğini unutmayın. Bu nedenle, sonuçlarınızı doğrulamak için her iki aracı da kullanmayı unutmayın ve tek bir araca güvenmeyin.
Bulk Extractor
Foremost ve Scalpel görüntü, ses, video ve sıkıştırılmış dosyaları kurtarabilirken, bulk_extractor dijital adli soruşturmalarda çok yararlı olabilecek birkaç ek bilgi türünü çıkarır. Geleneksel dosya türleri ve formatlarına ek olarak, Bulk Extractor bellek dosyalarından aşağıdaki yararlı bilgileri çıkarabilir:
- Kredi Kartı Numaraları
- E-posta adresleri
- URL'ler
- Tarayıcılardan Çevrimiçi Arama Geçmişi
terry-work-usb-2009-12-11.E01
Işlenmiş dosyaları ve verileri ayıklamak için sözdizimi aşağıdaki gibidir:
bulk_extractor -o output <input_file>
Çıktı dizinindeki dosyaları listelerken, görüntü dosyasından çıkarılan farklı bilgileri depolayan çeşitli metin dosyaları alacaksınız.
Lütfen tüm dosyaların bilgi içermediğini unutmayın. İlgili dosyalarda yalnızca çıkarılan bilgiler saklanır.