Furkan Öztürk tarafından yazılmıştır.
Adli Bilişim sürecinde delil toplanırken incelenecek birimlerden biri de USB Sürücülerdir. USB sürücüler üzerinde daha önceden depolanmış veriler, adli bilişim teknikleriyle çıkartılarak süreç içerisinde delil olarak kullanılabilir. Bu makalemizde de USB bellekler üzerinde adli inceleme gerçekleştireceğiz.
Öncelikle elde etmemiz gereken ilk veri, kayıt defteri girdilerinden cihaza daha önce takılan USB sürücülere ulaşmak olacak. Bu bağlamda kayıt defterini açıp aşağıdaki yolu izleyeceğiz. Buradaki verileri inceleyerek daha önce takılmış USB sürücülerine ait çeşitli bilgilere erişebiliriz.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Kayıt Defteri Girdileri
Aynı sonuçlara USBDeview gibi otomatize yazılımlar kullanarak ya da Powershell ile komut yürüterek manuel olarak da ulaşabiliriz. Fakat yazıyı olabildiğince kısa tutma maksadı ile alternatif diğer işlemlere değinmeyeceğim.
Daha önce cihaza takılmış USB sürücüleri tespit ettikten sonra, suç mahallinde elde edilen ve cihaza daha önce bağlanmış USB sürücülerin adli incelemesine başlayabiliriz. Bu inceleme için FTK Imager isimli yazılımı kullanacağız. İlk olarak FTK Imager yazılımı ile USB belleğin imajını alalım.
FTK Imager yazılımını bilgisayarımıza kurduktan sonra açtığımızda aşağıdaki gibi bir ekran bizi karşılayacak.
ftk imager
Burada sol üst köşedeki File Menüsünden Create Disk Image seçeneğini seçiyoruz.
Disk İmajı Alma
Ardından açılan yeni pencerede alacağımız imajın türünü seçeceğiz. Diskin fiziksel İmajını alacağımız için Physical Image seçeneğini seçerek devam ediyoruz.
İmaj Türünü Seçme
Gelen ekranda yazılım, imaj alınacak diski seçmemizi istiyor. Burada inceleme yapacağımız USB sürücüyü seçerek Bitir butonuna basıyoruz.
İmajı Alınacak Diski Seçme
Açılan pencerede USB sürücüden alınan imajın kaydedileceği konumu Add butonuna tıklayarak belirleyeceğiz. Öncesinde açılan pencerede imaj türünü E01 olarak seçip ileri butonuna tıklıyoruz.
İmaj Türü Seçimi
Ardından imajın kaydedileceği konumu belirledikten sonra imaj dosyasına isim verip imaj alma işlemini başlatıyoruz.
İmaj Dosyasının Çıktı Klasörünü Seçme
İmaj Alma İşleminin Başlaması
İmaj alma işlemi tamamlandıktan sonra imaj dosyamız belirttiğimiz yola kaydedildi.
Şimdi USB sürücüden aldığımız imajı incelemeye başlayabiliriz. FTK Imager yazılımının sol üst taraftaki panelinden File menüsünü açıp Add Evidence Them seçeneğini seçiyoruz.
İmaj Dosyası Seçimi
Açılan pencerede delil türünü seçeceğiz. Az önce USB sürücüden Fiziksel imaj alıp kaydetmiştik. Bu sebeple Image File seçeneğini seçerek devam ediyoruz.
Seçilen İmajın Türünü belirtme
Ardından gelen ekranda imaj dosyamızı kaydettiğimiz yolu belirterek bitir butonuna tıklıyoruz.
İmaj Dosyasının Konumunu Belirtme
Bu işlemin ardından FTK Imager yazılımımızın sol tarafındaki Evidence Tree kısmında tablolar listelenecek. Biz burada root isimli dizine girerek USB içerisindeki klasörlere erişim sağlıyoruz.
Evidence Tree
Buradaki klasörleri dışa aktararak barındırdıkları dosyaları inceleyebiliriz. Şimdi USB üzerinden silinmiş klasörlerden birini dışa aktaracağız. Bunun için klasörün üstüne sağ tıklayarak Export Files diyoruz.
Dosyaları Dışa Aktarma
Açılan ekranda çıktı klasörünü seçtikten sonra Tamam diyerek çıkıyoruz. Ardından USB üzerinden silinmiş klasör ve içerisindeki dosyalar çıktı klasörümüze kaydediliyor
Çıkartılan Dosyaların Çıktı Klasörüne Kaydedilmesi
Bu şekilde USB üzerinden dışa aktarılan dosyalar incelenebilir, adli bilişim sürecinde mahkemede kanıt olarak sunulabilir.
[TR] USB Sürücüler Üzerinde Adli İnceleme
Adli Bilişim sürecinde delil toplanırken incelenecek birimlerden biri de USB Sürücülerdir. USB sürücüler üzerinde daha önceden depolanmış veriler, adli bilişim teknikleriyle çıkartılarak süreç içerisinde delil olarak kullanılabilir. Bu makalemizde de USB bellekler üzerinde adli inceleme gerçekleştireceğiz.
CİHAZA DAHA ÖNCE TAKILMIŞ USB SÜRÜCÜLERİ GÖRÜNTÜLEME
Öncelikle elde etmemiz gereken ilk veri, kayıt defteri girdilerinden cihaza daha önce takılan USB sürücülere ulaşmak olacak. Bu bağlamda kayıt defterini açıp aşağıdaki yolu izleyeceğiz. Buradaki verileri inceleyerek daha önce takılmış USB sürücülerine ait çeşitli bilgilere erişebiliriz.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Kayıt Defteri Girdileri
Aynı sonuçlara USBDeview gibi otomatize yazılımlar kullanarak ya da Powershell ile komut yürüterek manuel olarak da ulaşabiliriz. Fakat yazıyı olabildiğince kısa tutma maksadı ile alternatif diğer işlemlere değinmeyeceğim.
USB SÜRÜCÜNÜN İMAJINI ALMA
Daha önce cihaza takılmış USB sürücüleri tespit ettikten sonra, suç mahallinde elde edilen ve cihaza daha önce bağlanmış USB sürücülerin adli incelemesine başlayabiliriz. Bu inceleme için FTK Imager isimli yazılımı kullanacağız. İlk olarak FTK Imager yazılımı ile USB belleğin imajını alalım.
FTK Imager yazılımını bilgisayarımıza kurduktan sonra açtığımızda aşağıdaki gibi bir ekran bizi karşılayacak.
ftk imager
Burada sol üst köşedeki File Menüsünden Create Disk Image seçeneğini seçiyoruz.
Disk İmajı Alma
Ardından açılan yeni pencerede alacağımız imajın türünü seçeceğiz. Diskin fiziksel İmajını alacağımız için Physical Image seçeneğini seçerek devam ediyoruz.
İmaj Türünü Seçme
Gelen ekranda yazılım, imaj alınacak diski seçmemizi istiyor. Burada inceleme yapacağımız USB sürücüyü seçerek Bitir butonuna basıyoruz.
İmajı Alınacak Diski Seçme
Açılan pencerede USB sürücüden alınan imajın kaydedileceği konumu Add butonuna tıklayarak belirleyeceğiz. Öncesinde açılan pencerede imaj türünü E01 olarak seçip ileri butonuna tıklıyoruz.
İmaj Türü Seçimi
Ardından imajın kaydedileceği konumu belirledikten sonra imaj dosyasına isim verip imaj alma işlemini başlatıyoruz.
İmaj Dosyasının Çıktı Klasörünü Seçme
İmaj Alma İşleminin Başlaması
İmaj alma işlemi tamamlandıktan sonra imaj dosyamız belirttiğimiz yola kaydedildi.
İMAJI ALINAN USB SÜRÜCÜYÜ İNCELEME
Şimdi USB sürücüden aldığımız imajı incelemeye başlayabiliriz. FTK Imager yazılımının sol üst taraftaki panelinden File menüsünü açıp Add Evidence Them seçeneğini seçiyoruz.
İmaj Dosyası Seçimi
Açılan pencerede delil türünü seçeceğiz. Az önce USB sürücüden Fiziksel imaj alıp kaydetmiştik. Bu sebeple Image File seçeneğini seçerek devam ediyoruz.
Seçilen İmajın Türünü belirtme
Ardından gelen ekranda imaj dosyamızı kaydettiğimiz yolu belirterek bitir butonuna tıklıyoruz.
İmaj Dosyasının Konumunu Belirtme
Bu işlemin ardından FTK Imager yazılımımızın sol tarafındaki Evidence Tree kısmında tablolar listelenecek. Biz burada root isimli dizine girerek USB içerisindeki klasörlere erişim sağlıyoruz.
Evidence Tree
Buradaki klasörleri dışa aktararak barındırdıkları dosyaları inceleyebiliriz. Şimdi USB üzerinden silinmiş klasörlerden birini dışa aktaracağız. Bunun için klasörün üstüne sağ tıklayarak Export Files diyoruz.
Dosyaları Dışa Aktarma
Açılan ekranda çıktı klasörünü seçtikten sonra Tamam diyerek çıkıyoruz. Ardından USB üzerinden silinmiş klasör ve içerisindeki dosyalar çıktı klasörümüze kaydediliyor
Çıkartılan Dosyaların Çıktı Klasörüne Kaydedilmesi
Bu şekilde USB üzerinden dışa aktarılan dosyalar incelenebilir, adli bilişim sürecinde mahkemede kanıt olarak sunulabilir.
Moderatör tarafında düzenlendi: