Forensic

[TR] FTK Imager ile Disk Analizi | Windows Forensics

Imaj Nedir?

Bir cihazın veya depolama aygıtlarının o andaki yapısını ve içerdiği verileri kopyalanmasına denmektedir. Adli bilişim vakalarındaki amacı ise, şüpheli cihazın üzerinde işlem yapılmayıp, kaynak verilerin herhangi bir zarara uğratılmamasını sağlamaktır. Peki disk imajını nasıl alabiliriz? Disk imajını FTK Imager gibi uygulamalar ile alabiliriz. Tabi ki farklı uygulamalar veya yöntemler vardır fakat bu dokümanımızda FTK Imager’dan bahsedeceğiz sadece.

FTK Imager Nedir?

FTK Imager, adli bilişim vakalarında en çok kullanılan ücretsiz bir uygulamadır. USB belleklerin, cihazda bulunan depolama aygıtlarının, dizin veya dosyaların imajını alabiliriz. Ayrıca imajı alınan dosyaların, Read-only özelliği ile bir sürücüymüş gibi gezinmemize olanak sağlar.

Imajı alınan verilerin hash değerleri çıkartıp, bunları karşılaştırabilmektedir. Windows işletim sisteminde iki adet sürümü bulunmaktadır; FTK Imager ve FTK Imager Lite.

FTK Imager’da bilgisayara kurulum gerekmektedir fakat FTK Imager Lite’da kurulumsuz bir şekilde kullanabilme olanağı sunmaktadır. Bu şekilde USB belleğinize Lite’ı indirip, farklı konumlarda yükleme yapmadan kullanabilirsiniz.

FTK Imager’ı indirmek için: https://accessdata.com/product-download/ftk-imager-version-4-5

FTK Imager Lite’ı indirmek için: https://marketing.accessdata.com/ftkimagerlite3.1.1 sitelerine gidebilirsiniz.

FTK Imager ile Disk Imajı Alma

FTK Imager’ı açtığımızda aşağıdaki gibi bir arayüz ile karşılacaksınız. Arayüzü oldukça basit ve sade tasarlanmıştır.

FTK-Imager-1
FTK-Imager-1

Evidence Tree(1): Eklenmiş olan imaj dosyasının dizin yapısını gösterir.

Custom Content Sources(2): Imaj alma, düzenleme işlemlerinin yapılmaktadır.

File List(3): Seçilen dizinde bulunan dosyaları ve klasörleri göstermektedir.

Hex Value(4): Seçilmiş olan dosya ve klasörlerin hexadecimal verisini gösterir.

Bir imak almak için File > Create Disk Image.. seçeneğine tıklamalıyız.

FTK-Imager-2
FTK-Imager-2

Karşımıza beş adet seçenek çıktı. Bunların ne anlama geldiğini bir bakalım.

FTK-Imager-3
FTK-Imager-3

Physical Drive

Bilgisayarda bulunan depolama aygıtlarının tamamının imajını alır. Yani bir SDD’niz veya HDD’niz olduğunu varsayalım ve siz C ve D isimli iki partition(bölüm)’den oluştuysa bile bunu tek bir disk olarak görüp, direkt olarak hepsinin imajını almaktadır.

Logical Drive

Bilgisayarda bulunan depolama aygıtlarının partition’larını ayrı olarak kabul ederek, hepsinin tek tek imajını alabilme özelliği sunar.

Image File

Daha öncesinde alınan bir imaj dosyasını incelemek istiyorsak, bu seçeneğe tıklayayıp o imaj dosyasını içeri aktarabiliriz

Content of Folder

Tanımlanmamış veyahut silinmiş bölümlerin imajını alır.

Fernico Device

CD veya DVD gibi disklerin imajını alır.

Biz Logical Device’dan devam edelim. Bilgisayarımızdaki partition’ların listesini göseriyor, hangisininkini almak istiyorsak devam edelim.

FTK-Imager-logical-1
FTK-Imager-logical-1

Burada Add diyerek devam edelim.

FTK-Imager-logical-2
FTK-Imager-logical-2

Burada imajın hangi formatta olacağını belirtmemizi istiyor, gelin bunların ne olduğuna bir bakalım.

FTK-Imager-logical-3
FTK-Imager-logical-3

Raw(dd)

Diskin tam halini alır ve hiçbir sıkıştırma işlemi yapmaz. Örnek olarak diskin boyutu 32 GB ise, çıktı da 32 GB çıkacaktır. Herhangi bir metadata verisi de yer almamaktadır.

SMART

Linux işletim sistemlerinde bulunan disklerin imajını almak için kullanılmaktadır.

E01

EnCase imaj formatıdır ve imajı alınacak diskin sıkıştırma işlemi uygulanarak dışarı çıkarılmasını sağlar. Örnek olarak 30 GB’lık bir diskin imajını 6 GB’lık bir veri çıkartmamızı sağlar.

AFF

Advanced File Format’tır açılımı, Gelişmiş Dosya Formatı olarak geçmektedir. Diskin içerisindeki veri ile metadata verilerini birleştirip yazdırır.

Genel olarak Raw ve E01 formatları kullanılmaktadır Windows’ta. Raw ile E01 arasındaki tek fark sıkıştırma olayıdır, herhangi bir veri farklılığı bulunmamaktadır. O yüzden içiniz rahat olsun, E01’i seçerek devam edelim.

FTK-Imager-logical-4
FTK-Imager-logical-4

Buradaki verileri doldurmaya bilirsiniz. Birden fazla imaj almanız gerekebilir veya özel bir durum vardır ve bunların karışmamasını istiyorsanız bu bilgileri doldurabilirsiniz.

FTK-Imager-logical-5
FTK-Imager-logical-5

Image Fragment Size (MB)

Imaj dosyasının kaç MB’lık dosyalara ayrılacağını belirtiyoruz. Tek bir dosya şeklinde çıkmasını isterseniz burayı 0 yazabilirsiniz.

Compression

0-9 arasındaki değerler ile sıkıştırma değerini belirtiriz. Sayı arttıkça sıkıştırması artacaktır bu yüzden süre uzayacaktır.

Use Ad Encryption

Imaj dosyasını şifrelemektedir.

Genel olarak compression değeri 6’da bırakılmaktadır, en ideali bu değerdir. Bunu da bitirdikten sonra finish diyelim.

 

FTK-Imager-logical-6
FTK-Imager-logical-6
FTK-Imager-logical-7
FTK-Imager-logical-7

Verify images after they are created

İşlem bittikten sonra imaj ile imajı alınan disk arasında kontrol yapmaktadır. Bu seçeneği işaretlersek işlemimiz biraz uzar.

Bunu da yaptıktan sonra Start diyerek imaj alım işlemini başlatabiliriz. Disk boyutuna ve aldığınız cihazın donanımına göre işlem uzayabilir.

FTK-Imager-logical-8
FTK-Imager-logical-8

İşlem bittikten sonra bu şekilde bir çıktı verecektir bizlere. Burada önemli olan kısımlar, MD5 Hash kısmında Verify result’un ve SHA1 Hash’in Verify Result kısımlarıdır. Bunlar Match ise, imaj ile imajı alınan disk eşleşmiştir.

FTK-Imager-logical-9
FTK-Imager-logical-9

Alınan Imajın Analizi(Dump İşlemi)

Bir imaj aldıktan sonra bunu FTK Imager’da görüntüleyebiliriz. Bunun için imaj dosyasını FTK Imager’da açmamız gerekmektedir. Aşağıdaki görseldeki gibi All Evidence Item seçeneğine tıklayalım.

Imaj-dump
Imaj-dump

Burada dışarıdan bir imaj dosyasını alacağımız için Image File seçeneğini seçelim ve devam edelim.

Imaj-dump-1
Imaj-dump-1

Imaj dosyasının yolunu vermemiz gerekiyor, verdikten sonra devam edelim tekrardan.

 

Imaj-dump-2
Imaj-dump-2
Imaj-dump-3
Imaj-dump-3

Evidence Tree kısmında imajı alınan verinin içerisindeki dosya ve klasörler listelenmektedir. Gerekli olan dosyaları alabilir veya inceleyebilirsiniz.

Imaj-dump-4
Imaj-dump-4

İşleminiz bittikten sonra bu imajı çıkartmak için imaja Sağ Tık > Remove Evidence Item seçeneğine tıklayalım ve imajımızı çıkartalım.

Imaj-dump-5
Imaj-dump-5

 

İmaj İçerisindeki Verileri Dışarı Çıkarma(Export Files)

İmaj içerisinde önemli veriler olabilir ve bunları analiz etmemiz gerekebilir. (Bunların hangi dosyalar olduğunu ve nasıl analiz edeceğimizi ileride göstereceğiz.) Bunları kendi bilgisayarımıza çıkartmamız gerektiğinde bu dosyaları export etmemiz gerekmektedir. Bunun içinde imaj dosyasını tekrardan içeri aktaralım ve almak istediğimiz veriye File List kısmında Sağ tık > Export Files diyelim.

Imaj-export-files-1
Imaj-export-files-1

Bizlere nereye bu dosyaları çıkartmak istediğimiz sormaktadır, bunu da belirttikten sonra kaydet diyelim.

Imaj-export-files-2
Imaj-export-files-2

Bize bir çıktı veriyor ve yaptığı işlemi söylüyor, buna da tamam diyelim.

Imaj-export-files-3
Imaj-export-files-3

Gördüğünüz gibi SYSTEM registery dosyasını export ettik. Bu şekilde incelemek istediğimiz verileri dışarı aktarabiliyoruz.

Alınan Imajı Doğruluğunu Kontrol Etmek (Verify Drive/Image)

Bir imaj dosyası alırken doğrulama işlemi yapmadığımızı veya alınan imajın orijinal disk ile aynı olup olmadığını öğrenmek için verify işlemini yapabiliriz. Bunun için imajı içeri aktaralım ve üst menü de bulunan verify drive/image seçeneğine tıklayalım.

Imaj_check-1
Imaj_check-1

Bu işlem ortalama olarak 10 dakika kadar sürmektedir.

Imaj_check-2
Imaj_check-2

İşlem bittikten sonra aşağıdaki gibi bir çıktı verecektir bizlere.

Imaj_check-3
Imaj_check-3

Buradaki önemli nokta üstte de belirttiğimiz gibi Match ibaresidir. Match (eşleşme başarılı) olduğunda, bu imaj ile orijinal diskin aynı olduğunu anlayabiliriz.

 

Alınan Imajı ile Windows Explorer’da Gezinmek (İmajın Mount Edilmesi)

Alınan imajın Windows Explorer’da açıp, cihaza takılı bir disk gibi gezinmek gibi bir alternatifimiz bulunmaktadır. Bunun içinde File > Image Mounting.. seçeneğini seçelim.

Imaj-Mount-1
Imaj-Mount-1

İmajımızın yolunu üst tarafta veriyoruz.

Imaj-Mount-2
Imaj-Mount-2

Verdikten sonra aşağıdaki seçenekler aktif hale gelmektedir. Bunların ne işe yaradığından bahsedelim.

Imaj-Mount-3
Imaj-Mount-3

Mount Type

Physical & Logical

İçerisinde bulunan partition’ları ve tamamı şeklinde ekleme yapılmaktadır.

Physical Only

Sadece diskin tamamı şeklinde ekleme yapar.

Logical Only

İçerisindeki partition’ları ayrı ayrı olarak ekleme yapar.

 

Driver Letter

Eklenecek partition’ların ve diskin tamamının hangi harfin atanacağını belirtir.

Imaj-Mount-4
Imaj-Mount-4

Mount Method

Block Device / Read Only

Sadece okuma yapılmaktadır ve imaj üzerinde hiçbir veri silinmemektedir. (İmaj incelemesinde bunun kullanılmasında fayda vardır çünkü imajın üzerinde değişiklik yapmamak önemlidir.)

Block Device / Writable

Imaj üzerinde değişiklik yapabilmekteyiz. Dosyaları silebilir veya değiştirebiliriz.

File System / Read Only

Imaj dosyasında bulunan kök dosyalarını da bizlere gösterir fakat herhangi bir değişiklik yapamayız.

Bunlardan birini seçtikten sonra Mount seçeneğini seçelim.

Imaj-Mount-5
Imaj-Mount-5

Altta hangi bölümün hangi harfte mount edildiğini göstermektedir.

Imaj-Mount-6
Imaj-Mount-6

Bilgisayarım’a gelerek bu bölümleri inceleyebiliriz.

Imaj-Mount-7
Imaj-Mount-7

Bu bölümleri çıkartmak istersek eğer FTK Imager’a tekrar gelerek eklenen bölümleri seçip Unmount seçeneğine tıklayalım.

Imaj-Mount-8
Imaj-Mount-8
Imaj-Mount-9
Imaj-Mount-9

Eklenen bölümlerin hepsi çıkarıldı görüldüğü üzere.

Alınan Imajların Şifrelenmesi (Encryption)

Önemli bir vaka veya başkalarının o imaj dosyasına ya da imaj dosyasında çıkarılan verilere ulaşmamasını istiyorsak bu verileri şifreleyebiliriz. Imaj şifrelemeyi imaj alırkenki Use AD Encryption seçeneğini seçerek yapabiliriz. İmaj içerisinden çıkan verileri şifrelemek için ise aşağıdaki adımları takip edebiliriz.

Dışarı çıkartmak istediğimiz verileri seçip  Sağ tık > Add to Custom Content Image (AD1) seçeneğini seçelim.

Imaj-Crypter-1
Imaj-Crypter-1

Sol alttaki Evidence File kısmına verilerimizin geldiğini görebiliriz. Alttaki Create Image seçeneğine tıklayalım ve imaj oluşturma işlemine başlayalım.

Imaj-Crypter-2
Imaj-Crypter-2

Disk imajı alırken gördüğümüz ekran tekrar karşımıza geldi, Add diyerek devam edelim.

Imaj-Crypter-3
Imaj-Crypter-3

Aşağıdaki bilgileri istersek boş bırakabiliriz, istersek doldurabiliriz.

Imaj-Crypter-4
Imaj-Crypter-4

Imaj dosyasının yolunu ve ismini girdikten sonra aşağıdaki seçeneklere gelelim. Kaç MB’lık parçalar halinde seçebiliriz, sıkıştırma ölçüsünü seçebiliriz. Buradaki önemli nokta, Use AD Encryption seçeneğinin tikli olmasıdır.

Imaj-Crypter-5
Imaj-Crypter-5

Bizlere bir parola belirlememizi istemektedir, parolamızı belirleyip devam edelim.

Imaj-Crypter-6
Imaj-Crypter-6
Imaj-Crypter-7
Imaj-Crypter-7

Daha sonra Start butonuna tıklayıp imaj oluşturma işlemini başlatalım.

Imaj-Crypter-8
Imaj-Crypter-8

İşlem bittikten sonra aşağıdaki gibi bir görsel bizi karşılayacaktır.

Imaj-Crypter-9
Imaj-Crypter-9

Kontrol edelim gerçekten de şifrelenmiş mi diye. Imaj dosyası eklemek için File > Add Evidence Items seçeneğine tıklayalım.

Imaj-Crypter-10
Imaj-Crypter-10

Image File seçeneğini seçelim ve devam edelim.

Imaj-Crypter-11
Imaj-Crypter-11

Imaj dosyasının yolunu belirtelim.

Imaj-Crypter-12
Imaj-Crypter-12

Evet bizlerden bir parola istiyor, bu parolayı girdiğimiz taktirde bu imajda bulunan verileri bizlere gösterecektir.

Imaj-Crypter-13
Imaj-Crypter-13
Imaj-Crypter-14
Imaj-Crypter-14

Alınan Imajların Şifrelerinin Çözülmesi (Decryption)

İmajın şifrelenmesini öğrenmiştik, şimdi de şifrelenen imajın şifrelenmesine gerek kalmadığına karar verdik ve bunun şifrelenmesini kaldırmak istiyoruz. Bunun için Decryption işlemi yapacağız.

File > Decryption AD image diyelim.

Imaj-decryption-1
Imaj-decryption-1

Bizlere ilk olarak şifrelenmiş imaj dosyasının yolunu soruyor sonrasında şifresinin çözülmüş olan dosyanın nereye kaydetmek istediğimizi soruyor. Bunların yollarını verdikten sonra bizlere bir parola sorma ekranı getiriyor.

Imaj-decryption-2
Imaj-decryption-2

Parolayı doğru girdikten sonra OK seçeneğine tıklayalım ve işlemi başlatalım.

Imaj-decryption-3
Imaj-decryption-3

Görüldüğü üzere şifrelenmiş verinin şifresini çözerek, şifresiz bir imaj dosyası oluşturdu.

Korumalı Dosyaları Almak (Obtain Protected Files)

Windows işletim sistemlerinde Registery (İlerleyen zamanda bunların ne olduğunu, ne işe yaradıklarını belirteceğiz.) dosyaları korumalı dosyalardır. İşletim sistemi ayakta iken bu dosyaları kopyalayamaz veya bir yere manuel olarak kaydedemeyiz. Bunun için 3. Parti yazılımlara ihtiyacımız vardır. Bu işlem için FTK Imager’ı kullanacağız.

File > Obtain Protected Files yapalım.

Imaj-obtain-1
Imaj-obtain-1

Bize dosyaların nereye çıkarılacağını soruyor.

Imaj-obtain-2
Imaj-obtain-2

Minimum files for login password recovery

Giriş ekranında sorulan parolanın dosyalarını kurtarmak için kullanılmaktadır. SAM, SYSTEM ve  users dosyalarını çıkartır.

Password recovery and all registery files

Parola dosyalarını ve Registery dosyalarının tamamını çıkartır.

İkisinin de çıktıları aşağıdadır.

Minimum Files’ın çıktısı

Imaj-obtain-4
Imaj-obtain-4

Password recovery and all registery files’ın çıktısı

Imaj-obtain-6
Imaj-obtain-6

 

Disk Imajı Alınan Makinenin Canlandırılması

Imajı alınmış bir makinenin sanallaştırma uygulamalarında kurulmuş ve kullanılmaya hazır makine olarak canlandırılma işlemini yapıyor olacağız. Raw formatında imajını almış olduğumuz dökümü, VirtualBox isimli sanallaştırma uygulamasında bulunan VboxManage isimli araç yardımıyla raw formatlı imajımızı .vmdk formatına dönüştüreceğiz. Bu sayede VirtualBox’da cihazı canlandırabileceğiz.

VirtualBox’ın dizinine gidelim ve CMD’yi çalıştıralım. CMD’de “VboxManage.exe convertfromraw Imaj_yolu.raw VMDK_cikacagi_yol.vmdk –format vmdk” diyerek işlemimizi başlatıyoruz. Elimizde bulunan raw dosyasının boyutuna göre işlemimizin süresi değişebilir.

 

Imajın-Kaldırılması-1
Imajın-Kaldırılması-1
Imajın-Kaldırılması-2
Imajın-Kaldırılması-2

Aşağıdaki resimde de görmüş olduğumuz gibi .vmdk uzantılı dosyamız oluşmuştur.

Imajın-Kaldırılması-3
Imajın-Kaldırılması-3

Şimdi VirtualBox’da bu sanallaştırma dosyasını canlandıralım. VirtualBox’ı açtıktan sonra sağ üstte bulunan Yeni butonuna tıklıyoruz.

Imajın-Kaldırılması-4
Imajın-Kaldırılması-4

Ardından hangi isimle kaydedileceği, nerede saklanacağı ve versiyon bilgilerini de girdikten sonra İleri diyoruz.

Imajın-Kaldırılması-5
Imajın-Kaldırılması-5

Vermek istediğimiz RAM miktarını soruyor bizlere, ortalama olarak 2 GB yeterli olacaktır.

Imajın-Kaldırılması-6
Imajın-Kaldırılması-6

Sabit Disk kısmına geldiğimizde ise Varolan sanal sabit disk dosyasını kullan  seçeneğine tıklıyoruz ve sağ da bulunan klasör kutucuğuna tıklıyoruz.

Imajın-Kaldırılması-7
Imajın-Kaldırılması-7

Burada öncesinde oluşturmuş olduğunuz sanal makinelerin VDI uzantılı dosyalarını görebilirsiniz fakat biz bunları kullanmayacağız. Bunun yerine dışarıdan biz ekleyeceğiz. O yüzden Ekle seçeneğine tıklıyoruz.

Imajın-Kaldırılması-8
Imajın-Kaldırılması-8

VirtualBox klasöründe oluşturmuş olduğumuz vmdk uzantılı dosyayı seçip, aç diyoruz.

Imajın-Kaldırılması-9
Imajın-Kaldırılması-9

Eklemiş olduğumuz dosyanın seçili olduğundan emin olduktan sonra Oluştur butonuna tıklayalım.

Imajın-Kaldırılması-10
Imajın-Kaldırılması-10

Sanal makinemiz eklenmiş oldu, bunu çalıştırmak için solda sanal makinemizin seçili olduğundan emin olduktan sonra Başlat seçeneğine tıklayalım.

Imajın-Kaldırılması-11
Imajın-Kaldırılması-11
Imajın-Kaldırılması-13
Imajın-Kaldırılması-13

Ve açıldı, bu şekilde disk imajı alınmış Windows işletim sistemlerini canlandırabiliriz.

Yusuf Can Çakır

Selamlar, ben Yusuf Can Çakır. Kütahya Dumlupınar Üniversitesinde bilgisayar mühendisliği okumaktayım. Bu sene İngilizce hazırlık sınıfındayım fakat boş vakitlerimde Incident Response alanında kendimi geliştirmeye çalışmaktayım.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu