Forensic

[TR] USB Sürücüler Üzerinde Adli İnceleme

Reklam

[TR] USB Sürücüler Üzerinde Adli İnceleme

Adli Bilişim sürecinde delil toplanırken incelenecek birimlerden biri de USB Sürücülerdir. USB sürücüler üzerinde daha önceden depolanmış veriler, adli bilişim teknikleriyle çıkartılarak süreç içerisinde delil olarak kullanılabilir. Bu makalemizde de USB bellekler üzerinde adli inceleme gerçekleştireceğiz.

CİHAZA DAHA ÖNCE TAKILMIŞ USB SÜRÜCÜLERİ GÖRÜNTÜLEME

Öncelikle elde etmemiz gereken ilk veri, kayıt defteri girdilerinden cihaza daha önce takılan USB sürücülere ulaşmak olacak. Bu bağlamda kayıt defterini açıp aşağıdaki yolu izleyeceğiz. Buradaki verileri inceleyerek daha önce takılmış USB sürücülerine ait çeşitli bilgilere erişebiliriz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Kayıt Defteri Girdileri

Aynı sonuçlara USBDeview gibi otomatize yazılımlar kullanarak ya da Powershell ile komut yürüterek manuel olarak da ulaşabiliriz. Fakat yazıyı olabildiğince kısa tutma maksadı ile alternatif diğer işlemlere değinmeyeceğim.

USB SÜRÜCÜNÜN İMAJINI ALMA

Daha önce cihaza takılmış USB sürücüleri tespit ettikten sonra, suç mahallinde elde edilen ve cihaza daha önce bağlanmış USB sürücülerin adli incelemesine başlayabiliriz. Bu inceleme için FTK Imager isimli yazılımı kullanacağız. İlk olarak FTK Imager yazılımı ile USB belleğin imajını alalım.

FTK Imager yazılımını bilgisayarımıza kurduktan sonra açtığımızda aşağıdaki gibi bir ekran bizi karşılayacak.

ftk imager
ftk imager

Burada sol üst köşedeki File Menüsünden Create Disk Image seçeneğini seçiyoruz.

Disk İmajı Alma

Ardından açılan yeni pencerede alacağımız imajın türünü seçeceğiz. Diskin fiziksel İmajını alacağımız için Physical Image seçeneğini seçerek devam ediyoruz.

İmaj Türünü Seçme

Gelen ekranda yazılım, imaj alınacak diski seçmemizi istiyor. Burada inceleme yapacağımız USB sürücüyü seçerek Bitir butonuna basıyoruz.

İmajı Alınacak Diski Seçme

Açılan pencerede USB sürücüden alınan imajın kaydedileceği konumu Add butonuna tıklayarak belirleyeceğiz. Öncesinde açılan pencerede imaj türünü E01 olarak seçip ileri butonuna tıklıyoruz.

İmaj Türü Seçimi

Ardından imajın kaydedileceği konumu belirledikten sonra imaj dosyasına isim verip imaj alma işlemini başlatıyoruz.

İmaj Dosyasının Çıktı Klasörünü Seçme
İmaj Alma İşleminin Başlaması

İmaj alma işlemi tamamlandıktan sonra imaj dosyamız belirttiğimiz yola kaydedildi.

İMAJI ALINAN USB SÜRÜCÜYÜ İNCELEME

Şimdi USB sürücüden aldığımız imajı incelemeye başlayabiliriz. FTK Imager yazılımının sol üst taraftaki panelinden File menüsünü açıp Add Evidence Them seçeneğini seçiyoruz.

İmaj Dosyası Seçimi

Açılan pencerede delil türünü seçeceğiz. Az önce USB sürücüden Fiziksel imaj alıp kaydetmiştik. Bu sebeple Image File seçeneğini seçerek devam ediyoruz.

Seçilen İmajın Türünü belirtme

Ardından gelen ekranda imaj dosyamızı kaydettiğimiz yolu belirterek bitir butonuna tıklıyoruz.

İmaj Dosyasının Konumunu Belirtme

Bu işlemin ardından FTK Imager yazılımımızın sol tarafındaki Evidence Tree kısmında tablolar listelenecek. Biz burada root isimli dizine girerek USB içerisindeki klasörlere erişim sağlıyoruz.

Evidence Tree

Buradaki klasörleri dışa aktararak barındırdıkları dosyaları inceleyebiliriz. Şimdi USB üzerinden silinmiş klasörlerden birini dışa aktaracağız. Bunun için klasörün üstüne sağ tıklayarak Export Files diyoruz.

Dosyaları Dışa Aktarma

Açılan ekranda çıktı klasörünü seçtikten sonra Tamam diyerek çıkıyoruz. Ardından USB üzerinden silinmiş klasör ve içerisindeki dosyalar çıktı klasörümüze kaydediliyor

Çıkartılan Dosyaların Çıktı Klasörüne Kaydedilmesi

Bu şekilde USB üzerinden dışa aktarılan dosyalar incelenebilir, adli bilişim sürecinde mahkemede kanıt olarak sunulabilir.

Reklam

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu