İçeriğe geç →

Dijital Deliller ve İmaj Alma

GİRİŞ

Bu çalışma konu hakkında herhangi bilgisi olanlar için öğretici olmakla birlikte hiç bilmeyenler için de farkındalık yaratma amacıyla yazılmıştır. İmaj almanın ne demek olduğu,yollarının neler olduğu,imaj almak için hangi cihaz yahut yazılımlar kullanılır,imaj türleri ve formatları neler,imaj nasıl alınır, imaj alındıktan sonra ne yapılır,imaj inceleme araçları nelerdir(ücretli ve ücretsiz),bu inceleme araçlarından biriyle imajın nasıl inceleneceği konularının cevapları bu makalede yer almıştır.

MATERYAL VE METHOD

İMAJ ALMA NEDİR?

İmaj alma bir elektronik delilin kopyasının oluşturulması işlemidir.Yani elektronik delilin o anki içerisinde bulunan verilerin kopyasını oluşturmaktır. İmaj alınırken adli bilişim standartlarına uygun programlar kullanılmalı ve orijinal delilin birebir kopyası alınmalıdır.İmaj ile,üzerine herhangi bir veri yazılmamışsa silinmiş veriler de kurtarılabilir.

İMAJ ALMA YOLLARI

  • Mantıksal İmaj Alma
  • Fiziksel İmaj Alma
    • Clone
    • Bittobit Kopya

Fiziksel imaj: Delilin tamamının çalışır vaziyetteki imajıdır(kopyasıdır.),veya bir bölümün bit to bit(bire bir) kopyasıdır.

Mantıksal imaj: Dosya sisteminde referans verilen dosyalarının(tümü veya altkümesi)’nin imajıdır.

Mantıksal imajdansa, fiziksel imaj daha ayrıntılı bilgi sunar.Her imajın da bir hash değeri vardir.Bu hash değeri matematiksel bir fonksiyondur. Verinin uzunluğu ne olursa olsun sabit uzunlukta çıktı sunar.

Bu hash değerleri md5,sha1,sha2 olabilir. Örneğin;

Elde “X” versi olsun.bu x verisinin md5 deki hash değeri “a”olsun.Sha1’deki hash  değeri “b” olsun.

Bu imajlar incelenecek olursa

  • 1 nolu inceleme yazılımında md5 hash değeri a çıkmalı
  • 2 nolu inceleme yazılımında md5 hash değeri a çıkmalı
  • 3 nolu inceleme yazılımında md5 değeri a çıkmalı

Fakat abc inceleme yazılımında md5 hash değeri a çıkmazsa o yazılım standartlara uygun değil,aynı zamanda güvenilirliği ise yoktur.Md5 hash değeri için belirtilenlerin aynısı sha1 hash değeri için de geçerlidir.

HASH’İN ÖZELLİKLERİ

  • İki farklı veri için  aynı hash değeri çıkmamalıdır.Yani örnek verilecek olursa “melike” kelimesi ile “Melike” kelimesinin anlamları ne kadar aynı olsa da hash değerleri aynı olamaz.Hash değerlerine bakılacak olursa “melike” kelimesinin md5 hash değeri ddd5129bba84697b8e2d7ab8470d4a85,

“Melike” kelimesinin md5 hash değeri ise e34ac3613870fe7c35d2674d3afa50dc ‘dur.Görüldüğü üzere aralarında hiçbir benzerlik bulunmamaktadır.Bir harfin bile değişimi hash değerini baştan aşağı değiştirir.

  • Veriden hash değeri oluşturulabilir fakat hashden veriye erişilemez.

Yukarıda görüldüğü üzere veriden hash değerini elde ettik.O hash değerleri sabit uzunluktadır ama birbirlerine asla benzemezler.Hash değerinden veriye erişilemez çünkü hash fonksiyonları tek yönlüdür.Eğerki hash algoritması çok güçlü ise,hash değerinden veriye erişilemez,Eğerki zayıf bir hash fonksiyonu(basit mantıklı) ise kolaylıkla o hash kırılabilir.

  • Hash değeri hesaplanırken matematiksel fonksiyona tabii tutulur,bu fonksiyonda ise random değerler atanır. Hash değerinin içinde hem harf hem de sayılar mevcuttur,sabit uzunluktadır,her seferinde aynı değeri vermemelidir.

Benzersizlik hash değerlerinin en önemli özelliklerinden bir tanesidir.Görüldüğü üzere hash değerleri harfler ve rakamlardan oluşur.Random yani rastgele  değerler atandığı için her seferinde farklı sonuçlar çıkar.Bu yüzden bir önceki hesaplatılan hash ile bir sonraki hesaplatılan hash aynı olmaz,tamamiyle birbirlerinden bağımsız,farklı olur.Her seferinde aynı değerleri vermemesinin sebebi ise sürekli random değerlerden hash değerinn oluşturulmasıdır.

İMAJ ALINIRKEN HANGİ CİHAZLAR YA DA YAZILIMLAR KULLANILIR?

İmaj alabilmek için hem yazılımsal hemde donanımsal yöntemlere başvurulabilir.Adli bilişim açısından imajın alınabilmesi için imajın alındığı programın standartlara uygun olması gerekir.

Donanımsal olarak Tableau TD3,ditto cihazları kullanılır.

TABLEAU TD3

Bu cihazda hedef ve kaynak diskler mevcuttur.Kaynak disk elektronik delilin takıldığı yerdir.(imajı alınacak olan delil)Hedef disk girişine ise imajın hangi depolama aygıtına alınmak isteniyorsa o depolama aygıtı takılabilir.Kaynak diSkte Fireware,USB 3.0,Sata girişleri mevcuttur.Kaynak disk girişinde usb bağlantısı write blocked olarak bağlanır.Yani yazma korumalıdır.İmajı alınacak olan usb belleği write blocked kısıma takıldığı zaman imajı alınacak olan delili yazmaya karşı korunur.Yani içindeki verilerin değişmesini engeller.Genişletme modülleri olarak SAS ve İDE harddiskleri de desteklemektedir.

Tableau TD3 Cihazı

Diğer imaj alma araçları;FTK İmager,Acronis true image,Forensic imager,Linuxdd

İMAJ NASIL ALINIR?

TABLEAU TD3 İLE İMAJ ALMA

Flash bellek markası:sandisk

Boyutu:8 GB

Resim -1-
  • Resim 1 deki tableau td3 cihazının duplicate(çoğaltma) menüsüdür.Yukarıdaki case notes(olay notu),examiner(inceleyen kişi),type(tipi) doldurulduktan sonra duplicate seçeneğine tıklanıp imaj işlemi başlatılır.Görüldüğü üzere usb belleğin imajı tekrar usb belleğe alınmak isteniyor.Duplicate seçeneği tıklandıktan sonra diğer kaynak diskteki usb belleğin imajı(kopyası) hedef diskteki usb belleğe alınacaktır.
Resim -2-

Resim 2 de İmaj işlemini başlattıktan sonraki ekranı görünüyoruz.

Time remaining: kalan süre

Data verified: doğrulanmış veri(öğrenim amaçlı sıradan bir imaj ise doğrulama(verify)  işlemi isteğe bağlıdır)

Data imaged: imajı alınan verilerin yüzdesi

Elapsed time: imaj işleminin başlatıldığından bu yana geçen süre

Status: çoğaltma

Resim -3-

Resim 3 te Çoğaltma işlemi bittikten sonraki log kaydı gösterilmiştir. Tableau Bu bilgiler arasında imaj oluşturma,başlatma ve bitiş tarihi ve saatleriyle birlikte,imaj süresi boyunca üzerinden ne kadar süre geçtiği,kullanıcının adı ve soyadı,olay numarası,durum bilgileri vs.bulunmaktadır.bir imajın nasıl alındığını gösterebilmek adına bu işlem yarıda kesilmiştir yani imajın sonuna kadar beklenmemiştir.Ondan dolayı status bilgisinde failed(başarısız) olarak belirtmiş ve yukarıda normal olarak tamamlanamadığı hakkında bilgi verilmiştir.

Resim -4-

Resim 4 de gösterileceği üzere; Tableau td3 cihazı o imaja ait hash değeri de hesaplatıp aynı zamanda hash doğrulaması da yapabilmektedir.

Resim -5-

Resim 5 de belirtildiği üzere md5 ve sha1 hash değeri oluşturuldu.

ACCESSDATA FTK İMAGER İLE İMAJ ALMA

Ftk imager tableau td3 cihazı ile aynı amacı güder.Donanımsal olarak alınan imajın nasıl alındığı gösterildi.Şimdi ise yazılımsal imajın nasıl alındığı gösterilecektir.

Resim -6-

Resim 6 da Ftk imager programının arayüzü gösterilmiştir.

Resim -7-

Resim 7 de görüleceği üzere File/Add evidence item seçeneği ile delil eklenmelidir.

Resim -8-

Resim 8 – Örnek olarak 3 gb boyutunda usb belleğin imajı  alınacağı için physical drive seçeneği tıklanması gerekir.

Diğer seçenekler tıklanacak olursa ;

  • Logical drive: Örneğin;C,D,E sürücüleri
  • İmage file: imaj dosyası import(içeri aktarma)edilebilir.
  • Contents of folder: Herhangi bir klasörün içeriği
Resim -9-

Resim 9 – Bilgisayara takılan usbnin seçilmesi gerekir.

Resim -10-

Resim 10 da kanıt eklenmiş oldu.

Resim -11-

Resim 11 – Eklenen kanıtın üzerine sağ click yapıldığı zaman “export disk image “ seçeneği tıklanır.

Resim -12-

Resim 12 – Add butonuna tıklanır.

Resim -13-

Resim 13 – İmaj tipi seçilir.(raw(dd)àbit to bit kopyası için)

Resim -14-

Resim 14 – Kanıt bilgileri doldurulması gerekir.Bu bilgilerin içeriği;imajı alan kişinin adı soyaadı,açıklama,olay numarası,kanıt numarası vs.

Resim -15-

Resim 15’de İmajın kaydedilmek istendiği yer ve imaj dosyasına verilmek istenen isim(örnekte kaydedilmek istenen yer:win10/usb adlı klasör  imaj dosyasının ismi :usb imajı)

Resim -16-

Resim  16 – İmajı alınmak istenen kanıt eklenmiş oldu geriye yapılması gereken tek bir şey var.Start butonuna basmak.

Resim -17-

Resim 17 de İmaj alma işlemi başlamıştır

Resim -18-

Resim 18 –

  • Kopyalama işlemi tamamlandı. Tammalanma süresi  5 dakika 27 Saniyedir.
  • Durum:imaj oluşturma başarılı
  • Hedef:imaj dosyasının konumu(dosya yolu)
Resim -19-

Resim 19

  • İmaja ait hesaplanan hash değerlerive bad sektör olup olmadığı varsa hangi sektörde olduğu bilgileri belirtilmiştir.
  • Accessdata ftk imager programında hash değeri hesaplama ve hash doğrulama imaj alma işlemi bitirildikten sonra otomatik olarak yapılır.
  • İmaj alma işlemi tamamlandı.
Yazarımız: Melike YORULMAZ
Adli Bilişim Mühendisliği

Kategori: Makaleler

Yorumlar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir