FTK Imager Nedir?

Adli bilişim incelemelerinin en önemli adımlardan birisi de incelenecek disklerin orijinal kanıtlarda herhangi bir değişiklik yapılmadan imajların alınmasıdır. FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan doğru kopyalar oluşturmak için kullanılan açık kaynaklı bir yazılımdır. Orijinal kanıtların görüntüsü aynı kalır ve verileri çok daha hızlı bir şekilde kopyalamamıza izin verir, bu da orjinal verileri korur ve daha fazla analiz edilebilir.

FTK Imager ile şunları yapabilirsiniz:

• Orijinal kanıtlarda değişiklik yapmadan adli görüntüler veya yerel sabit disklerin, disketlerin ve zip disklerinin, DVD'lerin, klasörlerin, tek tek dosyaların vb. kopyalarını oluşturabilirsiniz.
• Yerel sabit sürücüler, ağ sürücüleri, disketler, Zip diskler, CD'ler ve DVD'lerdeki dosyaları ve klasörleri önizleyin.
• Yerel bir makinede veya sürücüde saklanabilecek adli görüntülerin içeriğini de önizleyebilirsiniz.
• Adli görüntünün içeriğini tam olarak kullanıcının orijinal sürücüde gördüğü gibi görüntülemenizi sağlayan salt okunur bir görünüm için de görüntü ekleyebilirsiniz.
• Adli görüntülerden dosya ve klasörleri dışa aktarın.
• Geri Dönüşüm Kutusu'ndan silinmiş ancak sürücünün üzerine henüz yazılmamış dosyaları görüntüleyin ve kurtarın.

FTK Imager'ın bir özelliği de başka bir adli bilişim yazılımı kullanılarak alınan disk imajları üzerinde temel manada analiz yapılmasına imkan tanımasıdır. Aynı zamanda ilgili disk imaj dosyalarını Read-only olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine de ortam hazırlar ve imaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olmasa da silinerek çöp kutusuna gönderilmiş fakat üzerine henüz başka dosya tarafından yazılmamış dosyaları da kurtarabilir.

FTK Imager analiz edilecek dosyaların MD5 ve SHA-1hashleri oluşturma yeteneğine de sahiptir. Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir. 

FTK Imager indirmek için:

• https://www.exterro.com/ftk-imager
• Windows, Ubuntu, Fedora  ve Mac gibi platform bağımsız bir çok versiyonu mevcuttur.

FTK Imager ile Ram Imaj İşlemleri

Ram imajı almak için ilk olarak file menüsünden Capture Memory seçeneğine basıyoruz.

Gelen pencerede 3 adet seçenek bizi karşılayacaktır.

• Destination Path: İmajı kaydedeceğimiz alandır.
• Include Pagefile: Pagefile.sys Windows işletim sisteminin sanal bellek olarak kullandığı dosyadır. Bu dosya ram'in yetmediği sırada devreye girmektedir.
• Create AD1 File: Memory ve Pagefile dosyalarını paket yapıp imaj haline getirmektedir.

Bilgileri doldurduktan sonra Capture Memory butonuna basıp işlemi başlatalım.

İmaj işlemi bittikten sonra imajı kayıt ettiğiniz alandan kontrol edebilirsiniz.