FTK Imager Nedir?

Adli bilişim incelemelerinin en önemli adımlardan birisi de incelenecek disklerin orijinal kanıtlarda herhangi bir değişiklik yapılmadan imajların alınmasıdır. FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan doğru kopyalar oluşturmak için kullanılan açık kaynaklı bir yazılımdır. Orijinal kanıtların görüntüsü aynı kalır ve verileri çok daha hızlı bir şekilde kopyalamamıza izin verir, bu da orjinal verileri korur ve daha fazla analiz edilebilir.

FTK Imager ile şunları yapabilirsiniz:

• Orijinal kanıtlarda değişiklik yapmadan adli görüntüler veya yerel sabit disklerin, disketlerin ve zip disklerinin, DVD'lerin, klasörlerin, tek tek dosyaların vb. kopyalarını oluşturabilirsiniz.
• Yerel sabit sürücüler, ağ sürücüleri, disketler, Zip diskler, CD'ler ve DVD'lerdeki dosyaları ve klasörleri önizleyin.
• Yerel bir makinede veya sürücüde saklanabilecek adli görüntülerin içeriğini de önizleyebilirsiniz.
• Adli görüntünün içeriğini tam olarak kullanıcının orijinal sürücüde gördüğü gibi görüntülemenizi sağlayan salt okunur bir görünüm için de görüntü ekleyebilirsiniz.
• Adli görüntülerden dosya ve klasörleri dışa aktarın.
• Geri Dönüşüm Kutusu'ndan silinmiş ancak sürücünün üzerine henüz yazılmamış dosyaları görüntüleyin ve kurtarın.

FTK Imager'ın bir özelliği de başka bir adli bilişim yazılımı kullanılarak alınan disk imajları üzerinde temel manada analiz yapılmasına imkan tanımasıdır. Aynı zamanda ilgili disk imaj dosyalarını Read-only olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine de ortam hazırlar ve imaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olmasa da silinerek çöp kutusuna gönderilmiş fakat üzerine henüz başka dosya tarafından yazılmamış dosyaları da kurtarabilir.

FTK Imager analiz edilecek dosyaların MD5 ve SHA-1hashleri oluşturma yeteneğine de sahiptir. Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir. 

FTK Imager indirmek için:

• https://www.exterro.com/ftk-imager
• Windows, Ubuntu, Fedora  ve Mac gibi platform bağımsız bir çok versiyonu mevcuttur.

FTK Imager ile Mount İşlemi

FTK Imager ile Mount işlemi gerçekleştirerek, alınan imaj dosyasını harici bir sürücü gibi gösterebiliriz. FTK Imager açtıktan sonra, ilk olarak file menüsünden Image Mounting seçeneğine tıklıyoruz.

Karşımıza çıkan pencerede Image File kısmından imaj dosyanızı seçiniz.

• Mount type:  Mount işlem türüdür.
• Drive letter : Mount işlemi için kullanılacak sürücü harfi seçilebilir.
• Mount Method ise;

1. Block Device/Read Only: Cihazı blok cihaz olarak okur ve cihaz fiziksel ad sorgulama gerçekleştiren Windows uygulaması ile görünebilir.
2. Block Device/Writable: Cihaz içine bir şeyler yazmaya izin verir. Ancak ön bellek dosyasına kaydedildiği için orjinalinde değişiklik olmaz.
3. File System/Read Only: Cihazı Windows gezgini’nin görebileceği salt okunan bir aygıt olarak okur.

Ayarları yaptıktan sonra, Mount butonuna tıklıyoruz.

Akabinde, aşağıda bulunan Mapped Image List alanına yeni sürücü olarak eklenecektir. Bu işlem sonunda sanki fiziksel disk gibi gözükecektir.