FTK Imager Nedir?

Adli bilişim incelemelerinin en önemli adımlardan birisi de incelenecek disklerin orijinal kanıtlarda herhangi bir değişiklik yapılmadan imajların alınmasıdır. FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan doğru kopyalar oluşturmak için kullanılan açık kaynaklı bir yazılımdır. Orijinal kanıtların görüntüsü aynı kalır ve verileri çok daha hızlı bir şekilde kopyalamamıza izin verir, bu da orjinal verileri korur ve daha fazla analiz edilebilir.

İmage alınacak disk bilgisayara takıldıktan sonra, antivirüs vb. programlar diske müdahale edebilir. Bu yüzden imaj almadan önce takılan USB cihazlarını ReadOnly moda almak faydalı olacaktır.

FTK Imager ile şunları yapabilirsiniz:

  • Orijinal kanıtlarda değişiklik yapmadan adli görüntüler veya yerel sabit disklerin, disketlerin ve zip disklerinin, DVD'lerin, klasörlerin, tek tek dosyaların vb. kopyalarını oluşturabilirsiniz.
  • Yerel sabit sürücüler, ağ sürücüleri, disketler, Zip diskler, CD'ler ve DVD'lerdeki dosyaları ve klasörleri önizleyin.
  • Yerel bir makinede veya sürücüde saklanabilecek adli görüntülerin içeriğini de önizleyebilirsiniz.
  • Adli görüntünün içeriğini tam olarak kullanıcının orijinal sürücüde gördüğü gibi görüntülemenizi sağlayan salt okunur bir görünüm için de görüntü ekleyebilirsiniz.
  • Adli görüntülerden dosya ve klasörleri dışa aktarın.
  • Geri Dönüşüm Kutusu'ndan silinmiş ancak sürücünün üzerine henüz yazılmamış dosyaları görüntüleyin ve kurtarın.

FTK Imager'ın bir özelliği de başka bir adli bilişim yazılımı kullanılarak alınan disk imajları üzerinde temel manada analiz yapılmasına imkan tanımasıdır. Aynı zamanda ilgili disk imaj dosyalarını Read-only olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine de ortam hazırlar ve imaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olmasa da silinerek çöp kutusuna gönderilmiş fakat üzerine henüz başka dosya tarafından yazılmamış dosyaları da kurtarabilir.

FTK Imager analiz edilecek dosyaların MD5 ve SHA-1hashleri oluşturma yeteneğine de sahiptir. Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir. 

FTK Imager indirmek için:

FTK Imager ile Disk Imajı Alma

FTK Imager'ın çalıştırdıktan sonra, karşınıza çıkan ekrandaki File menüsünden Create Disk Image seçeneğini seçip disk imajı oluşturma adımlarına başlayalım.

Sonraki aşamada karşımıza imaj alınacak diskin seçileceği Select Source başlıklı aşağıda gösterilen pencere çıkacaktır. Çıkan pencerede imaj türünü seçmemiz gerekiyor. Bizlere fiziksel disk imajı mı alınacak yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alacağımızı belirliyoruz. Türlere bakacak olursak;

  • Physical Drive: Delinin tamamının çalışır haldeki imajını alır veya bir bölümün bire bir imajını alır.
  • Logical Drive: Diskin belirli bir bölümünün imajını alır.
  • Image File: İmaj dosyasının imajını alır.
  • Content of Folder: Herhangi bir klasör içeriğinin imajını alır.
  • Fernico Device : Çoğaltılabilir CD/DVD gibi disklerin imajını alır.

Her türlü olasılığı göz önünde bulundurursak, sabit diskin fiziksel imajını almak en sağlıklı yaklaşımdır. İlk seçenek olan Physical Drive seçeneğine basıp ilerliyoruz. 

 Karşımıza çıkan ekranda hangi sabit diskin imajını almak istersek onu seçip Finish butonuna basıp ilerliyoruz.

Gelen pencerede, diskin nereye kaydolacağını gösteren ve bir kaç ayar yapabileceğimiz pencere bizi karşılayacaktır.

  • Verify İmages After They Are Created: Dosyanın Hash’i yoksa bu seçenek 1 adet olarak kendisi oluşacaktır.
  • Precalculate Progess Staticts : İlerlemeyi istatiksel olarak hesaplanır ve imaj işleminin tahmini bitiş süresini gösterir.
  • Create directory listings of all files in the image after they are created: Görüntüdeki tüm dosyaların dizin listelerini oluşturur. Bu sayede imaj içindeki dosya bilgiler vardır.
  • Add Overflow Location: İmajı yazdığınız alanın bitmesi durumunda imaj işleminin sonlanmaması için bu buton ile path eklenebilir.

 ADD butonuna basalım ve diskin hangi formatta imaj almak istediğimizi seçelim. Karşımıza çıkan imaj türlerine kısaca bakacak olursak;

  • Raw(dd): Sıkıştırma desteği bulunmadığından, herhangi bir ekleme veya silme işlemi olmadan oluşturulan orijinal kanıtların bit bit bit kopyasıdır. Herhangi bir meta veri içermezler.
  • Smart: Linux işletim sistemi için geliştirilmiştir. Hamveri metadata ve doğrulama değerlerini içereren dosyadır.
  • E01: Görüntüleme için yaygın olarak kullanılan bir format olup, sıkıştırma desteği vardır. Veri imaj alınırken bloklara bölünmektedir. Her bloğa ait checksum değeri verinin arkasına yazılır bu nedenle hamveri ve metadata bilgisi taşır.
  • AFF: Metadata saklama ve sıkıştırma özelliği vardır. Veri ile metadata bilgileri birleştirilerek aynı dosyada saklanır.

E01 imaj türü ile devam ediyorum.

Karşımıza çıkan ekranda bizden bazı bilgiler istemektedir. Bilgileri eksiksiz girmeniz iyi olacaktır. 

  • Case Number: Vaka numarasının girildiği kısımdır.
  • Evidence Number: Kanıt numarasının girildiği kısımdır. Kaçıncı kanıtı incelediğinizi belirtir.
  • Unique Description: Yapılan inceleme için kısa açıklama yapılan kısım.
  • Examiner: Vakayı inceleyen kişinin bilgisinin girildiği kısım.
  • Notes: Yapılan incelemeye eklenecek notlar kısmıdır.

 Bilgileri girdikten sonra Sonraki butonu ile devam ediyoruz.

Karşımıza gelen pencere imajı alacağımız klasör ile ilgili ayarları yapmamız gerekmektedir.

  • Destination Folder: İmajı alacağımız klasör yoludur.
  • Image Filename: İmajın görünen ismidir.
  • Image Fragment Size: İmajların MB cinsinden büyüklüğüdür. Tanımladığınız boyutlarda bölünerek imaj alınır. (Ancak önerilen, 0 değeri verilerek imaj tek bir bütün halinde alınmasıdır)
  • Compression: İmaj dosyalarının sıkıştırılması için verilen 0-9 aralığında değer seçilmesi gerekir. Değer arttıkça imaj süresi uzayacaktır.
  • Use AD Encryption: İmajın açılmasında şifre verilmek istenirse bu seçenek ile şifre verilebilir.

İlgili ayarları gerçekleştirdikten sonra, Finish butonuna basalım.

Start butonuna bastıktan sonra imaj alma işlemi başlatılacaktır.

Bu ekranda imaj süresini ve ne kadar hızla imaj aldığının bilgisini görebiliriz.

İşlem tamamlandıktan sonra, Image Summary butonuna basarak imaj hakkında bilgileri alabilirsiniz.

Blog'a Dön