Adli Bilişim’de İmaj Alma Yöntemleri Bölüm 1

Merhaba, son yıllarda dünyada ve ülkemizde yaşanan ve yaşanmaya devam eden siber olaylar özellikle ülkemizde siber güvenlik farkındalığı yarattı. Büyük olsun küçük olsun özel veya kamu sektöründe siber güvenlik konusunda yatırımlar yapılmaya, personellere siber güvenlik alanında eğitimler verilmeye başlandı. Devletimiz bu konuda bir çok önlem aldı almaya devam ediyor. Bunlardan biri de Siber Güvenlik Kurulunun kurulması.

Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi ve Koordinasyonuna İlişkin Karar” 20 Ekim2012 tarihli Resmi Gazetede Bakanlar Kurulu Kararı olarak yayımlanmış ve siber güvenliğe ilişkin program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla “Siber Güvenlik Kurulu” oluşturulmuştur. Siber Güvenlik Kurulu, Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı kabul etmiş ve 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır. Detaylı bilgi için

Söz konusu eylem planı çerçevesinde kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME’ler, Sektörel SOME’ler) oluşturulmasına karar verilmiştir. Bu kapsamda, 11 Kasım 2013 tarihli ve 28818 sayılı Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ Resmi Gazetede yayımlanmıştır.

Bu kapsamda :

Kurumsal SOME

Bakanlıklar, Müstakil Kamu Kurumları, Bilgi İşleme sahip diğer kamu kurumlarını kapsamaktadır.

Sektörel SOME

Bankacılık ve Finans, Enerji, Ulaştırma, Kritik Kamu Hizmetleri, Su Yönetimi, Elektronik Haberleşme sektörlerini kapsamaktadır.

SOME Ekipleri kurmak zorunludur ve 7/24 esasına göre hizmet vermesi gerekmektedir.

Bu kadar bilgiden sonra yavaş yavaş teknik kısımlara geçebiliriz.

Çalışmakta olduğunuz kurumda veya iş yerine bir siber olay gerçekleştiğinde dijital materyallerin zarar ve tahrip edilmeden kayıt ve koruma altına almanız gerekmektedir. Bunun için birçok donanım ve yazılım mevcuttur. Bu makale dizisinin ile bölümünde FTK IMAGER yazılımını tanıyacağız, devamında gelen makalelerde Windows ve Linux tabanlı tool larıda beraber inceleyeceğiz.

Bir adli olay olduğunda şüpheli bir bilgisayar karşınıza geldiğinde neler yapmanız gerektiği nasıl adli imaj alınması ve alınan adli imajın daha sonra nasıl tekrardan incelenmek üzere açılacağı gibi konuları anlatmaya çalışacağım.

Bu kadar açıklamadan sonra simülasyon ortamından başlayarak yavaş yavaş giriş yapalım

Senaryo

Bir adet şüpheli bilgisayar var ve üzerinde kurulu olan işletim sistemi Windows 10.

Bizden istenen bu bilgisayarın adli imaj alma esaslarına uygun olarak imajlarının alınmasını sağlamamız.

Aşağıda görüldüğü gibi disk yapımızda iki adet disk mevcut. Bir tanesi işletim sisteminin bulunduğu ” C ” sürücüsü 50 GB kapasiteli diğeri ise ” E ” sürücüsü imajı alacağım sürücü yine 50 GB kapasitesi mevcut.

İşlem Adımları

• 1 – FTK IMAGER kurulumu
• 2 – Memory ( RAM ) imajı almak
• 3 – Disk imajı almak

FTK IMAGER Kurulumu

Adli bir olay olduğunda çok dikkatli olmalısınız yapacağınız bir hata çok kıymetli olan dijital delillere zarar verebilir. Adli bir olay gerçekleştiğinde ve size ilgili bilgisayarın imajının alınması söylendiğinde ( burası çok önemli ) hem ram imajının hem de sistemdeki tüm disklerin imajının sağlıklı bir şekilde almanız gerekmektedir. Burada sağlıktan kasıt, adli imaj alınırken beraberinde MD5 ve SHA1 HASH bilgileri ile beraber alınır böylece siz imajları aldıktan sonra orijinal veri üzerinde oynama yapılsa dahi siz elinizdeki HASH değerini karşılaştırarak verinin değiştirip değiştirilmediğini anlayabilirsiniz.

FTK IMAGER yazılımı adli imaj işlemlerinde çok kullanılan uluslararası kabul gören yazılımlardan biridir. İlk işlem olarak bu yazılımı indirmeniz gerekli. FTK IMAGER yazılımının birden çok versiyonları bulunmakta https://accessdata.com/product-download adresine gidip, FTK IMAGER VERSION 4.3.0 indiriyorum ( en son sürüm benim makaleyi yazdığımda buydu, çok fark etmez ) bu arada FTK IMAGER ücretsizdir.

Basit bir kurulumu var, indirdiğim .exe çift tıklayarak kurulumu başlatıyorum

Şimdi disk yapımıza bir göz atalım. Aşağıda sistemin kurulu olduğu “ C – 50GB “ diski ve ram, disk imajlarını alacağım “ E – 50GB “ diski görülmekte.

İstenmesi durumunda harici diskler hatta network üzerinden de imajların başka ortamlara yazabilirsiniz tercih tamamen size kalmış.

Kurulum bittiğine göre imaj işlemlerine başlayabiliriz.

Memory (RAM) İmajı Alma İşlem

Bir adli olay olduğunda ve karşınıza bir bilgisayar geldiğinde ilk olarak memory ( ram ) imajını almak çok önemlidir. Bunun nedeni o anda kullanılmakta olan birçok veri ram üzerinde çalışmakta ve burada yapılacak bir adli analiz işlemi birçok olayı aydınlatacak türde veri içerebilmektedir.

RAM Üzerinde şu verilere ulaşılabiliyor

• Sistemde çalışan process’ler.

• Çalışan process’lerin ne zaman ve hangi kullanıcı tarafından başlatıldığı.

• Gizli programlar.

• Kötücül Yazılım ve virüs.

• Aktif ağ bağlantıların durumu.

• Kullanıcı şifreleri.

• Kripto anahtarları.

• Kaydedilmemiş veya sonlandırılmış dokümanlar.

• Yakın geçmişte gerçekleşen internet üzerindeki aktiviteler veya mailler.

İlk olarak FTK programını çalıştırıyorum ve aşağıdaki ekran geliyor. Programın pencerelerini tek tek anlatmayacağım programının en çok kullanılan bölümlerini tek tek inceleyeceğiz.

Sonraki adım aşağıda görüldüğü gibi “ File > Capture Memory “ butonuna tıklayarak devam ediyorum

Bizi aşağıdaki ekran karşılıyor. Bu ekranda birkaç seçenek var sırayla inceleyelim.
1 – Destination Path: İmajı kayıt edeceğimiz alan ( sisteme taktığınız ikinci bir disk, harici bir disk veya network üzerinde bir paylaşım )

2 – Include pagefile: pagefile.sys windows işletim sisteminin sanal bellek olarak kullandığı dosyadır. Alınması gerekmektedir bilginiz gibi bu dosya ramin yetmediği yerde devreye giriyor ve diskte bu iş için ayrılan alanda ram deki veriler saklanıyor bu yüzden bu alanda da adli veriler olabileceğinden alınmasında fayda var.

3 – Create AD1 file: Bunu seçerseniz hem memory hem de pagefile dosyalarını paket yapıp imaj haline getiriyor ben seçiyorum her zaman imajın fazlası göz çıkarmaz.

Tüm bu işlemlerden sonra memory imaj almaya hazırız ” Capture Memory ” butonuna tıklayarak işleme başlayabiliriz

İmaj işlemi devam ediyor

İmaj işlemi başarılı bir şekilde tamamlandı. Aşağıda görüldüğü gibi ram imajları sağlıklı bir şekilde alındı.

Disk İmajı Alma İşlemi

Yine ” File > Create Disk Image ” butonun tıklayarak devam ediyoruz.

Aşağıdaki ekranda görebileceğiniz gibi bizi birçok seçenek bizi karşılıyor. Şimdi teker tekrar bunlara bakalım

• 1 – Physical Drive: Fiziksel diskin imajını almak için kullanılır
  
• 2 – Logical Drive: Mantıksal bölümlerin imajını almak için kullanılır
  
• 3 – Image File: Mevcut imaj dosyasının imajını almak için kullanılır
  
• 4 – Contents of a Folder: Bir klasörün imajını almak için kullanılır
  
• 5 – Fernico Device: İmaj’ı CD/DVD üzerine kaydetmek için kullanılır

Ben fiziksel diskimin imajını alacağım için ” Physical Drive ” seçeneği ile devam ediyorum. Aşağıdaki gelen ekranda ” Source” kaynak diskimi yani imaj alacağım diski seçmemi istiyor ve seçiyorum ” Finish ” diyerek pencereyi kapatıyorum

Aşağıda gelen ekranda ” Add ” diyerek devam ediyorum

” Add ” butonuna tıkladığımızda bizi aşağıdaki ekran karşılıyor. Şimdi bu seçenekleri beraber inceleyelim.

• 1 – Raw ( dd ) : Imaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca hamveri bulunur, herhangi bir metadata verisi yer almaz.
  
• 2- SMART : Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.
  
• 3- E01 : EnCase imaj formatıdır, veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir.
  
• 4 – AFF : Gelişmiş Dosya Formatıdır(Advanced File Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır.

Ben E01 ile devam ediyorum ve ” İleri ” butonuna tıklıyorum. Aşağıdaki ekran bizi karşılıyor.

• 1 – Case Number: Soruşturma numarası.
  
• 2 – Evidence Number: Şüpheliye ait delil numarası
  
• 3 – Unique Description: İmajı diğer imajlardan ayırt edebilecek bir isim veya numara
  
• 4 – Examiner: Görevli personele ait bilgiler
  
• 5 – Notes: İmaj alınacak sürücü ve imajı alınacak şahsa ait bilgiler. Serbest metin olarak ayrıntılı yazılabilir.

Alanları yaşanan olay için uygun olarak doldurduktan sonra ” Next ” ile devam ediyoruz.

Sonrasında aşağıdaki ekran ile devam ediyoruz

Aşağıdaki ekranı incelediğimizde

• 1 – Destination Folder: İmajın alınacağı hedef klasörün yolu
  
• 2 – Image Filename: İmajın görünür ismi. Genelde Unique Description ile aynı isim verilmektedir.
  
• 3 – Image fragment: Size İmajı dosyalarının MB cinsinden büyüklüğü olup genelde DVD boyutu (4.7 Gb) kullanılmaktadır. İstenirse buraya MB cinsinden boyut tanımlanarak imaj boyutlara bölünebilir.
  
• 4 – Compression: İmaj dosyalarının sıkıştırılmasına yönelik 0-9 arasında bir değer girilmesi gerekmektedir. 0 ile sıkıştırılma yapılmazken, 9 ile daha fazla sıkıştırılma işlemi yapılmaya çalışılacaktır. Eğer 9 seçeneği seçilirse ve hedef sürücüde çok sayıda film ve müzik dosyası varsa bunların sıkıştırılması zaman alacağından imajın süresi artacaktır. Tavsiye edilen değer 6’dır.
  
• 5 – Use AD Encryption: İmajın açılışına şifre verilmek istenildiğinde bu menü kullanılacaktır.
  
• 6 – Use AFF Encryption: Eğer imaj formatı için Raw, Smart ve E01 seçilirse Use AD Encryption şifreleme sistemi, imaj formatı için AFF seçilirse AFF Encryption şifreleme sistemi ekrana gelecektir.
  

Ben herhangi bir sıkıştırma veya imajı bölmek istemediğim için ” Image fragment Size ” ve ” Compression ” ” Sıfır ” yaptım ve Finish butonuna tıklayarak ekranı kapattım.

Aşağıdaki ekran ile devam ediyoruz.

• 1 – Check Verify images after they are created: Alınan imajın sağlıklı bir şekilde alınıp alınmadığı testleri yapılır.
  
• 2 – Create directory listings of all files in the image after they are created: İmaj işlemi sonrasında imaj içerisindeki dosyalar ve bunlara ait bilgilerden oluşturan bir dosya oluşturur.
  
• 3 – Precalculate Progress Statistics: İmaj işleminin tahmini bitiş süresi hakkında bilgi verir.
  
• 4 – Add Overflow Location: Bu güzel bir özellik, eğer imaj dosyasını yazdığınız alan bitesi durumunda imajın durmaması için bu butonu kullanarak ek bir ” path ” ekleyebilirsiniz.

Evet tüm ayarlamaları yaptım ” Start ” butonuna tıkladım.

Evet bir hata ile karşılaştık. Bunu hatayı görmeniz için bilinçli olarak hazırladım. Hatırlarsanız bilgisayarda iki adet disk alanı vardı ve kapasiteleri 50 şer GB olarak ayarlanmıştı. Eğer imaj alma işleminde herhangi bir sıkıştırma yapmayacak yani bire bir boyutta imaj alacaksanız imaj alacağınız disk boyutu kaynak diskten büyük olmasına dikkat edin yoksa aşağıdaki gibi bir hata ile karşılaşırsınız.

Yeni bir düzenleme yaparak imaj alacağım ” E ” disk boyutunu 50 GB dan 100 GB genişlettim.

İmaj işlemi başladı

İmaj işlemi, bitti şimdi imajın doğrulama işlemi başladı.

İmaj işlemi bitti ve özet bir görüntü ekranı bizi karşıladı.

Son ekranda başarılı bir şekilde imaj alındığını bize gösteriyor.

Aşağıdaki ekran da görüldüğü gibi imajlarımız ve diğer dosyalarımız oluşturulmuş durumda.

• 1 – x-kisi.E01: Disk imaj dosyamız

• 2 – x-kisi.E01.csv: İmaj içeriği bilgisi

• 3 – x-kisi.E01.txt: Metadata bilgisi ( HASH bilgisi, disk bilgisi gibi bir takım veriler var )

Evet memory ve disk imajı alma işlemleri bu şekilde bir sonraki makalede alınan imajları açma ve üzerinde nasıl işlem yapılacağı üzerinde duracağız. Keyifli okumalar.