Merhaba, adli bilişimde en temel işlemlerin başında adli imaj gelmektedir. Bu işlemi yapabilmek için hem donanım tabanlı ürünler hem de yazılım tabanlı ürünler vardır. Bu ürünler yüksek maliyetli ancak adli bilişim uzmanları tarafından kullanılması gereken ürünlerdir.
Bu yazılımlardan bazıları şunlardır:
EnCase:
Guidance Software tarafından geliştirilen EnCase, adli bilişimde yaygın olarak kullanılan bir yazılımdır. Delil toplama, analiz ve raporlama yetenekleri sunar.
AccessData Forensic Toolkit (FTK):
AccessData tarafından geliştirilen FTK, dijital delil toplama ve analiz konusunda uzmanlaşmış bir yazılımdır. Dosya sistemleri, bellek ve mobil cihaz analizi gibi özellikleri içerir.
Autopsy:
Open Source Digital Forensics (OSDF) tarafından geliştirilen Autopsy, ücretsiz ve açık kaynaklı bir adli bilişim aracıdır. Geniş bir araç yelpazesi sunar ve kullanıcı dostu bir arayüz sağlar.
Sleuth Kit (ve Autopsy):
Sleuth Kit, adli bilişim analizi yapmak için kullanılan bir dizi aracı içeren ücretsiz bir araç setidir. Autopsy, Sleuth Kit’in GUI tabanlı bir kullanıcı arayüzüne sahip bir versiyonudur.
X-Ways Forensics:
X-Ways Forensics, adli bilişim uzmanları tarafından yaygın olarak kullanılan bir yazılımdır. Hızlı ve etkili bir şekilde disk imajları alabilir, analiz edebilir ve raporlayabilir.
Volatility:
Bellek analizi için kullanılan ücretsiz ve açık kaynaklı bir araç olan Volatility, bilgisayarın belleğini inceleyerek kötü amaçlı yazılımları ve diğer dijital izleri tespit etmeye odaklanır.
Cellebrite UFED:
Mobil cihazlar üzerinde adli bilişim analizi yapmak için kullanılan Cellebrite UFED, özellikle mobil cihazlar üzerindeki verileri çıkartma ve analiz etme konusunda uzmanlaşmıştır.
Bu ürünlerin yanında open-source disk imajı ve clone alabilen ürünlerde vardır. Bunlardan biriside caine linux dağıtımıdır. Bu dağıtım foransic için özelleştirilmiş araçlar ile donatılmıştır. Bu araçlardan biriside Guymager’dır.
Bu blog yazısında Guymager’ı kullanarak nasıl adli imaj standartlarına uygun disk imajı alacağımızı inceleyeceğiz.
İlk olarak “caine-live.net” adresinde son sürüm iso dosyasını indiriyor ve kuruyoruz. Kurulumu standart bir linux kurulumundan farksızdır.
Kurulum sonrası sahip olduğu foransic tooları görebilmekteyiz.
Biz disk adli imaj almak istediğimiz için “Guymager”ı açıyoruz.
Imaj almak istediğimiz bölüme sağ tıklayıp “Acqure imaja”‘a tıklıyoruz.
Gelen ekranda bilgileri dolduruyoruz.
“Linux dd raw” seçerseniz disk imajını tek parça olarak alır.
“Export Windows” ile devam ederseniz imajı istediğiniz boyutlarda parçalara bölemebilir siniz.
Bilgileri dolduruyorum ve imajı kaydetmek için bir path belirliyoruz.
İşlem tamamlanıyor ve disk imajı hashlenmiş olarak alınmış oluyor.
Faydalı olması dileği ile kolaylıklar.
Eline sağlık.
Rica ederim hocam, saygılar.