Options : standart dizileme göstrir

Reset default device kendi ayarına geri döner.

Options- case ( kendi standartlarımız var)

-general ( genel ayarlama yapılır.) standart dizilemeler belirlenir.

Uzantı oto yazanlar kendi kaydedenler

Oto yazmayanlar manuel

Layout ---) default layout

Save layout (kendimize özel dosya görüntüsü oluşturur.)

Feedback fex üreten kişilere direkt mesaj yazabilir

CMK 134 delil orjinali üzerinde çalışma! İmajını al..

Fiziksel imaj diskteki unused, HPADCO, slack diskin tüm alanları dahil olur. Mevcut ve silinmiş
alanlarda alınır. Canlı diski açıp inceleyebiliriz.

Mevcut inceleyeci silinecekse veya yeni eklenecekse investigaterdan yapılır.

Dosya tarihi ve saatleri, bir davaya eklendikçe her bir delil parçası için ayarlanabilir. Dosya tarihi ve
saatleri, cihazın veya adli görüntünün kaynaklandığı saat dilimine göre ayarlanır. Varsayılan ayar,
görüntüyü Yerel Saat'e göre, yani adli analiz bilgisayarındaki saat dilimi ayarına göre işlemektir. Cihaz
veya adli görüntü, adli analiz bilgisayarı ile aynı saat diliminden geliyorsa, genellikle herhangi bir
ayarlama gerekmez. Cihaz veya adli görüntü farklı bir saat diliminden toplanmışsa, bu konuma göre
dosya tarihini ve saatlerini görüntülemek için Saat Dilimi ayarını kaynak konuma değiştirin.

İmajın geldiği yer bilinmiyorsa now set işaretlenir

Add image --------- evidence procceser ----- time zone

HPO fiziksel alan

C,D,E logical mantıksal alan

Rod birden fazla disk bir araya getirerek bir disk gibi gösterir.

Add folder klasör açıp prosess işlemi gerçekleştirebilir.

Verify device hash : buraya eklenen aygıt bütün hash hesaplayacak

Diskin bütünü ile belirli algoritmalardan geçirilerek tek bir hash değeri elde edlir.

Hash file : dosyaların her birinin ayrı ayrı hash değerini hesaplar.
Bütün aygıtın hashını hesaplıyoruz neden dosyaların hashını tektek hesaplama gereksinimi duyarız?

Delil gönderileceği zaman hash değeri hesaplanıp bize gelmeli imaj bize gönderilmeli yeniden hash
değeri hesaplamalı çünkü yolda değişmiş vs olabilir. Buna verify device hash denir.hash bir verinin
değişip değişmediğini söyler.

Kısaca:vaka bize geldiğinde ilk hash değeri hesaplanmalı sonra gelen değerler ile karşılaştırılmalı
değerler aynı ise o zaman çalışmaya başlanmalı. Uymuyorsa hukuki değerlere başvurulmalı.

MD5 ---------128 BİT

SHA1--------160 BİT

SHA256----256 BİT

SHA512-----512 BİT

Elimizde hash değeri yoksa hangisi seçilmeli?

Verify device hangisi seçilmeli?
Hangi değeri istersek o seçilir ( genelde MD5)
Bulguyla gelen hashin değeri ne ise o seçilmeli
Üçünü seçersek süre uzar.!!

ISO sağ tıkla mount ---- ayrı CD,DVD gibi gösterir.

Signature analaysis ///// gerçek uzantısını bulur.

Logging : kayıt işlemine kayıt tutayım mı?

Prioty : bu işleme sistem kaynakları öncelik versin

Compont file expention

Dizin-----sağ tık ----arşive ekle-------- sıkıştırılmış dosya rar formatında olur.

Yani katmanlı dosya tek dosya olarak mı incelensin yoksa her dosya ayrı ayrı olarak mı incelensin ?

Triage hiç inceleme yapmadan program rspor oluşturuyor genel inceleme yapıyor.

*Duplicate file birbirleriyle aynı olan dosyalar hash değerleri aynı çıkar.
Entropy dosyanın düzensizliğinin ölçüsü : oynama vs yapılmış mı ? sıkıştırılmış şifreli dosya

Dosyada şifreleme yapılmışsa o dosaynın entropy değeri yüksek çıkar.

Triage oluşturulurken registry

dosyalarına bakılır ön inceleme
Registery dosyaları SAM, Security, software, system, NTuser dat
sağlar.

Sistem zaman raporu da registery dosyası kullanılarak çözülür.

Registery dosyası

-sistem saati -işletim sistemi -son bilgisiyarda kullanıcı napmış -sist takılan usb takılma
zamanı -kaldırılan programlar

Extract metada : dosyanın üst verisi

Resim ve video dosyası için exif kullanılır.
( o dosyanın içinde gizli sakladığı alanlar)
 Resim, videonun çekildiği zaman
--Dosyanın yazarı
 Konum bilgisi
--Dosyanın değişim zmanı
 Çekilen kameranın marka modeli
--Dosyanın erişim zamanı

File carve-- imaj içinde kazıma sonucu geri getirilmesidir. Unallaceted alan file carve ile geri gelir.

Veri kazıma işleminde dosya uzantısını biliyorsak ona göre seçim yapılır.

İndex; imaj birkere baştan sona gezilir ve tüm geçen harf ve harf gruplarının listesi oluşturulur.

Keyword; her aramada imaj baştan sona gezilir.

Thımbnails; tırnak dosya küçük öngörüntü

Resim açıldığında bilgisiyarda yer alabilir. Bu yüzden resimler küçük küçük gözükür. Şüphe oluşan bir
durum olduğunda açıp incelenir.

Resim çektik beğenmedik kaydetmedik bu resimde thumbnail olarak saklı tutulur.

Verify: hash değeri doğrulama

Neden verify ihtiyaç duyuyorduk imaj dosyaı yazışırken herhangi bir sorunla karşılaşırsak hash
değerine bakıp yola devam ederiz .

GTB dayglıht türkiye zaman dilimi

Wipe etmek dosyanın kalıcı silinmesi

Tekrar kullanılabilecek forma dönüştürme

İndex ve keywordde öğenin arama işlemi yapılır.

İndex ve keyword fark ?

Baştan sona index yapmak uzuun sürer ama index yapıldıktan sonra aratma imkanı çok hızlı
gerçekleşir.

Keyworde her bir öge için baştan sona gezilir ’istenmeyen durum’

Keywordde çoklu arma yapılır ^ekrem ^t. Canavarı

İndexte tek arama yapılıp silinir

Extension mevcut uzantı Aynı omalı aynı değilse değişmiştir.

File signature system gerçek uzantı

Hegsadesimal olarak dosyayı okuduk mesela jpg dosyası FFDDG ile başlar bitimi de FFDG ile bitmeli
hegsadesimal olarak okumak bize dosya uzantısını eşleştirmemizi sağlar.

Dosya ile ilgili aradığımız tüm bilgiler info kısmında yer alır.

Bookmark “işaretleme “ imajı incelenirken kesinlikle delil olduğunu şüphelendiğmiz dosyaları ekleyip
not alırız.

Comment kısmında yazdığımız notları görürüz.

Kısaca gruplandırma diyebiliriz etiketlendirme gruplandırdığımız dosyaların yanına mor kurdele işareti
görürüz.

Byteplot dosyanın entropy değeri---- görselleştirilmiş hali----düzensizliğinin ölüsünün gösterilmesi

Display görsellerin tek tek görebildiğimiz alan

ID Kayıt alanla ilgili nitelik

Phys… record
Modifiye edilme zamanı
Dosya ile ilgili genel veriler
Dosyanın sahip IDsi
Kayıt alanına bağlı mft’de
Dosyanın güvenlik kodu

Metada ---- dosyanın üst verisi Resim için exif bilgisi

Dosya ile ilgili yazarı Konum ve kamera marka modeli

dosyanın oluşturukma değiştirlme zamanı

modifiye edilme

file extent

nereye kayıtlı

hangi sektörde başlamış hangi sektörde bitmiş

hangi sektörde başlamış hangi sektörde bitmiş

dosyanın disk üzerindeki konumu

file list dosyaları tek tek görürüz

normal arama ile keyworddeki arama arasındaki fark?

Normal arama dosya adı aratıyor

Keywordde dosya içerisinden arama yapılır

Aynı hash değerine sahip dosyalar duplicate mükerrer

Visial use boot options ---fiziksel alınmış imaj ise ya da iççerisinde sistem varsa sanal olarak
canlandırabilir. Kendi bilgisiyarımızmış gibi kullanabiliriz

File carve dosya uzantısına göre kazır

Kazımada uzantı bilmiyorsak tüm uzantıları seçip yaparız.

Bilgisiyarda bir diskin sanal olarak aılmasını istiyorsak (imagere prog ihtiyaç yok ftk imager vs)

Virtual box vmware player

/sanal ekranda

İmaj alınmışsa açılır.

Bir disk imajı fiziksel ve içinde sistem varsa sanal olarak açıp görebiliriz.

Dosya kalıcı olarak wipe edildiyse geri gelmez yedeklenmiş olabilir. Aynı dosyadan başka biyerde
olabilir.

İmajın visual use boot ile açolması için hangi özelliği olmalı ?

İşletim sist. Olmalı imajının alınmış olması gerek

Visual useboot içiçn hangi prog gerekli? !!!!! FEX imager ile FTK imager lazım değil!!!

Virtual box mount image file vmware forensic explore

Highlight etmeliyiz ki ekranda görünsün.

Highlight------- ekranda görünmeyeni gösterir.

Seçince ------ istediklerimiz seçilir istenmeyen seçilmez.

Sağ tıklayıp export file basarak highlight ile seçimleri ( checek) görebiliriz.

Dosya carve -------- veri kazır imaj üzerinde kazıma yapılacak ögeleri dosya uzantısına göre carve
yapar.

Recovery folder------ hangi dosya sist. Göre yapılacaksa kazırkende klasör bazlı içerisindeki verileri
kazır.

Klasör içindeki klasör ve dosyaları kazır.

Shutter copy : gölge kopya

Sistem çalışılabilir haldeki versiyonun bir kopyasının olması

Sutter copy önemli neden?

Windowsun gwei yükleme noktası bir sorunla karşılaşırsak sistemsel olarak neler değiştiyse shutter
copy ile bakarız.
Renksiz olanlar değişmeyen renkli olan mevcut olan çalıştığımız.

Üzerinde çalıştığımız imajda eklenecek birşeyler varsa o zaman meta data yada exif çıkarma işlemi
tekrar gerekleştirilir.

Günümüzde bilgisiyarlarda social media, chat incelemek için ekstra programa ihtiya var FEXte kendi
uygulamasından farklı uygulama varsa artifact kullanılır.

Üzerinde çalıştığımız imaj üzerinde daha önce yüklenen uygulamalardan elde edeceğimiz verileri
program içinden çıkıp inceleyeceğimiz ( application üzerinden elde edilecek bulgular)------ artifact

Event up bilgisiyardaki adım adım--- oturum açma zamanı

--- yanlış girme zamanı

File system-----file –email-sent a model – email

Prosess yapmak için