Professional Documents
Culture Documents
Bilişim Nottt
Bilişim Nottt
Bilişim Nottt
Fiziksel imaj diskteki unused, HPADCO, slack diskin tüm alanları dahil olur. Mevcut ve silinmiş
alanlarda alınır. Canlı diski açıp inceleyebiliriz.
Dosya tarihi ve saatleri, bir davaya eklendikçe her bir delil parçası için ayarlanabilir. Dosya tarihi ve
saatleri, cihazın veya adli görüntünün kaynaklandığı saat dilimine göre ayarlanır. Varsayılan ayar,
görüntüyü Yerel Saat'e göre, yani adli analiz bilgisayarındaki saat dilimi ayarına göre işlemektir. Cihaz
veya adli görüntü, adli analiz bilgisayarı ile aynı saat diliminden geliyorsa, genellikle herhangi bir
ayarlama gerekmez. Cihaz veya adli görüntü farklı bir saat diliminden toplanmışsa, bu konuma göre
dosya tarihini ve saatlerini görüntülemek için Saat Dilimi ayarını kaynak konuma değiştirin.
Rod birden fazla disk bir araya getirerek bir disk gibi gösterir.
Diskin bütünü ile belirli algoritmalardan geçirilerek tek bir hash değeri elde edlir.
Hash file : dosyaların her birinin ayrı ayrı hash değerini hesaplar.
Bütün aygıtın hashını hesaplıyoruz neden dosyaların hashını tektek hesaplama gereksinimi duyarız?
Delil gönderileceği zaman hash değeri hesaplanıp bize gelmeli imaj bize gönderilmeli yeniden hash
değeri hesaplamalı çünkü yolda değişmiş vs olabilir. Buna verify device hash denir.hash bir verinin
değişip değişmediğini söyler.
Kısaca:vaka bize geldiğinde ilk hash değeri hesaplanmalı sonra gelen değerler ile karşılaştırılmalı
değerler aynı ise o zaman çalışmaya başlanmalı. Uymuyorsa hukuki değerlere başvurulmalı.
SHA1--------160 BİT
SHA256----256 BİT
SHA512-----512 BİT
Yani katmanlı dosya tek dosya olarak mı incelensin yoksa her dosya ayrı ayrı olarak mı incelensin ?
Triage hiç inceleme yapmadan program rspor oluşturuyor genel inceleme yapıyor.
*Duplicate file birbirleriyle aynı olan dosyalar hash değerleri aynı çıkar.
Entropy dosyanın düzensizliğinin ölçüsü : oynama vs yapılmış mı ? sıkıştırılmış şifreli dosya
Registery dosyası
-sistem saati -işletim sistemi -son bilgisiyarda kullanıcı napmış -sist takılan usb takılma
zamanı -kaldırılan programlar
File carve-- imaj içinde kazıma sonucu geri getirilmesidir. Unallaceted alan file carve ile geri gelir.
Veri kazıma işleminde dosya uzantısını biliyorsak ona göre seçim yapılır.
İndex; imaj birkere baştan sona gezilir ve tüm geçen harf ve harf gruplarının listesi oluşturulur.
Resim açıldığında bilgisiyarda yer alabilir. Bu yüzden resimler küçük küçük gözükür. Şüphe oluşan bir
durum olduğunda açıp incelenir.
Neden verify ihtiyaç duyuyorduk imaj dosyaı yazışırken herhangi bir sorunla karşılaşırsak hash
değerine bakıp yola devam ederiz .
Baştan sona index yapmak uzuun sürer ama index yapıldıktan sonra aratma imkanı çok hızlı
gerçekleşir.
Keyworde her bir öge için baştan sona gezilir ’istenmeyen durum’
Hegsadesimal olarak dosyayı okuduk mesela jpg dosyası FFDDG ile başlar bitimi de FFDG ile bitmeli
hegsadesimal olarak okumak bize dosya uzantısını eşleştirmemizi sağlar.
Dosya ile ilgili aradığımız tüm bilgiler info kısmında yer alır.
Bookmark “işaretleme “ imajı incelenirken kesinlikle delil olduğunu şüphelendiğmiz dosyaları ekleyip
not alırız.
modifiye edilme
file extent
nereye kayıtlı
Visial use boot options ---fiziksel alınmış imaj ise ya da iççerisinde sistem varsa sanal olarak
canlandırabilir. Kendi bilgisiyarımızmış gibi kullanabiliriz
Bilgisiyarda bir diskin sanal olarak aılmasını istiyorsak (imagere prog ihtiyaç yok ftk imager vs)
/sanal ekranda
Bir disk imajı fiziksel ve içinde sistem varsa sanal olarak açıp görebiliriz.
Dosya kalıcı olarak wipe edildiyse geri gelmez yedeklenmiş olabilir. Aynı dosyadan başka biyerde
olabilir.
İmajın visual use boot ile açolması için hangi özelliği olmalı ?
Visual useboot içiçn hangi prog gerekli? !!!!! FEX imager ile FTK imager lazım değil!!!
Sağ tıklayıp export file basarak highlight ile seçimleri ( checek) görebiliriz.
Dosya carve -------- veri kazır imaj üzerinde kazıma yapılacak ögeleri dosya uzantısına göre carve
yapar.
Recovery folder------ hangi dosya sist. Göre yapılacaksa kazırkende klasör bazlı içerisindeki verileri
kazır.
Windowsun gwei yükleme noktası bir sorunla karşılaşırsak sistemsel olarak neler değiştiyse shutter
copy ile bakarız.
Renksiz olanlar değişmeyen renkli olan mevcut olan çalıştığımız.
Üzerinde çalıştığımız imajda eklenecek birşeyler varsa o zaman meta data yada exif çıkarma işlemi
tekrar gerekleştirilir.
Günümüzde bilgisiyarlarda social media, chat incelemek için ekstra programa ihtiya var FEXte kendi
uygulamasından farklı uygulama varsa artifact kullanılır.
Üzerinde çalıştığımız imaj üzerinde daha önce yüklenen uygulamalardan elde edeceğimiz verileri
program içinden çıkıp inceleyeceğimiz ( application üzerinden elde edilecek bulgular)------ artifact