FTK Imager Nedir

Merhabalar herkese! 🌟 Bugünkü yazımda, dijital adli bilişim dünyasında vazgeçilmez bir araç olan FTK Imager ile tanışacaksınız. Dosya ve disk imajlarını etkili bir şekilde yönetmenizi sağlayan bu aracın, adli incelemelerde nasıl bir fark yarattığını merak ediyor musunuz? Arayüzünden kuruluma, avantajlarından kullanım alanlarına kadar her detayı ele aldığım bu yazıda, FTK Imager’ın dünyasına adım atmaya hazır olun. Keyifli okumalar dilerim 🚀

İmaj Nedir?

Adli bilişim süreçlerinde, bilgisayarlar, CD/DVD’ler ve USB gibi depolama aygıtlarının analizinde, doğrudan orijinal veriler üzerinde işlem yapmak çeşitli riskler taşıyabilir. Küçük bir hata, verinin bütünlüğünü tehlikeye atabilir ve bu durum, mahkemeye sunulacak dijital kanıtların geçerliliği açısından sorun yaratabilir. Bu riskleri minimize etmek için, doğrudan veri yerine, veri saklandığı aygıtın tam bir kopyasını almak ve bu kopya üzerinde analiz yapmak en güvenli yaklaşımdır. Bu süreç, “imaj alma” olarak bilinir.

İmaj alma işlemi, verinin orijinal yapısını bozmadan, tüm içeriğin birebir kopyasını oluşturarak gerçekleştirilir. Elde edilen bu kopya (imaj), verinin orijinal haliyle eşdeğer olup, detaylı inceleme ve analizler için kullanılır. Verinin bütünlüğünü ve doğruluğunu sağlamak için, kopya imajın hash değeri, orijinal verinin hash değeriyle karşılaştırılır. Bu işlem, imajın güvenilirliğini doğrulamak için kritik bir adımdır ve analiz sürecinin şeffaf ve güvenilir bir şekilde yürütülmesini sağlar.

FTK Imager Nedir ve Nasıl Kullanılır?

FTK Imager, adli bilişim alanında kullanılan ücretsiz bir yazılımdır. Canlı sistemler üzerinde adli standartlara uygun olarak veri imajları almak için tasarlanmıştır. Bu yazılım, imaj alma işlemlerini yalnızca okuma modunda gerçekleştirir (Read-Only), bu da orijinal verilerin değişmeden kalmasını sağlar. Ayrıca, elde edilen imajları güvenli bir şekilde görüntülemek (mount) mümkündür. FTK Imager, Windows, Linux ve macOS işletim sistemlerinde çalışabilir.

FTK Imager ile Neler Yapılabilir?

• Adli İmaj Oluşturma: FTK Imager, sabit sürücüler, USB bellekler, CD’ler, DVD’ler ve diğer depolama aygıtlarından adli imajlar (görüntüler) oluşturmanıza olanak tanır. Bu, dijital verilerin tam bir kopyasını alarak orijinal veriye zarar vermeden inceleme yapabilmenizi sağlar.
• Ön izleme ve İnceleme: İmajını aldığınız dosya ve klasörleri ön izleyebilir ve bu veriler üzerinde detaylı inceleme yapabilirsiniz. Bu özellik, veri üzerinde yapılacak analizlerin daha hızlı ve etkili bir şekilde gerçekleştirilmesini sağlar.
• Adli İmaj Görüntüleme: Yerel makinenizde veya ağ üzerindeki bir sürücüde depolanan adli görüntüleri inceleyebilirsiniz. Bu, dijital kanıtların detaylı bir şekilde analiz edilmesine yardımcı olur.
• Veri Dışa Aktarma: Adli imajlardan dosya ve klasörleri dışa aktararak, gerekli verilerin başka bir ortamda daha fazla analiz edilmesini veya raporlanmasını sağlayabilirsiniz.
• Silinmiş Verilerin Kurtarılması: Silinmiş ancak üzerine henüz veri yazılmamış dosyaları tespit edebilir ve kurtarabilirsiniz. Bu özellik, veri kaybı durumlarında önemli bir geri getirme çözümü sunar.

FTK Imager, adli bilişim süreçlerinde veri bütünlüğünü koruyarak ve güvenli bir analiz yaparak dijital kanıtların güvenilirliğini sağlamak için önemli bir araçtır. Bu yazılım, adli bilişim uzmanlarının işlerini doğru ve etkili bir şekilde yapabilmelerine yardımcı olur.

FTK Imager Kullanıcı Arayüzü (UI)

FTK Imager, kullanıcının işlevsel araçlara kolay erişimini sağlayan birkaç temel kullanıcı arayüzü bileşenine sahiptir. Bu bileşenler şunlardır:

1. Evidence Tree (Kanıt Ağacı): Bu bölme, bağlı olan sabit diskler, USB bellekler ve adli görüntü dosyaları gibi kanıt kaynaklarının hiyerarşik bir yapısını sunar. Kullanıcılar, çeşitli veri kaynaklarını bu bölüm üzerinden görüntüleyebilir ve organize edebilirler.
2. File List (Dosya Listesi): Bu alan, Kanıt Ağacı bölümünde seçilen dizindeki dosyaların ve klasörlerin detaylı bir listesini gösterir. Kullanıcılar, bu liste üzerinden dosyaların ve klasörlerin içeriğine erişim sağlar.
3. File Content Viewer (Dosya İçeriği Görüntüleyici): Bu bölüm, Kanıt Ağacı veya Dosya Listesi bölümünde seçilen dosyaların içeriğini görüntülemeye olanak tanır. Bu sayede kullanıcılar, seçili dosyaların detaylarını ve içeriğini doğrudan inceleyebilirler.

FTK Imager Arayüz Detayları:

Arayüz detaylarına genel olarak baktığımızda File-View-Mode-Help olmak üzere 4 adet seçenekten gelmektedir.

İlk olarak File menüsünü inceleyelim. File menüsü, dosya menüsü araç çubuğunda kullanabileceğimiz tüm özelliklere erişim imkanı sağlar.

FTK Imager Menüsü İşlevleri

- Add Evidence Item: Tek bir kanıt veya delil ekleme işlemi yapar.

- Add All Attached Devices: Bağlı olan tüm cihazları ekler.

- Image Mounting: İmajı sisteminize monte eder (mount).

- Remove Evidence Item: Seçilen tek bir kanıtı veya delili siler.

-Remove All Evidence Items: Tüm eklenen delilleri topluca siler.

- Create Disk Image: Bir disk imajı oluşturur.

- Export Disk Image: Oluşturulan disk imajını dışarı aktarır.

- Export Logical Image: Mantıksal imajı dışarı aktarır.

- Add to Custom Content Image: Özel imaj içeriğine dosyalar ekler.

- Create Custom Content Image: Özel bir imaj içeriği oluşturur.

- Verify Drive/Image: Sürücüyü veya imajı doğrular.

- Capture Memory: Bilgisayar belleğini (RAM) yakalar.

- Obtain Protected Files: Korunan dosyaları elde eder.

- Detect EFS Encryption: EFS şifrelemesini tespit eder.

- Export Files: Seçilen dosyaları dışarı aktarır.

- Export File Hash List: Dosyaların hash listelerini dışarı aktarır.

- Export Directory Listing: Klasör listelerini dışarı aktarır.

- Exit: Programdan çıkış yapar.

Görünüm Menüsü (View): Viewmenüsü, FTK Imager’daki bölümlerin görünümünü özelleştirmeye olanak tanır. Bu menü altında, bölmelerin gösterilmesi veya gizlenmesi, kontrol çubuklarının yönetilmesi gibi seçenekler bulunur. Kullanıcılar, görünüm ayarlarını buradan yaparak, ihtiyaçlarına göre bölmelerin aktif veya pasif olmasını sağlarlar.

Tool Bar: Araç çubuğu

Status Bar: Durum çubuğu

Evidence Tree: Olay ağacı

File List: Dosya listesi

Properties: Seçenekler

Hex Value Interpreter: Hex yorumlayıcı

Custom Content Sources: Özel içerik kaynakları

Icons: İkonlar

List: Liste

Details: Detaylar

Show Hex Position Values: Hex pozisyon değerini gösterme

Reset Docked Windows: Yerleşik windows sıfırlama

View menüsünden hemen sonra Mode menüsü gelmektedir. Mode menü ön izleme modu seçmemizi sağlar.

Automatic: Otomatik mod dosyaya göre bir dosyanın içeriğini ön izlemek için en iyi yolu otomatik olarak seçer.

Text: Text modu dosya metin dosyası olmasa bile içeriği ASCII veya Unicode olarak görmemizi sağlar. Görünmeyen metin ve ikili verileri göstermede faydalıdır.

Hex: Hex modu dosyadaki her bayt veriyi onaltılık kod olarak görmemizi sağlar.

FTK Imager ile İmaj Alma Adımları

Öncelikle FTK Imager’ı açıyoruz. Ardından, File menüsünden Create Disk Image seçeneğine tıklıyoruz.

Açılan pencerede, imaj türünü seçmeniz gerekecek. Bu aşamada, fiziksel disk imajı mı yoksa mantıksal bir bölüm veya dizinin içeriğinin imajını mı alacağınızı belirlemeniz gerekiyor. İmaj türlerini inceleyelim.

1. Physical Drive: Diskin tamamının veya bir bölümünün birebir imajını alır.
2. Logical Drive: Belirli bir bölümün imajını alır.
3. Image File: Mevcut bir imaj dosyasının imajını alır.
4. Content of Folder: Belirli bir klasörün içeriğinin imajını alır.
5. Fernico Device: Çoğaltılabilir CD/DVD gibi disklerin imajını alır.

Fiziksel diskin imajını almak genellikle en güvenilir yöntemdir. Bu nedenle, ilk seçenek olan Physical Drive’ı seçiyoruz. Sonraki ekranda, imajını almak istediğiniz diski seçin ve Finish butonuna tıklayın.

Sonraki adımda, imajın nereye kaydedileceğini belirleyen bir pencere açılacak. ADD butonuna tıklayarak, imaj formatını seçin ve devam edin.

İmaj türünü belirledikten sonra, aşağıdaki seçeneklerle karşılaşacaksınız:

1. Verify Images After They Are Created: İmajın hash değeri mevcut değilse, bu seçenek yeni bir hash değeri oluşturur.
2. Precalculate Progress Statistics: İmaj alma işleminin tahmini bitiş süresini gösterir ve ilerlemeyi istatistiksel olarak hesaplar.
3. Create Directory Listings of All Files in the Image After They Are Created: İmajda bulunan tüm dosyaların dizin listelerini oluşturur, dosya bilgilerini içerir.
4. Add Overflow Location: İmajın kaydedileceği alan dolarsa, işlem durmadan yeni bir konum ekler.

İmaj formatı seçeneklerinden RAW(dd) seçeneğini tercih edelim. Bu format sıkıştırma desteği sunmaz, bu nedenle imaj dosyası disk ile aynı boyutta olacaktır ve sadece ham veriyi içerir. Diğer formatlar hakkında bilgi:

1. Smart: Linux için geliştirilmiş olup, ham veriyi, metadata ve doğrulama bilgilerini içerir.
2. E01: Sıkıştırma desteği sağlar ve veriyi bloklara böler; her bloğa ait checksum değeri eklenir.
3. AFF: Hem metadata hem de veri sıkıştırmasını destekler; veri ve metadata aynı dosyada birleştirilir.

RAW formatını seçtikten sonra, gerekli bilgileri girmeniz gereken bir ekranla karşılaşacaksınız. Bilgileri eksiksiz doldurup Next butonuna tıklayarak devam edin:

1. Case Number: Vaka numarasının girildiği alandır.
2. Evidence Number: Kanıt numarasının belirtildiği alandır; hangi kanıtın incelendiğini gösterir.
3. Unique Description: İnceleme hakkında kısa bir açıklamanın girildiği bölümdür.
4. Examiner: İncelemeyi gerçekleştiren kişinin bilgileri.
5. Notes: İnceleme ile ilgili eklenmek istenen notlar.

Sonraki ekranda, aşağıdaki bilgileri girmeniz istenecek:

1. Destination Folder: İmajın kaydedileceği klasördür.
2. Image Filename: İmaj dosyasının adı.
3. Image Fragment Size: İmajın MB cinsinden boyutunu belirler. Tanımladığınız boyutlarda bölünerek imaj alınır.
4. Compression: İmaj dosyasının sıkıştırılması için 0–9 aralığında bir değer seçilmelidir; değer arttıkça sıkıştırma süresi uzar.
5. Use AD Encryption: İmajın açılmasını şifrelemek isterseniz, bu seçeneği işaretlemelisiniz.

Finish butonuna tıkladıktan sonra, imaj alma işlemi başlayacaktır. Bu ekranda, imajın oluşturulma süresi ve hızına dair bilgiler görüntülenir.

1-Raw(dd): Sıkıştırma desteği bulunmadığından imaj alınan disk ile boyutu ile aynıdır.Ayrıca imaj dosyasının içerisinde hamveri bulunmaktadır.Herhangi bir metadata verisi bulunmaz.

2-Smart: Linux işletim sistemi için geliştirilmiştir. Ham Veri metadata ve doğrulama değerlerini içeren dosyadır.

3-E01: Sıkıştırma desteği sağlamaktadır.Veri imaj alınırken bloklara bölünmektedir.Her bloğa ait checksum değeri verinin arkasına yazılır bu nedenlde hem hamveri hemde metadata bilgisi taşır.

4-AFF: Metadata saklama ve sıkıştırma özelliği vardır. Veri ile metadata bilgileri birleştirilerek aynı dosyada saklanır.

RAW türünü seçip ilerliyoruz. Karşımıza çıkan ekranda bizden bazı bilgiler istemekte. Bilgileri eksiksiz girmeye çalışınız. Bilgileri girdikten sonra Sonraki butonu ile devam ediyoruz.

1 -Case Number: Vaka numarasının girildiği kısımdır.

2 -Evidence Number: Kanıt numarasının girildiği kısımdır. Kaçıncı kanıtı incelediğinizi belirtir.

3 -Unique Description: Yapılan inceleme için kısa açıklama yapılan kısım.

4 -Examiner: Vakayı inceleyen kişinin bilgisinin girildiği kısım.

5 -Notes: Yapılan incelemeye eklenecek notlar kısmıdır.

6 -Destination Folder: İmajı alacağımız klasördür.

7 -Image Filename: İmajın görünen ismidir.

8 -Image Fragment Size: İmajların MB cinsinden büyüklüğüdür. Tanımladığınız boyutlarda bölünerek imaj alınır.

9 -Compression: İmaj dosyalarının sıkıştırılması için verilen 0–9 aralığında değer seçilmesi gerekir. Değer arttıkça imaj süresi uzayacaktır.

10 -Use AD Encryption: İmajın açılmasında şifre verilmek istenirse bu seçenek tıklanmalıdır. Şifreleme sistemidir.

Finish butonuna bastıktan sonra imaj alma işlemi başlatıldı. Bu ekranda imaj süresini ve ne kadar hızla imaj aldığının bilgisini görebiliriz.

Benim anlatacaklarım bu kadardı okuduğunuz için teşekkür ederim. Bir başka yazıda görüşmek üzere 👋😊 Sorularınız, içerik önerileriniz için lütfen benimle Instagram ,LinkedIn ve X üzerinden bağlantı kurmaktan çekinmeyin🤩✨