- 24 Haz 2015
- 2,336
- 190
- 112
Eğitim serisinin birinci bölümünde Katman araçları ile Sleuth Kit uygulamasına giriş yapmıştık.
İkinci serimizde Data Üniteleri Araçlarının kullanımına ve adli bilişim anlamında ne işe yaradıklarına bakacağız.
Data Üniteleri Araçları
Özüne girdi şeklinde işlenmiş veri ünitesinin(blok ya da küme) detaylarını STDOUT'a atar.
Veri ünitesi ile ilgili ayrıntıları tablo halinde verir.
Bu arada dosya kaynağında bulunan ayrılmamış bölümleri ayıklamak maksadıyla kullanılır.
Özüne girdi şeklinde verilmiş veri ünitesi ile ilgili bilgileri listeler.
blkls komutu ile aldığımız data dosyalarının gerçek zamanlı imaj konumlarını gösterir.
Özüne girdi şeklinde verilmiş data ünitesi ile ilgili bilgileri verir.
Çoğunlukla veri ünitesinin dağıtılmış durumunu ve geçerli işletim sistemlerinde dağıtılan veri ünitesinin hangi grubu kapsadığının bilgisini bize verir.
Ekran alıntısında görmüş olduğunuz uygulama blkstat'tır.
Birinci satır ext2 bazlı dosyalamaya ev sahipliği yapan disk bloğunun durumunu göstermektedir.
Diğer satırda da bir NTFS bloğunun önceden sorgulanacağı belirlenmiş herhangi bir numaralı bilgisayar kümesi görülmektedir.
blkcat işleminde ise özüne girdi şeklinde verilmiş herhangi bir data ünitesinin özelliklerini gösterir. Tercih halinde çıktı olarak yine belirli bir dosyaya gönderilebilir.
-h değişkeni ile birlikte kullanıldığında verilecek olan çıktıyı hex biçiminde bize verir.
Varsayılan adına yalnızca bir adet veri ünitesinin özelliklerini bize verir.
Ekran alıntısında görülebilir.
Bununla beraber, isteğe bağlı olarak sunulacak bir parametre ile gösterilecek veri birimi sayısı belirlenebilir.
Ekran alıntısında uygulamanın herhangi bir veri ünitesinden başlayıp bununla bağlantılı veri özelliklerini göstermesi için işlem yapıldığı görülebilir.
(Biz örnek olsun diye 1 ve 1 ünitelerini girdik siz analiz yapacağınız veri ünitesini gireceksiniz.)
Bu uygulama sayesinde özüne parametre şeklinde verilmiş veri ünitelerinin özelliklerini görebiliriz.
Eş zamanlı olarak dosya kaynağında bulunan ayrılmamış bölümleri çıkartmak amacıyla kullanılır.
Bu şekilde kaybolmuş bilgileri geri getirmek mümkündür.
Varsayılanı yalnızca ayrılmamış dataları kopyalar.
Bu işlem yapılırken analiz yapan kişi diler ise tüm dataların özelliklerini de kopyalayabilir.
blkls ile kullanılabilecek komutlar ve manaları şunlardır;
Bütün bloklar üstünden işlem gerçekleştirir. (dd uygulaması ile gerçekleştirilenlerin aynısıdır)
Her bir blok hakkında detay göster (ancak özellik vermez)
FAT ve NTFS imajlarında yer alan artık alanları gösterir. (Unix işletimlerde artık alan bulunmaz)
Girdi şeklindeki bir veri ünitesi aralığı ifade edilebilir.
Ayrılmamış bölümlerde yapılmak istenen arama uygulaması daha çabuk sonuçlanır.
Bu şekilde silinen dosya ya da dosyaların saptaması daha kolay elde edilir.
Değişkeni ile kullanıldığı takdirde yalnızca artık alanlarlardan çıkartma yapılabilir.
Uygulama ile birinci satırda ayrılmamış bölümler farklı bir dosyaya yazılır.
Ardından disk imajında bulunan artık alanlar farklı bir dosyaya yazılır.
Genelde bunlar farklı renk ile gösterilir.
İkinci serimizde Data Üniteleri Araçlarının kullanımına ve adli bilişim anlamında ne işe yaradıklarına bakacağız.
Data Üniteleri Araçları
Özüne girdi şeklinde işlenmiş veri ünitesinin(blok ya da küme) detaylarını STDOUT'a atar.
Veri ünitesi ile ilgili ayrıntıları tablo halinde verir.
Bu arada dosya kaynağında bulunan ayrılmamış bölümleri ayıklamak maksadıyla kullanılır.
Özüne girdi şeklinde verilmiş veri ünitesi ile ilgili bilgileri listeler.
blkls komutu ile aldığımız data dosyalarının gerçek zamanlı imaj konumlarını gösterir.
Özüne girdi şeklinde verilmiş data ünitesi ile ilgili bilgileri verir.
Çoğunlukla veri ünitesinin dağıtılmış durumunu ve geçerli işletim sistemlerinde dağıtılan veri ünitesinin hangi grubu kapsadığının bilgisini bize verir.
Ekran alıntısında görmüş olduğunuz uygulama blkstat'tır.
Birinci satır ext2 bazlı dosyalamaya ev sahipliği yapan disk bloğunun durumunu göstermektedir.
Diğer satırda da bir NTFS bloğunun önceden sorgulanacağı belirlenmiş herhangi bir numaralı bilgisayar kümesi görülmektedir.
blkcat işleminde ise özüne girdi şeklinde verilmiş herhangi bir data ünitesinin özelliklerini gösterir. Tercih halinde çıktı olarak yine belirli bir dosyaya gönderilebilir.
-h değişkeni ile birlikte kullanıldığında verilecek olan çıktıyı hex biçiminde bize verir.
Varsayılan adına yalnızca bir adet veri ünitesinin özelliklerini bize verir.
Ekran alıntısında görülebilir.
Bununla beraber, isteğe bağlı olarak sunulacak bir parametre ile gösterilecek veri birimi sayısı belirlenebilir.
Ekran alıntısında uygulamanın herhangi bir veri ünitesinden başlayıp bununla bağlantılı veri özelliklerini göstermesi için işlem yapıldığı görülebilir.
(Biz örnek olsun diye 1 ve 1 ünitelerini girdik siz analiz yapacağınız veri ünitesini gireceksiniz.)
Bu uygulama sayesinde özüne parametre şeklinde verilmiş veri ünitelerinin özelliklerini görebiliriz.
Eş zamanlı olarak dosya kaynağında bulunan ayrılmamış bölümleri çıkartmak amacıyla kullanılır.
Bu şekilde kaybolmuş bilgileri geri getirmek mümkündür.
Varsayılanı yalnızca ayrılmamış dataları kopyalar.
Bu işlem yapılırken analiz yapan kişi diler ise tüm dataların özelliklerini de kopyalayabilir.
blkls ile kullanılabilecek komutlar ve manaları şunlardır;
Bütün bloklar üstünden işlem gerçekleştirir. (dd uygulaması ile gerçekleştirilenlerin aynısıdır)
Her bir blok hakkında detay göster (ancak özellik vermez)
FAT ve NTFS imajlarında yer alan artık alanları gösterir. (Unix işletimlerde artık alan bulunmaz)
Girdi şeklindeki bir veri ünitesi aralığı ifade edilebilir.
Ayrılmamış bölümlerde yapılmak istenen arama uygulaması daha çabuk sonuçlanır.
Bu şekilde silinen dosya ya da dosyaların saptaması daha kolay elde edilir.
Değişkeni ile kullanıldığı takdirde yalnızca artık alanlarlardan çıkartma yapılabilir.
Uygulama ile birinci satırda ayrılmamış bölümler farklı bir dosyaya yazılır.
Ardından disk imajında bulunan artık alanlar farklı bir dosyaya yazılır.
Genelde bunlar farklı renk ile gösterilir.
Son düzenleme: