FTK İMAGER NEDİR-NE İŞE YARAR?
FTK İMAGER, AccessData firması tarafından yazılmış ücretsiz ve sürekli gelişmekte olan adli bilişim alanında kullanmayı kolaylaştıran bir yazılımdır. Windows, Mac, Linux ile uyumlu bir adli bilişim yazılımıdır.
Ftk imager ile sabit sürücülerin, CD, DVD, disketlerin, klasörlerin, dizinlerin imajı alınabilmekte ve ön izlemesi yapılabilmektedir. Bir dosyanın şifreli disklerin açılmasına, loglama yapabilmesine, disk şifreleyebilen bir programıdır.
Yazılımın ana amacı veri depolama birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Delil inceleme ve raporlamada, mahkemelere sunulan delil ve raporlarda, emniyet tarafından çözülen bilişim suçlarında Ftk imager yazılımı kullanılmaktadır.
FTK İMAGER KURULUMU
Bu adresten programı kısa bir anket doldurarak orijinal ve ücretsiz indirme sitesine ulaşabilirsiniz.
Bir fiziksel disk - mantıksal parça - birden fazla cd/dvd'de bulunan verileri imaja çevirebilir, hex bilgilerini okuyabilir. Memory dökümünü çıkarabilir. Yalnızca okuma (yada yalnızca yazma) olarak disk ekleyebilirsiniz.
BİR DİSKİ İMAJ OLARAK KAYDETME
Programı açtığınızda sol üstte bulunan "File" penceresine tıklandığında "Create Disk İmage" butonu çıkacaktır.
Butona bastığımızda imajını oluşturmak için seçeceğimiz parçayı belirleyeceğiz.
Physical Drive
Bilgisayarda bulunan depolama aygıtlarının tamamının imajını alır. Yani bir SDD’niz veya HDD’niz olduğunu varsayalım ve siz C ve D isimli iki partition(bölüm)’den oluştuysa bile bunu tek bir disk olarak görüp, direkt olarak hepsinin imajını almaktadır.
Logical Drive
Bilgisayarda bulunan depolama aygıtlarının partition’larını ayrı olarak kabul ederek, hepsinin tek tek imajını alabilme özelliği sunar.
Image File
Daha öncesinde alınan bir imaj dosyasını incelemek istiyorsak, bu seçeneğe tıklayayıp o imaj dosyasını içeri aktarabiliriz
Content of Folder
Tanımlanmamış veyahut silinmiş bölümlerin imajını alır.
Fernico Device
CD veya DVD gibi disklerin imajını alır.
Açılan pencerede imajını alacağımız parçayı seçmemiz isteniyor. Ben SD kartı imaj yapacağım için SD kartı seçiyorum
"Finish" dedikten sonra açılan pencere bizden imajı nasıl oluşturmak istediğimizi soruyor.
"Add" butonu ile oluşturacağımız biçimi ekliyoruz.
Raw(dd)
Diskin tam halini alır ve hiçbir sıkıştırma işlemi yapmaz. Örnek olarak diskin boyutu 32 GB ise, çıktı da 32 GB çıkacaktır. Herhangi bir metadata verisi de yer almamaktadır.
SMART
Linux işletim sistemlerinde bulunan disklerin imajını almak için kullanılmaktadır.
E01
EnCase imaj formatıdır ve imajı alınacak diskin sıkıştırma işlemi uygulanarak dışarı çıkarılmasını sağlar. Örnek olarak 30 GB’lık bir diskin imajını 6 GB’lık bir veri çıkartmamızı sağlar.
AFF
Advanced File Format’tır açılımı, Gelişmiş Dosya Formatı olarak geçmektedir. Diskin içerisindeki veri ile metadata verilerini birleştirip yazdırır.
"Browse" butonuna basarak istediğiniz yeri seçebilirsiniz.
Image Fragment Size (MB)
Imaj dosyasının kaç MB’lık dosyalara ayrılacağını belirtiyoruz. Tek bir dosya şeklinde çıkmasını isterseniz burayı 0 yazabilirsiniz.
Compression
0-9 arasındaki değerler ile sıkıştırma değerini belirtiriz. Sayı arttıkça sıkıştırması artacaktır bu yüzden süre uzayacaktır.
Use Ad Encryption
Imaj dosyasını şifrelemektedir.
Genel olarak compression değeri 6’da bırakılmaktadır, en ideali bu değerdir. Bunu da bitirdikten sonra finish diyelim.
Seçtikten sonra "Finish" ve "Start" diyoruz. Ve imaj oluşturulmaya başlamıştır.
RAM İMAJI ALMA
"File" pencersinden "Capture Memory" seçeneğini seçiyoruz.
"Destination Path" dosyanın oluşturulacağı yeri seçmemizi istiyor.
"Destination Filename" bölümü oluşturulacak dosyanın adını istiyor.
Eğer Pagefile istiyor iseniz "Include pagefile" kutucuğunu seçmeniz gerekmektedir.
AD1 dosyası istiyor iseniz de "Create AD1 File" kutucuğunu seçmeniz gerekiyor.
Boşlukları doldurduktan sonra "Capture Memory"e tıklayarak işlemi başlatıyoruz.
İMAJIN MOUNT EDİLMESİ
File > İmage Mounting
"Mount Type" bölümünde mount etme biçiminin seçilmesi isteniyor, peki bu bölümlerin (Physical - Logical) ne anlama geldiğini daha önceden anlatmıştım.
"Drive Letter" bölümüne mount edeceğimiz bölümün harfini (yolunu) belirliyoruz. Örn. E://, C://, D://
"Mount Method" ise şu anlama gelir:
Block Device / Read Only
Sadece okuma yapılmaktadır ve imaj üzerinde hiçbir veri silinmemektedir. (İmaj incelemesinde bunun kullanılmasında fayda vardır çünkü imajın üzerinde değişiklik yapmamak önemlidir.)
Block Device / Writable
Imaj üzerinde değişiklik yapabilmekteyiz. Dosyaları silebilir veya değiştirebiliriz.
File System / Read Only
Imaj dosyasında bulunan kök dosyalarını da bizlere gösterir fakat herhangi bir değişiklik yapamayız.
Bunları seçtikten sonra "Mount" butonuna basarak işlemi bitirebilirsiniz.
Eğer "Unmount" etmek istiyorsanız alttaki bölümden parçaları seçerek "Unmount" butonuna basabilirsiniz.
YAZIMI OKUDUĞUNUZ İÇİN TEŞEKKÜRLER
FTK İMAGER, AccessData firması tarafından yazılmış ücretsiz ve sürekli gelişmekte olan adli bilişim alanında kullanmayı kolaylaştıran bir yazılımdır. Windows, Mac, Linux ile uyumlu bir adli bilişim yazılımıdır.
Ftk imager ile sabit sürücülerin, CD, DVD, disketlerin, klasörlerin, dizinlerin imajı alınabilmekte ve ön izlemesi yapılabilmektedir. Bir dosyanın şifreli disklerin açılmasına, loglama yapabilmesine, disk şifreleyebilen bir programıdır.
Yazılımın ana amacı veri depolama birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Delil inceleme ve raporlamada, mahkemelere sunulan delil ve raporlarda, emniyet tarafından çözülen bilişim suçlarında Ftk imager yazılımı kullanılmaktadır.
FTK İMAGER KURULUMU
Bu adresten programı kısa bir anket doldurarak orijinal ve ücretsiz indirme sitesine ulaşabilirsiniz.
Bir fiziksel disk - mantıksal parça - birden fazla cd/dvd'de bulunan verileri imaja çevirebilir, hex bilgilerini okuyabilir. Memory dökümünü çıkarabilir. Yalnızca okuma (yada yalnızca yazma) olarak disk ekleyebilirsiniz.
BİR DİSKİ İMAJ OLARAK KAYDETME
Programı açtığınızda sol üstte bulunan "File" penceresine tıklandığında "Create Disk İmage" butonu çıkacaktır.
Butona bastığımızda imajını oluşturmak için seçeceğimiz parçayı belirleyeceğiz.
Physical Drive
Bilgisayarda bulunan depolama aygıtlarının tamamının imajını alır. Yani bir SDD’niz veya HDD’niz olduğunu varsayalım ve siz C ve D isimli iki partition(bölüm)’den oluştuysa bile bunu tek bir disk olarak görüp, direkt olarak hepsinin imajını almaktadır.
Logical Drive
Bilgisayarda bulunan depolama aygıtlarının partition’larını ayrı olarak kabul ederek, hepsinin tek tek imajını alabilme özelliği sunar.
Image File
Daha öncesinde alınan bir imaj dosyasını incelemek istiyorsak, bu seçeneğe tıklayayıp o imaj dosyasını içeri aktarabiliriz
Content of Folder
Tanımlanmamış veyahut silinmiş bölümlerin imajını alır.
Fernico Device
CD veya DVD gibi disklerin imajını alır.
Açılan pencerede imajını alacağımız parçayı seçmemiz isteniyor. Ben SD kartı imaj yapacağım için SD kartı seçiyorum
"Finish" dedikten sonra açılan pencere bizden imajı nasıl oluşturmak istediğimizi soruyor.
"Add" butonu ile oluşturacağımız biçimi ekliyoruz.
Raw(dd)
Diskin tam halini alır ve hiçbir sıkıştırma işlemi yapmaz. Örnek olarak diskin boyutu 32 GB ise, çıktı da 32 GB çıkacaktır. Herhangi bir metadata verisi de yer almamaktadır.
SMART
Linux işletim sistemlerinde bulunan disklerin imajını almak için kullanılmaktadır.
E01
EnCase imaj formatıdır ve imajı alınacak diskin sıkıştırma işlemi uygulanarak dışarı çıkarılmasını sağlar. Örnek olarak 30 GB’lık bir diskin imajını 6 GB’lık bir veri çıkartmamızı sağlar.
AFF
Advanced File Format’tır açılımı, Gelişmiş Dosya Formatı olarak geçmektedir. Diskin içerisindeki veri ile metadata verilerini birleştirip yazdırır.
"Browse" butonuna basarak istediğiniz yeri seçebilirsiniz.
Image Fragment Size (MB)
Imaj dosyasının kaç MB’lık dosyalara ayrılacağını belirtiyoruz. Tek bir dosya şeklinde çıkmasını isterseniz burayı 0 yazabilirsiniz.
Compression
0-9 arasındaki değerler ile sıkıştırma değerini belirtiriz. Sayı arttıkça sıkıştırması artacaktır bu yüzden süre uzayacaktır.
Use Ad Encryption
Imaj dosyasını şifrelemektedir.
Genel olarak compression değeri 6’da bırakılmaktadır, en ideali bu değerdir. Bunu da bitirdikten sonra finish diyelim.
Seçtikten sonra "Finish" ve "Start" diyoruz. Ve imaj oluşturulmaya başlamıştır.
RAM İMAJI ALMA
"File" pencersinden "Capture Memory" seçeneğini seçiyoruz.
"Destination Path" dosyanın oluşturulacağı yeri seçmemizi istiyor.
"Destination Filename" bölümü oluşturulacak dosyanın adını istiyor.
Eğer Pagefile istiyor iseniz "Include pagefile" kutucuğunu seçmeniz gerekmektedir.
AD1 dosyası istiyor iseniz de "Create AD1 File" kutucuğunu seçmeniz gerekiyor.
Boşlukları doldurduktan sonra "Capture Memory"e tıklayarak işlemi başlatıyoruz.
İMAJIN MOUNT EDİLMESİ
File > İmage Mounting
"Mount Type" bölümünde mount etme biçiminin seçilmesi isteniyor, peki bu bölümlerin (Physical - Logical) ne anlama geldiğini daha önceden anlatmıştım.
"Drive Letter" bölümüne mount edeceğimiz bölümün harfini (yolunu) belirliyoruz. Örn. E://, C://, D://
"Mount Method" ise şu anlama gelir:
Block Device / Read Only
Sadece okuma yapılmaktadır ve imaj üzerinde hiçbir veri silinmemektedir. (İmaj incelemesinde bunun kullanılmasında fayda vardır çünkü imajın üzerinde değişiklik yapmamak önemlidir.)
Block Device / Writable
Imaj üzerinde değişiklik yapabilmekteyiz. Dosyaları silebilir veya değiştirebiliriz.
File System / Read Only
Imaj dosyasında bulunan kök dosyalarını da bizlere gösterir fakat herhangi bir değişiklik yapamayız.
Bunları seçtikten sonra "Mount" butonuna basarak işlemi bitirebilirsiniz.
Eğer "Unmount" etmek istiyorsanız alttaki bölümden parçaları seçerek "Unmount" butonuna basabilirsiniz.
YAZIMI OKUDUĞUNUZ İÇİN TEŞEKKÜRLER
Son düzenleme: