- 24 Haz 2015
- 2,336
- 190
- 112
Bu konuda çoğu modern Linux formatına uygun ve adli bilişim incelemelerinde oldukça sık tercih edilen LVM yazılımı ile disk bölümlerinde analiz uygulamasının yapılışına bakacağız..
İlk olarak LVM tarzı disk kısımları bizi nasıl karşılıyor buna bir bakış atacağız.
Tabi bunun için elimizde mevcut örneği bulunan disk imajı üzerinde TSK kiti komutlarından mmls'i yürütüp disk içinde bulunan kısımlar ile ilgili bilgi elde ediyoruz.
Yürüteceğimiz komutun görselini ekran alıntısında görebilirsiniz.
Görselde 03 rakamlı disk kısmına göz atılınca Linux Logical Volume Manager tarzına uygun olduğu rahatlık ile gözlemlenebilir.
Bahsedilen disk kısmı ile alakalı fsstat komutu yardımı ile ayrıntılı bilgi elde edebiliriz.
Fsstat komutu yürütüldüğünde birazdan vereceğim görsel bizi karşılayacaktır.
Bu aslında bir hata bildirisidir.
Hata bildirisinden, kullandığımız TSK kiti ile LVM tarzı disk kısımlarının tespit edilemediği anlaşılabilir.
Dolayısı ile mevcut disk üstünden hiçbir işlem yapılamaz.
Bahsettiğim görsel.
Daha sonra losetup'dan yardım alarak mevcut lvm tarzı disk kısmını dosya biçimi şeklinde değiştiriyoruz. .
-o değişkeni ile beraber vermemiz gereken değer ilgili lvm kısmının byte olarak offset değeri olmalı.
Daha sonra da Linux üstünden oluşturmuş olduğumuz loop sürücü ile ilgili pvs komutu ile ayrıntılı bilgi elde ediyoruz.
Örnek olarak yine görsel vereceğim.
Bu şekilde VG sütunun altında sanal grup adını öğreniyoruz.
Görselde ki örnekte grup adının vg00 olduğunu gözlemleyebiliriz.
Ardından lvdisplay komutu ile birlikte daha önceki etapta detaylarını elde ettiğimiz sanal disk grubu içindeki kısımların ayrıntılarına bakıyoruz.
Verdiğim görselde bulunan LV Name bölümündeki adı kullanacağız ve bu şekilde disk kısmına erişeceğiz.
Bu şekilde TSK yazılımı ile bu disk bölümü üstünden işlem yapabilir duruma geleceğiz.
Örneğin aşağıdaki ekran görüntüsü TSK uygulamalarından fls'i kullanarak örnek disk bölümü içindeki dosyaların listesinin alındığı çıktıya ait bir görüntüdür.
Bunun için yürüteceğimiz komutu da görsel ile bırakıyorum.
Bu görsel TSK yazılımı ile yürüttüğümüz fls komutu ile beraber disk bölümü içindeki dosyaların listesini aldığımıza dair bir görüntüdür.
İlk olarak LVM tarzı disk kısımları bizi nasıl karşılıyor buna bir bakış atacağız.
Tabi bunun için elimizde mevcut örneği bulunan disk imajı üzerinde TSK kiti komutlarından mmls'i yürütüp disk içinde bulunan kısımlar ile ilgili bilgi elde ediyoruz.
Yürüteceğimiz komutun görselini ekran alıntısında görebilirsiniz.
Görselde 03 rakamlı disk kısmına göz atılınca Linux Logical Volume Manager tarzına uygun olduğu rahatlık ile gözlemlenebilir.
Bahsedilen disk kısmı ile alakalı fsstat komutu yardımı ile ayrıntılı bilgi elde edebiliriz.
Fsstat komutu yürütüldüğünde birazdan vereceğim görsel bizi karşılayacaktır.
Bu aslında bir hata bildirisidir.
Hata bildirisinden, kullandığımız TSK kiti ile LVM tarzı disk kısımlarının tespit edilemediği anlaşılabilir.
Dolayısı ile mevcut disk üstünden hiçbir işlem yapılamaz.
Bahsettiğim görsel.
Daha sonra losetup'dan yardım alarak mevcut lvm tarzı disk kısmını dosya biçimi şeklinde değiştiriyoruz. .
-o değişkeni ile beraber vermemiz gereken değer ilgili lvm kısmının byte olarak offset değeri olmalı.
Daha sonra da Linux üstünden oluşturmuş olduğumuz loop sürücü ile ilgili pvs komutu ile ayrıntılı bilgi elde ediyoruz.
Örnek olarak yine görsel vereceğim.
Bu şekilde VG sütunun altında sanal grup adını öğreniyoruz.
Görselde ki örnekte grup adının vg00 olduğunu gözlemleyebiliriz.
Ardından lvdisplay komutu ile birlikte daha önceki etapta detaylarını elde ettiğimiz sanal disk grubu içindeki kısımların ayrıntılarına bakıyoruz.
Verdiğim görselde bulunan LV Name bölümündeki adı kullanacağız ve bu şekilde disk kısmına erişeceğiz.
Bu şekilde TSK yazılımı ile bu disk bölümü üstünden işlem yapabilir duruma geleceğiz.
Örneğin aşağıdaki ekran görüntüsü TSK uygulamalarından fls'i kullanarak örnek disk bölümü içindeki dosyaların listesinin alındığı çıktıya ait bir görüntüdür.
Bunun için yürüteceğimiz komutu da görsel ile bırakıyorum.
Bu görsel TSK yazılımı ile yürüttüğümüz fls komutu ile beraber disk bölümü içindeki dosyaların listesini aldığımıza dair bir görüntüdür.