CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Disk İmajı Alma Teknikleri: FTK Imager, dd ve Guymager ile Adli Analiz Süreci

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Disk imajı alma süreçlerini öğrenin. FTK Imager, dd ve Guymager ile adli analizde nasıl etkili olunur?

Disk İmajı Alma Teknikleri: FTK Imager, dd ve Guymager ile Adli Analiz Süreci

Disk imajı alma, adli analiz için kritik bir süreçtir. FTK Imager, dd ve Guymager kullanarak veri güvenliğini artırmanın yollarını keşfedin. Bu yazıda, disk imaging kavramından sürecine kadar tüm detayları ele alıyoruz.

Giriş ve Konumlandırma

Disk İmajı Alma Teknikleri: FTK Imager, dd ve Guymager ile Adli Analiz Süreci

Siber güvenlik, günümüz dijital dünyasında giderek daha fazla önem kazanmaktadır. Özellikle adli analiz süreçlerinde, veri güvenliği ve bütünlüğü sağlamak kritik bir rol oynamaktadır. Disk imajı alma teknikleri, dijital kanıtların güvenli bir şekilde toplanması ve saklanması için vazgeçilmez bir uygulamadır. Bu süreç, bir depolama aygıtının birebir adli kopyasının alınması olarak tanımlanır. Disk imajlarının doğru bir şekilde alınması, bir siber olayı araştırırken veya bir adli inceleme sürecinde yürütülen analizlerin sağlam temellere oturmasını sağlamak açısından büyük önem taşır.

Önemi ve Gerekliliği

Disk imajı alma işlemleri, güvenlik ihlalleri, veri sızıntıları veya adli soruşturmalar gibi durumlarda kritik rol oynamaktadır. Siber güvenlik uzmanları, olay sonrası analiz yaparken, olayın kaynağına dair kesin verilere ulaşmalılar. Disk imajları, olayın ilk tespitinden itibaren elde edilen verilere dayanarak, analistlerin olayın detaylarını incelemesine, anlayışlarını derinleştirmesine ve sonuçlar çıkartmasına olanak tanır. Bu nedenle, doğru imaj alma tekniklerinin uygulanması, adli sürecin geçerliliği ve güvenilirliği açısından hayati bir öneme sahiptir.

Siber Güvenlik ve Adli Analiz Bağlamı

Adli analiz, genellikle siber tehditlerin açığa çıkarılması, suçlamaların kanıtlanması veya veri kaybının önlenmesi gibi amaçlarla yürütülmektedir. Bir siber güvenlik uzmanı olarak, veri bütünlüğünü korumak için adli imaj alma yöntemlerini etkili bir şekilde uygulamak zorundasınız. FTK Imager, dd ve Guymager gibi araçlar, bu süreçte en yaygın şekilde kullanılan imaj alma teknikleridir. Bu araçlar, kullanıcıların disk imajlarının güvenli bir şekilde alınmasına ve bu imajların analizi sırasında veri kaybını önlemeye yardımcı olur.

Teknik İçeriğe Hazırlık

Disk imajı alma süreci, belirli adımlar ve araçlar kullanılarak gerçekleştirilir. Her bir aracın kendi özellikleri ve avantajları vardır. Örneğin:

  • FTK Imager: Grafik kullanıcı arayüzü tabanlı bir adli disk kopyalama aracıdır. Kullanıcı dostu arayüzü sayesinde, teknik bilgiye sahip olmayan kullanıcılar bile kolaylıkla disk imajı alabilirler.

  • dd: Linux sistemlerinde yaygın olarak kullanılan bir komut satırı aracıdır. Bit düzeyi kopyalama yapmak için kullanılır ve oldukça güçlü bir araçtır. Ancak, kullanımı teknik bilgi gerektirir ve dikkatli kullanılmadığında yanlış sonuçlar verebilir.

  • Guymager: Adli analiz için özel olarak tasarlanmış bir Linux aracı olup, disk imajlarını almak için veri bütünlüğünü sağlamak amacıyla çeşitli özellikler sunmaktadır.

Bu araçların etkin bir şekilde kullanılması, imaj alma sürecine yönelik sağlanan güvenilirliğin artırılmasını destekler. Örneğin, disk imajı alırken bir write-blocker kullanmak, kaynak disk üzerinde herhangi bir yazma işlemi olmamasını sağlar ve veri bütünlüğünü korur.

Sonuç

Bu blog yazısının ilerleyen bölümlerinde, disk imajı alma sürecinin detaylarına, kullanılan araçların özelliklerine ve avantajlarına dair daha derinlemesine bir inceleme yapılacaktır. Amacımız, okuyucuları teknik bilgilere ve en iyi uygulamalara hazırlamak, böylece siber güvenlik alanında daha bilinçli ve etkili bir yaklaşım geliştirmelerine yardımcı olmaktır. Adli analiz süreçlerinde başarılı olmak için gerekli bilgi ve becerileri kazanmak, siber güvenlik uzmanları için bir zorunluluk haline gelmiştir.

Teknik Analiz ve Uygulama

Disk İmaj Alma Süreci

Siber güvenlik alanında, bir depolama aygıtının birebir adli kopyasını almak, adli analiz süreçlerinin temel adımlarından biridir. Bu işlem, çoğunlukla "disk imaging" olarak adlandırılır ve veri bütünlüğünün sağlanması amacıyla gerçekleştirilir. Disk imajı alma sürecinde, orijinal verilerin korunması ve analiz için güvenli bir kopya oluşturulması hedeflenir. Bu bölümde, disk imaj alma teknikleri arasında yer alan FTK Imager, dd ve Guymager araçlarının kullanımı ve yöntemleri üzerinde duracağız.

Imaging Araçları

Genel olarak kullanılan disk imaj alma araçları şunlardır:

FTK Imager

FTK Imager, GUI tabanlı bir adli disk kopyalama aracıdır. Kullanıcı dostu arayüzü ile disk imajı alma süreçlerini kolaylaştırır. FTK Imager ile imaj alma işlemi, kullanıcıların sürücüleri ve dosyaları taramasına, imaj dosyası seçmesine ve almasına olanak tanır.

Örnek Kullanım

  1. Programı Başlatma: FTK Imager'ı çalıştırın.
  2. Disk Seçimi: Ana menüden "File" -> "Create Disk Image" seçeneğini tıklayın.
  3. Disk Seçenekleri: Kaynak diski seçin ve uygun imaj formatını belirleyin (RAW, E01, vb.).
  4. Hash Hesaplama: Hash doğrulaması yapmak için "Calculate HASH values" seçeneğini kullanın.
  5. İmajın Oluşturulması: Seçilen diskten imajı oluşturarak kaydedin.

dd Komutu

Linux sistemlerde yaygın olarak kullanılan ve bit düzeyinde veri kopyalamak için kullanılan "dd" komutu, oldukça güçlü bir araçtır. Basit bir komut yapısına sahiptir ancak dikkatli kullanılmalıdır, çünkü yanlış bir kullanım veri kaybına yol açabilir.

Komut Kullanımı

dd if=/dev/sdX of=/path/to/image.img bs=512 conv=noerror,sync
  • if (input file): Kaynak diskin yolu (örneğin /dev/sda).
  • of (output file): Oluşturulacak imaj dosyasının yolu.
  • bs (block size): Veri aktarım blok büyüklüğü; genellikle 512 bayt olarak ayarlanır.
  • conv=noerror,sync: Hata meydana geldiğinde sürecin devam etmesini sağlar.

Bu komut ile kaynak bellek biriminden (input file) bir imaj oluşturulur ve belirtilen yolda (output file) saklanır.

Guymager

Guymager, Linux üzerinde kullanılan bir adli imaging aracıdır. GUI tabanlı bir uygulama olmasının yanı sıra, oldukça etkili bir disk imaj alma deneyimi sunar. Kapsamlı bir yapılandırma ve kullanıcı seçenekleri sunar.

Kullanım Adımları

  1. Programı Açın: Guymager'ı başlatın.
  2. Disk Seçimi: Hedef diski seçerek devam edin.
  3. İmaj formatını belirleyin: Örneğin, RAW veya diğer adli formatlar.
  4. Hash Değerleri Hesaplama: Hash doğrulaması seçeneğini aktif edin.
  5. İmajı Kaydedin: İmaj dosyasını güvenli bir yere kaydedin.

Write Blocker Tanımı

Write blocker, kaynak diske yazmayı engelleyerek veri bütünlüğünü sağlamada önemli bir araçtır. Adli incelemelerde, orijinal verilerin değişmesini önlemek amacıyla kullanılır. Bir yazma engelleyici, veri koruma cihazı olarak adlandırılır ve çoğunlukla USB veya SATA bağlantısı üzerinden çalışır.

Disk İmaj Türleri

Disk imajlarının farklı türleri vardır ve bunlar adli analiz süreçlerinde farklı ihtiyaçlara yönelik kullanılır:

  • RAW (Ham İmaj): En basit ve yaygın format. Bit düzeyinde kopyalama yapılır.
  • E01 (EnCase): Sıkıştırma ve birden fazla bölüm içerebilir.
  • AFF (Advanced Forensic Format): Gelişmiş veri yönetimi ve saklama seçenekleri sunar.

Hash Verification Tanımı

Hash verification, imajın bütünlüğünü sağlamak amacıyla kullanılan bir yöntemdir. MD5 veya SHA algoritmalarıyla imaj dosyasının hash değeri hesaplanarak veri manipülasyonlarının tespit edilmesi sağlanır. Bu adım, hukuki geçerlilik açısından kritik öneme sahiptir.

Adli analizlerde uygun yöntemlerle disk imajları alma süreci, güvenilir ve geçerli delil sağlar. Doğru araçların kullanımı ve süreçlerin dikkatli bir şekilde uygulanması, siber güvenlik uzmanlarının karşılaştığı en önemli gereksinimlerden biridir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Disk imaj alma süreci, dijital delil toplama ve adli analiz alanında kritik bir yere sahiptir. Bu süreçte elde edilen bulguların güvenlik anlamı, potansiyel riskler ve yorumlamalar açısından detaylı bir analiz gerektirir. Adli analiz süreçlerinde kullanılan araçlar, yapılan işlemler ve neticeleri, güvenlik ve savunma mekanizmalarının değerlendirilmesinde önemli rol oynar.

Elde Edilen Bulguların Güvenlik Anlamı

Her disk imaj alma işlemi, analiz edilecek verilerin niteliğini ve güvenilirliğini etkiler. Özellikle FTK Imager, dd ve Guymager gibi araçlar kullanılarak elde edilen disk imajları, sanal ortamda birer kopya olarak değerlendirilir. Bu imajların güvenliği, bilgi bütünlüğü ile doğrudan ilişkilidir. Aşağıdaki parametreler göz önünde bulundurularak, elde edilen bulguların güvenlik anlamı değerlendirilebilir:

  • Veri İhtiyacı: İmajın amacı ve hangi verilere ulaşmak gerektiği.
  • Veri Bütünlüğü: Alınan imajın hash kodları ile doğrulanması.
  • Veri Sınıflandırması: Hangi verilerin kritik olduğunun belirlenmesi.
# Örnek hash doğrulama komutu
md5sum disk_image.dd

Yanlış Yapılandırma veya Zafiyet Etkileri

Yanlış yapılandırmalar, disk imaj alma sürecinde birçok zafiyete yol açabilir. Özellikle yazma engelleyici (write blocker) kullanılmadan yapılan bir imaj alma işlemi, orijinal verilerin üzerine yazılmasına neden olabilir ve bu durum, delil geçerliliğini zedeler. Herhangi bir yazılım veya yapılandırma hatası, aşağıdaki sonuçlara yol açabilir:

  • Veri Kaybı: Önemli dosyaların kaybolması ya da zarar görmesi.
  • Delil Değerliliği: Elde edilen delillerin mahkemede kabul edilmemesi.
  • Zaman Kaybı: Hatalı imajlar nedeniyle yeniden başka yöntemlerle veri toplama süreci.

Sızan Veri, Topoloji ve Servis Tespiti

Analiz sırasında elde edilen disk imajları, çeşitli veri sızıntılarının tespiti için kullanılabilir. Disk imajındaki kayıtlardan yapılacak yorumlar, hangi veri servislerinin çalıştığını veya sızan verilerin ne denli kritik olduğunu gözler önüne serer. Özellikle ağ topolojisi ve uygulama mimarisi analizi, veri ihlallerinin kaynağını bulmayı kolaylaştırır. Örneğin:

  • Ağ topolojisi, hangi makinelerin ve servislerin hedef alındığını gösterir.
  • Sızan veriler, hangi bilgilerin dışarıya sızdırıldığını belirler.

Profesyonel Önlemler ve Hardening Önerileri

Adli disk imaj alma sürecinde kullanılan araçların ve yöntemlerin güvenliğini artırmak için bazı önlemler alınması gereklidir:

  1. Yazma Engelleyici Kullanımı: Her daim güvenli bir yazma engelleyici cihazı ile imaj alma işlemi gerçekleştirilmelidir.
  2. Hash Kontrolleri: Hedef disk ve imaj dosyası için hash doğrulaması yapılması; bu, veri bütünlüğünü sağlamak adına oldukça kritiktir.
  3. Gizlilik Protokolleri: Elde edilen verilerin gizliliği korunmalı; gerekli şifreleme yöntemleri uygulanmalıdır.
  4. Güncel Yazılım Kullanımı: Kullanılan imaj alma yazılımlarının güncel tutulması ve zafiyetlerin izlenmesi önemlidir.
# Örnek hardening ayarları için terminal komutları
sudo apt-get update
sudo apt-get install ftk-imager

Sonuç Özeti

Disk imaj alma süreci, adli analizlerde kritik bir öneme sahiptir. Elde edilen bulguların güvenlik anlamında doğru yorumlanması, yanlış yapılandırmaların etkileri ve profesyonel savunma mekanizmaları göz önüne alındığında çok katmanlı bir güvenlik yaklaşımının benimsenmesi gereklidir. Sadece disk imajlarının alınması değil, sürecin tamamının güvenli bir şekilde yönetilmesi, etkili sonuçlar elde edilmesi açısından kaçınılmazdır. Bu bağlamda, önceden belirlenen güvenlik önlemlerinin uygulanması ve sürekli değerlendirme yapılması, başarılı bir siber güvenlik stratejisinin temel taşlarını oluşturur.