FTK Imager İle Disk İmajı Alma

FTK Imager analiz edilecek dosyaların Message Digest 5 (MD5) ve Secure Hash Algorithm (SHA-1) hashleri oluşturma yeteneğine de sahiptir.Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir. FTK Imager'ın son sürümünü http://www.accessdata.com/downloads.htmladresinden indirebilirisiniz. Windows ortamında kullanılmak üzere "FTK Imager" ve "FTK Imager Lite" olmak üzere iki versiyonu vardır. FTK Imager için kurulum gerekliyken, FTK Imager Lite herhangi bir kuruluma ihtiyaç duymaz ve direkt olarak harici bir disk içine kopyalanarak, bu disk üzerinden çalıştırılabilir. Ayrıca Ubuntu, Fedora  ve Mac üzerinde çalışacak versiyonları da mevcuttur.

Uygulamayı indirip çalıştırdıktan sonra karşınıza çıkan ekrandaki File menüsünden Create Disk Image seçeneğini seçip disk imajı oluşturma aşamasına geçiyoruz.

FTKImager01

Bir sonraki aşamada karşımıza imaj alınacak diskin seçileceği Select Source başlıklı aşağıda gösterilen pencere çıkar. Buradaki seçenekler yardımıyla fiziksel disk imajı mı alınacak yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alınacak o belirlenir. Bir çok durumda sabit diskin fiziksel imajını almak en doğru yaklaşımdır.Bunun için ilk seçenek olan Physical Drive seçeneğini seçip ilerlemeniz yeterli olacaktır.

FTKImager02

Bir sonraki aşamada aşağıda örneği gösterilen ve hangi diskin imajı alınacaksa onun seçildiği Source Drive Selection penceresi çıkar karşımıza. Eğer imaj alınacak sabit disk Windows tarafından sorunsuz tanınmışsa bu listede o diski görmeniz gerekir. Eğer imaj alacağınız disk bu listede yer almıyorsa Windows tarafından tanınmamış demektir.

FTKImager03

Uygun disk seçilip bir sonraki aşamaya geçildiğinde ise bu kez karşımıza çıkan pencere oluşturulacak imajın nereye kaydedileceğinin belirlendiği aşağıdaki pencere olacaktır. Bu penceredeki Verify images after they are created seçeneğinin seçilmesi durumunda imaj oluşturma işleminden sonra bir doğrulama işlemi gerçekleştirilir ve bu işlem imaj alma süresini iki katına çıkartacak bir işlemdir. Precalculate Progress Statistics seçeneğinin seçilmesi durumunda imaj alma işleminin yaklaşık olarak ne kadar süreceği hesaplanır ve kullanıcıya gösterilir. Create directory listings of all files in the image after they are created seçeneğinin seçilmesi durumunda da imaj alınacak diskin içinde yer alan dosyaların detayları csv formatında çıkartılır ve imajın saklandığı dizinle aynı dizine yazılır.

FTKImager04

Yukarıdaki pencerede Add butonuna basarak oluşturacağımız imaj dosyasının formatını belirteceğimiz ve örneği aşağıda gösterilen bir sonraki pencereyi açıyoruz. FTK Imager dört farklı formatta disk imajı oluşturmaya imkan tanır. Bunlar raw (dd) formatı, SMART formatı, E01 formatı ve AFF formatıdır.

FTKImager05

Uygun formatı seçip ilerlediğimizde bir sonraki pencerede ise oluşturduğumuz imaj dosyası ile ilgili olarak dava numarası, delil numarası, açıklama vs gibi bilgileri girmemizi isteyen aşağıdaki pencere ile karşılaşırız. Bu bilgiler imaj dosyasının oluşturulduğu dizinde yer alan ve imaj alma işlemi hakkında özet bilginin yer aldığı text dosyasında yer alacaktır.

FTKImager06

Sonraki aşamada imaj dosyasının nereye yazılacağını belirleyeceğimiz aşağıdaki pencere çıkar karşımıza.  Eğer oluşturulacak dosya tek dosya halinde oluşturulsun isteniyorsa bu durumdaImage Fragment Size(MB) kısmına 0(sıfır) yazılmalıdır. Compression seçeneği sadece imaj sıkıştırma desteği sunan formatlardan birisinin seçilmesi durumunda aktif olur ve sıkıştırma oranını belirler. Eğer alınacak imajın şifrelenmesi isteniyorsa bu durumda Use AD Encryptionseçeneği seçilmelidir.

FTKImager07

Finish butonuna basıp ilgili adımlar bitirildikten sonra imaj alma işlemi başlar ve bittiğinde aşağıdaki ekranda gösterildiği gibi bir ekranla karşılaşılır. Bu ekranda imaj alma işleminin ne kadar sürdüğü bilgisinin yanında ortalama olarak ne kadarlık bir hızla imaj alındığı bilgisi de yer alır.

FTKImager10

Image Summary butonuna basıldığında ise ilgili imaj alma işlemi hakkında özet bilgilerin yer aldığı ve örneği aşağıda gösterilen bir pencere çıkar karşımıza. İmajın hash değerlerinin de yer aldığı bu pencerede varsa bozuk sektör bilgisi de yer alır.

FTKImager11

FTK Imager İle Disk İmajı Alma” için 2 yorum

  • 12 Nisan 2018 tarihinde, saat 17:32
    Permalink

    Merhaba, volatility , encase v7 gibi programların ram’i temizleyebildiğini duydum, nasıl olduğu hakkında bilgi verebilir misiniz? yani, ftk ya da emsal programlar ile imaj alınamayacak pozisyona nasıl getirilebiliyor? teşekkürler.

    Yanıtla
    • 1 Haziran 2018 tarihinde, saat 16:16
      Permalink

      Bunun mümkün olduğunu sanmıyorum. Aksini düşünmek Ram’ın temel çalışma prensibini ortadan kaldırmak olur ki bu olası değil.

      Yanıtla

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*