|
Pazartesi, 16 Ocak 2012 13:26 |
|
File Slack ya da Dosya Artığı Nedir?
Bu yazı Encase içerisinde dikkatinizi bu zamana kadar belki çekmiş olan ama üzerinde pekde durmadığınız bir konu olan file slack üzerine olacak. Encase üzerinde text ya da hex görünümde kırmızı olarak yazılan alandır.
Ne gerekli
File slack yani dosya artığı kavramını anlayabilmeniz için sektör ve küme (sector ve cluster) kavramlarını hiç yoktan biliyor olmanız gerekiyor. Bu konuları bilmiyor olabilirsiniz ama ben anlarım diyorsanız okumaya devam edebilirsiniz bir iki örnek ile bu konular üzerinden de geçeceğiz.
|
|
Son Güncelleme: Salı, 17 Ocak 2012 12:59 |
|
Devamını oku...
|
|
Perşembe, 26 Mayıs 2011 06:07 |
|
$BitMap; NTFS dosya sisteminde yer alan özel bir dosyadır. Bu dosya kullanılan ve kullanılmayan kümeler hakkındaki bilgiyi tutar. Bir dosya NTFS biçimli bir diskte yer tutuyorsa, onun konumu küme bazlı olarak $BitMap de tutulur.
$BitMap in kullanılan ve kullanılmayan kümeleri izlemedeki yöntem çok basittir. $BitMap içerisinde yer alan her bit bir kümeye karşılık gelir. Eğer bir küme doluysa ona karşılık gelen bit değeri "1" dir. Örneğin $BitMap içerisinde ki bir baytın değeri F ise bunun anlamı F(hex) = 1111(bin) dir yani 16 tabandaki F' in ikilik tabandaki karşılığı 1111 dür. Buna göre FF = 11111111 yani 8 tane 1 dir.
|
|
Son Güncelleme: Pazartesi, 16 Ocak 2012 13:26 |
|
Devamını oku...
|
|
Perşembe, 26 Mayıs 2011 05:54 |
Pek çok dosya türü onları diğerlerinden ayıran kesin veriler içerirler. Mesela bir .html ya da .doc uzantılı dosya diğerlerinden kesin olarak ayrılabilirler, bu fark görüntülenen uzantıdan farklı bir ayrımdır. Bu ayrımı sağlayan kodlara "imza" denir ve bu imzalar elektronik keşifler ve adli bilişim alanında sıkça kullanılırlar. (işin mantığı ile bilgilere dosya sistemleri bölümünden ulaşabilirsiniz)
Örnek 1: Bir GIF (ASCII) dosyasının ilk birkaç karakteri hex (onaltılık tabandaki görünümleri) olarak 47 49 46 dır.
|
|
Son Güncelleme: Çarşamba, 07 Aralık 2011 20:50 |
|
Devamını oku...
|
|
Salı, 31 Mayıs 2011 17:15 |
|
Encase/FTK da görünen fiziksel ve mantıksal boyut ne demek? (physical and logical size)
Tüm dosyaların fiziksel ve mantıksal boyutu vardır. Bazen fiziksel boyut, mantıksal boyuttan daha büyük bazen de eşittir. Fakat mantıksal boyut hiç bir zaman fiziksel boyuttan büyük olamaz; eğer böyle bir durum söz konusu ise dosya sisteminde bir hatadan, bozulmadan bahsedebiliriz.
|
|
Son Güncelleme: Çarşamba, 08 Haziran 2011 07:45 |
|
Devamını oku...
|
|
Çarşamba, 01 Haziran 2011 00:00 |
Adli bilişim çerçevesinde değerlendirilidiğinde MFT için aşağıdaki açıklamaları yapabiliriz.
MFT hakkında daha ayrıntılı bilgileri NTFS bölümünde bulabilirsiniz. Burada adli bilişim yönünden MFT üzerinde, ne tür yorumlar yapabiliriz başlıkları değerlendirilecektir.
MFT bilindiği gibi Master File Table kelimelerinin kısaltmasıdır. Yani ana dosya tablosu, bir kitabın içindekiler bölümü olarak düşünebiliriz. NTFS dosya sistemindeki kuşkusuz en önemli dosyadır. Birimdeki tüm dosyaların izlemesini yapar, dosyalara ait konum bilgileri, hangi dizine ait, mantıksal konumu, fiziksel konumu ve dosyalara ait metadataları içerir:İçerdiği metadatalara örnek olarak
- Created Date (Oluşturma tarihi), Entry Modified Date (Girdi Değişikliği tarihi), Accessed Date (Erişim tarihi) ve Last Written Date (Son Yazma Tarihi), öznitelik bilgileri.
|
|
Son Güncelleme: Pazartesi, 04 Temmuz 2011 11:11 |
|
Devamını oku...
|
|
Pazartesi, 30 Mayıs 2011 07:49 |
|
Dijital kameralarda bir çok elektronik cihaz gibi kendine özel bir seri numarasına sahiptir. Pek çok kamera bu seri numarasını çekilen dijital fotoğrafların içerisine yerleştirir.İçinizde duyanlar mutlaka olmuştur EXIF (Exchangeable File Format) verilerini. Bu veriler içerisinde fotoğraf makinasının marka, model, resmin özellikleri, gps konumu, tarih, yazar vs. gibi bir çok veri yer alır.
Ancak şu da bilinmelidir ki her dijital makina seri numarasını resmin içerisine yerleştirmez. Aynı zamanda bu verileri değiştirmek de çok kolaydır. Yani bir resimde yer alan EXIF verileri basit bir şekilde değiştirilebilir. Örneğin facebook hesabınıza yüklenen resimlerdeki EXIF verileri otomatik olarak çıkartılır. Bazıları için bu iyi birşey bazıları içinse farkında olmadıkları bir konudur.
|
|
Son Güncelleme: Salı, 31 Mayıs 2011 17:13 |
|
Devamını oku...
|
|
Pazar, 03 Ekim 2010 16:14 |
Windows NT dosya sistemi (NTFS), FAT dosya sisteminde bulunmayan güvenilirlik, uyumluluk ve performans sunuyor. Özellikle hızlı yazma, okuma, arama ve hatta çok geniş kapasiteli hard diskler için gelişmiş dosya-sistem kurtarma işlemleri için geliştirilmiştir.
Bir birimi NTFS olarak biçimlendirdiğimiz de, birimde bulunan bütün dosya ve dizinler hakkında bilgiler içeren; $MFT (master file table - ana dosya tablosu), $Bitmap, $LogFile vb. sistem dosyaları oluşturulur.
NTFS biçimli bir birimdeki ilk bilgi Partition Boot Sector (Partisyon yükleme sektörüdür, $Boot dosyası). Bu dosya 0. sektörden başlar ve 16 sektör uzunluğa kadar çıkabilir. Bu kısım NTFS birim ile ilgili basit bilgiler ve $MFT nin nerede olduğu hakkında veriler içerir.
Aşağıda yer alan şekil; NTFS olarak biçimlendirilmiş bir birimin yapısını özetliyor.
|
|
Son Güncelleme: Salı, 05 Ekim 2010 19:10 |
|
Devamını oku...
|
|
|
Salı, 31 Mayıs 2011 10:58 |
|
VPN tüneli dediğimiz şey, bilgisayarınız ve uzak sunucu arasında şifreli veri bağlantısı kurmaya yarar. Bağlantı kurulduktan sonra tıpkı bir ftp ya da web sunucusu gibi dosya gönderme ve alma işlemleri gerçekleştirilebilir. Bu şekilde kurulan bağlantılar 3. taraf kişilerin ağınızı dinlemeleri ve verilerinizi ele geçirmelerini durdurabilir. Bağlandığınız VPN sunucusu sayesinde servis sağlayıcınız hangi siteleri ziyaret ettiğinizi ya da ne işlemler yaptığınızı göremeyecektir.Görecekleri tek şey bağlandığınız VPN sunucusunun adresi ve port numarası olacaktır.
VPN' ler genelde uzaktan işyerlerinin sunucularına bağlanma ihtiyacı olan kişiler tarafından ve ne yaptıklarını başkalarının görmesini istemeyen kişiler tarafından kullanılırlar. VPN aracılığı ile internet sansürünü aşabilir, WiFİ bağlantılarınızda güvenliğinizi sağlayarak başka gözlerden verilerinizi saklayabilirsiniz. VPN aracılığı ile internete çıkıyorsanız, IP numaranız VPN sunucunun IP numarası olacaktır, yani başkalarının size ulaşması (VPN sunucuda log tutulmuyorsa eğer) mümkün olmayacaktır.
|
|
Son Güncelleme: Pazartesi, 16 Ocak 2012 10:11 |
|
Devamını oku...
|
|
Perşembe, 26 Mayıs 2011 05:46 |
|
Neden Silinen her dosya geri dönüşüm kutusunda yer almaz?
- Sistem tarafından silinenler: İşletim sisteminiz bir dosyayı silmişse bu dosya geri dönüşüm
kutusuna taşınmaz. (Mesela rutin temizlik işlemleri sırasında böyle birşey
olabilir)
- Kullanıcı katılımlı sistem silmeleri: Kullanıcının internet geçmişini temizlemesi veya bir programın kaldırılması sırasında dosyalar sistem tarafından silinirler, bu dosyalarda geri dönüşüm kutusuna taşınmazlar.
- Özel yazılımlar : Özel yazılımlar ile silinen dosyalar da genelde geri dönüşüm kutusuna taşınmazlar. Bu tür dosyaların silinme tarihlerinin nasıl bulunacağının mantığını ek olarak "Adli Bilişim Yönünden MFT" konu başlığı ve NTFS dosya sistemi başlığı altındaki bilgiler ile bulabilirsiniz.
- Shift + Delete ile silinenler : Bu şekilde silinen dosyaların silinme tarihleri de geri dönüşüm kutusu tarafından kaydedilmez.
Silinme tarihlerinin bulunmasına yönelik yöntemleri aşağıda bulabilirsiniz. Bu yöntemler akla ilk gelen yöntemler olup, sizlerinde paylaşmak istediği bilgiler varsa lütfen yorum alanını kullanın.(Bu makale windows işletim sistemleri göz önünde bulundurularak ele alınmıştır)
|
|
Son Güncelleme: Cumartesi, 10 Aralık 2011 10:57 |
|
Devamını oku...
|
|
Çarşamba, 06 Temmuz 2011 12:18 |
|
Son zamanlarda özelikle mesai arkadaşlarım usb belleklerinde yer alan dosyaları sildiği için ziyaretime gelmeye başladı, bende bu durumdan kendime pay çıkararak başkalarının da faydalanabilmesi için (ilk yorumu yapan 55 yaşına gelmiş, yüce şahsiyet; yeterince açıklayıcı olmaya gayret ediyorum) bu makaleyi hazırlamaya karar verdim. Arkadaşlarımın dosyaları yanlışlıkla daha doğrusu exe uzantılı bir dosyayı sildiklerini zannederek sildiklerini biliyorum. Bunun için ilk yaptığım şey basitçe çözümü onlarla paylaşmak ve ne gibi önlemler alınması gerektiğini anlatmak oldu. Bir süre sonra emanet olarak verdiğim ve içerisinde bir yığın çok önemli dosyanın yer aldığı USB belleğimin bana geri gelmesi durumunda gördüm ki, zararlı yazılımlar USB belleğimi resmen harman yerine çevirmişler. ( Bir insan düşün ki sürekli bu işlerle yani bilişim ile uğraşıp, bir yandan interaktif hesaplarına erişim sağladığı bir çok önemli işlem yaptığı bilgisayarın da, bir güvenlik yazılımı bulundurmuyor. Bu insan aynı zamanda üniversite mezunu, yüksek lisanstan atılmış neredeyse 30 yaşına gelmiş saçaklı diye tanınan birisi) Bildiğim yöntemlerle caaanım USB belleğimi normale çevirdikten sonra sıra geldi başkalarının kurtarması için yardımcı olmaya...
|
|
Son Güncelleme: Cuma, 06 Ocak 2012 07:52 |
|
Devamını oku...
|
|
Perşembe, 26 Mayıs 2011 05:47 |
|
Bu makale de Adli bilişimciler için en önemli delillendirme konularından biri olan silinme tarihi hakkında bilgilere yer verilecektir.
"Dosya ne zaman silindi?". Bu makale Windows işletim sistemi için bu sorunun cevabını bulmaya yönelik olarak ele alınmıştır.
Silinme Tarihleri
Silinme tarihlerini bulabilmek için iki senaryo mevcut, 1. olarak geri dönüşüm kutusuna gönderilenler, 2. oalrakta geri dönüşüme hiç gönderilmeden silinenler.
Geri Dönüşüm Kutusu : Silinme Tarihleri
Windows işletim sistemi (Windows 9x, 2000, XP, Vista ve Se7en) kullanan bir kullanıcı bir dosya üzerindeyken "delete" tuşuna basarsa, dosya geri dönüşüm kutusuna gidecektir ki bunu zaten bilgisayar kullanan hemen hemen herkes bilir.İhtiyaç halinde dosya geri dönüşüm kutusundan tekrar kullanıma hazırdır.
|
|
Son Güncelleme: Çarşamba, 01 Haziran 2011 10:00 |
|
Devamını oku...
|
|
Perşembe, 26 Mayıs 2011 06:05 |
MFT Mirror, adli bilişim uygulamaları içerisinde $MFTMirror olarak görünür. MFT nin kısmı bir yedeğidir. Yani bu yedek MFT nin tamamını içermez.
MFT Mirror aşağıdaki 4 NTFS sitem dosyasının yedeğini içerir ;
$MFT
$MFT Mirror
$Log
$Volume
|
|
Son Güncelleme: Perşembe, 02 Haziran 2011 10:27 |
|
Devamını oku...
|
|
Çarşamba, 25 Mayıs 2011 07:17 |
|
Encase bir kaç farklı tarih türünü doğrudan gösteriyor ; bu tarihler içinde "oluşturma", "yazma", "erişim" ve adli bilişimciler tarafından tam olarak akıllara oturtulamayan ya da karıştırılan; "Entry Modified" Türkçe karşılığı olarak "kayıt değişikliği" diyebiliriz.
"Entry modified" tarihi dosyayı tutan MFT kaydında meydana gelen son değişikliğin karşılığıdır. Yani MFT'nin dosya hakkında tuttuğu bir çok veriden; boyut, isim, diskteki konum, üst dizin, oluşturma tarihi vb. kaıtlarda meydana gelecek bir değişiklik "Entry modified" tarihinin de değişmesine neden olacaktır. Örneğin dosyanın ismini değiştirdiğimizde, taşıdığımızda (disk birleştirme yöntemi ile meydana gelen değişiklikler de dahil) ya da dosyanın boyutunu arttırdığımızda "entry modified" tarihi de değişecektir.
Bu kısa bilgilerden sonra "entry modified" ile nelere ulaşabiliriz, ne tür yorumlar yapabiliriz derseniz işte size örnekler.
|
|
Son Güncelleme: Pazartesi, 26 Aralık 2011 08:10 |
|
Devamını oku...
|
|
