AUTOPSY Aracının Kullanımı.

AUTOPSY

Bu yazımızda Autopsy aracının kullanımını ve özelliklerini öğreneceğiz. Autopsy Basis Technology tarafından desteklenen açık kaynak kodlu ücretsiz kullanılan bir adli bilişim aracıdır. Grafiksel arayüz üzerinden The Sleuth Kit’e ait komutları kullanmamızı sağlayan bir programdır.

 Autopsy ile

·        DD, Encase ve AFF uzantılı adli kopyalar üzerinde inceleme yapabilmektedir.

·        NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, HFS ve ISO 9660 ve bunların türü olan dosya sistemlerini desteklemektedir.

·        Kelime veya karakter araması yapılabilmektedir.

·        Steganography kontrolü yapabilmektedir.

·        E-delil ve adli kopya üzerinden hash hesaplaması yapabilmektedir.

 ·      Hash tablosu kullanılarak sistem dosyaları gibi bilinen dosyalar ayıklanabilmektedir

·        Zaman çizelgesi çıkartabilmektedir.

·        Veri kurtarma yapabilmektedir.

·        MFT dosyaları gibi önemli sistem dosyalarına erişimi sağlayabilmektedir.

Programı indirmek için https://www.autopsy.com/download/ adresine gidebilirsiniz.

 

 Autopsy aracının daha iyi anlaşılması için uygulamalar üzerinde devam edeceğiz.

 İlk olarak Basis Technology bize sunmuş olduğu imaj dosyasını https://file.ac/d9olyKnD49s adresinden incelemek için indiriyorum.

Autopsy aracını çalıştırıyorum ve “New Case” seçeneğini seçiyorum.



 

2. Adımda “Case Name” alanını yazıp devam ediyoruz.

 

 3. adımda “Case Number” ve araştırmacı adını yazıp biti

Burada case hakkında detaylı bilgi girildi kimin incelendiği case hakkında detaylı bilgiler ve notların yazılabileceği alan dolduruldu.

Burada “Disk Image or VM” file seçeneğini seçildi çünkü inceleyeceğimiz imaj türü E01 formatındaki imaj, imajı açabilmek için bu seçenekten devam ettik.

Burada imaj dosyasının yerini belirttik.
Daha sonra modül seçme ekranı gelmektedir. Bu bölümde araştırmacıya gerekli modüllerin seçilebilme imkanını vermektedir.

Ve “Finish” diyerek bitiriyoruz. Burada istersek log dosyası çıktı olarak alınabilmektedir.
Tüm modülleri aldıktan sonra bu alana ulaşıyoruz. Bu menüye geldikten sonra analize başlayabiliriz fakat analizin daha sağlıklı olması için programın analiz etmesi kısmını bitirmesi bizim doğru sonuca ulaşmamıza yardımcı olacaktır.

Programın analiz yapma işlemi bittikten sonra aşağıda temel olarak sormuş olduğum soruların cevaplarını bulacağız hep birlikte.

WelcomeScan.jpg adlı resim dosyasının hash değerini bulun ?

MD573d4281e46a68222934403627e5b4e1

 

Görüntüleri kontrol etmek için; “Results > Extracted Content > EXIF Metadata” bu alana geldikten sonra resmin üzerine tıklıyoruz daha sonra “File Metada”  sekmesine tıkladıktan sonra Autopsy aracı otomatik olarak MD5 hash değerini hesaplamış olduğunu gördük

Kaytı edilen en son bilgisayar kapatma zamanı ne zaman ?

2020/10/17-15:09:11

Bu sorunun cevabını bulmak için gidiyoruz “Data Sources” kısmından

C:WINDOWSsystem32configsoftwareMicrosoftWindowNTCurrentVersionP refetcherExitTime

Dosya yolunu takip ediyoruz

 

 

Bilgisayarda kullanılan ağ kartlarını listele ?

Cevabı bulmak için Data sources kısmından

“C:WINDOWSsystem32configsoftwareMicrosoftWindows NTCurrentVersionNetworkCards”

dosya yolu takip edilir.

 

 

Aotupsy ile MFT dosyasının çıkarınız.

“Data Sources” kısmında bölümüne geliyoruz bölüme tıkladıktan diskimizin imajı olan disk.E01 sekmesine tıklıyoruz sonra karşımıza gelen menüde $MFT dosyasını aradıktan sonra rahatlıkla görebilmekteyiz.



 

 

 

 

 

 

Kaynaklar: https://www.autopsy.com/about/use-cases/https://www.sleuthkit.org/autopsy/desc.php

https://medium.com/@tusharcool118/autopsy-tutorial-for-digital-forensics- 707ea5d5994d