AUTOPSY
Bu yazımızda Autopsy aracının kullanımını ve özelliklerini öğreneceğiz. Autopsy Basis Technology tarafından desteklenen açık kaynak kodlu ücretsiz kullanılan bir adli bilişim aracıdır. Grafiksel arayüz üzerinden The Sleuth Kit’e ait komutları kullanmamızı sağlayan bir programdır.
Autopsy ile
· DD, Encase ve AFF uzantılı adli kopyalar üzerinde inceleme yapabilmektedir.
· NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, HFS ve ISO 9660 ve bunların türü olan dosya sistemlerini desteklemektedir.
· Kelime veya karakter araması yapılabilmektedir.
· Steganography kontrolü yapabilmektedir.
· E-delil ve adli kopya üzerinden hash hesaplaması yapabilmektedir.
· Hash tablosu kullanılarak sistem dosyaları gibi bilinen dosyalar ayıklanabilmektedir
· Zaman çizelgesi çıkartabilmektedir.
· Veri kurtarma yapabilmektedir.
· MFT dosyaları gibi önemli sistem dosyalarına erişimi sağlayabilmektedir.
Programı indirmek için https://www.autopsy.com/download/ adresine gidebilirsiniz.
Autopsy aracının daha iyi anlaşılması için uygulamalar üzerinde devam edeceğiz.
İlk olarak Basis Technology bize sunmuş olduğu imaj dosyasını https://file.ac/d9olyKnD49s adresinden incelemek için indiriyorum.
Autopsy aracını çalıştırıyorum ve “New Case” seçeneğini seçiyorum.
2. Adımda “Case Name” alanını yazıp devam ediyoruz.
3. adımda “Case Number” ve araştırmacı adını yazıp biti
Burada case hakkında detaylı bilgi girildi kimin incelendiği case hakkında detaylı bilgiler ve notların yazılabileceği alan dolduruldu.
WelcomeScan.jpg adlı resim dosyasının hash değerini bulun ?
Görüntüleri kontrol etmek için; “Results > Extracted Content > EXIF Metadata” bu alana geldikten sonra resmin üzerine tıklıyoruz daha sonra “File Metada” sekmesine tıkladıktan sonra Autopsy aracı otomatik olarak MD5 hash değerini hesaplamış olduğunu gördük
Kaytı edilen en son bilgisayar kapatma zamanı ne zaman ?
2020/10/17-15:09:11
Bu sorunun cevabını bulmak için gidiyoruz “Data Sources” kısmından
“C:WINDOWSsystem32configsoftwareMicrosoftWindowNTCurrentVersionP refetcherExitTime”
Dosya yolunu takip ediyoruz
Bilgisayarda kullanılan ağ kartlarını listele ?
Cevabı bulmak için Data sources kısmından
“C:WINDOWSsystem32configsoftwareMicrosoftWindows NTCurrentVersionNetworkCards”
dosya yolu takip edilir.
Aotupsy ile MFT dosyasının çıkarınız.
“Data Sources” kısmında bölümüne geliyoruz bölüme tıkladıktan diskimizin imajı olan disk.E01 sekmesine tıklıyoruz sonra karşımıza gelen menüde $MFT dosyasını aradıktan sonra rahatlıkla görebilmekteyiz.
Kaynaklar: https://www.autopsy.com/about/use-cases/https://www.sleuthkit.org/autopsy/desc.php
https://medium.com/@tusharcool118/autopsy-tutorial-for-digital-forensics- 707ea5d5994d