NTFS (New Technologies File System) Dosya Sistem Analizi

 



NTFS (New Technologies File System) Dosya Sistem Analizi

 

1.     Dosya Sistemleri Nedir?

2.     Dosya Sisteminin Görevleri Nelerdir?

3.     Dosya Sistemleri Nelerdir?

4.     NTFS Nedir?

5.     NTFS Analizi Nasıl Yapılır?

NTFS dosya sistem analizi konusuna değinmeden önce temel dosya sistemi bilgisinden biraz bahsetmemiz analiz anlamamız açısında daha faydalı olacaktır.

Dosya Sistemi Nedir?

Disk veya veri depolama ünitelerinde bulunan verilerin bütününe dosya denilir. İşletim sistemlerinde program dosyaları ve veri dosyaları olmak üzere 2 farklı dosya türü vardır.

·       İşletim sisteminin görevi yerine getirirken ya da bir uygulama çalışırken bilgisayar kontrol eden komutları içeren program dosyalarıdır.

·       Bir program yardımıyla kullanıcılar tarafında oluşturulan veri dosyalarıdır.

Proses dosyayı kullanıp bıraktıktan sonra dosya varlığına devam etmektedir. (Kullanıcı kendi dosyalarını silebilir fakat işletim sistemine ait dosyaların bulması gerekmektedir.) Bu dosyaların stabil bir şekilde çalışması için dosya sistemine ihtiyaç vardır. Bu dosyalar disk veya diğer depolama ünitelerinde saklanmaktadır.

Dosya sistemi, disk üzerinde bulunan dosyaları düzenlemek için kullandığı temel yapıdır. Bir işletim sistemi, disk üzerinde bulunan dosyaları yerini bulmak için dosya sisteminden yararlanır.  Hepimiz bir diski biçimlendirmek (format) istediğimiz güncel bir Windows sistemde diskin üzerine sağ tıklayıp biçimlendir demişizdir. Biçimlendir dediğimiz zaman Windows sistemde karşımıza NTFS, exFAT, FAT32 olmak üzere 3 farklı dosya yapısı çıkmaktadır.

İşte bunların her biri farklı dosya yapısıdır.  İşletim sistemlerinde farklı dosya sistemleri vardır bu blog yazımdaki konu Windows forensics’te önemli bir yere sahip olan NTFSne olduğunu ve nasıl analiz edildiğinde bahsedeceğim.

 

Dosya Sistemin görevleri;

Dosya sistemi (file system) sayesinde,

·       Dosya bir disk üzerinde nasıl saklandığı

·       Bilgisayarın dosyaları yönetebilmek için erişimi nasıl sağladığını kontrol edilmesi,

·       Dosyalar yer sağlanması yani mevcut ve boş alanların yönetimi,

·       Boş alanların izlenmesi,

·       Dosyaların ikincil bellek üzerinde yerleşimlerinin, her dosyanın disk üzerindeki fiziksel adreslemesinin bilinmesi,

·       Erişimin en hızlı olacağı şekilde düzenlenmesi,

·       Sistemde saklanan dosyaların güvenliğinin gözetlenmesi yani dosyalara erişim ve paylaşım haklarının belirlenmesi ile denetlenmesi de dosya sistemi tarafından yapılmalıdır

Dosya sisteminin görevleridir.

 

Dosya Sistemleri nelerdir?

Farklı işletim sistemleri farklı dosya sistemleri kullanmaktadır.

·       Linux işletim sisteminin kullanmış olduğu dosya sistemleri Ext2, Ext3 ve Swap

·       MS-DOS işletim sisteminin kullanmış olduğu dosya sistemleri FAT 16

·       Windows 95/98 işletim sisteminin kullanmış olduğu dosya sistemleri FAT 32

·       Windows NT sisteminin kullanmış olduğu dosya sistemleri NTFS

·       Macos işletim sisteminin kullanmış olduğu dosya sistemleri APFS, HFS

 

 

NTFS (New Technology File System) Nedir?

Çok fazla dosya sistemi türleri olduğundan bahsettim. Bu blog yazımda konu dağılmaması adına tüm dosya sistemlerinden bahsetmeyeceğim analizini gerçekleştireceğimiz NTFS dosya sisteminden bahsedeceğim.

NTFS (New Technology File System), Windows NT, Windows 2000, Windows XP ve Windows Vista tarafından kullanılabilen bir dosya sistemidir. Önceki Windows sürümleri bu dosya sistemine erişemez. NTFS dosya sisteminin merkezi yapısında MFT (Master File Table) kullanılmaktadır. NTFS, dosya konumlarını bir ana dosya tablosuna ($MFT) saklamakla birlikte dosyanın yerleştiği konumları ve diğer bilgileri her öbeğin içinde ayrıca saklayarak daha güvenli yapı sunar.

 

NTFS dosya sistemin Windows sistemdeki diğer dosya sistemlerine daha özelliklidir ve günümüzde Windows güncel sistemlerin tamamında kullanılmaktadır. NTFS genel özelliklerine bakacak olursak;

·       256 TB’a kadar sabit diskleri biçimlendirebilir.

·       Dosya ve dizinlere kullanıcı hakları verilerek erişim denetlenebilir.

·       Tüm dizin ve dosyaları sıkıştırabilir,

·       4294967295 dosya içerebilir,

·       Küçük boyutlu dosyalara erişimi çok hızlıdır

·       Dosya ne kadar büyük olursa olsun performans kaybı yaşamaz

·       Hatalı blokları tespit edip burada bulunan başka yere taşıyabilir.

·       Küçük boyutlu disklerde performans sorunu oluşturması ise dezavantajıdır.

 

 

 

NTFS Dosya Sistem Analizi Nasıl Yapılır?

Dosya sistem analizi, adli incelemelerde veya bir sistemin ele geçirilmesinde root cause elde etmek için gerçekleştirilen analizlerin bütünü olarak değerlendirebiliriz. Dosya sistem analizi sayesinde, oluşan silinen değiştirilen dosyaları tespit edebiliriz. Modern Windows sistemlerin tamamının da kullanıldığından bahsettik bunda dolayı Adli Bilişim incelemelerinde NTFS analizi önemli bir yer tutmaktadır.

NTFS analizini gerçekleştirmeden önce, bize 3 dosya gereklidir disk imajından veya canlı sistemden $MFT, $Logfile, $USNJrnldosyalarını elde etmeliyiz.

Bu dosyaların konumu;

·       Bilgisayardaki Windows sisteminin kurulu olduğu kök dizin içerisinde MFT bulunur. C:$MFT

·       Bilgisayardaki Windows sisteminin kurulu olduğu kök dizin içerisinde LOGFILE bulunur. C:$LOGFILE

·       Bilgisayardaki Windows sisteminin kurulu olduğu kök dizin içerişinim $Extend içerisinde $USNJRNL bulunur C:$ExtendUSNjrnl

 

$LOGFILE

$LOGFILE, NTFS dosya sistemi dosya kaybı yaşamamak adına, olası bir çökme durumunda dosya sisteminin bütünlüğünü korumak için NTFS tarafından kullanılan Transactional Logging –İşlem günlüğü- bilgilerini içeren dosyadır. Bu işleme, özelliği destekleyen diğer dosya sistemlerinde Joumaling adı verilir. Dosya ve dizinler ile ilgili bilgi tutmasının yanı sıra sistem dosyalarının bozulmaması için kayıt tutan ve herhangi bir çökme anında yapılan son işlemleri kayıtlar üzerinden tekrar ederek bilgi kurtarmaya yarayan sistem dosyasıdır diyebiliriz. Bu dosya MFT’nin anatomisinde bahsedeceğimiz 2 numaralı MFT girişinde saklanır analiz için neden önemli diye soruyla karşılaşabiliriz, çünkü $LOGFILE, NTFS biriminde meydana gelen dosya oluşturma, silme, yeniden adlandırma, kopyalama vb. tüm işlemlerin kaydını tutmaktadır bundan dolayı bizler için root cause tespit etmemizde önemli rol oynamaktadır.

 

$USNJRNL ($J)

Microsoft dosya güvenirliği açısından NTFS içerisine journal(günlük) kayıt dosyası eklemiştir. Yapılan tüm işlemlerin log kayıtlarının tutulduğu özel bir dosyadır. Herhangi bir sistem çökmesi durumunda burada yer alan kayıtlar kullanılarak bilgilerin kurtarılmasına olanak sağlamaktadır. Elektrik kesintisinde verilerin tutulduğu günlük dosyası olarakta bilinmektedir yani NTFS, dosya sisteminin durumunu ve bütünlüğünü her zaman izlemek ve sistem çökmelerine neden olduğu tutarsızlıkları düzeltmek için meta verilerdeki değişiklikleri izlemek için bir log dosyası olarak kullanır. Sistem güncellemesi gibi sistemde değişiklik yapılırken Microsoft’un güvenilirliğini arttırmak maksadıyla dosya sisteminde yapılan değişikliklerin kaydını tutar. Bir problem olması durumunda ise kendini eski haline getirmesine olanak tanır. $LogFile’dan farklı olarak, alan tahsis etmesi ve büyüdükçe yeniden tahsis etmesi ve kayıtların üzerine yazılmamasıdır. Bu, bir NTFS birimindeki ayrılmamış alanda eski log kayıtlarını bulabileceğimiz anlamına gelir.

$MFT (MFT (Master File Table))

NTFS dosya sisteminin root dizininde bulunan özel bir sistem dosyasıdır. Bu dosyayı NTFS birimine kaydedilecek tüm nesneleri izleyen çok yapılandırılmış bir veri tabanı olarak düşünebiliriz. Her nesne MFT içinde bir dosya kaydı alınır. Her dosya kaydı o dosyayla ilgili çeşitli verileri ve meta verileri içeren bir dizi nitelik içerir. Bir dosya bir kayıt alır, bir dizin listesi bir kayıt alır ve hatta birim adı bile kendi kaydını alır. Her kayıt 1024 bayt uzunluğundadır. Bir dosya yeterince küçükse dosyanın içeriği meta verilerinin hemen yanındaki MFT kaydında tutulacaktır bu duruma Forensics bakışı ile bakacak olursak kimi silinmiş verilerin belirli bir kısmına MFT dosyasını analiz ettiğimiz zaman ulaşacağımız anlamına gelmektedir.

İlk 24 MFT girişi, NTFS birimi tarafından özel kullanım için ayrılmıştır. İlk 12 giriş, NTFS’nin çalışmasını sağlayana sistem dosyaları tarafından kullanılır. Bu dosyaların tümü $ ile başlayarak adlandırılır ve özel bir tool kullanılmadıkça görünümden gizlenir. (Dolar işareti olan dosyalar geçici olarak saklanan dosyalardır örneğin bir Word oluşturduğu zaman otomatik kaydetme, kurtarma vb özelliklerde kullanılır. Word kapandığında bu dosyalar otomatik olarak silinir. Her durumda Word çökerse bu dosyalar otomatik olarak silinmeyebilir ve sabit sürünüzde var olmaya devam eder.)

Microsoft, MFT girişleri oluşturulduktan sonra silmez bu durum forensics bakış açısı ile baktığımız zaman kullanıcı anti-forensics tekniklerini bile uygulamış olsa MFT kayıtlarında deliler ulaşabileceğimiz anlamına gelmektedir. MFT analizinde elde edeceğimiz bilgiler; dosyanın nerede yer aldığı, içerisinde bulunan veriler, metadata bilgisi (Metadata bilgisi dosyaların detaylı bilgilerini içerisinde barındırmaktadır. İçeriğinde dosyanın oluşturulma tarihi, erişilme tarihi, değiştirilme tarihleri, üzerinde oynama yapılma durumları gibi birçok bilgi MFT tablosu içerisinde yer almaktadır.)

MFT boyutu oldukça büyük olabilir. Üzerinden 400.00’den fazla dosya bulunan 1 TB’lık sürücü, 485 MB’ta yakın bir MFT boyutu oluşmaktadır. MFT parse edilirse sistem çeşitli parçalarına ulaşmak için sürücünün her yerini aramak zorunda kalırsa, tüm sistemin hızı belirgin şekilde düşer. Bunu önlemek için NTFS sürücüleri, MFT’nin içinde yer alması için “MFT Zone” (bölgesi) oluşturacaktır. Bu, sürücünün ilk %12,5’ini ayırır ve MFT’nin büyümesi için boş alana sahip olması için kullanıcı dosyalarını bu bölgeden sonra yerleştirmeye başlar. Sürücünün diğer %87,5’lik kısmındaki boş alanın geri kalanı dolarsa MFT bölgesi yarıya bölünür ve bu diğer yarı olduğunda tekrar ve sürücü dolana kadar bu böyle devam eder. MFT parçalandığında normal yollarla birleştirilmez.

$MFT nin Anatomisi:

$MFT dosyası üzerinde yer alan ilk 16 tablo sistemin çalışması için daha önceden rezerve edilmiştir.

 

MFT Record #

 


Filename


Description

1

$MFT

Master File Table- Bir veritabanı her dosya birimini izler

2

$MFTMIRR

MFT’nin ilk dört kaydının yedek kopyası

3

$LOGFILE

Transctional logging file – İşlem günlüğü dosyası

4

$Volume

Birim adı, NTFS sürüm numarası, bayrakları içerir

5

$ATTDEF

NTFS öznitelik tanımları

6

.

diskin Root dizini

7

$BITMAP

Birimdeki her kümenin tahsisini (kullanımda ve ücretsiz) izler

8

$BOOT

Birimin ön yükleme kaydı

9

$BADCLUS

NTFS’nin bunları kullanmaya çalışmaması için kusurlu kümeleri işaretlemek için kullanılır

10

$SECURE

birim içindeki dosyalar için güvenlik bilgilerini izler

11

$UPCASE

dosya adının sıralanmasına yardımcı olmak için kullanılan unicode büyük harfli karakter tablosu

12

$EXTEND

$Objld, $Quota, $Reparse, $UsnJrnl içeren bir dizin

 

$MFT: dosyasından bahsettik

$MFTMIRR: İkinci kayıt olarak geçer, diskteki fiziksel hasar nedeniyle yukardaki kaydın okunamaması durumunda yukardaki $MFT kaydının bir yedeğini içerir. Sistemin $MFT dosyasının geri kalanında okunması gereken kayıttaki bilgiler, gerçekten yedeklenmeye ihtiyaç duyduğumuz tek şeydir, ancak diskte bir kümenin tamamı için yer ayırdığımız için tüm bir MFT kayıtları kümesi yedeklenecektir.

$LOGFILE dosyasından bahsettik

 

$VOLUME: Bu dosya bilgisayarımda ve diğer konumlarda görüntülenecek birimin kolay adının yanı sıra NTFS sürüm numarasını ve birimin son kullanımda temiz bir şekilde çıkarılıp çıkarılmadığını sisteme bildiren bir dizi işaret içerir

$ATTRDEF: Bu dosya, bu birimde kullanılan NTFS sürümünün NTFS özniteliklerini tanımlar.

5 numaralı MFT kaydı kök dizindir işlevsel olarak her zaman 5 numaralı kayıt olması ve adının tek bir nokta olmasıdır (“.”)

$BITMAP: Bu dosya, birim içindeki her küme için bir nite içeren uzun bir ikili veri dizisidir. Birimdeki her küme için, karşılık gelen bir kümenin bir dosyaya tahsis edilip edilmediğine bağlı olarak sırasıyla 1 veya 0 olarak ayarlanır.

$BOOT: Bu dosya VBR’ye normal dosya 1/0 işlemleriyle erişilmesine izin verir.

$BADCLUS: Bu dosya, dosya sistemine fiziksel hasar bulunan kümeleri işaretlemek ve dolayısıyla kullanmamak için bir yol sağlar bu da onları orya veri kaybetmeleri için güvenilmez hale getirir. $BadClus dosyası, dosya boyutu birim boyutuna eşit olan ve tüm sıfırlarla doldurulmuş seyrek bir dosyadır. Seyrek dosya tümü sıfır olan kümelerin diske yazılmadığı bir dosyadır. Dosyanın tamamı sıfır olduğundan, dosya için diskte yer ayrılmamıştır. Bir kümenin bozuk olduğu belirlenirse, bu dosyaya o kümenin konumuna karşılık gelen ofsette veriler yazılacaktır. Bu sahte “veri” aslında diske yerleştirilmez ancak bu “verinin” varlığı, $Bitmap dosyasının bu kümeyi kullanımda olarak işaretlemesine neden olur, bu nedenle gelecekte başka hiçbir yeni dosya bu kümeyi kullanmaya çalışmayacaktır. Gerçek dünyada, sabit disk denetleyicisi arızalı sektörleri yeniden eşler, bu nedenle bu arıza güvenliği nadiren herhangi bir kullanım elde eder.

$SECURE: Bu dosya, sistemdeki dosyaların güvenlik bilgilerini izlemek için kullanılan bir dizin içerir. Her bir dosya, dosyanın sahibine ve onu açmasına izin verilen kişilere ilişkin güvenlik bilgilerini içerecektir. Bu dizin, sisteme sahiptir hakkındaki bilgileri tutmak için merkezi bir yer sağlar, böylece bilgi aramasının her dosyada tekrarlanması gerekmez.

$UPCASE: Bu dosya, sistemi içindeki dosya adları için kullanılan her Unicode kod sayfası için büyük ve küçük Unicode harflerinin bir tablosunu içerir. Bu tablo, dosyaları ada göre sıralamak için kullanılır, böylece alfabetik olarak sıralama yapılırken “A” ve “a” yan yana gelir.

$EXTEND: Sistem kullanımı için ayrılmış 24 kayıt olmasına rağmen yeni sistem dosyaları tanıtıldığında, yeni sistem dosyalarını bu kayıtlara yerleştirmek yerine, yeni sistem dosyalarını tutmak için 11 numaralı kayda bir dizin giriş yerleştirilmiş ve bu yeni sistem dosyaları düzenli kullanımı için normal kayıtlara yerleştirildi.

$EXTEND$ObJId: Bu dosya, sürücüde bulunan ve kullanılan nesne kimliklerini içerir. Nesne kimlikleri, dosya taşınsa, yeniden adlandırılsa veya bağlantı dosyası gibi bir işaretçinin dosyayı bulabilmesine neden olacak şekilde değiştirilirse bile bir dosyanın izlenmesine izin verir.

$EXTEND$Quota: Bu dosya, bir sistem yöneticisinin bir kullanıcının çok fazla disk alanı kullanmasını teknik olarak engellemesi için her kullanıcının bu birimde ne kadar tahsis edilmiş alana izin verildiği ve bu birimde tükettiği hakkında bilgi içerir.

$EXTEND$Resparse: Bu dosya, mantıksal sürücüdeki –logical drive- yeniden ayrıştırma noktalarının bir dizini ile doldurulur. Yeniden ayrıştırma noktalarının çok sayıda kullanımı vardır, ancak en yaygın olanı bir dosyanın gerçekten yalnızca başka bir dosyayı gerçekten değiştirdiği sembolik bağlantılar içindir. Yeniden ayrıştırma noktaları, diğer birimleri bu birimde bir dizin olarak bağlamak için de kullanılır.

 $EXTEND$UsnJrnl:  Update Sequence Number -Güncel sıra numarası- (USN); Journal veya Change Journal olarak bilinmektedir sistemde değişen tüm dosyaları ve değişikliğin neden yapıldığını listeleyen bir dizindir.

 

NTFS Analizi

$MFT, $USNJRNL, $LOGFILE dosyalarını analiz etmek için bu üç dosyayı elde etmemiz gerekmektedir.  Bu 3 dosyada çalışır durumda olduğundan sistemde direk kopyalamamız mümkün değildir, bu dosyaları FTK Imager Lite, KAPE, CyLR toollarından herhangi birini kullanarak bu dosyaları export edebiliriz. (Bir olay müdahalesine gidildiği zaman EDR kullanımız yok ise usb bellek içerisinde FTK Imager Lite çalıştırmamız daha doğru olmaktadır normal kullanıcı olarak FTK Imager pc kurulup işlem devam ettirilebilir.)

Elde etmiş olduğumuz bu dosyaları parse etmemiz gerekmektedir. Parse etmek için MFTcmd, ANJP, NTFS Log Tracker araçlarını kullanabiliriz. Bu araçlar parse ettikten sonra analiz işlemlerini gerçekleştirebiliriz.

FTK Imager iler $MFT, $USNJRNL, $LOGFILE dosyaların elde edilmesi;

1.     FTK Imager başlatılır

2.     Canlı sistem diski veya Imaj dosyası seçilir

 

3.     C:$MFT, C:$LOGFILE,  C:$ExtendUSNjrnl dosya konumlarından dosyalar sağ tık yapılıp export edilir.

 

 4.     Görüldüğü gibi şu üç dosyayı elde ediyoruz.

 

Elde etmiş olduğumuz bu dosyaları analiz etmeden önce parse etmemiz gerekmektedir. Benim favori araçlarımdan olan ANJP aracı ile nasıl parse edildiğinden bahsedeceğim.

Anjp toolunu çalıştırdığımız zaman karşımıza

Ekran gelmektedir.

Case Name: Parse işlemi bittikten sonra dosyaya vereceğimiz isim olay adını yazabiliriz

Case: Parse edildikten sonra nereye kaydedileceği

MFT: Elde etmiş olduğumuz $MFT dosyasının yolu

LOGFILE: Elde etmiş olduğumuz $LOGFILE dosyasının yolu

USN: Elde etmiş olduğumuz $J dosyasının yolu

İlgili dosyaların konumlarını ve isimlerini belirledikten sonra parse butouna basıyoruz MFT dosya içerisinde barındırmış olduğu bilgilerden dolayı parse işlemi uzun sürebilmektedir.

 

Parse işlemi tamamlandıktan sonra karşımıza şöyle bir ekran gelmektedir. burada elde etmiş olduğumuz dosyaların parse işlemi gerçekleştirilmiştir. Sol üst sekmede reports kısmında parse edilen dosyaların içeriğine ulaşabiliriz.

 

Görüldüğü gibi tüm dosyaların parse işlemini gerçekleştirdik, bu sütunlarda dosyaya ait oluşturulma, değiştirme, MFT kayıt ve son erişim tarihleri bulunmakta.  (Burada dikkat etmemiz gereken durum options kısmında eğer bir time zone belirtmemiş isek GMT saat diliminde sunmaktadır eğer analizi gerçekleştirdiğimiz makinenin saat dilimini girerek tam saat elde etmiş olacağız.) İlgili dosyaları export alabilir yaşamış olduğumuz case’in kriterlerine göre filtreler uygulayabiliriz. 

 

NTFS dosya sisteminde analiz bu şekilde gerçekleştirilmektedir. NTFS dosyalar sistem üzerinde herhangi bir değişikliğe uğradığı zaman ne tür değişiklikler yapılır diye çeşitli testler gerçekleştirilmiştir. Anti-forensic tekniklerinden olan time stomping (https://www.muhammedaygun.com/2021/06/time-stomping-ile-anti-forensics.html)  tekniğine karşı yani bir dosya sisteme eklendiğine nelerin değiştirildiği nelerin değiştirilemediği hakkında testler yapılmıştır.

MFT analizinde; $STANDAR_INFORMATION ve $FILENAME dosyaları gözünüze takılmıştır.

$STANDAR_INFORMATION: Bir dosyadaki standart bilgileri, sahiplik bilgileri, metadata bilgileri, dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi, MFT de son değiştirilme tarihi olmak üzere toplam 4  zaman damgası vardır.

$FILENAME: Dosya ve dizinlerin adlarını saklamaktadır. Ayrıca bir dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi ve MFT deki son değişim tarihi olmak üzere toplam 4 adet zaman damgası bulunur.

Kısaca anlatmak istediğim MFT de toplam 8 adet zaman damgası bulunmaktadır. STANDARD_INFORMATION ve FILENAME arasındaki temel fark ise, STANDARD_INFORMATION kullanıcı tarafından değiştirilebilir zaman damgalarını barındırmaktadır. FILENAME zaman damgası ise ancak sistem çekirdeği tarafından değiştirilebilmektedir.  Aşağıda ekran görüntüsünde Cyberforensicator.com ve SANS Enstitüsü tarafından yapılan testler sonucunda bir dosyada neler yapıldığında hangi time ler değiştiği hakkında bilgi verilmiştir.

Örnek olması açısında Cyberforensicator.com Windows 10 için yapmış olduğu testin tablosunu yorulmayalım bir dosyanın adı değiştiğinde $ STANDARD_INFORMATION tarafından sadece metadata tarafında bulunan zaman değişmektedir. Modified, Access ve Creation timelar’da bir değişiklik olmaktadır. $FILE_NAME kısmına baktığımız zaman Modified, Acces, Creation ve Metadata timelarının hiç birinde değişiklik olmadığını görüyoruz.

Bu şekilde aşağıdaki tabloların neye ve nasıl zamanı değiştiği hakkında bilgi sahibi olabiliriz.

https://www.reddit.com/r/computerforensics/comments/87171h/windows_10_time_rules/


ref: (Windows 7 & 8 ) https://www.sans.org/posters/windows-forensic-analysis/

Kaynak

[1]- SANS FOR 500

[2]- https://countuponsecurity.com/tag/ntfs-logfile/#:~:text=Description%3A%20The%20Master%20File%20Table,the%20disk%20e.g%2C%20forensic%20image.