Veri Bütünlüğü için FTK Imager Kullanımı

Veri Bütünlüğü için FTK Imager Kullanımı

Merhaba, bu yazımda sizlere Veri Bütünlüğü için FTK Imager Kullanımı konusundan bahsedeceğim. Öncelikle FTK Imager download etmek için aşağıdaki web sitesine gidiyoruz.

FTK Imager

Ardından biraz sayfayı aşağı doğru indirerek Digital Forensics menüsüne gidiyoruz. Ve FTK Imager yazan exe dosyasını indiriyoruz.

FTK Imager Download

Disk imajı alacağımız bilgisayar üzerine uygulamamızı kuruyoruz.

FTK Imager ile Adli Disk Görüntüsü (İmaj) Nasıl Alınır?

Adli analiz süreçlerinde, verilerin orijinalliğini korumak ve delil güvenliğini sağlamak için orijinal veri yerine kopya bir disk görüntüsü üzerinden çalışmak oldukça önemlidir. FTK Imager, bu işlem için kullanabileceğiniz güçlü bir araçtır.

Adım Adım FTK Imager ile Adli Disk Görüntüsü Alma

1. FTK Imager’ı Başlatma ve Kaynak Seçimi

  • Programı açtıktan sonra File > Create Disk Image seçeneğine tıklayın.

  • Açılan pencerede, kaynak olarak Fiziksel Sürücü (Physical Drive) seçimini yapıp “İleri” butonuna tıklayın.

  • Disk listesinden görüntüsünü almak istediğiniz USB cihazını seçin ve işlemi başlatın.

2. İmaj Türü ve Doğrulama Ayarlarını Yapılandırma

  • Create Image penceresinde şu ayarları işaretlediğinizden emin olun:
  • Görüntüleri oluşturulduktan sonra doğrula (Verify images after they are created)
  • Görüntüdeki tüm dosyaların dizin listelerini oluştur (Create directory listings after image creation)
  • Görüntü türü olarak RAW (dd) seçeneğini belirleyin ve devam edin.

3. Kanıt Bilgilerini Girme

  • Case Details ekranına, vaka bilgilerini doldurun. Bu bilgiler, adli raporlarda dosya bütünlüğünün doğrulanması için kullanılır.
  • “İleri” seçeneğiyle devam edin.

4. Hedef Dizin ve Dosya Adı Ayarları

  • Disk görüntüsünün kaydedileceği hedef klasörü ve dosya adını belirleyin. İşlemi başlatmak için Start butonuna basın.

5. Hash Değerlerinin Doğrulanması

  • FTK Imager, hem fiziksel disk hem de oluşturulan görüntü için hash değerleri hesaplar ve bu değerleri karşılaştırarak dosya bütünlüğünü doğrular.
  • Computed Hash: Kaynak diskin hash değeri
  • Reported Hash: Oluşturulan imaj dosyasının hash değeri
  • İki değerin eşleşmesi, verilerin başarıyla kopyalandığını ve orijinal verinin korunduğunu kanıtlar.

FTK Imager Kullanımında Dikkat Edilmesi Gerekenler

Orijinal disk üzerindeki değişiklik riskini sıfıra indirmek için disk görüntüsünü alırken hiçbir aşamada orijinal verilere müdahale edilmemelidir.

İmaj alımı sonrası oluşturulan hash değerlerinin eşleştiğinden emin olunmalıdır. Bu, delilin güvenilirliğini doğrudan etkiler.


 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir