en case sürüm

EnCase Sürüm 4.x

ile

Çalışmanın Temelleri

Sürüm 1 – Şubat 2005

EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube

Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 2

İçindekiler

Önsöz......................................................................................................................... 7 1. EnCase Konsepti ............................................................................................... 8

1.1. Evidence File...........................................................................................................8 1.1.1. Cyclical Redundancy Check (CRC)................................................................................... 8 1.1.2. Evidence File Format......................................................................................................... 8 1.1.3. Sıkıştırma........................................................................................................................... 8 1.1.4. Delil dosyasının (Evidence File) doğrulanması ................................................................. 9 1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri ................................................................ 9

1.2. Case (olay) dosyaları..............................................................................................9 1.3. EnCase “.ini” dosyaları (ayar dosyaları) ............................................................10 1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-Rom’u...................10 1.5. EnCase programı ..................................................................................................10 1.6. Fastblock...............................................................................................................10 1.7. Modüller.................................................................................................................11

1.7.1. Virtual File System (VFS) ................................................................................................ 11 1.7.2. EnCase Decryption Suite (EDS)...................................................................................... 12 1.7.3. Physical Disk Emulator (PDE) ......................................................................................... 12

2. EnCase içinde yön bulma ............................................................................... 13 2.1. “View” (görünüm) alanı........................................................................................14 2.2. “Tab” (sekme) görünümü ....................................................................................14

2.2.1. Table (tablo)..................................................................................................................... 14 2.2.1.1. Adım adım sütunlar ................................................................................................. 14 2.2.1.2. Sütun görünümü...................................................................................................... 17

2.2.2. Report (rapor) .................................................................................................................. 17 2.2.3. Gallery.............................................................................................................................. 18

2.2.3.1. Görünüm ................................................................................................................. 19 2.2.4. Timeline (zaman doğrusu) ............................................................................................... 20

2.2.4.1. Görünüm ................................................................................................................. 21 2.3. “Sub-Tab” (alt sekme) görünümü .......................................................................21

2.3.1. Hex, Text ve Report ........................................................................................................ 21 2.3.2. Picture (resim) ................................................................................................................. 21 2.3.3. Disk (veri ortamı) ............................................................................................................. 22 2.3.4. Console (konsol) ............................................................................................................. 22 2.3.5. Filters (filtreler) ................................................................................................................ 22 2.3.6. Queries (sorgulamalar) ................................................................................................... 22 2.3.7. Lock (kilitle) ..................................................................................................................... 22 2.3.8. Dixon Box ve Sektor/Cluster bilgileri ............................................................................... 22

2.4. Araç çubuğu..........................................................................................................22 2.4.1. New (yeni) ....................................................................................................................... 22 2.4.2. Open (aç) ........................................................................................................................ 23 2.4.3. Save (kaydet) .................................................................................................................. 23 2.4.4. Print (yazdır) ................................................................................................................... 23 2.4.5. Add Device (aygıt/veri ortamı ekle) ................................................................................. 23 2.4.6. Acquire (veri edinme) ...................................................................................................... 23 2.4.7. Search (arama) ............................................................................................................... 23 2.4.8. 2.4.8 Refresh (güncelle) 8) .............................................................................................. 23



2.5. Menü çubuğu ........................................................................................................24 2.5.1. File ................................................................................................................................... 24

2.5.1.1. New (yeni) ............................................................................................................... 24 2.5.1.2. Open (aç) ................................................................................................................ 24 2.5.1.3. Save (kaydet) .......................................................................................................... 24 2.5.1.4. Save as (farklı kaydet) ............................................................................................ 25 2.5.1.5. Save all (tümünü kaydet) ........................................................................................ 25 2.5.1.6. Add device (aygıt/veri ortamı ekle) ......................................................................... 25 2.5.1.7. Add Raw Image (ham kopya ekle).......................................................................... 26 2.5.1.8. Exit EnCase (EnCase’i kapat)................................................................................. 26

2.5.2. Edit ................................................................................................................................... 27 2.5.2.1. Close (kapat)........................................................................................................... 27 2.5.2.2. Copy Folders (klasörü kopyala) .............................................................................. 27 2.5.2.3. Bookmark Files / Bookmark Folder Structure ........................................................ 28 2.5.2.4. Create Hash Set (Hash set oluştur) ........................................................................ 28 2.5.2.5. Export (dışarı taşı)................................................................................................... 29 2.5.2.6. Recover Folders (klasörü kurtar) ............................................................................ 29 2.5.2.7. Acquire (veri edin) ................................................................................................... 30 2.5.2.8. Restore (kurtar) ....................................................................................................... 30 2.5.2.9. Hash........................................................................................................................ 31 2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi) ................. 31 2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 32 2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 32 2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 32 2.5.2.14. Mount as Network Share......................................................................................... 33 2.5.2.15. Mount as Emulated Disk ......................................................................................... 33 2.5.2.16. Send To (gönder) .................................................................................................... 34 2.5.2.17. Show columns (sütunları göster) ............................................................................ 34 2.5.2.18. Column (sütun)........................................................................................................ 35 2.5.2.19. Sort (sırala) ............................................................................................................. 35 2.5.2.20. Select Item (seç) ..................................................................................................... 36

2.5.3. View (görünüm)................................................................................................................ 36 2.5.3.1. Cases (olaylar) ........................................................................................................ 36 2.5.3.2. Bookmarks (yerimleri) ............................................................................................. 37 2.5.3.3. Devices (sürücüler) ................................................................................................. 37 2.5.3.4. File Types (dosya tipleri) ......................................................................................... 38 2.5.3.5. File Signatures (dosya imzaları) ............................................................................. 38 2.5.3.6. File Viewers (dosya görüntüleyiciler) ...................................................................... 39 2.5.3.7. Keywords (anahtar kelimeler) ................................................................................. 39 2.5.3.8. Search Hits (arama sonuçları) ................................................................................ 40 2.5.3.9. Security IDs (güvenlik kimlikleri) ............................................................................. 40 2.5.3.10. Text Styles (metin biçemleri)................................................................................... 41 2.5.3.11. Scripts (betikler) ...................................................................................................... 41 2.5.3.12. Hash Sets (Hash setleri) ......................................................................................... 42

2.5.4. Tools ................................................................................................................................ 42 2.5.4.1. Search (arama) ....................................................................................................... 42 2.5.4.2. Select all entries (kayıtların tümünü seç) ................................................................ 42 2.5.4.3. Wipe Drive (veri ortamının üzerine yaz).................................................................. 43 2.5.4.4. Verify Evidence Files (delil dosyalarını doğrula)..................................................... 43 2.5.4.5. Create Boot Disk (önyükleme disketi hazırla) ......................................................... 43 2.5.4.6. Options (seçenekler) ............................................................................................... 44 2.5.4.7. Refresh (güncelle)................................................................................................... 45

2.5.5. Help (yardım) ................................................................................................................... 45 2.5.5.1. About EnCase (EnCase hakkında) ......................................................................... 45

2.6. Menü pencerelerindeki komutlar.........................................................................46 2.6.1. Cases Menü (olaylar menüsü)......................................................................................... 46

2.6.1.1. Close (kapat)........................................................................................................... 46 2.6.1.2. Copy Folders (klasörü kopyala) .............................................................................. 46 2.6.1.3. Bookmark Files (yerimi koy).................................................................................... 47 2.6.1.4. Bookmark Folder Structure (klasör yapısına yerimi koy) ........................................ 47 2.6.1.5. Create Hash Set (Hash set oluştur) ........................................................................ 48



2.6.1.6. Export (dışarı taşı)................................................................................................... 48 2.6.1.7. Recover Folders (klasörü kurtar) ............................................................................ 49 2.6.1.8. Acquire (veri edin) ................................................................................................... 49 2.6.1.9. Restore (kurtar) ....................................................................................................... 50 2.6.1.10. Hash........................................................................................................................ 50 2.6.1.11. Scan Disk Configuration (veri ortamı konfigürasyonunu denetle)........................... 51 2.6.1.12. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 51 2.6.1.13. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 52 2.6.1.14. Export Selected Files to i2 ...................................................................................... 52 2.6.1.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 53 2.6.1.16. Copy/Unerase (kopyala/geri al) .............................................................................. 53 2.6.1.17. View File Structure (dosya yapısını göster) ............................................................ 54 2.6.1.18. Send to (gönder) ..................................................................................................... 54 2.6.1.19. Show Columns (sütunları göster)............................................................................ 55 2.6.1.20. Column (sütun)........................................................................................................ 55 2.6.1.21. Sort (sırala) ............................................................................................................. 56

2.6.2. Bookmark Menü (yerimleri menüsü)................................................................................ 56 2.6.2.1. Copy/Unerase (kopyala/geri al) .............................................................................. 56 2.6.2.2. Bookmark Files (yerimi koy).................................................................................... 57 2.6.2.3. Create Hash Set (Hash set oluştur) ........................................................................ 57 2.6.2.4. View File Structure (dosya yapısını göster) ............................................................ 58 2.6.2.5. Send to (gönder) ..................................................................................................... 58 2.6.2.6. Edit (düzenle) .......................................................................................................... 59 2.6.2.7. Add Note (not ekle) ................................................................................................. 59 2.6.2.8. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 60 2.6.2.9. Delete (sil) ............................................................................................................... 60 2.6.2.10. Delete all selected (seçili yerimlerinin tümünü sil) .................................................. 61 2.6.2.11. Exclude (hariç tut) ................................................................................................... 61 2.6.2.12. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 62 2.6.2.13. Export (dışarı taşı)................................................................................................... 62 2.6.2.14. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 63 2.6.2.15. Summary Bookmark (derleme yerimi) .................................................................... 63 2.6.2.16. Tag File (dosya etiketi)............................................................................................ 63 2.6.2.17. Tag selected files (seçilen dosyaları işaretle) ......................................................... 64 2.6.2.18. Show Columns (sütunları göster)............................................................................ 64 2.6.2.19. Column (sütun)........................................................................................................ 65 2.6.2.20. Sort (sırala) ............................................................................................................. 65 2.6.2.21. Select Item (seç) ..................................................................................................... 66

2.6.3. Keywords Menü (anahtar kelime menüsü) ...................................................................... 66 2.6.3.1. Edit (düzenle) .......................................................................................................... 66 2.6.3.2. New (yeni) ............................................................................................................... 66 2.6.3.3. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 67 2.6.3.4. Bookmark Data (yerimi koy).................................................................................... 67 2.6.3.5. Delete (sil) ............................................................................................................... 67 2.6.3.6. Delete all selected (seçili anahtar kelimelerin tümünü sil) ...................................... 68 2.6.3.7. Exclude (hariç tut) ................................................................................................... 68 2.6.3.8. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 68 2.6.3.9. Export (dışarı taşı)................................................................................................... 69 2.6.3.10. Import (dışarıdan aktar)........................................................................................... 69 2.6.3.11. Add Keyword List (anahtar kelime listesi ekle) ....................................................... 70 2.6.3.12. Rename (ad değiştir)............................................................................................... 70 2.6.3.13. New Folder (yeni klasör) ......................................................................................... 71 2.6.3.14. Expand / Contract (genişlet/daralt) ......................................................................... 71 2.6.3.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 72 2.6.3.16. Show Columns (sütunları göster)............................................................................ 72 2.6.3.17. Column (sütun)........................................................................................................ 73 2.6.3.18. Sort (sırala) ............................................................................................................. 73 2.6.3.19. Select Item (seç) ..................................................................................................... 73

2.6.4. Search Hits Menü (arama sonuçları menüsü) ................................................................. 74 2.6.4.1. Copy/Unerase (kopyala/geri al) .............................................................................. 74 2.6.4.2. Bookmark Files (yerimi koy).................................................................................... 74 2.6.4.3. Create Hash Set (Hash set oluştur) ........................................................................ 75



2.6.4.4. View File Structure (dosya yapısını göster) ............................................................ 75 2.6.4.5. Send to (gönder) ..................................................................................................... 76 2.6.4.6. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 76 2.6.4.7. Delete (sil) ............................................................................................................... 77 2.6.4.8. Delete All Selected (seçili anahtar kelimelerin tümünü sil) ..................................... 77 2.6.4.9. Exclude (hariç tut) ................................................................................................... 78 2.6.4.10. Exclude All Selected (seçili dosyaların tümünü hariç tut) ....................................... 78 2.6.4.11. Export (dışarı taşı)................................................................................................... 79 2.6.4.12. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 79 2.6.4.13. Tag File (dosya etiketi)............................................................................................ 79 2.6.4.14. Tag Selected Files (seçilen dosyaları işaretle) ....................................................... 80 2.6.4.15. View Search Hits (arama sonuçlarını göster) ......................................................... 80 2.6.4.16. Bookmark Selected Items (seçili arama sonuçlarına yerimi koy) ........................... 80 2.6.4.17. Show Columns (sütunları göster)............................................................................ 81 2.6.4.18. Column (sütun)........................................................................................................ 81 2.6.4.19. Sort (sırala) ............................................................................................................. 82 2.6.4.20. Select Item (seç) ..................................................................................................... 82

3. Uygulamada EnCase....................................................................................... 83 3.1. EnCase programının kurulması...........................................................................83

3.1.1. Program ........................................................................................................................... 83 3.1.2. Dongle sürücüsü.............................................................................................................. 83 3.1.3. Guidance İnternet sitesinden tedarik edilebilecek güncellemeler.................................... 84

3.2. Bootdisk (önyükleme disketi)..............................................................................85 3.2.1. EnCase’de boot disketi hazırlanması .............................................................................. 85 3.2.2. ENBD hazırlanması ......................................................................................................... 85

3.3. Görüntü (Image) oluşturma .................................................................................86 3.3.1. Boot Disk.......................................................................................................................... 86

3.3.1.1. EBD ile Drive-to-Drive-Acquisition .......................................................................... 86 3.3.1.2. ENBD ile Crossover-Acquisition ............................................................................. 86

3.3.2. Windows için EnCase ...................................................................................................... 87 3.3.2.1. New (yeni olay yaratma) ......................................................................................... 88 3.3.2.2. Add device (veri ortamı ekle) .................................................................................. 88 3.3.2.3. Acquire (veri edinme) .............................................................................................. 90 3.3.2.4. Options (seçenekler) ............................................................................................... 91

3.4. Değerlendirme ......................................................................................................93 3.4.1. Yeni Case (olay) yaratma ................................................................................................ 93

3.4.1.1. Olay organizasyonu ................................................................................................ 93 3.4.1.2. Veri girme ve yol değiştirme.................................................................................... 93 3.4.1.3. İmge dosyalarının eklenmesi .................................................................................. 94 3.4.1.4. Uyum ayarlarının yapılması .................................................................................... 97

3.4.2. Ön çalışmalar................................................................................................................... 97 3.4.2.1. Verify File Integrity (veri bütünlüğünün doğrulanması) ........................................... 98 3.4.2.2. “Acquisition Hash” ve “Verify Hash” karşılaştırması ............................................... 98 3.4.2.3. Scan Disk Configuration........................................................................................ 100 3.4.2.4. File System (dosya sistemi)’nin belirlenmesi ........................................................ 100 3.4.2.5. Silimmiş bölüntülerin kurtarılması ......................................................................... 101 3.4.2.6. Recover Folders (klasörü kurtar) .......................................................................... 101 3.4.2.7. Mount Compound Files (bileşik dosyaları ilişkilendir) ........................................... 102 3.4.2.8. File Mounter Script ................................................................................................ 103 3.4.2.9. Verify File Signatures (dosya imzalarının doğrulanması) ..................................... 104 3.4.2.10. Hash analizi........................................................................................................... 105 3.4.2.11. Initialize Case-Script (olayın başlatılması) ............................................................ 109

3.4.3. Arama ............................................................................................................................ 109 3.4.3.1. Keywords (anahtar kelimeler) organizasyonu....................................................... 109 3.4.3.2. Aramayı başlat ...................................................................................................... 113

3.4.4. Bookmarks (yerimleri) .................................................................................................... 114 3.4.4.1. Yerimlerinin anlaşılması ........................................................................................ 114 3.4.4.2. Yerimi görünümü................................................................................................... 118



3.4.4.3. Ayrıntılar: Yerimi oluşturma................................................................................... 120 3.4.4.4. Rapor fonksiyonu .................................................................................................. 121

3.4.5. Dosyaların/klasörlerin dışarı aktarılması ....................................................................... 122 3.4.5.1. Copy/Unerase (kopyala/geri al) ............................................................................ 122 3.4.5.2. Copy Folders......................................................................................................... 125 3.4.5.3. Export .................................................................................................................... 126

Şekiller Dizini .........................................................................................................128



Önsöz

Eldeki bu kılavuz EnCase programı ile veri ortamlarının incelenmesi için polis uygulamalarından elde edilip yine polis uygulamaları için hazırlanmış bir yardımcı elkitabı niteliğindedir. Ancak yalnızca programa yeni başlayanlar için bir eğitim kitabı olmayıp, gündelik işlerinde EnCase ile çalışmayanlar (...ve bu yüzden program yapısının karmaşık olmasından dolayı standart komutlara ulaşmanın yolunu unutanlar...) için bir başvuru kaynağı olması düşünülmüştür.

Kılavuz üç bölüme ayrılmıştır:

• EnCase Konsepti: Bu bölümde yazılım yapısı, programın kısımları ve EnCase’in çalışma şekli hakkında bilgi edinebilirsiniz.

• EnCase’de yön bulma: Neredeyse tüm menü ve pencere özelliklerine ait açıklamalar. • Uygulamada EnCase: EnCase’in etkin kullanımı için olay incelemelerine göre hazırlanmış

uygulama önerileri.

Bu kitabın amacı EnCase eğitiminin yerini almak değildir ve olmamalıdır, ancak gündelik işlerde ve bunlarla ilişkili sorunlarda bir başvuru kaynağı olabilir.

Okurken sıkılmamanızı ve EnCase ile değerlendirme yaparken başarılar dilerim.

Armin Kisling



1. EnCase Konsepti

1.1. Evidence File

EnCase programının merkezi bileşeni “Evidence File”dır. Bu dosya, inceleme sırasında veri ortamının durumunun güvenli bir şekilde tarif edilmesini sağlayan üç temel bileşen (başlık, kontrol toplamı ve veri blokları) içermektedir.

1.1.1. Cyclical Redundancy Check (CRC) CRC normal bir kontrol toplamının bir türevidir ve neredeyse aynı şekilde işlemektedir. CRC, “1234” sayı dizisi ile “4321” sayı dizisinin değerlerinin eşit olduğu kontrol toplamından bu hususta ayrılmaktadır. Çoğu sabit disk her sektör için CRC kaydeder. Diskte bir yazma hatası oluştuğunda, o sektörün CRC değeri, disk sürücüsü donanımının o sektörü okuduktan sonra hesapladığı değere eşit olmaz. Bu durumda bir “Low-Level Disk Read Error” ortaya çıkar.

1.1.2. Evidence File Format Her dosya veri ortamının sektör sektör tıpkı kopyasıdır. Bir dosya oluşturulduğunda, kullanıcı onu soruşturma için gerekli bilgilerle donatır (günlük numarası, inceleyen, notlar, vs.), bunlar da daha sonra “Olay bilgileri” bloğuna kaydedilebilir. Dosyanın her baytı 32 bitlik CRC ile doğrulanır, bu da elde edilen verilerin sonradan tahrif edilmesini neredeyse olanaksız kılar. Farklı veri içeriğine sahip iki sektörün aynı CRC’yi üretmeleri olasılığı tahminen dört milyarda birdir. EnCase programı tüm veri ortamı kopyası için bir CRC değeri oluşturmak yerine, ona 64 sektörlük (32 KB) bir blok ekler. Bu sayede güvenlik ve hız arasında iyi bir ortak payda bulunmuş olur.

Şekil 1: EnCase veri formatının görünüşü

1.1.3. Sıkıştırma EnCase, sıkıştırma algoritması sayesinde veri edinilmesi sırasında veri ortamını asıl boyutunun %50’sine kadar küçültebilmektedir. Sıkıştırılmış delil dosyalarının (Evidence File) oluşturulması daha uzun sürmektedir, çünkü salt veri edinme sürecine bir de sıkıştırma süreci eklenmektedir.

Olay bilgileri Veri içeren 64 sektör



Şekil 2: Bir imgenin (Image) okunması sırasında doğrulama

1.1.4. Delil dosyasının (Evidence File) doğrulanması

Bir delil dosyası otomatik olarak veya elle doğrulanabilir. Delil dosyası EnCase’deki bir olaya eklendiğinde doğrulama işlemi otomatik olarak başlar. Kısmen birkaç saat sürebilen bu işlem sırasında inceleyen olay üzerinde normal şekilde çalışmaya devam edebilir. Doğrulama işlemi durdurulabilir ve tamamen bitmediği sürece, olay her açıldığında otomatik olarak başlar. Bir doğrulama işlemini yeniden yürütmek için, “View” görünümündeyken ilgili veri ortamı üzerine sağ tık yapılarak, açılan menüde “Verify File Integrity” komutu seçilerek işlem elle başlatılabilir.

1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri EnCase, bir fiziksel veri ortamından veya bir mantıksal sürücüden veri edinildiğinde bir MD5 Hash değeri hesaplar. Hash değeri delil dosyası (Evidence File) içine yazılır ve olay dokümantasyonunun bir parçası olur. Bir delil dosyası EnCase’deki bir olaya eklendiğinde, EnCase kayıtlı olan değeri kendi hesapladığı değerle karşılaştırır. Sonuç raporda gösterilir ve burada her zaman görülebilir. Hash değeri ilgili veri ortamı veya sürücü üzerine sağ tık yapılarak ve açılan menüden “Hash” komutu seçilerek kontrol için yeniden hesaplanabilir.

1.2. Case (olay) dosyaları

Bir olay dosyası (Case File, “*.cas”) aşağıdakiler gibi yol bilgilerini ve olay bilgilerini içeren bir metin dosyasıdır:

• Yerimleri

• Arama sonuçları

• Sınıflandırmalar

• Hash değeri analizleri

• Dosya imzaları sonuçları

İnceleyen kişi olayı kaydettiğinde bir olay dosyası (Case File) üretilir. Otomatik ara kaydetme aktifse, ayrıca olayın bir de güvenlik kopyası aynı klasör altına kaydedilir (*.cbak).

Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları



1.3. EnCase “.ini” dosyaları (ayar dosyaları)

EnCase, her olayda genel ayarlara erişebilmek için “*.ini” dosyaları kullanır. Bunlar örneğin aşağıdaki bilgileri içerirler: • İmza tablosu

• Dosya tipleri

• Dosya görüntüleyici

• Filtre

• Anahtar kavramlar

• Metin biçemleri

Bu “*.ini” dosyaları bilgisayardan bilgisayara kopyalanarak ayarlar taşınabilir.

Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:\Programme\EnCase4)

1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-Rom’u

EnCase programının DOS sürümünün başlatılabileceği iki tür önyükleme disketi vardır. EnCase Boot (önyükleme) disketi (EBD) sürücüden sürücüye veri edinimi için, EnCase Network Boot (önyükleme) disketi (ENBD) ise buna ek olarak ağ kablosu üzerinden geçişli veri edinimi için kullanılır. Her iki halde de yazılım yoluyla sabit diske yazılmaması sağlanır, bu da pahalı yazma koruma donanımlarının kullanılmasından tasarruf sağlar.

1.5. EnCase programı

EnCase programının Windows sürümü hem olay verilerinin edinilmesi hem de incelenmesi için kullanılabilir. Bir tek platform üzerinde imge (Image) oluşturulabilir, kaydedilebilir, görüntülenebilir ve en ayrıntılı açılardan incelenebilir. Eğer EnCase programından azami derecede faydalanmak istenirse, raporlamanın büyük bir kısmı bir metin işleme programı kullanılmadan halledilebilir.

1.6. Fastblock

“Fastblock”, Guidance firmasının ürettiği ve halen iki seçenek halinde (donanım ve yazılım seçeneği) tedarik edilebilen yazma koruma serisinin adıdır. “Fastblock” kullanılarak kaynak ortama yazma erişimi olmaması ve veri ortamının korumaya rağmen değiştirilememesi sağlanır.



Bunun yanı sıra işlev bakımından eşdeğer ve EnCase ile sorunsuzca birlikte çalışabilen ürünler üreten çok sayıda üretici bulunmaktadır. Bir ürün seçiminde belirleyici kriter özellikle veri transfer oranı ile mümkün olduğunca fazla bağlantı formatını (S-ATA, IDE, SCSI, vs.) desteklemesidir.

ÖNEMLİDİR: Yazma koruma OLMADAN veri edinme işlemine başlanmamalıdır! Pek çok kriminal teknik kural vardır – ancak bu belki de en önemlisidir!

Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde

1.7. Modüller

Guidance firması EnCase programının yeteneklerinin genişletilmesi için EnCase lisansından ayrı olarak satın alınması gereken üç program modülü sunmaktadır.

1.7.1. Virtual File System (VFS) • Ağ paylaşımına açılmış (Windows ortamında ağ paylaşımlı olarak görünürler ama paylaşımda

oldukları diğer kullanıcılar tarafından görülemez) yazma korumalı şüpheli veri ortamları, mantıksal sürücüler, klasörler, vs. gibi ortamlara erişimi olanaklı kılar.

• VFS, EnCase ortamı dışında yazma korumalı olay incelemeleri için basit bir platform sağlar.

• Dosyalar, EnCase’de olduğu gibi dosya sistemiyle aynı özellikleri içermektedirler (atanmış (allocated) dosyalar, silinmiş dosyalar, “Alternate Data Streams” (ADS) ve “Unallocated Space” gibi dahili sistem dosyaları).

• Yazma korumalı ortam bir defa bağlandıktan sonra her Windows uygulaması tarafından kullanılabilir (ör. Windows Explorer veya virüs tarayıcı, Spyware araçları veya Truva atı araçları vs. gibi başka uygulamalar).



• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar (soruşturma memurları, savcılar, hakimler vs.)

• Desteklediği dosya sistemleri: DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX (Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) ve Palm (Palm OS).

• EnCase tarafından kurtarılan eklentili Windows RAID sistemleri, dinamik sabit diskler ve NTFS ile sıkıştırılmış veya şifrelenmiş sürücüler.

1.7.2. EnCase Decryption Suite (EDS) • Microsoft Encrypting File Systems (EFS) tarafından şifrelenmiş dosya veya klasörleri, hatta

Domain üzerinden yetkilendirilen kullanıcı hesaplarını destekler.

• Outlook PST şifrelerini (Outlook 2003 hariç) destekler.

• Internet Explorer’ın Windows Registry tarafından korunmuş yazma alanlarının otomatik olarak deşifre ve analiz edilmesini olanaklı kılar.

1.7.3. Physical Disk Emulator (PDE)

• Veri ortamlarının veya CD-Rom’ların imgelerini (Image) yazma korumalı yerel sürücü olarak değerlendirme sistemine dahil eder.

• Başka firmaların aletlerinin kullanılmasına olanak tanır.

• VMWare kullanıldığında, PDE (deneyimlere göre olayların %30 ila %50’sinde) işletim sisteminin imge (Image) üzerinden önyükleme (boot) yapılmasına olanak sağlar. İnceleyen için zanlının bilgisayarının el konulduğu zamandaki durumunun tamamen yeni – yazma korumalı – incelenmesi olanağı doğar.

• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar (soruşturma memurları, savcılar, hakimler vs.)

• PDE, Windows Explorer’ın göz ardı ettiği, ancak WMWare tarafından rahatlıkla görülebilen ve önyükleme yapılabilen kendi dosya sistemlerini yükleyebilir. Windows, Linux ve Free BSD formatlarını okuyamıyorken, aşağıdaki dosya sistemleri çoğu durumda VMWare ile önyükleme yapılabilmektedir: • Windows (DOS, FAT 12/16/32, NTFS),

• Linux (SuSE, Red Hat ve Mandrake),

• Free BSD

• NetWare.



2. EnCase içinde yön bulma

Şekil 6: Windows için EnCase program penceresi görünüşü

(Görünüm) (Sekme)

(Alt sekme)



2.1. “View” (görünüm) alanı

Şekil 7: View görünümü

Görünüm “View” (1) menüsünden seçilir. Bu seçimden sonra seçilen görünüm bir simge (2) üzerinden daima erişilebilir kalır, yazılar ise tercihe göre gösterilip gizlenebilir.

Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi alanın gösterileceğini belirlemek için HOMEPLATE (3) kullanılır. Beşgen kutucuk işaretlenirse, onun altındaki tüm dosya ve klasörler ile alt klasörler ve onların içindeki dosyalar sekme alanında gösterilir.

EnCase’in 3 sürümünün aksine, burada birden fazla dizin birbirinden bağımsız olarak sekme alanında gösterilebilmektedir. Bunun için CTRL tuşu basılı tutularak dizinler seçilebilir.

HOMEPLATE’in mantıksal ifadesi: Bu dizin altındaki her şeyi, tüm klasörler, dosyalar ve kayıtlar dahil olmak üzere, göster.

Buna karşın, üzerine tıklandığında mavi bir kanca beliren kare kutu (4) işaretlenebilir. Bu işaretleme sekme alanındaki görünümü değiştirmez, daha çok belirli komutların uygulanması için dosyaların, kayıtların ve klasörlerin seçilmesine yarar (ör. kopyalama vs.).

2.2. “Tab” (sekme) görünümü

2.2.1. Table (tablo) Kayıt hakkındaki her bilgi sütunu sıralama kriteri olarak kullanılabilir.

Sıralamanın en basit olanağı, istenen sütunun gri fonlu başlık alanına çift tıklanmasıdır. Kriter olarak birden fazla sütun kullanılacaksa, çift tıklama sırasında SHIFT tuşu basılı tutulmalıdır. En fazla beş sıralama kriteri seçilebilir. Aynı şekilde her bir sütunun yeri de değiştirilebilir; bunun için istenen sütun farenin sol tuşuna basılarak işaretlenir ve tuş basılı haldeyken istenen yere sürüklenir.

Bir dosyayı doğrudan incelemek için (ayrı bir pencerede), o dosyanın çift tık ile seçilmesi gerekir. Bunun üzerine EnCase veri bankasında açılan bu dosyaya ait hangi atamaların olduğu denetlenir. Bu işlem sırasında dosyanın doğrudan EnCase içinde mi gösterileceği (ancak gösterilemeyen bir formatta Hex görünümü açılır), dosyanın Windows altındaki programla mı açılacağı yoksa ayarlanmış bir görüntüleme programı ile mi gösterileceği ayırt edilebilir. Dosya EnCase’in geçici dizinine kopyalanır ve oradan açılır. Bu sayede imge (Image) değişmez!

2.2.1.1. Adım adım sütunlar



Şekil 8: Tablo sütunları - 1. bölüm

• (1) Name (Adı) Dosyanın tam adı

• (2) Filter (Filtre) Eğer dosyalar filtre üzerinden gösterilecekse, filtrenin adı gösterilir.

• (3) In Report (Rapor İçinde) Kaydın Rapor İçinde gösterilebilmesi için sağ tık ile açılan menüden seçilmesi gerekir.

• (4) File Ext (Dosya Uzantısı) Dosya uzantısı

• (5) File Type (Dosya Tipi) Dosya uzantısına göre dosyanın tipi

• (6) File Category (Dosya Kategorisi) Dosya kategorisi (“sahte imza” algılandığında değişebilir)

• (7) Signature (İmza) Başlık ve uzantı arasındaki kontrolün sonucu (bkz. ayrıca “Signature Analyse”).

• (8) Description (Tanım) Dosyanın cinsi (klasör, dosya, arşiv, salt okunur, vs.).

• (9) Is Deleted (Silinmiş) Kaydın dosya sisteminde silinmiş olarak kayıtlı olup olmadığını gösterir.

• (10) Last Accessed (Son Erişim) Son erişim

• (11) File Created (Yaratılma Tarihi) İncelenen sistemde dosyanın yaratıldığı tarih.


• (12) Last Written (Son Yazma Tarihi) Son yazma tarihi

• (13) Entry Modified (Son Değişiklik) Kayıt yalnız NTFS dosya sistemlerinde mevcuttur (MFT kaydında değişiklik)



• (14) File Deleted (Silinmiş Dosya) Silme tarihi (dosyanın çöp sepetine atıldığı zaman).

• (15) Logical Size (Mantıksal Boyut) Dosyanın mantıksal boyutu (bayt)

• (16) Physical Size (Fiziksel Boyut) Dosyanın fiziksel boyutu (sektör içindeki boş alanların baytı dahil).

• (17) Starting Extend Kaydın başlangıç kümesini gösterir.

• (18) File Extents Dosya bölünmüş ise, DATA Runs adedi.

• (19) Permissions

NTFS sistemlerde erişim yetkilerini gösterir

• (20) Bookmarks (yerimi) Bir dosyanın ya da içeriğinin ne sıklıkla yerimlerine kaydedildiğinin sayısı.

• (21) Physical Location (Fiziksel Yer) Kaydın bayt cinsinden fiziksel yeri.

• (22) Physical Sector (Fiziksel Sektör) Veri ortamı üzerinde dosyanın başladığı fiziksel sektörü gösterir.


• (23) File Identifier NTFS dosya sistemlerinde MFT kayıtlarının numarası.

• (24) Evidence File (Delil Dosyası) Kaydın ait olduğu imge ya da cihaz adı.

• (25) Hash Value (Hash Değeri) Dosyanın Hash değeri

• (26) Hash Set Dosyanın Hash değerini içeren Hash setini gösterir.

• (27) Hash Category (Hash Kategorisi) Hash setine verilen kategorinin adı.

• (28) Full Path (Dosya Yolu) EnCase’deki görünüme göre yol bilgisi (Dikkat: Sürücü harfleri orijinal sistemdekilerle aynı olmalıdır!)



• (29) Short Name (Kısa Adı) DOS 8.3 formatında dosya adı

• (30) Unique Name (Özgün Adı)

• (31) Original Path (Orijinal Yol)

2.2.1.2. Sütun görünümü

Sıralama • Sütuna çift tıklandığında = küçükten büyüğe doğru sıralanır (Şekil 11)

• CTRL tuşuna basılarak sütuna çift tıklandığında: büyükten küçüğe doğru sıralanır (Şekil 12)

• SHIFT tuşuna basılarak başka bir sütuna çift tıklandığında: ikinci sıralama kriteri eklenir (Şekil 13)

• Alternatif olarak sekme alanına sağ tıklandığında açılan menüden “Sort” satırı seçilerek de sıralama yapılabilir.

Şekil 11: Küçükten büyüğe doğru sıralama

Şekil 12: Büyükten küçüğe doğru sıralama

Şekil 13: İkinci sıralama kriteri ile sıralama

Un-/Lock Column Sütunu kilitlemek veya serbest bırakmak için ilgili sütuna çift tık yapılır. Açılan menüde “Column” satırından “Lock” ya da “Unlock” seçenekleri işaretlenir.

Göster/Gizle Görünüşü basitleştirmek için sütun sayısı azaltılmak isteniyorsa, sekme alanına sağ tıklanır. Açılan menüden “Show Columns” satırı seçilir ve görüntülenmesi istenmeyen sütunların işaret kutularındaki işaretler kaldırılır. Münferit sütunlar menü penceresindeki “Column/Hide” (CTRL + H) satırından da gizlenebilir.

Sütunları kaydırma Sütunlar “sürükle ve bırak” yöntemiyle yer değiştirebilir.

2.2.2. Report (rapor) Rapor, EnCase’in sunduğu en önemli yardımcı araçlardan biridir. Rapor içinde olaya ait sürücüler, dizin yapısı, dosyalar, fragmanlar vs. ile ilgili olabilecek tüm bilgiler özetlenebilir. Püf Noktası: Bir dosyanın “Bookmarking” işleminden geçmeden rapor içinde gösterilmesi için kısa ve etkili bir alternatif bulunmaktadır. Tek bir dosyayı rapor içine almak için dosyanın sekme alanında “In Report” sütununa sağ tıklanarak “In Report” satırına tıklanır. Rapor artık yazdırılabilir veya kullanılabilen çeşitli formatlara dönüştürülerek soruşturma dosyasına eklenebilir.



Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor

2.2.2.1.1. Zoom In / Out (1) Rapor, üzerine sağ tıklanarak daha iyi görülebilmesi için yakınlaştırılıp uzaklaştırılabilir.

2.2.2.1.2. Export (2)

• Belge Rapor “.rtf” formatında belge olarak dışarıya aktarılabilir.

• Web sayfası Rapor “.html” formatında web sayfası olarak dışarıya aktarılabilir.

2.2.3. Gallery “Gallery” olayda tespit edilen tüm resimlerin gösterilmesine yarar.



Şekil 15: Ön izlemeli “Gallery” görünümü

Burada EnCase’in dahili görüntüleyicisinde gösterilebilen tüm resimler görüntülenir. Desteklenen formatlar şunlardır:

• JPG

• GIF

• BMP

• EMF

• PSD

• TIF

• ART

Bu görünümde olayla ilgili resimler yerimleri ile işaretlenebilirler. Çift tıklandığında EnCase’in imza veri bankası üzerinden bu dosya uzantısı ile ilişkili olan program çağrılır. İşaretleme kutuları ya da Homeplate ile belli dosyalar ya da dizinler seçilerek resimlerin yalnız istenen dizinlerle sınırlandırılmış olarak gösterilmesi mümkündür. Önemlidir:

Burada yalnız dosya uzantısından dolayı bir resim formatı olarak algılanabilen resimler gösterilmektedir. Dosya uzantısı sahte olan resimler ancak dosya imzalarının denetlenmesinden (“Verify File Signature”) sonra gösterilebilir!

2.2.3.1. Görünüm

Resim galerisindeki görünüm sütun ve satır sayısı değiştirilerek değiştirilebilir. Bu durumda önizlemedeki resimlerin boyutları da mevcut olan yere göre uyarlanırlar.



Şekil 16: “Gallery” görünümünde ayarlama olanakları

• Fewer Columns / More Columns (daha az/çok sütun) (1) Sütun sayısının azaltılması veya çoğaltılması. Komut üzerine her tıklandığında bir sütun çıkarılır ya da eklenir. Alternatif olarak “Ctrl + Num - ya da +” kullanılabilir (klavyedeki sayı tuş takımında artı veya eksi işareti).

• Fewer Rows / More Rows (daha az/çok satır) (2) Satır sayısının azaltılması veya çoğaltılması. Komut üzerine her tıklandığında bir satır çıkarılır ya da eklenir. Alternatif olarak “Shift + Num - ya da +” kullanılabilir (klavyedeki sayı tuş takımında artı veya eksi işareti).

2.2.4. Timeline (zaman doğrusu) EnCase’deki bu özellik tarih bilgilerinin toplu halde gösterilmesine olanak verir. Bu şekilde kayıtlı tarihlere göre örneğin en son faaliyetin ne zaman olduğu söylenebilir.

Şekil 17: “Timeline” (zaman doğrusu) görünümü



Buradaki gösterim de yine seçilen dosyaya ya da seçilen dizine ve Homeplate’in kullanılmasına bağlıdır.

Dikkat!

Dosyaların ve dizinlerin tarih kayıtları değiştirilebilir ve gerçek olmaları şart değildir. 2.2.4.1. Görünüm

Şekil 18: “Timeline”ın ayarlama olanakları

• Higher / Lower Resolution (yüksek/düşük çözünürlük) (1) Gösterilen zaman diliminin değiştirilmesi olanağı. Görünüm alternatif olarak sayı tuş takımındaki artı veya eksi tuşları ile büyütülüp küçültülebilir.

• Options (2) o Start Date: Zaman doğrusunda

gösterimin başlayacağı tarih (ör. 01/01/2000)

o Stop Date: Zaman doğrusunda gösterimin biteceği tarih

o Colors: Created, Written, Accessed, Modified, Deleted ve Logoff seçeneklerine ait renklerin değiştirilmesi

2.3. “Sub-Tab” (alt sekme) görünümü

Şekil 19: Sub-Tab alanının metin görünümü

2.3.1. Hex, Text ve Report (1) Tüm dosyalar hem “Hex kipinde” hem de “Text kipinde” izlenebilir. “Report” görünümü güncel olarak seçilmiş dosya veya dizinler hakkında bilgi verir.

2.3.2. Picture (resim) (2) Bu görünüm yalnız EnCase ya da dahili görüntüleyicinin dosyayı resim olarak algılayıp gösterebildiği durumlarda görülür.



2.3.3. Disk (veri ortamı) (3) “Disk” görünümü güvenceye alınan veri ortamının fiziksel yapısı ve her bir dosyanın fiziksel yeri hakkında genel bir görünüm verir.

Eğer dosyalar önceden sekme alanında işaretlenirse, bunlar “Disk” görünümünde alt sekmede görülebilir.

2.3.4. Console (konsol) (4) “Console” alt sekme alanının gösterilmesi, sonuçların ara kaydı için kullanılır (ör. arama sonuçları veya imza denetlemesinin sonucu). Bir ileri adımda bu sonuçlar ihtiyaca göre yerimlerine eklenebilir.

2.3.5. Filters (filtreler) (5)

Filtre kullanımı, dosyalara ait tüm bilgilerin sütunlarla gösterildiği tablo görünümü ile ilgilidir. Burada belli dosyaları seçmek için, sıralama üzerinden dosyalar sıralanabilir. Ancak gerek duyulmayan dosya ve dizinleri gizlemek daha iyidir. Bu olanak filtreler kullanılarak sağlanır. Burada doğru veya yanlış şeklinde basit bir “Boole” sorgulaması yapılır.

Buna ait “Fitler.ini” dosyası ayrıca Guidance firmasının ana sayfasından indirilebilir ve zaman zaman güncellenmektedir.

2.3.6. Queries (sorgulamalar) (6) Birden fazla filtrenin kombine edilebilmesi.

2.3.7. Lock (kilitle) (7) “Lock” kutusu işaretlendiğinde görünüm sabit kalır. Kutu işaretliyse, alt sekme alanında seçilmiş olan dosyalar işaretleme sırasındaki görünümleriyle (ör. Hex) gösterilir. Örnek: Bir resim dosyası işaretlenerek alt sekme alanında Hex görünümü üzerine tıklanırsa, resim on altılı biçimde gösterilir. Başka bir resim dosyası seçilirse, alt sekme alanındaki görünüm otomatik olarak “Picture” seçeneğine döner. Eğer resimler Hex görünümünde görüntülenmek isteniyorsa, “Lock” kutusu işaretlenmelidir.

2.3.8. Dixon Box ve Sektor/Cluster bilgileri (8) Çok faydalı başka bir görünüm de incelenen veri ortamı üzerindeki fiziksel yerdir. Bu şekilde veri ortamı üzerinde bulunulan yer her zaman tam olarak belirtilebilir.

2.4. Araç çubuğu

Şekil 20: Olay görünümünde araç çubuğu

2.4.1. New (yeni) (1) Yeni bir olay yaratır.

Bulunduğu yer: File / New Araç çubuğu / New



2.4.2. Open (aç) (2) Mevcut bir olayı açar.

Bulunduğu yer: Menü çubuğu / File / Open Kısa yol / Ctrl + O Araç çubuğu / Open

2.4.3. Save (kaydet) (3) Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez. Bulunduğu yer: Menü çubuğu / File / Save

Kısa yol / Ctrl + S Araç çubuğu / Save

2.4.4. Print (yazdır) (4) Bilgisayara bağlı yazıcı üzerinden çıktı alınmasını sağlar (ör. rapor).

2.4.5. Add Device (aygıt/veri ortamı ekle) (5) Mevcut veya yeni yaratılan olaya bir cihaz, veri ortamı, sürücü veya Evidence File ekler. Bulunduğu yer: Menü çubuğu / File / Add Device

Araç çubuğu / Add Device

2.4.6. Acquire (veri edinme) (6) Eklenen veri ortamından veri edinilmesini başlatır ve güvenli veri ortamı üzerinde veri ortamının kopyasını EnCase imgesi olarak oluşturur.

Bulunduğu yer: Olay görünümünde veri ortamı ya da sürücü üzerine sağ tık / Acquire Araç çubuğu / Acquire

2.4.7. Search (arama) (7) Bu düğmeye tıklandığında arama penceresi açılır ve arama seçenekleri ayarlanabilir. Bulunduğu yer: Menü çubuğu / Tools / Search

Araç çubuğu / Search

2.4.8. 2.4.8 Refresh (güncelle) (8) Değişiklik olduğunda anlık görünümü günceller. Örneğin uzun bir arama işleminden sonra ilk bulunan sonuçları görmek için kullanılabilir. Bulunduğu yer: Menü çubuğu / Tools / Refresh

Fonksiyon tuşları / F5 Araç çubuğu / Refresh



2.5. Menü çubuğu

Şekil 21: Menü çubuğu

2.5.1. File 2.5.1.1. New (yeni)

Şekil 22: File / New

Yeni bir olay yaratır.

Bulunduğu yer: Araç çubuğu / New Menü çubuğu / File / New

2.5.1.2. Open (aç)

Şekil 23: File / Open

İlgili “.case” doyası seçilerek mevcut bir olayı açar.

Bulunduğu yer: Araç çubuğu / Open Kısa yol / Ctrl + O Menü çubuğu / File / Open

2.5.1.3. Save (kaydet)

Şekil 24: File / Save

Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez.

Bulunduğu yer: Araç çubuğu / Save Kısa yol / Ctrl + S Menü çubuğu / File / Save



2.5.1.4. Save as (farklı kaydet)

Şekil 25: File / Save As

“Save as” ile olayın tamamı - “.ini” dosyaları hariç - başka bir yere kaydedilebilir veya kayıt yeri değiştirilebilir.

Bulunduğu yer: Menü çubuğu / File / Save as

2.5.1.5. Save all (tümünü kaydet)

Şekil 26: File / Save All

“Save all” açık olan olayı ve tüm EnCase “.ini” dosyalarını en son ayarlarıyla birlikte kaydeder. Bu şekilde filtrelerin, anahtar kelimelerin, dosya tiplerinin vs. program ve olay açıldığında yeniden mevcut olması sağlanır.

Bulunduğu yer: Kısa yol / Ctrl + Shift + S Menü çubuğu / File / Save all

2.5.1.6. Add device (aygıt/veri ortamı ekle)

Şekil 27: File / Add Device

Mevcut veya yeni yaratılan olaya bir aygıt, veri ortamı, sürücü veya delil dosyası (Evidence File) ekler.

Bulunduğu yer: Araç çubuğu / Add Device Menü çubuğu / Add Device



2.5.1.7. Add Raw Image (ham kopya ekle)

Şekil 28: File / Add Raw Image

EnCase sadece kendi formatındaki imge dosyalarını değil, özellikle Linux sistemlerinde görülen ham imge (Raw Image) denen verileri de okuyabilir. Linux ortamında “dd” komutu ile oluşturulmuş bir imge EnCase’deki bir olaya eklenecekse, bunun için menü çubuğunda “File” menüsünden “Add Raw Image” seçilmelidir. Açılan pencerede, ideal durumda “dd” kopyasını oluşturan kişi tarafından tamamlayıcı bilgiler verilmelidir.

“Name”:

Burada imgenin olay içinde tanımlanacağı herhangi bir ad verilebilir. “Image-Type” (imge türü):

• “None” (yok): Kopya “Unallocated Cluster” olarak eklenir

• “Disk” (sabit disk): Fiziksel veri ortamı • “Volume” (sürücü): Yerel sürücüler veya disketler, mantıksal veri ortamları ve diğer

değiştirilebilir veri ortamları

• “CD”: CD-Rom için “Bytes per sector”:

Bu değer çoğu olayda standart boyut olan 512 bayt ayarında kalır. “Component Files” (dosya bileşenleri):

Başta boş olan bu pencerede sonradan olaya eklenen ham veri blokları gösterilir. Bunun için pencereye sağ tıklanır ve “New” komutu seçilir. Ham kopyanın tüm bileşenleri eklendikten sonra “OK” ile onaylanarak okunurlar.

Bulunduğu yer: File / Add Raw Image

2.5.1.8. Exit EnCase (EnCase’i kapat)

Şekil 29: File / Exit EnCase

Uygulamayı kapatır.

Bulunduğu yer: Menü çubuğu / File / Close



2.5.2. Edit 2.5.2.1. Close (kapat)

Şekil 30: Edit / Close

Seçilen olayı kapatır ya da bir görüntünün olayla olan ilişkisini ortadan kaldırır.

Bulunduğu yer: Menü çubuğu / Edit / Close

2.5.2.2. Copy Folders (klasörü kopyala)

Şekil 31: Edit / Copy Folders

“Copy Folders” ile bir veya daha fazla dizin komple dosyaları ve alt dizinleri ile birlikte imgeden (Image) bir başka veri ortamına kopyalanabilir.

Bulunduğu yer: Menü çubuğu / Edit / Copy Folders...



2.5.2.3. Bookmark Files / Bookmark Folder Structure (dosyaların / klasör yapılarının yerimleri)

Şekil 32: Edit / Bookmark Files or Folder Structure

Dosyalara (Bookmark Files) veya tüm dizin yapılarına (Bookmark Folder Structure) yerimi koyar.

Bulunduğu yer: Menü çubuğu / Edit / Bookmark Files Kısa yol / Ctrl + B Menü çubuğu / Edit / Bookmark Folder Structure

2.5.2.4. Create Hash Set (Hash set oluştur)

Şekil 33: Edit / Create Hash Set...

“Create Hash Set” (Hash Set oluştur) menü satırından kullanıcılar tek tek dosyaları veya dizinleri Hash ederek (MD5 algoritması) bu değerleri Hash veri bankasına aktarabilirler (bkz. Hash Sets).



2.5.2.5. Export (dışarı taşı)

Şekil 34: Edit / Export…

Bu işlev dosya bilgilerinin ve dosyadaki diğer bilgilerin kaydedilmesi için kullanılır.

Önemlidir:

Oluşturulacak dosyanın dosya uzantısı “.txt” yerine “*.xls” şeklinde değiştirilirse, veriler doğrudan Excel’in tablo biçiminde açılabilir.

2.5.2.6. Recover Folders (klasörü kurtar)

Şekil 35: Edit / Recover Folders…

Bu menü satırında dosya sisteminin türünün ne olduğu bilinmelidir.

• FAT: FAT dosya sistemlerinde bu komut alt dizinleri arar (GREP ifadesi şöyle olabilirdi: “\x2E\x20\ x20\ x20\ x20\ x20\ x20\ x20\.......\x2E\x2E) ve bunları bir dizin ağacı şeklinde gösterir.

• NTFS: NTFS dosya sistemlerinde “Unallocated” olan alanda bir MasterFile Table (MFT) kalıntıları aranır ve kayıtlar dizin ağacı şeklinde kayıp dosyalar (“Lost Files”) klasöründe gösterilir.

• Reiser/Ext2/etc. Bu dosya sistemlerinde klasörlerin kurtarılması olanağı yoktur.

Bulunduğu yer: Menü çubuğu / Edit / Recover Folders

Menü penceresi / Recover Folders



2.5.2.7. Acquire (veri edin)

Şekil 36: Edit / Acquire…

Bu komut

• sıkıştırmanın değiştirilmesi

• bir şifrenin eklenmesi veya çıkarılması

• imge parçalarındaki dosya büyüklüğünün değiştirilmesi için kullanılır

Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu komut ile verilerin güvenceye alınması başlatılır.

Bulunduğu yer: Menü çubuğu / Edit / Acquire… Menü penceresi / Acquire

2.5.2.8. Restore (kurtar)

Şekil 37: Edit / Restore…

Eğer hazırlanan güvenlik kopyasından (Image) yeniden bir veri ortamını kurulması gerekirse, bu işlem bu komut üzerinden yapılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Restore… Menü penceresi / Restore



2.5.2.9. Hash

Şekil 38: Edit / Hash...

Hash, güvenceye alınan veri ortamının Hash toplamının alınması için kullanılır (imgenin değil, yalnız güvenceye alınan verilerin). Bu sırada başlangıç ve bitiş sektörü belirlenebilir.

Bulunduğu yer: Menü çubuğu / Edit / Hash… Menü penceresi / Hash...

2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi)

Şekil 39: Edit / Scan Disk Configuration

Bu komut RAID sistemlerinde ve dinamik sabit disklerde kullanılır.

Bulunduğu yer: Menü çubuğu / Edit / Scan Disk Configuration Menü penceresi / Scan Disk Configuration



2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et)

Şekil 40: Edit / Verify File Integrity

Oluşturulan bir olaya ait imgenin ilk kez okunmasında yapılan denetleme, imgenin hala hatasız olup olmadığının kontrol edilmesi amacıyla buradan tekrarlanabilir (yazılan blokların kontrol toplamları denetlenmektedir).

Bulunduğu yer: Menü çubuğu / Edit / Verify File Integrity Menü penceresi / Verify File Integrity

2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir)

Şekil 41: Edit / Modify Time Zone Settings…

Saat dilimi ayarlarının yapılması işlemi. Örnek:

Zanlı bilgisayarında, değerlendirmeyi yapan bilgisayardakinden farklı bir saat dilimi ayarlanmışsa, uyarlama yapılmadığı takdirde zaman bilgileri hatalı gösterilir.

Bulunduğu yer: Menü çubuğu / Edit / Modify Time Zone Settings Menü penceresi / Modify Time Settings

2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar)

Şekil 42: Edit / Export Selected Files to i2…

Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi, seçilen dosyalara ait bilgiler) “i2” firmasının (http://www.i2.co.uk) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Export Selected Files to i2 Menü penceresi / Export Selected Files to i2



2.5.2.14. Mount as Network Share

Şekil 43: Edit / Mount as Network Share

Veri ortamını, sürücü veya dizini ağ paylaşımlı olarak değerlendirme sistemine ekler. Bunun için VFS modülü gereklidir (ayrıntılı bilgi 1.7.1’de).

Bulunduğu yer: Menü çubuğu / Edit / Mount as Network Share Menü penceresi / Mount as Network Share

2.5.2.15. Mount as Emulated Disk

Şekil 44: Edit / Mount as Emulated Disk

Bu komutla imge EnCase öykünmesi sayesinde veri ortamı yapısı değerlendirme sisteminde taklit edilebilecek şekilde bilgisayara eklenebilir. Bunun için PDE modülü gereklidir (ayrıntılı bilgi 1.7.3’te).

Bulunduğu yer: Menü çubuğu / Edit / Mount as Emulated Disk Menü penceresi / Mount as Emulated Disk

Sekme alanında bir dosya işaretlenirse, Edit menüsü aşağıdaki şekilde değişir:



2.5.2.16. Send To (gönder)

Şekil 45: Edit / Send To

Bu komut, yalnız harici görüntüleyici EnCase’e bağlanmışsa görünür. Bu komut üzerinden dosyalar çeşitli programlarla gösterilebilir (Windows dilinde “birlikte aç” komutuna karşılık gelir). Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa, EnCase, dahili “File Types” veri bankasını kullanır. Bu ilgili programlarının dosya uzantılarını gösteren bir sütun ve görüntüleyici (Viewer) sütununu içerir. Görüntüleyici sütunu, çift tıklandığında dosyanın nasıl açılacağını belirtir. Bu alanda “Windows” ibaresi varsa, açılan programın dosya uzantısı eşleşmesi Windows’a entegre veri bankasından okunur.

Bulunduğu yer: Menü çubuğu / Edit / Send To Menü penceresi / Send To

2.5.2.17. Show columns (sütunları göster)

Şekil 46: Edit / Show Columns

Bu komut gösterilecek sütunların seçilmesine olanak tanır. Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa, seçili olan sütunun yanına eklenirler.

Bulunduğu yer: Menü çubuğu / Edit / Show Columns Menü penceresi / Show Columns



2.5.2.18. Column (sütun)

Şekil 47: Column

Bu komut, sütunun görünüm şeklini ayarlamak için dört seçenek sunar:

• Hide (gizle) Seçili sütun gizlenir. “Reset” ile yeniden gösterilebilir.

• Set Lock (kilitle) Bir sütuna bu komut uygulanırsa, o sütun ve onun solundaki sütunların hepsi kaydırma sırasında sabit durur.

• Reset (sıfırla) Sütunlarla ilgili tüm ayarlamaları ilk durumlarına geri döndürür.

• Fit to Data (sığdır) Her bir sütunun boyutunu içindeki bilgilere göre ayarlar.

• Auto Fit All (hepsini otomatik sığdır) Tüm sütunların boyutlarını içindeki bilgilere göre otomatik olarak ayarlar.

Bulunduğu yer: Menü çubuğu / Edit / Column Menü penceresi / Column

2.5.2.19. Sort (sırala)

Şekil 48: Edit / Sort

“Sort” komutu ile dosyaların sıralanmasını düzenlemek için pek çok olanak sunulur. Sıralamanın en basit yolu, sütun adı üzerine çift tıklamaktır. En fazla 5 kriter belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift tık ile 2 - 5 kriter belirlenir.

Bulunduğu yer: Menü çubuğu / Edit / Sort Menü penceresi / Sort



2.5.2.20. Select Item (seç)

Şekil 49: Select Item

Örneğin uygulanacak bir komutun geçerli olacağı dosyayı seçer.

Bulunduğu yer: Menü çubuğu / Edit / Select Item Menü penceresi / Select Item

2.5.3. View (görünüm) Çeşitli alanların (yerimleri, sürücüler vs.) görünümü “View” menüsünden seçilir ve ardından sol pencerede gösterilir. Bu görünüm seçimine, adı gizlenip gösterilebilen (simge üzerine sağ tık ve “Show Names”) küçük bir simge üzerinden doğrudan ulaşılabilir. Gösterilen bir alanı tekrar kapatmak için sol köşedeki “X” işaretine tıklanır. Görünüm sütunundaki yer, açılan alanların hepsini bir seferde göstermeye yetmiyorsa (özellikle adları gösterilen simgelerde böyle olur), “X” işaretinin yanında, görüntüyü sağa-sola kaydırmaya yarayan iki küçük ok belirir. Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi verilerin gösterileceğini belirlemek için “Homeplate” kullanılır (işlev: tüm verileri göster). Dizinlerin seçilmesi sırasında “CTRL” tuşu basılı tutulursa, birden fazla dizinin birbirinden bağımsız olarak sekme alanında gösterilmesi mümkündür.

2.5.3.1. Cases (olaylar)

Şekil 50: View / Cases

“Cases” (olaylar) alanında delil niteliği olan veriler Windows Explorer’e benzer bir klasör yapısında gösterilirler. Buradan çeşitli olaylar, mantıksal sürücüler ve dizinler seçilebilir; bu sırada sol taraftaki bir nesnenin içeriği sağdaki sekme penceresinde gösterilir. Yine sekme alanında bir dosya işaretlenirse, onun alt sekme alanında ön izleme gösterilir.

Bulunduğu yer: Menü çubuğu / View / Cases



2.5.3.2. Bookmarks (yerimleri)

Şekil 51: View / Bookmarks

“Yerimleri” alanında hem simgeler hem de “Bookmark Types” sütunu ile ayırt edilebilen çeşitli türden yerimleri bulunabilir. Bunlar öncelikle dava bakımından önem taşıyan dosyaların ve veri parçalarının devam eden incelemeler ya da rapor için birleştirilmesine yararlar. İncelemenin yapılanışı üzerinde daha iyi bir görüş elde etmek için soruşturmacı tarafından kendine ait klasörler yaratılabilir ve ilgili yerimleri burada saklanabilir (sağ tık / New Folder).

Bulunduğu yer: Menü çubuğu / View / Bookmarks

2.5.3.3. Devices (sürücüler)

Şekil 52: View / Devices

4. sürüme yeni eklenen “Devices” alanından sürücü adı, güvence altına alan memurun adı, notlar, veri edinme sürecinin ve doğrulamanın Hash değeri vs. gibi bilgiler öğrenilebilir. İleri düzey kullanıcılar için ayrıca veri ortamı konfigürasyonunu düzenleme olanağı vardır.

Bulunduğu yer: Menü çubuğu / View / Devices



2.5.3.4. File Types (dosya tipleri)

Şekil 53: View / File Types

“File Types” alanı bilinen tüm dosya tiplerinin ve bunlarla bağlantılı görüntüleme yazılımlarının listesini içermektedir. Kullanıcı dosya tiplerini inceleyebilir, ekleyebilir, çıkarabilir, düzenleyebilir ve program ilişkilerini elle uyarlayabilir.

Bulunduğu yer: Menü çubuğu / View / File Types

2.5.3.5. File Signatures (dosya imzaları)

Şekil 54: View / File Signatures

Dosya imzaları altında dosya tipleri ile bağlantılı olan özgün “Hex Header” imzası anlaşılır. JPG endüstri standardına uygun olan bir resim örneğin daima “\xFF\XD8\xFF[\xFE\xE0]\x00” dizisiyle başlayan bir “Hex Header”a sahiptir. EnCase’in bu alanında dosya imzaları incelenebilir, eklenebilir, silinebilir ve düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / File Signatures



2.5.3.6. File Viewers (dosya görüntüleyiciler)

Şekil 55: View / File Viewers

Kullanıcı buradan dosyaların incelenmesi ve işlenmesi için başka uygulamaları EnCase ile ilişkilendirebilir. EnCase kendi başına kayda değer sayıda çok dosyayı dahili olarak gösterebilir (ör. JPG, TXT, vs.), ancak çok sayıda özel dosya ek yazılım kullanılmasını gerektirir (ör. QuickView Plus, IrfanView, VideoLAN Client, vs.). Bu görünümde harici programlara bağlantılar kurulabilir, düzenlenebilir ve silinebilir.

Bulunduğu yer: Menü çubuğu / View / File Viewers

2.5.3.7. Keywords (anahtar kelimeler)

Şekil 56: View / Keywords

Bu alanda olay içinde arama yapmak için anahtar kelimeler yazılabilir, düzenlenebilir ve silinebilir. “Keywords” denen anahtar kelimeler sözcük, tümce veya “Hex” dizisi olabilir. Bunlar “Case sensitive” (büyük/küçük harf ayrımlı), GREP, Unicode, UTF7, UTF8, vs. şeklinde yazılabilirler. Anahtar kelimelerin listesi global olarak başlatma dosyası (keyword.ini) içinde saklanır, bundan dolayı ilerideki değerlendirmeler için klasör yapısının organize edilmesi önerilir.

Bulunduğu yer: Menü çubuğu / View / Keywords



2.5.3.8. Search Hits (arama sonuçları)

Şekil 57: View / Search Hits

Arama sonuçları daha önce yapılan aramalardan üretilir ve bu alanda gösterilir. Her anahtar kelime kendine ait bir kayıt üretir, buna ait arama sonuçları da sekme alanında görülebilir.

Bulunduğu yer: Menü çubuğu / View / Search Hits

2.5.3.9. Security IDs (güvenlik kimlikleri)

Şekil 58: View / Security IDs

Bir NTFS dosya sisteminde her dosya ve klasör bir sahip, bir grup ve bir dizi yetkiyle eşleştirilmiştir. Bu bilgiler NTFS 4 ve 5 sistemlerinde farklı şekilde kaydedilmelerine karşın, EnCase bunları bundan bağımsız olarak okuyup açabilir. Kullanıcı ve gruplar bir numaralandırma sisteminde gösterilirler ve bu numaralar “Security Identifier” (SID) olarak tanımlanır. Bir ağ içindeki tüm kullanıcılar, gruplar ve bilgisayarlar Windows 2000 tarafından ör. Registry altına kaydedilen özgün birer “Security Identifier”e sahiptirler. NT, 2000 ve XP sistemlerinin bu özelliğinden dolayı her şeyden önce dosya ve klasör yetkilerinin incelenmesi için önem taşımaktadır.

Bulunduğu yer: Menü çubuğu / View / Security IDs



2.5.3.10. Text Styles (metin biçemleri)

Şekil 59: View / Text Styles

Farklı metin biçemlerine, özellikle Avrupa harici yazı karakterlerinin doğru gösterilmesi için gerek duyulur. Bunun ötesinde belli bir metin biçeminin satır sonları seçeneği alt sekme alanındaki ön izlemeyi kolaylaştırmaktadır (ör. program kodlarında vs.). Bu alanda başka metin biçemleri eklenebilir, düzenlenebilir veya silinebilir.

Bulunduğu yer: Menü çubuğu / View / Text Styles

2.5.3.11. Scripts (betikler)

Şekil 60: View / Scripts

EnScript’ler önceden tanımlanmış prosedürlerin otomasyonu için kullanılan EnCase’e özgü küçük programlar veya makrolardır. EnScript’ler çok kuvvetlidirler ve neredeyse EnCase’in tüm alanlarına erişebilirler. Bunlar aramadan rapor hazırlamaya kadar neredeyse tüm kriminal teknik görevleri olanaklı kılmaktadırlar. “Scripts” (betikler) kayıt kartında EnScript’ler eklenebilir, silinebilir ve düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / Scripts



2.5.3.12. Hash Sets (Hash setleri)

Şekil 61: View / Hash Sets

“Hash Set” altında çeşitli uygulamaların Hash değerleri koleksiyonu saklanmaktadır. Çok sayıda Hash Set birleştirilirse, buna “Hash Library” (Hash kütüphanesi) de denir. Bir Hash seti ya da bir Hash kütüphanesinin tamamı ya kişisel olarak oluşturulur, ya da ülke ve dillere özgü olan mevcut kaynaklar (örneğin BKA’nın) kullanılır. Faydalı bir uygulama alanı, örneğin daha sonraki olay incelemesi için ilgili sistem verilerinin gizlenebilmesi amacıyla boş bir Windows 2000 kurulumundan bir Hash set oluşturulmasıdır. Sonuçta arama büyük ölçüde hızlanacaktır, çünkü incelenecek dosya sayısı büyük ölçüde azalacaktır. “Hash Sets” kayıt kartında Hash setleri eklenebilir, silinebilir, sınıflandırılabilir ve düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / Hash Sets

2.5.4. Tools 2.5.4.1. Search (arama)

Şekil 62: Tools / Search

Bu düğmeye tıklandığında arama penceresi açılır ve arama seçenekleri ayarlanabilir.

Bulunduğu yer: Araç çubuğu / Search Menü çubuğu / Tools / Search

2.5.4.2. Select all entries (kayıtların tümünü seç)

Şekil 63: Tools / Select all entries

Kayıtların tümünün seçilmesine ya da seçimin kaldırılmasına yarayan alt sekme alanındaki işaretleme kutusuna karşılık gelir.

Bulunduğu yer: Menü çubuğu / Tools / Select all entries



2.5.4.3. Wipe Drive (veri ortamının üzerine yaz)

Şekil 64: Tools / Wipe Drive

Veri ortamının güvenli şekilde üzerine yazılmasına yarar. Kişisel güvenlik ortamlarının daha sonraki uygulamalar için kriminal teknik bakımdan hazırlanmasına yarayan faydalı bir işlevdir.

Bulunduğu yer: Menü çubuğu / Tools / Wipe Drive...

2.5.4.4. Verify Evidence Files (delil dosyalarını doğrula)

Şekil 65: Tools / Verify Evidence Files...

Her veri bloğunun kontrol toplamlarını kontrol ederek bir imge dosyası içinde hataların denetlenmesine olanak sağlar.

Bulunduğu yer: Menü çubuğu / Tools / Verify Evidence Files

2.5.4.5. Create Boot Disk (önyükleme disketi hazırla)

Şekil 66: Tools / Create Boot Disk...

Veri ortamlarından veri edinilmesine yarayan özel bir kriminal teknik EnCase Boot disketi hazırlama olanağı sağlar. Bu durumda DOS 7’nin önyükleme sırasında sabit diske ya da C:\ sürücüsüne yazmamasına dikkat edilmelidir. Bundan dolayı burada kullanılan “IO.SYS” ve “COMMAND.COM” dosyalarının yolları “C:\” yerine “A:\” olarak değiştirilmiştir. Önyükleme disketini tamamlamak için, işlem bittikten sonra EnCase’in kurulum dizinindeki “en.exe” dosyası (normalde C:\Programlar\EnCase4\) diskete kopyalanmalıdır.

Bulunduğu yer: Menü çubuğu / Tools / Create Boot Disk...



2.5.4.6. Options (seçenekler)

Şekil 67: Tools / Options...

“Options” seçeneğinden çeşitli ayarlar yapılabilir, ör.:

“Case Options” (olay seçenekleri)

• Name (adı, normalde delil no./günlük no./zanlı/vs.)

• Examiner Name (inceleyenin adı)

• Default Export Folder (standart dışarı aktarma klasörü)

• Temporary Folder (geçici dosyaların klasörü)

Global

• Auto Save (olayın otomatik olarak kaydedilmesi için zaman aralığı)

• Show true / Show false (sekme görünümünde doğru-yanlış bilgilerinin gösterilmesi için ayar olanağı, ör. “In Report”)

• Enable Picture Viewer (resim görüntüleyicinin aktifleştirilmesi)

• Enable ART and PNG Image Display (dosya uzantısı ART ve PNG olan resimlerin gösterilmesinin aktifleştirilmesi)

• Date Format (tarih biçiminin ayarlanması)

• Time Format (zaman biçiminin ayarlanması - 12/24 saat)

Colors (renkler)

• Default Colors (standart renkler): Yerimleri, arma sonuçları vs. için renk ayarlama olanağı. Fonts (yazı tipleri)

• Default Fonts (standart yazı tipleri): EnCase’deki çeşitli alanlar (görünüm, sekme, alt sekme vs.) için yazı tiplerinin ayarlanması olanağı

EnScripts

• Allow the following local file system operations (takip eden yerel sistem komutları için izin): EnCase’de EnScript’lerin yetkilerinin kısıtlanması mümkündür. Betiklerin kaynakları her zaman denetlenemediğinden, “Execute Programs” (dosyaları yürüt) işaret kutusu asla işaretli olmamalıdır.

Storage Paths (kayıt yolları)

• EnCase’deki tüm “.ini” dosyalarının kaydedileceği yolun ayarlanması

• Tüm ekibin aynı anahtar kelimelere, filtrelere vs. erişebilmesi için dosyanın bir sunucuya aktarılabilmesi olanağı



2.5.4.7. Refresh (güncelle)

Şekil 68: Tools / Refresh

Bir komut uygulandığında anlık sonuç durumunu günceller. Örneğin uzun bir arama işleminden sonra ilk bulunan sonuçları görmek için kullanılabilir.

Bulunduğu yer: Araç çubuğu / Refresh Fonksiyon tuşları / F5 Menü çubuğu / Tools / Refresh

2.5.5. Help (yardım) Asıl anlamında “yardım” değildir - bunun için elkitabı basılı halde veya elektronik ortamda elde bulundurulmalıdır. Bu menü başlığı altında yalnız, kurulu yazılım hakkında bilgi içeren “About EnCase” seçeneği bulunmaktadır.

2.5.5.1. About EnCase (EnCase hakkında)

Şekil 69: Help / About EnCase

Bu pencereden kurulu olan EnCase sürümü hakkında aşağıdaki bilgiler öğrenilebilir: • Sürüm numarası ve kurma

tarihi

• Dongle kimlik numarası

• Distribütör ve sipariş no.

• Kurulu olan modüller (ör. VFS, PDE, vs.)

Bulunduğu yer: Help / About EnCase



2.6. Menü pencerelerindeki komutlar

2.6.1. Cases Menü (olaylar menüsü)

2.6.1.1. Close (kapat)

Şekil 70: Menü penceresi / Close

Seçilen olayı kapatır ya da bir görüntünün olayla olan ilişkisini ortadan kaldırır.

Bulunduğu yer: Menü penceresi / Close Menü çubuğu / Edit / Close

2.6.1.2. Copy Folders (klasörü kopyala)

Şekil 71: Menü penceresi / Copy Folders

“Copy Folders” ile bir veya daha fazla dizin komple dosyaları ve alt dizinleri ile birlikte imgeden bir başka veri ortamına kopyalanabilir.

Bulunduğu yer: Menü penceresi / Copy Folders... Menü çubuğu / Edit / Copy Folders...



2.6.1.3. Bookmark Files (yerimi koy)

Şekil 72: Menü penceresi / Bookmark Files

Bu menü başlığından bir veya daha fazla dosyadan bir yerimi oluşturulabilir. Gereği halinde yerimlerine yorum eklenebilir ve başarıyla hazırlandıktan sonra “View / Bookmarks” altında görülebilir.

Bulunduğu yer: Menü penceresi / Bookmark Files Kısa yol / Ctrl + B Menü çubuğu / Edit / Bookmark Files

2.6.1.4. Bookmark Folder Structure (klasör yapısına yerimi koy)

Şekil 73: Menü penceresi / Bookmark Folder Structure

Bu komutla bir veya daha fazla dizin daha sonra rapora alınmak üzere ya da kolay bulunması için işaretlenebilir.

Bulunduğu yer: Menü penceresi / Bookmark Folder Structure Menü çubuğu / Edit / Bookmark Folder Structure




Şekil 74: Menü penceresi / Create Hash Set...

“Create Hash Set” (Hash set oluştur) komutuyla münferit dosyalar veya dizinler Hash edilebilir (MD5 algoritması) ve değerler Hash veri bankasına aktarılabilir.

Bulunduğu yer: Menü penceresi / Create Hash Set Menü çubuğu / Edit / Create Hash Set...


Şekil 75: Menü penceresi / Export

Bu işlev üzerinden dosya bilgileri bir dosyaya kaydedilebilir.

Önemlidir:


Bulunduğu yer: Menü penceresi / Export Menü çubuğu / Edit / Export




Şekil 76: Menü penceresi / Recover Folders

Bu menü satırında dosya sisteminin türünün ne olduğu bilinmelidir.

• FAT: FAT dosya sistemlerinde bu komut alt dizinleri arar (GREP ifadesi şöyle olabilirdi: “\x2E\x20\ x20\ x20\ x20\ x20\ x20\ x20\.......\x2E\x2E) ve bunları bir dizin ağacı şeklinde gösterir.

• NTFS: NTFS dosya sistemlerinde “Unallocated” olan alanda bir MasterFile Table (MFT) kalıntıları aranır ve kayıtlar dizin ağacı şeklinde kayıp dosyalar (“Lost Files”) klasöründe gösterilir.

• Reiser/Ext2/etc. Bu dosya sistemlerinde klasörlerin kurtarılması olanağı yoktur.

Bulunduğu yer: Menü penceresi / Recover Folders Menü çubuğu / Edit / Recover Folders

2.6.1.8. Acquire (veri edin)

Şekil 77: Menü penceresi / Acquire

Bu komut

• sıkıştırmanın değiştirilmesi

• bir şifrenin eklenmesi veya çıkarılması

• imge parçalarındaki dosya büyüklüğünün değiştirilmesi için kullanılır

Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu komut ile verilerin güvenceye alınması başlatılır.

Bulunduğu yer: Menü penceresi / Acquire Menü çubuğu / Edit / Acquire



2.6.1.9. Restore (kurtar)

Şekil 78: Menü penceresi / Restore

Eğer hazırlanan güvenlik kopyasının (Image) yeniden bir veri ortamını kurulması gerekirse, bu işlem bu komut üzerinden yapılabilir.

Bulunduğu yer: Menü penceresi / Restore Menü çubuğu / Edit / Restore

2.6.1.10. Hash

Şekil 79: Menü penceresi / Hash

Hash, güvenceye alınan veri ortamının Hash toplamının alınması için kullanılır (imgenin değil, yalnız güvenceye alınan verilerin). Bu sırada başlangıç ve bitiş sektörü belirlenebilir.

Bulunduğu yer: Menü penceresi / Hash Menü çubuğu / Edit / Hash



2.6.1.11. Scan Disk Configuration (veri ortamı konfigürasyonunu denetle)

Şekil 80: Menü penceresi / Scan Disk Configuration


Bulunduğu yer: Menü penceresi / Scan Disk Configuration Menü çubuğu / Edit / Scan Disk Configuration


2.6.1.12. Verify File Integrity (veri bütünlüğünü kontrol et)

Şekil 81: Menü penceresi / Verify File Integrity

Oluşturulan bir olaya ait imgenin ilk kez okunmasında yapılan denetleme, imgenin hala hatasız olup olmadığının kontrol edilmesi amacıyla buradan tekrarlanabilir (yazılan blokların kontrol toplamları denetlenmektedir).

Bulunduğu yer: Menü penceresi / Verify File Integrity Menü çubuğu / Edit / Verify File Integrity



2.6.1.13. Modify Time Zone Settings (saat dilimi ayarlarını değiştir)

Şekil 82: Menü penceresi / Modify Time Zone Settings

Bu komut ile saat dilimi ayarları yapılabilir. Olay veya veri ortamı için çağrılmasına bağlı olarak iki farklı diyalog vardır.

Bulunduğu yer: Menü penceresi / Modify Time Zone Settings Menü çubuğu / Edit / Modify Time Zone Settings

2.6.1.14. Export Selected Files to i2

Şekil 83: Menü penceresi / Export Selected Files to i2

Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi, seçilen dosyalara ait bilgiler) “i2” firmasının (http://www.i2.co.uk) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Export Selected Files to i2 Menü penceresi / Export Selected Files to i2



2.6.1.15. Include Sub Folders / Set Included Folders / Include Single Folder (alt klasörleri kapsa / kapsanan klasörleri ayarla / tek klasörü kapsa)

Şekil 84: Menü penceresi / Include (Sub) Folders

Bu komutlar sekme alanındaki gösterim içindir (“Homeplate” uygulaması). Tercihe göre seçilen dizindeki tüm kayıtlar alt dizinlerindeki kayıtlarla birlikte veya onlar olmadan gösterilir. Önemlidir:

3. sürümün aksine 4. sürümde birden fazla dizin seçilebilir.

Bulunduğu yer: Menü penceresi / Set Included (Sub) Folders

Dosya işaret kutusuna mavi kanca konarak sekme alanında işaretlenmişse, diğer komutlar menü penceresi üzerinden uygulanabilir:

2.6.1.16. Copy/Unerase (kopyala/geri al)

Şekil 85: Menü penceresi / Copy-Unerase...

Copy/Unerase ile:

• dosyalar, dizinler ve EnCase tarafından yaratılan kayıtlar (ör. Unallocated Clusters veya Volume Boot) imgeden başka bir veri ortamına kopyalanabilir.

• EnCase tarafından silinmiş ve kurtarılabilir olarak algılanan dosyalar kurtarılabilir.

Bulunduğu yer: Menü penceresi / Copy-Unerase



2.6.1.17. View File Structure (dosya yapısını göster)

Şekil 86: Menü penceresi / View File Structure

Bu komut bazı bileşik dosyalar için uygulanır. Bunların arasında OLE yapısında olan dosyalar (Object Linking and Embedding), Zip dosyaları, Outlook PST dosyaları, Outlook Express 5 posta kutusu (DBX) ve Registry dosyaları sayılır. Komut uygulandıktan sonra dosya içerikleri bir dizin ağacında gösterilir ve değerlendirilebilir.

Bulunduğu yer: Menü penceresi / View File Structure

2.6.1.18. Send to (gönder)

Şekil 87: Menü penceresi / Send To

Bu komut, yalnız harici görüntüleyici EnCase’e bağlanmışsa görünür. Bu komut üzerinden dosyalar çeşitli programlarla gösterilebilir (Windows dilinde “birlikte aç” komutuna karşılık gelir). Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa, EnCase dahili “File Types” veri bankasını kullanır. Bu ilgili programlarının dosya uzantılarını gösteren bir sütun ve görüntüleyici (Viewer) sütununu içerir. Görüntüleyici sütunu, çift tıklandığında dosyanın nasıl açılacağını belirtir. Bu alanda “Windows” ibaresi varsa, açılan programın dosya uzantısı eşleşmesi Windows’un dahili veri bankasından okunur.

Bulunduğu yer: Menü penceresi / Send To



2.6.1.19. Show Columns (sütunları göster)

Şekil 88: Menü penceresi / Show Columns


Bulunduğu yer: Menü penceresi / Show Columns


Şekil 89: Menü penceresi / Column

Bu komut sütunun görünüm şeklini ayarlamak için dört seçenek sunar:






Bulunduğu yer: Menü penceresi / Column




Şekil 90: Menü penceresi / Sort


Bulunduğu yer: Menü penceresi / Sort

2.6.2. Bookmark Menü (yerimleri menüsü)


Şekil 91: Bookmark menüsü / Copy-Unerase

Yeriminin ilişkili olduğu dosyaları inceleme diskindeki herhangi bir klasöre kopyalama ya da geri olma olanağı sağlar. Buradan dosyalar harici programlarla incelenmeye devam edilebilir veya soruşturma memuruna - ör. CD-Rom veya DVD üzerinde - iletilebilir.

Bulunduğu yer: Menü penceresi / Copy/Unerase...




Şekil 92: Bookmark menüsü / Bookmark Files

Yeriminin ilişkili olduğu dosyanın veya dosyaların bir başka yerimiyle işaretlenmesi (ör. bir başka klasörde veya yeni klasörde).

Bulunduğu yer: Menü penceresi / Bookmark Files Kısa yol / Ctrl + B


Şekil 93: Bookmark menüsü / Create Hash Set

Hash değeri analizi yapılmadan seçilemez (Araç çubuğu / Search / Compute Hash Value). Bunun ardından seçilen dosyalara ait bir Hash seti oluşturulabilir.

Bulunduğu yer: Menü penceresi / Create Hash Set...




Şekil 94: Bookmark menüsü / View File Structure




Şekil 95: Bookmark menüsü / Send To

Doğrudan açılmak üzere dosyanın gönderilebileceği bağlı harici dosya görüntüleyiciyle irtibat kurar (bkz. ayrıca: View / File Viewers).




2.6.2.6. Edit (düzenle)

Şekil 96: Bookmark menüsü / Edit

Görüntüleme alanında klasör adının değiştirilmesine ve sekme alanında yerimi yorumu yazmaya ya da dosya tipini değiştirmeye olanak sağlar.

Bulunduğu yer: Menü penceresi / Edit Kısa yol / Enter

2.6.2.7. Add Note (not ekle)

Şekil 97: Bookmark menüsü / Add Note

“Notable Bookmark” (notlara yerimi) ekler. Bununla yorumlar ve notlar rapora eklenebilir. Her not için 1000 karakter kullanılabilir ve bunların biçemi (yazı boyu, italik, kalın vs.) değiştirilebilir.

Bulunduğu yer: Menü penceresi / Add Note Kısa yol / Insert



2.6.2.8. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster)

Şekil 98: Bookmark menüsü/ Show Excluded - Deleted

“Exclude” ya da “Delete” komutları ile görüntülenmemesi sağlanan - ancak gerçekte silinmemiş olan - dosyalar gösterilir.

Bulunduğu yer: Menü penceresi / Show Excluded Menü penceresi / Show Deleted

2.6.2.9. Delete (sil)

Şekil 99: Bookmark menüsü / Delete

Sekme alanında üzerine sağ tık / Delete ile bu komut uygulanan yerimini siler. “Show Deleted” (silinenleri göster) ile “silinen” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Delete Kısa yol / Delete



2.6.2.10. Delete all selected (seçili yerimlerinin tümünü sil)

Şekil 100: Bookmark menüsü / Delete All Selected

İşaret kutuları mavi kanca ile işaretlenen yerimlerinin tümünü siler. “Show Deleted” (silinenleri göster) ile “silinen” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Delete All Selected Kısa yol / Ctrl + Delete

2.6.2.11. Exclude (hariç tut)

Şekil 101: Bookmark menüsü / Exclude

Bu seçenek yerimini gizler, ancak listeden silmez. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Exclude Kısa yol / Ctrl + E



2.6.2.12. Exclude all selected (seçili dosyaların tümünü hariç tut)

Şekil 102: Bookmark menüsü / Exclude All Selected

Bu komutla işaretli yerimlerinin tümü gizlenir. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Exclude All Selected Kısa yol / Ctrl + Shift + E


Şekil 103: Bookmark menüsü / Export


Önemlidir:


Bulunduğu yer: Menü penceresi / Export




Şekil 104: Bookmark menüsü / Export Selected Files to i2

Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi, seçilen dosyalara ait bilgiler) “i2” firmasının (http://www.i2inc.com) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü penceresi / Export Selected Files to i2...

2.6.2.15. Summary Bookmark (derleme yerimi)

Şekil 105: Bookmark menüsü / Summary Bookmark

Olaylar üstü iki yerimi koyulabilir:

• Search Summary (arama özeti): Tüm aramaların sonuç sayısı, arama tarihi ve zamanı ve de arama metni ile listelenmesi için

• Case Time Settings (olayın zaman ayarları): Zaman ayarlarının gösterilmesi

Bulunduğu yer: Menü penceresi / Summary Bookmark

2.6.2.16. Tag File (dosya etiketi)

Şekil 106: Bookmark menüsü / Tag File

Bu seçenekle bir yerimi seçilir ve olay görünümü altında işaret kutusuna mavi kanca konur. “Bookmark” görünümünde yalnız “Entry Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag File Kısa yol / Ctrl + T



2.6.2.17. Tag selected files (seçilen dosyaları işaretle)

Şekil 107: Bookmark menüsü / Tag Selected Files

Bu seçenekle mavi kanca ile işaretlenmiş birden fazla yerimi seçilir ve olay görünümü altında işaret kutusuna mavi kanca konur. “Bookmark” görünümünde yalnız “Entry Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag Selected Files Kısa yol / Ctrl + Shift + T


Şekil 108: Bookmark menüsü / Show Columns






Şekil 109: Bookmark menüsü / Column









Şekil 110: Bookmark menüsü / Sort






Şekil 111: Bookmark menüsü / Select Item

Bu seçenek ile bir arama sonucu seçilir ve işaret kutusuna mavi bir kanca konur.

Bulunduğu yer: Menü penceresi / Select ItemKısa yol / Boşluk tuşu

2.6.3. Keywords Menü (anahtar kelime menüsü) 2.6.3.1. Edit (düzenle)

Şekil 112: Keyword menüsü / Edit

Klasör adını ya da bir anahtar kelimeyi (ve onun seçeneklerini) değiştirme olanağı sağlar.

Bulunduğu yer: Menü penceresi / Edit Kısa yol / Enter

2.6.3.2. New (yeni)

Şekil 113: Keyword menüsü / New

Menü penceresinden “New” komutu seçildiğinde, yeni anahtar kelimenin yazılması için bir pencere açılır. “Insert” tuşu ile alternatif işlevler yürütülebilir.

Bulunduğu yer: Menü penceresi / New Kısa yol / Insert




Şekil 114: Keyword menüsü/ Show Excluded - Deleted

“Exclude” ya da “Delete” komutları ile görüntülenmemesi sağlanan - ancak gerçekte silinmemiş olan - dosyaları gösterir.


2.6.3.4. Bookmark Data (yerimi koy)

Şekil 115: Keyword menüsü / Bookmark Data

Dosyaya ait, arama sonucunun ilişkili olduğu bir yerimi koyar. Yerimi “Menü çubuğu / View / Bookmarks” üzerinden görülebilir ve rapora aktarılabilir.

Bulunduğu yer: Menü penceresi / Bookmark Data Kısa yol / Ctrl + B


Şekil 116: Keyword menüsü / Delete

Sekme alanında üzerine sağ tık / Delete ile bu komut uygulanan anahtar kelimeyi siler. “Show Deleted” (silinenleri göster) ile “silinen” anahtar kelimeler gösterilir.




2.6.3.6. Delete all selected (seçili anahtar kelimelerin tümünü sil)

Şekil 117: Keyword menüsü / Delete All Selected

İşaret kutuları mavi kanca ile işaretlenen anahtar kelimelerin tümünü siler. “Show Deleted” (silinenleri göster) ile “silinen” anahtar kelimeler gösterilir.



Şekil 118: Keyword menüsü / Exclude

Bu seçenek anahtar kelimeyi gizler, ancak genel listeden silmez. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” anahtar kelimeler gösterilir.


2.6.3.8. Exclude all selected (seçili dosyaların tümünü hariç tut)

Şekil 119: Keyword menüsü / Exclude All Selected

Bu komutla işaretli anahtar kelimelerin tümü gizlenir. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” anahtar kelimeler gösterilir.





Şekil 120: Keyword menüsü / Export

Anahtar kelimelerin bir tabloya aktarılmalarına olanak sağlar. Aktarılacak sütunlar seçme kutusu işaretlenerek seçilirler.

Bulunduğu yer: Menü penceresi / Export...

2.6.3.10. Import (dışarıdan aktar)

Şekil 121: Keyword menüsü / Import

Bu işlev ile önceden hazırlanmış olan anahtar kelime listeleri dışarıdan aktarılabilir. Örneğin benzer durumdaki bir başka soruşturma bağlamında başka bir meslektaş önemli anahtar kelimeler listesi hazırlamışsa, bu liste yazma işine gerek kalmaksızın oradan alınabilir.

Bulunduğu yer: Menü penceresi / Import...



2.6.3.11. Add Keyword List (anahtar kelime listesi ekle)

Şekil 122: Keyword menüsü / Add Keyword List

Çok sayıda önemli anahtar kelimenin (ör. soruşturmacının elindeki bir metin belgesinden) “kopyala/yapıştır” ile EnCase arama listesine eklenmesine olanak sağlar.

Bulunduğu yer: Menü penceresi / Add Keyword List...

2.6.3.12. Rename (ad değiştir)

Şekil 123: Keyword menüsü / Rename

Kullanıcının yarattığı bir klasörün adını değiştirir.

Bulunduğu yer: Menü penceresi / Rename Fonksiyon tuşları / F2



2.6.3.13. New Folder (yeni klasör)

Şekil 124: Keyword menüsü / New Folder

Anahtar kelimeler için yeni bir klasör oluşturur.

Bulunduğu yer: Menü penceresi / New Folder...

2.6.3.14. Expand / Contract (genişlet/daralt)

Şekil 125: Keyword menüsü / Expand - Contract

Dizin ağacındaki anahtar kelime klasörlerinin rahat bir şekilde genişletilip daraltılmasını sağlar.

Bulunduğu yer: Menü penceresi / Expand/Contract Kısa yol / Boşluk tuşu Menü penceresi / Expand All Menü penceresi / Contract All



2.6.3.15. Include Sub Folders / Set Included Folders / Include Single Folder (alt klasörleri kapsa / kapsanan klasörleri ayarla / tek klasörü kapsa)

Şekil 126: Keyword menüsü / Set Included (Sub) Folders

Bu komutlar sekme alanındaki gösterim içindir (Homeplate uygulaması). Tercihe göre seçilen dizindeki tüm kayıtlar alt dizinlerindeki kayıtlarla birlikte veya onalar olmadan gösterilir. Önemlidir:

3. sürümün aksine 4. sürümde birden fazla dizin seçilebilir!

Bulunduğu yer: Menü penceresi / Set Included (Sub-) Folders Kısa yol / ...

Menü penceresi görünüm alanında değil de sekme alanında açılırsa, daha başka seçenekler de uygulanabilir:


Şekil 127: Keyword menüsü / Show Columns


Bulunduğu yer: Menü penceresi / Show Columns...




Şekil 128: Keyword menüsü / Column









Şekil 129: Keyword menüsü / Sort




Şekil 130: Keyword menüsü / Select Item


Bulunduğu yer: Menü penceresi / Select Item Kısa yol / Boşluk tuşu



2.6.4. Search Hits Menü (arama sonuçları menüsü) 2.6.4.1. Copy/Unerase (kopyala/geri al)

Şekil 131: Search Hits / Copy-Unerase

Arama sonucunun ilişkili olduğu bulunan dosyaları inceleme diskindeki herhangi bir klasöre kopyalama ya da geri olma olanağı sağlar. Buradan dosyalar harici programlarla incelenmeye devam edilebilir veya soruşturma memuruna - ör. CD-Rom veya DVD üzerinde - iletilebilir.

Bulunduğu yer: Menü penceresi / Copy-Unerase


Şekil 132: Search Hits / Bookmark Files

Arama sonucunun ilişkili olduğu dosya veya dosyalara yerimi konması.

Bulunduğu yer: Menü penceresi / Bookmark Files Kısa yol / Ctrl + B




Şekil 133: Search Hits / Create Hash Set

Hash değeri analizi yapılmadan seçilemez (Araç çubuğu / Search / Compute Hash Value). Bunun ardından seçilen dosyalara ve dizinlere ait bir Hash seti oluşturulabilir.

Bulunduğu yer: Menü penceresi / Create Hash Set


Şekil 134: Search Hits / View File Structure






Şekil 135: Search Hits / Send To

Doğrudan açılmak üzere dosyanın gönderilebileceği bağlı harici dosya görüntüleyiciyle irtibat kurar (bkz. ayrıca: View / File Viewers).



Şekil 136: Search Hits / Show Excluded - Deleted

“Exclude” ya da “Delete” komutları ile görüntülenmemesi sağlanan - ancak gerçekte silinmemiş olan - dosyaları gösterir.





Şekil 137: Search Hits / Delete

Sekme alanında üzerine sağ tık / Delete ile bu komut uygulanan arama sonucunu siler. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” arama sonuçları gösterilir.


2.6.4.8. Delete All Selected (seçili anahtar kelimelerin tümünü sil)

Şekil 138: Search Hits / Delete All Selected

İşaret kutuları mavi kanca ile işaretlenen anahtar kelimelerin tümünü siler. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” arama sonuçları gösterilir.





Şekil 139: Search Hits / Exclude

Bu seçenek arama sonucunu gizler, ancak arama sonuçları listesinden silmez. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” arama sonuçları gösterilir.


2.6.4.10. Exclude All Selected (seçili dosyaların tümünü hariç tut)

Şekil 140: Search Hits / Exclude All Selected

Bu komutla işaretli arama sonuçlarının tümü gizlenir. “Show Excluded” (hariç tutulanları göster) ile “hariç tutulan” arama sonuçları gösterilir.





Şekil 141: Search Hits / Export


Önemlidir:


Bulunduğu yer: Menü penceresi / Export


Şekil 142: Search Hits / Export Selected Files to i2

Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi, seçilen dosyalara ait bilgiler) “i2” firmasının (http://www.i2inc.com) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü penceresi / Export Selected Files to i2...

2.6.4.13. Tag File (dosya etiketi)

Şekil 143: Search Hits / Tag File

Bu seçenekle bir arama sonucu seçilir ve olay görünümü altında işaret kutusuna mavi kanca konur. “Search Hits” görünümünde yalnız “Entry Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag File Kısa yol / Ctrl + T



2.6.4.14. Tag Selected Files (seçilen dosyaları işaretle)

Şekil 144: Search Hits / Tag Selected Files

Bu seçenekle mavi kanca ile işaretlenmiş birden fazla arama sonucu seçilir ve olay görünümü altında işaret kutusuna mavi kanca konur. “Search Hits” görünümünde yalnız “Entry Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag Selected Files Kısa yol / Ctrl + Shift + T

2.6.4.15. View Search Hits (arama sonuçlarını göster)

Şekil 145: Search Hits / View Search Hits

Bu komutla arama sonuçlarının gösterilme şekli değiştirilebilir. Menü penceresinde (veya araç çubuğunda) bu komuta tıklandığında arama sonuçları

• Case (olay)

• Keyword (anahtar kelime)

• Device (veri ortamı)

kriterlerine göre gösterilebilirler. Seçim, işaret kutusu işaretlenerek yapılır, gösterimdeki sıra değişikliği ise “sürükle/bırak” yöntemiyle yapılır.

Bulunduğu yer: Menü penceresi / View / Search Hits

2.6.4.16. Bookmark Selected Items (seçili arama sonuçlarına yerimi koy)

Şekil 146: Search Hits / Bookmark Selected Items

Seçilen arama sonuçlarına yerimi konmasını sağlar.

Bulunduğu yer: Menü penceresi / Bookmark Selected Items




Şekil 147: Search Hits / Show Columns




Şekil 148: Search Hits / Column











Şekil 149: Search Hits / Sort

“Sort” komutu ile dosyaların sıralanmasını düzenlemek için pek çok olanak sunulur (küçükten büyüğe, büyükten küçüğe, vs.).

Ancak EnCase’de en kolay sıralama olanağı sekme alanında sütun adının üzerine çift tıklanmasıdır. Burada en fazla 5 kriter belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift tık ile 2 - 5 kriter belirlenir.



Şekil 150: Search Hits / Select Item


Bulunduğu yer: Menü penceresi / Select Item Kısa yol / Boşluk tuşu



3. Uygulamada EnCase

3.1. EnCase programının kurulması

3.1.1. Program EnCase programının Windows sürümünün kurulum yordamı CD-Rom’un otomatik başlatma arayüzünden başlatılabilir. CD-Rom üzerindeki sürüm güncel sürüm değilse, Guidance şirketinin İnternet sitesinden en son sürümün indirilmesi tavsiye edilir. Kurulum dosyasının adı “Update” olmasına rağmen, eski sürümün kurulu olması şart değildir. Kaynak: http://www.guidancesoftware.com

3.1.2. Dongle sürücüsü Her iki seçeneğe (USB ve paralel port) ait Dongle sürücüleri de programla birlikte verilen CD-Rom üzerinde bulunmaktadır ve bunlara otomatik başlatma menüsünden ulaşılabilir. Eğer CD-Rom yanınızda değilse, dosya Guidance İnternet sitesindeki karşıdan yükleme sayfasında bulunabilir. EnCase programı Dongle’dan önce kurulursa, en üstteki bilgi satırında “EnCase Acquisition Edition” ibaresi gösterilir ve program yalnız Image (görüntü) oluşturmak için kullanılabilir. Ancak Dongle kurulduktan sonra bu mesajın yerine “EnCase Forensic Edition” gösterilir ve EnCase programının artık kriminal teknik incelemeler için kullanılabileceğini gösterir. Kaynak: http://www.guidancesoftware.com

Şekil 151: CD-Rom takıldıktan sonraki otomatik başlatma ekranı



3.1.3. Guidance İnternet sitesinden tedarik edilebilecek güncellemeler Sık sık yapılan program iyileştirmeleri ve geliştirmeleri nedeniyle Guidance İnternet sitesindeki karşıdan yükleme sayfasının düzenli olarak ziyaret edilmesi şiddetle önerilir.

Zorunlu üyelik işlemi tamamlandıktan sonra aşağıdaki ürünler tedarik edilebilir:

• Güncel program sürümü

• Tüm ek modüller (VFS, PDE, EFS)

• Güncel EnScript kütüphanesi

• Güncel filtre kütüphanesi

• Sürücü yazılımları (Dongle, sürücüler, vs.)

• Güncel Boot disk görüntüleri

• Yardımcı videolar (ve bunlar için gerekli “WebEx Player”)

• Aletler, vs.

Püf Noktası:

Siteyi ziyaret ettiğinizde “Messageboard”a (mesaj panosu, üyelik gerekmektedir!) bir göz atmak faydalıdır, çünkü burada EnCase programıyla değerlendirme işi (ve dolayısıyla ortaya çıkan problemler) hakkında diğer kullanıcılarla yoğun bir deneyim alışverişi olmaktadır. Kaynak(lar): http://www.guidancesoftware.com/support/downloads.shtm

http://www.guidancesoftware.com/support/MessageBoard/Index.shtm

Şekil 152: Guidance Software firmasının en son güncellemeleri sunduğu karşıdan yükleme sayfasından

alıntı



3.2. Bootdisk (önyükleme disketi)

EnCase ile çalışırken sık sık “EnCase Boot Disk”e başvurmak gerekmektedir. Önyükleme disketi, Windows kullanılamıyorsa veya kullanılmayacaksa, veri ortamlarının DOS kipinde güvenli edinimi için kullanılmaktadır DOS işletim sistemi, yazma koruma yazılımı kullanılarak, özel bir donanım kullanmaya gerek kalmadan kriminal teknik bakımdan doğru bir edinim yürütülmesine olanak verir.

Önyükleme disketi zanlı bilgisayarının veya güvenlik bilgisayarının boot edilmesine yarar ve temelde, işlevleri aşağıda açıklanan iki tür boot disketi ayırt edilir:

• EBD (EnCase Boot Disk)

• ENBD (EnCase Network Boot Disk)

ÖNEMLİDİR:

Zanlı bilgisayarının önyükleme sıralamasının diskete ayarlı olduğundan mutlaka emin olunuz!

3.2.1. EnCase’de boot disketi hazırlanması Menü çubuğundan ve “Tools / Create Boot Disk” menüsünden veri ortamının edinilmesi için kullanılabilecek bir kriminal teknik EnCase Boot disketi (EBD) hazırlanabilir. Bu sayede DOS 7’nin önyükleme sırasında sabit diske ya da C:\ sürücüsüne yazmaması temin edilir. Bundan dolayı burada kullanılan “IO.SYS” ve “COMMAND.COM” dosyalarının yolları “C:\” yerine “A:\” olarak değiştirilmiştir. Önyükleme disketini tamamlamak için, işlem bittikten sonra EnCase’in kurulum dizinindeki “en.exe” dosyası (normalde C:\Programlar\EnCase4\) diskete kopyalanmalıdır. Bu şekilde hazırlanan EBD öncelikle Drive-to-Drive-Acquisition (ör. zanlı bilgisayarının önyüklemesi ve kendi HDD’si üzerinde güvenceye alınması için) işlemine yarar, ancak veri transfer oranı Windows altındaki güvenceye alma işleminden daha düşüktür.

Bulunduğu yer: Menü çubuğu / Tools / Create Boot Disk

3.2.2. ENBD hazırlanması EnCase, Drive-to-Drive-Acquisition işleminin yanı sıra ağ kablosu üzerinden geçişli veri edinimi (Crossover-Acquisation) ile özel (teknik) koşullara karşılık verilebilmesi olanağını sağlar. Bu işlem için gerekli “EnCase Network Boot Disk”in, kısaca ENBD, elde edilmesinin en kolay yolu Guidance İnternet sitesinden indirmektir. Bilgisayar ENBD ile önyüklendiğinde, ilk seçenekler ekranından bilgisayarın ağ kartının otomatik olarak tanınıp tanınmadığı ve buna ait sürücünün yüklenip yüklenmediği tespit edilebilir. Belli başlı sürücülerin neredeyse hepsi diskette mevcut olduğundan, bu işlem şekli çoğu olayda tavsiye edilir. “Manual” yönteminde ağ kartının elle belirlenmesi ve sürücünün yüklenmesi gerekir. Bunun ardından DOS için EnCase sunucu kipinde başlatılır ve edinim için hazırdır.

Kaynak: http://www.guidancesoftware.com/support/network_bootdisk.shtm



Şekil 153: Guidance firmasının boot disk görüntülerine ait linkleri içeren karşıdan yükleme sayfasından

alıntı

3.3. Görüntü (Image) oluşturma

3.3.1. Boot Disk

3.3.1.1. EBD ile Drive-to-Drive-Acquisition

Zanlı veri ortamının veri edinimi komple DOS için EnCase içinde yürütülür. Duruma göre ya zanlı bilgisayarında önyükleme yapılır ve bir güvenlik HDD’si eklenir ya da zanlı HDD’si güvenlik bilgisayarına monte edilir. Kaynak ve hedef ortamının aynı ana karta bağlı olmasından dolayı bu işleme “Drive-to-Drive-Acquisition” denir ve bunda “Server Modus” yoktur.

Sabit diskin bağlanması

• Güvenlik HDD’sini veya zanlı HDD’sini IDE kablosuyla önyükleme yapılacak bilgisayarın ana kartına bağlayın.

• Jumper'ların doğru ayarlanmasına dikkat edin.

DOS için EnCase'in başlatılması

• EBD’yi takın ve bilgisayarı açın.

• BIOS’a göz atıp önyükleme sırasını kontrol edin, gerekiyorsa öncelik sırasını değiştirin.

• Disketi sürücü harfinin gösterildiği komut ekranı geldiğinde “en” komutu ile DOS için EnCase’i başlatın.

Veri ortamını bloke etmek / blokeyi kaldırmak

• Bağlı olan veri ortamlarının bloke (“Lock”) olup olmadığını kontrol edin (standart istisna, EnCase’in Windows’taki DOS penceresinden başlatılmasıdır).

• Aygıtları görün ve kendinizin ya da zanlının veri ortamını teşhis edin (ÖNEMLİDİR!)

• İmgenin yazılabilmesi için kendi veri ortamınızın blokesini kaldırın.

3.3.1.2. ENBD ile Crossover-Acquisition

EnCase Network Boot Disk (ENBD) ile veri edinim işlemi EnCase'in normal önyükleme disketi ile yapılan veri edinim işlemiyle büyük ölçüde benzerlik taşımaktadır. Başlıca farklar şunlardır:



• Ağ bağlantı kablosu üzerinden bağlantı kurma: Veri edinim işlemine katılan iki bilgisayarın ağ kartları üzerinden bağlantı kurabilmeleri için EnCase ile birlikte sarı renkli ağ bağlantı kablosu verilmektedir.

• Ağ kartı sürücüsü: Normal önyükleme diskinden ayrılan nokta, bunda ağ kartı sürücülerinin olmasıdır. Bu işlemde ağ kartının tanıtılması ve ardından sürücünün kurulması ya EnCase’e bırakılabilir (“Auto”) ya da elle yapılabilir. Az rastlanır bir ağ kartıyla karşılaşıldığında, sürücüyü kendinizde önyükleme disketine kaydedebilirsiniz.

ENBD sürümleri Guidance Software şirketinin İnternet sitesindeki http://www.guidancesoftware.com/support/articles/networkbootdisk.shtm adresinden ya da http://www.guidancesoftware.com/support/downloads.shtm adresinden doğrudan ISO dosyası olarak indirilebilir (bkz. ayrıca Şekil 153).

ENBD ile veri edinimi için aşağıdaki işlemler yapılır:

• Zanlı bilgisayarının ağ bağlantı kablosu (kros kablo) ile güvenlik bilgisayarına bağlanması

• Zanlı bilgisayarında ENBD ile önyükleme yapılması (önemli: önyükleme sıralamasına dikkat edin!)

• Ya doğru ağ kartını seçin ya da “AUTO” seçeneğini

• DOS için EnCase’i başlatın (“AUTO” seçilmişse, doğru ağ kartı tanındıktan sonra DOS için EnCase otomatik olarak başlar)

• DOS için EnCase’i zanlı bilgisayarında “Server” kipine getirin

• Güvenlik bilgisayarını Windows altında önyükleyin

• Güvenlik bilgisayarındaki IP adresinin ve alt ağ maskesinin (Subnetmask) statik olduğundan emin olun. Değilse: DHCP seçeneğini kapatın ve IP adresini (ör. 10.0.0.50), alt ağ adresini (ör. 255.255.255.0) yazın. Ayrıca, başarılı bir bağlantı kurulmasını önleyebilecekleri için WINS ve DNS ayarlarının da duruma göre silinmesi gerekebilir.

• Windows için EnCase’i başlatın.

• Yeni olay yaratın ve araç çubuğundaki “Add Device” üzerine tıklayın.

• Açılan pencerede – normalde yapıldığı gibi – “Local Drivers” değil, “Network Crossover” seçeneğini seçin.

• EnCase zanlı bilgisayarı ile bağlantı kurar ve “Preview” (ön izleme)’de görülecek ve bir sonraki adımda veri edinilebilecek (Acquire) şekilde onun veri ortamını okur.

3.3.2. Windows için EnCase Verilerin güvenceye alınması normalde – ör. hız nedeniyle – EnCase’in Windows arayüzü ile yürütülmektedir. Bu işlem sırasında ancak yazma koruma sağlandığı takdirde veri ortamına erişilmesine izin verilir! (Parola: Veri değiştirme!). Windows altında Guidance firmasının donanım ve yazılımları ile başka firmaların (Tableau, vs.) uygun ürünleri kullanılmaktadır.



3.3.2.1. New (yeni olay yaratma)

Şekil 154: “File / New” ile yeni bir olay yaratılması

Veriler güvenceye alınmaya başlanmadan önce EnCase’in Windows arayüzünde yeni bir olay yaratılmalıdır. Bu işlem “New” simgesi veya “File/New” menüsü üzerinden yapılır. Takip eden diyalogda dört bilgi girilir:

• Name (olayın adı) (1)

• Examiner Name (inceleyenin adı) (2)

• Default Export Folder (standart dışarı aktarma klasörü) (3)

• Default Temp Folder (standart geçici klasör) (4)

Yalnız imge oluşturulacaksa ve hemen ardından değerlendirme yapılmayacaksa, “Export” ve “Temp” klasörleri şimdilik olduğu gibi bırakılabilir. Ancak diğer tüm bilgiler imge dosyalarıyla birlikte saklanır ve daha sonra değerlendirme yapılırken EnCase ile çağrılabilirler.

Şekil 155: Yeni olay hakkındaki bilgilerin girildiği pencere

3.3.2.2. Add device (veri ortamı ekle)

Şekil 156:“Add Device” düğmesi

“Add Device” (veri ortamı ekle) komutu ile bir diyalog penceresi açılır. Sol pencerede “Local” kutusu ve sağ pencerede “Local Drivers” kutusu işaretlendikten sonra yerel sistemdeki tüm fiziksel ve mantıksal veri ortamlarını listeleyen yeni bir diyalog açılır.



Şekil 157: Yerel veri ortamlarının seçilmesi

İstenen veri ortamı seçildiğinde, seçilen veri ortamını gösteren yeni bir diyalog açılır. Bunun üzerine çift tıklandığında, EnCase içinde gösterilmesine ilişkin bilgiler verilebilir (ancak bu bilgiler iki adım sonra da verilebilirler).

Şekil 158: Veri ortamının/sürücünün seçilmesi

Pencerede “Read File System” kutusu işaretlenmemişse, ne bölüntü tablosunun ne de dizin ağacının üstlenildiği bir imge okunabilir. Yani veriler büyük bir blok halinde ele alınır.



Şekil 159: Seçilen veri ortamının veya sürücünün ön izlemesi

Önemlidir:

Bu noktaya kadar henüz imge üretilmemiştir. Bu veriler yalnız ön izleme olarak görüntülenirler ve bu durum veri ortamının simgesi üzerindeki küçük mavi üçgen ile belirtilir.

3.3.2.3. Acquire (veri edinme)

Şekil 160: Seçilen veri ortamına ait Preview (önizleme)

Önceki adımda bir veri ortamı seçilmişse, EnCase tarafından okunur ve önce görüntüleme alanında önizleme şeklinde gösterilir. Bu önizleme durumu küçük mavi üçgen ile gösterilir. (1) Ancak bir sonraki adımda veri ortamı gerçekten güvenceye alınır. Bu işlem ya “Acquire” düğmesi (2) ya da “Edit/Acquire” menüsü üzerinden yürütülür.

Açılan pencerede (Şekil 161) aşağıdaki ayarlamalar yapılabilir:

• “Acquire another disk” (bir başka sabit diskten veri edin) (1) “Acquire another disk” kutusu işaretlenirse, işlem bittikten sonra başka önizleme yapılmadan başka imgeler de oluşturulabilir. Bu seçenek özellikle çok sayıdaki disketin, Zip kartuşunun vs. güvenceye alınmasında yararlıdır.

• “Search, Hash and Signature Analysis” (arama, Hash ve imza analizi) (2)

Bu komut bir Batch dosyası (toplu işlem dosyası) ile karşılaştırılabilir, çünkü imge kaydedildikten hemen sonra üç işlem yürütülür: Bir arama yordamı başlatılır, bilinen Hash değerleriyle karşılaştırma yapılır ve imza analizi (bir dosyanın başlığı ve dosya uzantısının karşılaştırılması) yürütülür. Ancak arama yordamı için anahtar kelimelerin “Acquire” komutundan önce seçilmiş olması gerekmektedir.

• “New Image File” (yeni imge dosyası) (3)

• “Do not add” (ekleme) (4)

İmge yaratılan olaya eklenmez, daha sonra açılmak üzere sabit diskte saklanır. • “Add to Case” (olaya ekle) (5)

İmge oluşturulduktan ve sabit diske kaydedildikten sonra olay içindeki önizlemede gösterilir.

• “Replace source device” (kaynak aygıtını değiştir) (6)



İmge üretilir ve kaydedilir, ancak önceden önizlemede gösterilen veri ortamının yerine geçer ve arama sonuçlarını, terimlerini vs. devralır.

Şekil 161: Veri edinmeden sonra ne yapılacağının belirlenmesi

3.3.2.4. Options (seçenekler)

DOS sürümünde olduğu gibi, takip eden pencerede idari bilgiler yazılır. “Add Device” (aygıt ekle) adımında veri ortamına ait bilgiler girilmişse (Name, Evidence Number, Notes) bunlar maskede gösterilir ve gereği halinde değiştirilebilir. Bunların ötesinde şu alanlar da faydalıdır:

• Start Sector / Stop Sector (başlangıç ve bitiş sektörü) (1)

İstisnai hallerde veri ortamının tamamındaki veri edinilmeyecekse, buradan başlangıç ve bitiş sektörleri, sektörüne kadar tam olarak ayarlanabilir.

• Compression (sıkıştırma) (2)

EnCase, imge dosyasını veri ortamının başlangıçtaki boyutuna kıyasla sıkıştırabilmektedir. Hız nedeniyle ilke olarak “None” (hayır) seçeneğinin işaretlenmesi önerilir, çünkü imge fazla yer kaplamaması için sonradan da sıkıştırılabilmektedir.

• Password (şifre) (3)

İmge dosyasına şifre koyulabilir.

• File Segment Size (dosya bölüt boyu) (4)

İmge daha sonraki yedekleme ortamına (CD-Rom, DVD) uygun olarak bölünebilir. İmge parçalarının boyutu 2000 MB’ye kadar istendiği gibi ayarlanabilir.

• Output Path (hedef yol) (5)

İmgenin saklanacağı yol seçilir.



Şekil 162: İmge oluşturma seçenekleri

Önemlidir:

Bu adımlar (olay yarat, aygıt ekle, veri edin, seçenekler, veri ortamı kopyasının tam olarak hazırlanması) Dongle olmadan da yapılabilir. Bu durumda EnCase “Acquisition Edition” (veri edinme sürümü) olarak çalışır ve veri ortamının önizlemesi mümkün değildir. Program güvenli kipte çalışmaktadır. Ancak Dongle takıldıktan sonraki “Forensic Edition” (kriminal teknik sürümü) içinde önizleme ve de imgenin açılması mümkün olmaktadır.

Şekil 163: Veri edinimi sona erdikten sonraki durum mesajları



3.4. Değerlendirme

Zanlının veri ortamındaki veriler güvenceye alındıktan ve gerekli ön çalışmaları ile birlikte yeni bir olay yaratıldıktan sonra inceleyenin asıl işi başlar: Dava bakımından önem taşıyan verilerin değerlendirilmesi ve hazırlık soruşturmasına dahil edilmesi.

3.4.1. Yeni Case (olay) yaratma

Şekil 164: Yeni olay yaratma

Her değerlendirmenin başlangıcı yeni bir olay, yani gerekli olan “.cas” EnCase dosyasının yaratılmasıdır. Bu işlem ya “New” düğmesine basılarak ya da “File / New” menüsü üzerinden yapılır. Olay bu dosya altında sabit diske kaydedilir ve daha sonra kaydedilen gelişmelerle birlikte her zaman yeniden açılabilir (ya Explorer’da “.cas” dosyası üzerine çift tıklayarak veya EnCase açıkken “Open” düğmesine tıklayarak ya da “File / Open” menüsünden).

Bulunduğu yer: Menü çubuğu / File / New Araç çubuğu / New

3.4.1.1. Olay organizasyonu

Yeni bir “Case” (olay) yaratılmadan önce inceleyicinin kendi veri ortamındaki dizinlerde gerekli olan organizasyonel önlemleri alması gerekmektedir. Bunun için deneyimlere dayanılarak değerlendirme diskinde aşağıdaki klasörlerin yaratılması önerilir.

Şekil 165: Değerlendirme veri ortamında örnek olay organizasyonu

• Günlük numarası ve zanlının adı verilen bir klasör (1) onun içinde

• Delil numarası verilen bir klasör (olay (Case) bunun altına kaydedilir) (2) ve onun altında yine aşağıdaki klasörler:

• “Evidence”: İmge dosyalarının kaydedilmesi için (3)

• “Export”: Dışarı aktarılan veriler klasörü (4)

• “Temp”: Görüntüleyici ile açılan EnCase dosyalarının geçici olarak kaydedildiği klasör (5)

3.4.1.2. Veri girme ve yol değiştirme

Yeni bir olay yaratıldığında, ilk önce “Case Options” (olay seçenekleri)’ni içeren bir pencere açılır. Burada, aynı zamanda EnCase’in “.case” dosyasına vereceği olay adının yanı sıra “Examiner Name” (inceleyenin adı) yazılabilir. Bunun ötesinde EnCase’de “Export” ve “Temp” klasörlerinin standart yolları, eğer bir önceki adımda oluşturduysanız, kendi oluşturduğunuz yollara göre değiştirilmelidir.



Şekil 166: İnceleyen tarafından değiştirilen yol bilgileri

Uyarı:

Buradan yapılan ayarlar her zaman için Tools / Options menüsünden ve “Case Options” kayıt kartından değiştirilebilir.

3.4.1.3. İmge dosyalarının eklenmesi

Şekil 167: Veri ortamı ekleme

Eğer mevcut imge dosyaları henüz “boş” olaya eklenecekse, imge oluşturmadaki gibi “Add Device” işlemi seçilmelidir. Açılan pencerede “Evidence Files” üzerine sağ tık yapılır ve menü penceresinden “New” seçilir.



Şekil 168: Yeni imge klasörü ekleme

Sonraki pencerede imgenin kayıtlı olduğu yer seçildiğinde pencerenin sağ tarafında bir (veya daha fazla) imge görülür.

Şekil 169: Yol ayarları



Şekil 170: EnCase’e yüklenmek istenen veri ortamı kopyasının seçilmesi

İstenen imge kutusuna işaret konularak işaretlendikten sonra bir iki tık ile yeni olaya eklenir.

Şekil 171: “Weiter” (devam) düğmesine iki defa tıklandığında okuma işlemi başlar



Olay içinde daha fazla veri ortamı eşzamanlı incelenecekse (ör. zanlının masaüstü ve dizüstü bilgisayarının peş peşe incelenmesi) bu işlem diğer imgeler için de tekrarlanabilir.

3.4.1.4. Uyum ayarlarının yapılması

Asıl değerlendirmeye başlamadan önce gerekli olması olası ön işlemler yapılmalıdır. Bunlardan bazıları doğru saat diliminin ayarlanması (ortam üzerine sağ tık, “Modify Time Zone Settings”) ve gerekli olması olası yazı tiplerinin kurulması (eğer daha önceden yapılmamışsa).

Şekil 172: “Menü çubuğu / Edit / Modify Time Zone settings” üzerinden saat diliminin ayarlanması

Şekil 173: Kurulu yazı tipi Arial Unicode’un kontrol edilmesi

Standart olarak kullanılmayan yazı karakterlerinin (ör. Arapça, Çince, vs.) gösterilebilmesi için değerlendirme bilgisayarında “Arial Unicode MS” yazı türü kurulu olmalıdır. Yazı türleri “Control Panel”den kontrol edilebilir. Yazı türü henüz kurulmamışsa, ör. MS Office CD’sinden yüklenebilir. EnCase için gerekli ayarlar ilgili yerde ayrıntılı olarak açıklanacaktır.

3.4.2. Ön çalışmalar Dava bakımından önemli verilerin aranmasına başlamadan önce, daima aşağıdaki adımlar bir kontrol listesi yardımıyla uygulanmalıdır. Bu ön çalışmalar bazı olaylarda çok sıkıcı olabilir ve gereksiz görülebilir, ancak arama sonuçlarındaki başarıyı epey yükseltmektedir! Örnekler:



• Zanlı çocuk pornografisi içerikli resimlerin dosya uzantılarını değiştirmişse (“.jpg”leri ör. “.cds” yaptıysa) EnCase bunları resim dosyası olarak göstermez. Çözüm: “Verify File Signature” (dosya imzalarının doğrulanması)

• Belli bir anahtar kelimeye göre (ör. “Ecstasy”) belge dosyalarında arama yapılırken de yalnız bu tür dosyalar (yani “.txt”, “.doc”, vs.) dikkate alınır. Ancak önemli bir belge dosyası bir e-posta eklentisi içindeyse veya sıkıştırılmış arşiv içindeyse (ör. “.zip” veya “.rar”), EnCase bunların içeriğini dikkate almaz. Çözüm: “Mount Compound Files”

“File Mounter Script”

3.4.2.1. Verify File Integrity (veri bütünlüğünün doğrulanması)

Bir imge dosyası olaya eklendikten sonra, EnCase otomatik olarak güvenceye alınan verinin doğrulanması işlemine başlar. Yani Hash değeri denetlemesi yardımıyla okunan imgenin güvenceye alınan imgeyle tam olarak aynı olup olmadığı tespit edilir. Ekranın sağ alt tarafında durum ve kalan zaman yanıp sönen durum çubuğu ile gösterilir.

Şekil 174: İmgenin doğrulanması

Bu süreç durum çubuğu üzerine çift tıklanarak ve açılan diyalogdan “Cancel” üzerine tıklanarak iptal edilebilir.

Ancak doğrulama işleminin sonucu yalnız doğrulama sürecinin tamamı bittikten sonra ve olay kaydedildikten sonra kalıcı olarak saklanır.

İptal edilmesi durumunda, olay yeniden açıldığında doğrulama işlemi otomatik olarak başlar. İptal edilen doğrulama süreci, sonradan “View” görünümündeyken veri ortamı üzerine sağ tık yapılarak, açılan menü penceresinden “Verify File Integrity” seçilerek elle de tekrarlanabilir. Bulunduğu yer: View / Cases / veri ortamı üzerine sağ tık / Verify File Integrity

3.4.2.2. “Acquisition Hash” ve “Verify Hash” karşılaştırması

Doğrulama tamamlandıktan sonra, imgenin okunması sırasında belirlenen Hash değeri veri edinmede belirlenen Hash değeri ile karşılaştırılır. Bunun için görünüm alanında “Devices” (aygıtlar)’a geçilir ve olay adı sol tık ile işaretlenir. Ardından alt sekme alanında “Report” düğmesine tıklandığında veri ortamı ve – veri edinme ve doğrulama Hash'leri dahil olmak üzere – bölüntüler hakkında ayrıntılı bilgiler gösterilir.



Şekil 175: Veri edinme ve doğrulama Hash’lerinin karşılaştırılmasına olanak veren rapor görünümü

Bulunduğu yer: View / Devices / dosya adını işaretleyin / alt sekme alanında “Report”



3.4.2.3. Scan Disk Configuration

EnCase, “Scan Disk Configuration” (View / Cases / veri ortamı üzerine sağ tık / “Scan Disk Configuration”) komutu verildiğinde, hem yazılım RAID’lerini hem de dinamik veri ortamlarını algılayabilir ve olay görünümü dizin ağacında sanal olarak yeniden gösterebilir. Ancak bu adımdan sonra kaydedilmiş verilere erişim sağlanabilir!

Şekil 176: “Scan Disk Configuration” komutu uygulanmadan ÖNCE Win XP altında yazılım RAID

Şekil 177: Tarama yapıldıktan sonra algılanan Stripe setleri

Uyarı:

Veri ortamı yapılanışını donanım kontrol ediyorsa, önemli bilgilerin tümü kartın BIOS’unda bulunur. Bundan dolayı EnCase yapılanışı veri ortamlarından yapılandıramaz ve inceleyici zanlının sistemindeki her sürücüye birer birer veri edinimi işlemini uygulamak durumundadır. Bunun için en uygun yöntem ağ bağlantı kablosu ile birlikte ENBD kullanılmasıdır (Dikkat: Boot disketinde RAID Controller sürücüleri olmalıdır!). Bulunduğu yer: View / Cases / veri ortamı üzerine sağ tık / Scan Disk Configuration

3.4.2.4. File System (dosya sistemi)’nin belirlenmesi

Veri ortamının ya da münferit bölüntülerin dosya sistemleri – veri edinme ve Hash değerlerinde bahsedildiği gibi – “View / Devices” altından, olay adına sol tıklanarak ve ardından alt sekme alanında “Report” düğmesine tıklanarak görülebilir.

Şekil 178: Veri ortamının veri sistemi

Bulunduğu yer: View / Devices / dosya adı üzerine sol tık / alt sekme alanında “Report” düğmesi



3.4.2.5. Silimmiş bölüntülerin kurtarılması

“Partition Finder” betiği veri ortamının sektörlerinde, bir FAT, NTFS veya EXT-2 bölüntü başlangıcına işaret eden ipuçlarını araştırır ve bulduklarına yerimi koyar. Otomatik aramayı başlatmak için şunlar yapılır:

• “Scripts” görünümüne geçin (menü çubuğu / View / Scripts) (1)

• Dizin ağacında “Partition Finder (v4)” betiğini bulun ve üzerine çift tıklayın. Bunun üzerine betiğin program kodu sekme alanında gösterilir. (2)

• Sekme alanına sağ tıklayın ve “Run” komutunu seçin. Alternatif olarak “F9” fonksiyon tuşu da kullanılabilir. (3)

Şekil 179: “Partition Finder” betiğinin başlatılması

İleri düzey kullanıcılar bu aramayı – epey fazla zahmetle – elle de yürütebilirler.

Bulunduğu yer: View / Scripts / “Partition Finder” betiği


EnCase kullanıcı tarafından silinmiş klasörleri kurtarabilir. Ancak bunun yağılış şekli dosya sistemine göre farklılık gösterir:

• FAT: “Unallocated Cluster” içinde silinen klasörler için “nokta, iki nokta imzasını” arayın. Eğer böyle bir imza bulunursa, EnCase silinmiş olan bu klasör içindeki dosyaları ve klasörleri kurtarabilir. Kurtarma işlemi tamamlandıktan sonra görünüm alanındaki dizin ağacında, içinde sonuçların görülebileceği “Recovered Folders” adlı bir klasör belirir.



• NTFS: “Unallocated Cluster” içinde hala listelenmiş, ama herhangi bir ana dizine ait olmayan verilerin bulunmasına yarayan MFT (Master File Table) kalıntılarını arayın. Kurtarılan veriler görünüm alanındaki dizin ağacında “Lost Files” klasöründe gösterilirler.

• UFS/EXT2/EXT3: Çalışma şekli NTFS gibidir ve kurtarılan veriler görünüm alanındaki dizin ağacında “Lost Files” klasöründe gösterilirler.

Şekil 180: Arama yordamından sonra sonuçları içeren “Lost Files” klasörü

3.4.2.7. Mount Compound Files (bileşik dosyaları ilişkilendir)

“Compound Files” (bileşik dosyalar) aşağıdaki örneklerde verilen çok katmanlı dosyalara denir:

• OLE dosyaları (“Object Link Embedded”, yani nesneler başka nesnelerin içine gömülmüştür, ör. bir Excel tablosu bir Word belgesi içine)

• E-posta dosyaları (Outlook PST dosyaları ve Outlook Express DBX dosyaları)

• Kayıt (lisanslama) dosyaları

Sekme alanında ilgili bileşik dosya üzerine sağ tıklanıp menü penceresinden “View File Structure” seçildiğinde dosyanın çeşitli katmanları görünüm alanındaki dizin ağacında gösterilir. “Mount Compound File Types” adlı betik ile bu süreç tüm edinilmiş dosyalar için otomatik olarak yürütülebilir.

Şekil 181: Zip dosyası üzerine “View File Structure” komutu uygulandıktan sonra Zip birimi

Bulunduğu yer: Sekme alanı / dosya üzerine sağ tık / View File Structure View / Scripts / Mount Compound File Types



3.4.2.8. File Mounter Script

“View / Scripts" altında adı “File Mounter” olan bir betik bulunmaktadır. Bu betik yürütüldüğünde, tercihe göre aşağıdaki dosya uzantılarına sahip arşivler ilişkilendirilebilir:

Şekil 182: “File Mounter” betiği penceresi

• "dbx"

• "gz"

• "tgz"

• "pst"

• "tar"

• "thumbs.db"

• "db"

• "zip"

• "rar"

İmza analizi önceden yapılmışsa (Madde 3.4.2.9) imzalarla, dosya uzantılarıyla aranabildiğinden daha etkin arama yapılabilir. (1) Bunun ötesinde arama sahası, seçilen dosyalarla sınırlandırılabilir. (2) İstenen dosya uzantıları ilgili kutu işaretlenerek seçilirler. (3)

İlişkilendirilen dosyaların sayısı çok fazlaysa, EnCase’de performans ve kararlılık sorunları ortaya çıkar. Münferit dosyalar, sekme görünümünde üzerine sağ tıklanarak ve “View File Structure” komutu üzerinden elle ilişkilendirilebilirler. Ardından arşivin içeriği görünüm alanındaki dizin ağacında gösterilir.



3.4.2.9. Verify File Signatures (dosya imzalarının doğrulanması)

Dosya imzaları doğrulanırken olaydaki dosyaların dosya başlıkları imza tablosuyla ve onunla ilişkili uzantılarla karşılaştırılır.

Şekil 183: “Verify Signature” işleminin arama penceresinden başlatılması

Dosya uzantıları, dosyanın hangi tipe ait olduğunu gösterir. Bilgisayar programları, hangi programın hangi dosyayı açacağına karar verirken sıklıkla yalnız bu uzantılara güvenirler. Ancak bir dosyanın gerçek içeriğinin, dosyanın uzantısı Windows ile bağlantılı standart programlar tarafından açılamayacak şekilde değiştirilerek gizlenmesi kolaylıkla düşünülebilir.

Buna göre eğer bir pedofil tüm resim dosyalarının “.jpg” uzantılarını rasgele bir harf dizisi şeklinde (veya özellikle göze çarpmayacak, “.dll” gibi bir uzantı şeklinde) değiştirseydi, EnCase dahil çoğu program dosyanın içeriğini görüntüleyemezdi. Bundan dolayı dosya imzalarının doğrulanması kaçınılmaz bir işlemdir! İmza analizi, araç çubuğundaki “Search” düğmesi ile veya menü satırından (Tools / Search) açılan arama fonksiyonu ile başlatılır. Arama işleminden bilinen bu pencerede yalnız “Verify file signatures” kutusu işaretli olmalıdır. “Start” düğmesine basıldığında, arka planda analiz işlemi başlar. İmza analizi tamamlandıktan sonra sonuç sekme alanında “Signatures” tablo sütununda görülebilir. Aşağıdaki sonuçlar görülebilir:

Şekil 184: İmza sütunu

• Bad signature (sahte imza): Dosya uzantısı imza tablosunda mevcuttur, ancak dosya başlığı buna uygun değildir. Eğer henüz bilinmeyen bir başlık satırı söz konusuysa, bu bilgi imza tablosuna eklenmelidir.

• *[Alias]: Dosya başlığı dosya imza tablosunda mevcuttur, ancak uzantı beklenen biçime uygun değildir. Bu kasıtlı bir dosya uzantısı değişikliğine işaret eder!

• Match (uyuşma): Dosya başlığı dosya uzantısına uygundur.

• Unknown (bilinmiyor): Ne başlık satırı ne de dosya uzantısı imza kütüphanesinde mevcut değildir.




3.4.2.10. Hash analizi

EnCase’in Hash işlevi her dosya için bir Hash değeri – yani bir nevi sayısal parmak izi – üretilmesine olanak sağlamaktadır. Bu parmak izi eşsiz sayılmaktadır ve yalnız o dosyanın kopyası aynı değeri verir. Hash değeri dosya adını değil, yalnız dosya içeriğini esas almaktadır. Bu şekilde EnCase adı değiştirilmiş olan dosyaları da şaşmaz şekilde teşhis edebilmektedir. Hash değeri analizinin ana hedefi, bilinen ve soruşturmacı için önemli (ör. çocuk pornografisi) olan ve olmayan dosyaların teşhis edilmesidir. Bunun için belli bir dosya dağarcığından bir Hash değeri üretilir ve bu da yine Hash veri bankasındaki verilerle karşılaştırılır. Uyuşma halinde sekme alanındaki “Hash Set” ve “Hash Category” sütunlarına ilgili kayıt düşülür. Ardından bir betik yardımıyla ör. değerlendirme bakımından önem taşımayan dosyalar gizlenebilir, bu sayede görüş hakimiyeti iyileşir ve diğer arama işleri için büyük ölçüde zamandan tasarruf edilir. Diğer durumda ise çocuk pornografisi resimleri gibi özellikle dikkat çekici dosyalar, dosya adı veya uzantısı değiştirilmiş olsa bile bulunabilmektedir.

Hash değerlerinin üretilmesi:

• Analizde dikkate alınacak dosyalar görünüm veya sekme alanında kutularına mavi kanca konarak işaretlenir.

• “Search” düğmesine veya menü satırından “Tools / Search” seçeneğine tıklayarak arama penceresi açılır.

• Hash değeri üretme işlemine dosyaların hepsinin mi, yoksa birinci adımda işaretlenen dosyaların mı katılacağı seçilir.

• “Compute hash value” kutusu işaretlenir ve “Search each file for key words” veya “Verify file signature” kutularındaki kancalar hala aktifse, kaldırılır.

• “Start” düğmesine tıklanarak parmak izleri üretilir ve kısa bir süre sonra sekme alanındaki “Hash Value” sütununda okunabilir.



Şekil 185: İşaretli dosyaların Hash değerlerinin üretilmesi

Kişisel Hash setlerinin oluşturulması:

• Analizde dikkate alınacak dosyalar görünüm veya sekme alanında kutularına mavi kanca konarak işaretlenir.

• Sekme alnında sağ tık yapılarak açılan menü penceresinde “Create Hash Set” seçeneğine tıklanır.

• Ad (ör. Windows 2000) ve kategori (ör. “Known” veya “bilinen”) yazılır.

• “OK” düğmesine basılır ve işlem Hash kütüphanesine eklenir.



Şekil 186: Kişisel Hash setinin oluşturulması

• Hash kütüphanesine geçilir ve veri dağarcığı eklenen Hash seti ile yenilenir. Sekme alanında sağ tık yapılır ve menü penceresinde “Update” (Hash kütüphanesinin güncellenmesi) seçeneği sol tık ile seçilir. Bu komuta, eklenen Hash setinin onaylandığı bir durum mesajı ile cevap verilir.

Şekil 187: Eklenen Hash seti

Hash setlerinin ve kategorilerinin kullanımı:

• İstenen Hash set, kutusuna mavi kanca konarak işaretlenir.

• Sekme alanına sağ tıklanır ve “Rebuild Library” (kütüphaneyi yenile) komutu seçilir.



Şekil 188: Seçilen Hash setinin kullanılması

• “Case-View” (olay görünümü)’nde tablo göstergeleri kontrol edilir: Hem “Hash Set” hem de “Hash Category” sütunlarına uygun kayıtlar yazılmıştır.

Şekil 189: Sekme alanında Hash değerleri, setleri ve kategorileri • Şimdi önemli olan ya da olmayan dosyalar bu kayıtlar yardımıyla sıralanabilir, gizlenebilir veya

bunların incelenmesine devam edilir.

Bulunduğu yer: Araç çubuğu / Search Menü çubuğu / Tools / Search Menü çubuğu / View / Hash Sets



3.4.2.11. Initialize Case-Script (olayın başlatılması)

EnCase’in bu standart kurulumunda mevcut olan bu betik çok sayıda önemli rutin görevlerin otomatikleştirilmesi için pratik bir yardımcıdır. Betik aşağıdaki hususları kontrol eder:

• Dosya bütünlüğü

• Sürücü geometrisi

• Bölüntüler

• Veri ortamı hakkında bilgi

• Windows sürümü ve lisans bilgileri

• Windows içindeki zaman dilimi ayarları ve güncel zamana göre sapmalar

• Windows altında ağ ayarları

• Windows’un son kapatılışı

• Windows kullanıcı bilgileri

• Kurulu yazılımlar

• Windows donanım bilgileri (CPU dahil)

• Windows servisleri

• Paylaşılan klasörler

• Sabit bağlı sürücüler

• AIM kullanıcı adları ve kullanıcının arkadaş listesi

• AOL kullanıcı adları ve kullanıcının arkadaş listesi

• vs.

Sonuçlar yerimi görünümü üzerinden ve buradan ayarlanabilen rapor ile gösterilebilir.

Bulunduğu yer: Menü çubuğu / View / Scripts / Initialize Case

3.4.3. Arama Anahtar kelime aranması EnCase’in ana unsurlarından biridir ve 3. sürümden 4. sürüme güncelleme ile büyük ölçüde hızlandırılacaktır. Yine de çok sayıdaki anahtar kelime ile bağlantılı olarak büyük bir veri dağarcığında sürenin epey uzun olması beklenmektedir. EnCase’in arama fonksiyonu önceden tanımlanmış kavramları açılmış olan olayın hem fiziksel hem de mantıksal ortamlarında bulabilmektedir. “Keywords” (anahtar kelimeler) global olarak EnCase’in ana dizinindeki “keywords.ini” dosyasında saklanmaktadır.

Bulunduğu yer: Menü çubuğu / View / Keywords Menü çubuğu / View / Search Hits

3.4.3.1. Keywords (anahtar kelimeler) organizasyonu

Anahtar kelimeler global olarak “keyword.ini” başlatma dosyasında saklandıklarından, sistem üzerinde EnCase ile işlenen her “Case” (olay) için erişilebilirdirler. Bundan dolayı her zaman önemli olabilecek kavramların (ör. uyuşturucu, çocuk pornografisi, kaçakçılık kavramları vs.) sistematik olarak gruplandırılması tavsiye edilir.



Anahtar kelimelerin saklanması için yeni bir klasör, görünüm alanında “Keywords” üzerine sağ tıklanarak ve “New Folder” seçeneğine tıklanarak yaratılır. Dizin ağacında ardışık sıra numaralı ve adı istendiği gibi değiştirilebilen yeni klasör (“Klasör x”) yaratılır. Bir veya daha fazla anahtar kelime bir klasöre konulacaksa, öncelikle içeriği sekme alanında gösterilecek şekilde sol tıkla seçilmelidir (1). Sekme alanında sağ tık yapılarak ve “New” (2) komutu seçilerek kavram girişi için pencere açılır (bkz. Şekil 191).

Şekil 190: Seçilen klasöre yeni anahtar kelime girilmesi

Eğer peş peşe çok sayıda giriş yapılacaksa, “Insert” tuşunun kullanılması önerilir.

Bulunduğu yer: Menü çubuğu / View / Keywords

3.4.3.1.1. Keywords (anahtar kelimeler) girişi Keywords (anahtar kelimeler) giriş penceresi açıldıktan sonra her bir sözcük, rakam ya da dizi yazılır. Bu işlem için maskede şu alanlar ve seçenekler mevcuttur:

Search Expression sekmesi

• Search Expression (arama kavramı) (1) Adların, kavramların, rakamların, işaretlerin, dizilerin vs. girilmesi

• Name (2) Arama kavramının tanımı. Özelikle yabancı dilde olan kavramlarda ya da kriptografik işaret dizilerinde anlamın daha sonrası için kaydedilmesi bakımından iyi bir olanak.

• Case Sensitive (büyük-küçük harf ayrımı) (3) Bu kutucuk işaretlenirse, EnCase girilen kavramın yazılış şeklinin tam karşılığını arar.



• GREP (Global Regular Expression Post) (4) Bu kutucuk işaretlenmişse, EnCase arama sırasında çok daha etkin arama yapılabilen genişletilmiş bir sözdizimi kullanır. GREP ör. aşağıdaki olanakları sunmaktadır: "." herhangi bir karakter yerine kullanılır

"#" herhangi bir tek basamaklı sayı için kullanılır, vs.

Örnek: GREP arama kavramı “Ecstas|cy” hem “Ecstacy” hem de “Ecstasy” kavramlarını bulur”.

• RTL Reading (Right to Left Reading = sağdan sola okuma) (5) Sağdan sola doğru okunan dilleri dikkate alır.

• Active Code Page (6) Yabancı dildeki kavramlar aranacaksa, bu kutucuk işaretli olmalıdır, çünkü Orta Avrupa dilleri için standart olarak kullanılan kod sayfası “Latince 1”dir.

• Unicode (7) Unicode evrensel bir karakter setidir ve özellikle çok dilli ortamlarda çoğu yazılım ve işletim sistemi ürünleri ile uyumlu olması nedeniyle büyük önem taşımaktadır. Bu seçenek aktifse, EnCase yalnız bu karakter setinde arama yapar.

• Big-Endian Unicode (8)

• UTF7 ve UTF8 (9)

Şekil 191: Yeni bir anahtar kelime girişinde “Search Expression” sekmesi

Code Page sekmesi

• Uluslararası karakter setlerinin ayarlanması seçeneği; ör. Japonca veya Arapça anahtar kelime aranabilmesi için.

Uyarı:

Arama sonuçlarının doğru gösterilmesi isteniyorsa, dosya görüntüleme için yazı türü EnCase’de ayarlanmalıdır (Tools / Options / Fonts - çeşitli fontlardan Arial UNICODE’a dönüştürülür. Eğer yazı türü yoksa: Kurun!).



Şekil 192: Karakter setinin seçilmesi için “Code Page” sekmesi

Bulunduğu yer: Keyword görünümü / sekme alanına sağ tık / New Keyword görünümü / Insert tuşu Menü çubuğu / Tools / Options / Fonts / ...

3.4.3.1.2. Keywords Import Anahtar kelimeler hem içe hem de dışa aktarılabilirler. Özelikle ör. uzman memur tarafından normal bir metin işlem programında yazılabilen bir listenin içe aktarılabilmesi uygulama açıcından çok önemlidir: Anahtar kelimeler her satırda bir tane olacak şekilde TXT belgesine yazılır ve belge kaydedilerek uygun bir dosya adı verilir. İncelemeyi yürüten memur bu metin dosyasını kolaylıkla EnCase içine aktarabilir ve dosya adı yardımıyla çeşitli Keyword klasörlerine göre sınıflandırabilir. Alternatif olarak kopyala-yapıştır özelliği de “Add Keyword List” ile birlikte kullanılabilir. Bunun için metin belgesi açılır, kavramlar seçilir, kopyalanır ve “Add Keyword List” penceresinde yapıştırılır.



Şekil 193: “Kopyala ve yapıştır” ile anahtar kelime listesi eklenmesi

Bulunduğu yer: Keyword görünümü / sekme alanına sağ tık / Export Keyword görünümü / sekme alanına sağ tık / Import Keyword görünümü / sekme alanına sağ tık / Add Keyword List

3.4.3.2. Aramayı başlat

“Keywords” görünüm alanından ilgili anahtar kelimeler girilip seçildikten sonra araç çubuğundaki “Search” düğmesinden veya menü çubuğunda “Tools / Search” altından arama başlatılır. Açılan pencerede aşağıdaki, arama için önemli olan özellikler seçilebilir:

• Selected Files Only (yalnız seçilen dosyalar) (1) Aramanın dosyaların tümünde mi yoksa yalnız seçilen dosyalarda mı yapılacağı seçilir.

• Search each file for keywords (anahtar kelimeleri her dosyada ara) (2) Anahtar kelimelerin aranması

• Search File Slack (boşluklarda arama) (3) Mantıksal ve fiziksel dosya sonu arasındaki boş alanlarda arama yapılması

• Undelete files before searching (aramaya başlamadan önce silinmiş dosyaların kurtarılması) (4) Aramaya başlanmadan önce dosyaların mantıksal olarak kurtarılması.

• Search only slack area of files in Hash Library (Hash kütüphanesinde bulunan dosyaların yalnız boşluklarında arama yap) (5) Hash kütüphanesinde bulunan dosyaların yalnız boşluklarında arama yapılması.

• Selected keywords only (yalnız seçilen anahtar kelimeler) (6) Aramanın tüm anahtar kelimelere göre mi yoksa yalnız seçilen anahtar kelimelere göre mi yapılacağının seçilmesi

Diğer seçenekler bu bağlamda önemli bir rol oynamamaktadır.



Şekil 194: Arama penceresi ve seçenekler

“Start” üzerine tıklanarak arama başlatılır. Arama sonuçları “View / Search Hits” altında görülebilir ve arama sonuçları listesi araç çubuğundaki “Refresh” düğmesine tıklanarak güncellenebilir. Bu şekilde bulunan ilk arama sonuçları – bazen saatlerce hatta günlerce sürebilen – arama işlemi daha tamamlanmadan gösterilebilir.


3.4.4. Bookmarks (yerimleri) EnCase’de klasörler, dosyaların tamamı, dosyaların ve notların parçaları – kısaca: olayla ilişkili çok sayıda bilgi yerimleri altına kaydedilebilir. Her olay, neredeyse her alanda ve görünümde oluşturulabilen kendine ait yerimlerine sahiptir. Yerimlerinin sayısı ve yapıları çok çabuk büyüyebileceğinden, EnCase içinde bunlara ayrı bir alan ayrılmıştır. “View / Bookmarks” menüsü altından olayla ilişkili yerimlerine her zaman ulaşılabilir. Yerimleri yalnız bir kez yapılan tespitlerin yeniden bulunmasına yaramazlar. Her yeriminde, bunun raporda gösterilip gösterilmeyeceği belirtilebilir. Eğer yerimi yalnız bir resimle ilgiliyse, buna bir önizleme bile eklenebilir. Her yerimine bireysel yorum ekleme olanağıyla beraber, soruşturma dosyası için bir inceleme raporu hazırlanmasına yönelik etkin bir araç ortaya çıkar.

3.4.4.1. Yerimlerinin anlaşılması

İlke olarak EnCase’de her biri kendi simgesi ile gösterilen aşağıdaki yerimleri ayırt edilmektedir:

• Highlighted Data Bookmark (işaretli veriler için yerimi): Alt sekme alanında veri alanı sol fare tuşu basılı tutularak işaretlenir ve ardından sağ tıklanarak “Bookmark Data” komutu seçilir. Buna yorum eklenebilir.



Şekil 195: “Highlighted Data Bookmark” konması



• Notable File Bookmark (kayda değer veriler için yerimi):

Sekme alanında bir dosya üzerine sağ tıklanarak ve “Bookmark Files” komutu seçilerek oluşturulur. Buna yorum eklenebilir.

Şekil 196: “Notable File Bookmark” konması



• Folder Information Bookmark (klasörler için yerimi): Bir klasör yapısı veya sürücü bilgilerine yerimi konması olanağı verir. Bunun için Case görünümünde klasör ya da sürücü üzerine sağ tıklanır ve menü penceresinden “Bookmark Folder Structure” komutu seçilir. Buna yorum eklenemez.

Şekil 197: “Folder Information Bookmark” konması

• File Group Bookmark (dosya grupları için yerimi): Yeriminin bir seçilen dosyalar grubunun parçası olduğunu gösterir. Case görünümündeyken, sekme alanında birbiriyle ilişkili dosyaların, kutucuklarına kanca konularak işaretlenmesiyle ve sağ tıklanarak menü penceresinden “Bookmark Files” komutu seçilerek oluşturulur. Bu yerimi ya da yeni bir yerimi klasörü için yorum yazılabilir.

Şekil 198: File Group Bookmarks



• Notes Bookmark (notlar için yerimi): Bu yerimi türü yardımıyla rapor için ilave notlar ve yorumlar eklenebilir. “Notes Bookmarks” veri ile ilişkili olmayan tek yerimi türüdür.

Şekil 199: “Notes Bookmark” eklenmesi

3.4.4.2. Yerimi görünümü

Yerimlerine menü çubuğundan “View / Bookmarks” üzerinden ulaşılır. Oluşturulan yerimi klasörleri görünüm alanında dizin ağacı yapısında gösterilir. Aynı zamanda birden fazla olay açıksa, her olay adı altında birden fazla yerimi klasörü gösterilir. Pencerenin sol tarafında bir klasör seçildiğinde, içerdiği yerimleri sekme alanında tablo şeklinde gösterilir. Sütunlardaki bilgiler yerimi alanına uygun hale gelmiştir; buradaki en önemli bilgiler şunlardır: • Bookmark Type (yerimi türü) (1)

Yeriminin türünü simgesiyle birlikte gösterir (Highlighted Data vs.).

• Preview (önizleme) (2)

Yeriminin içeriği için önizleme (eğer görüntülenebilir metin ise).

• Comment (yorum) (3)

İnceleyenin yerimi oluştururken yazdığı yorum gösterilir.

• Page Break (sonraki sayfa) (4)

Rapor görüntülenmesinde ayrı bir sayfa açılmasını sağlar. Bunun için yeni sayfa açılması istenen yeriminin “Page Break” hanesine sağ tıklanır ve açılan menü penceresinde farenin sol tuşu ile “Page Break” komutu üzerine tıklanır (alternatif: kısa yol tuşu “Ctrl + B”). Etkinleştirmenin denetlenmesi için seçeneklerden (Tools / Options / Global / “Show True” ya da “Show false”) belirlenmiş olan onay işareti hane içinde gösterilir. Sonraki sayfa komutu aynı yoldan geri alınabilir.

• Show Picture (resim göster) (5)



Yukarıda anlatılan işlemle aynı yoldan, yerimi konan bir resmin raporda gösterilip gösterilmeyeceği belirlenebilir. “Show Picture” hanesine sağ tıklanır ve “Show Picture” komutu ile resim gösterilir veya gizlenir.

• In Report (rapor içinde) (6)

“In Report” alanına sağ tıklanarak bir yeriminin raporda gösterilip gösterilmeyeceği belirlenebilir.

Şekil 200: Yerimi görünümündeki sütunlar

Sekme alanında bir yerimi basit sol tık ile seçilirse, bilinen EnCase davranışı olarak alt sekme alanında gösterilir. Yerimi konan kısım – yapılan ayarlamaya göre – renkli fon önünde gösterilir. Yerimine daha ayrıntılı bilgiler (dosya bilgileri) eklenecekse, yerimi klasörünün görüntüleme özellikleri buna uygun hale getirilmelidir. Bunun için görünüm alanındaki bir klasöre sağ tıklanır ve “Edit” komutu seçilir. Açılan pencerede, o klasör içindeki yerimlerinin hepsi için global görüntüleme ayarlamaları yapılabilir (alan seçimi, tablolar, resim görüntüleme, vs.).

Şekil 201: Yerimleri klasörü için görüntüleme seçeneklerinin ayarlanması

Bunun ötesinde tablo bilgilerini dışarı aktarma fonksiyonu da vardır: Klasör veya dosyalar üzerine sağ tıklandığında metin veya Excel dosyası (eğer dosya “.xls” olarak kaydedilecekse) olarak dışarı aktarma işlemi yürütülür.



3.4.4.3. Ayrıntılar: Yerimi oluşturma

Highlighted Data Bookmark (işaretli veriler için yerimi) Bu yerimi türüne bazen “”metin fragmanlı yerimi” de denir. Aşağıdaki şekilde oluşturulur: • Olay görünümünde bulunulduğundan emin olunur.

• İstenen dosya sekme alanında basit sol tık ile işaretlenir.

• Dosya içeriği alt sekme alanında görüntülenir. (görünüm metin, Hex veya disk şeklinde olabilir) • Farenin sol tuşu basılı tutularak ilgili bölüm işaretlenir.

• Mavi renkle işaretlenmiş alana sağ tıklanır ve menü penceresinde “Bookmark Data” komutu seçilir.

• Açılan pencerede yorum yazılabilir ve görünüm dosya tipine uygun hale getirilebilir. “Destination Folder” (hedef klasör) alanında ya mevcut bir klasör basit sol tık ile seçilir veya yeni bir klasör yaratılır (ilgili yere sağ tık yapılarak “New Folder” komutu seçilir).

Notable File Bookmark (kayda değer veriler için yerimi) Bu yerimi türü ile güncel olayla ilgili “şüpheli” bilgiler içeren ve daha sonra muhtemelen dışarı aktarılacak olan tekil dosyalar işaretlenir. Ancak rapora dosya içeriği değil, yalnız sekme alanındaki tekil sütunlardan tarih ve zaman mührü gibi dosya ayrıntıları aktarılır. Bir “Notable File Bookmark” oluşturmak için aşağıdaki işlemler yapılır: • Olay görünümünde bulunulduğundan emin olunur.

• Sekme alanında ilgili dosya üzerine sağ tık yapılır

• Açılan menü penceresinde “Bookmark Files” komutu seçilir.

• Gereği halinde takip eden pencerede bu yeriminin yeni bir klasörde mi yoksa mevcut olan bir klasörde mi saklanacağı ve gereği halinde not yazılıp yazılmayacağı seçilebilir.

Folder Information Bookmark (klasörler için yerimi) “Folder Information Bookmark” ile klasör ve sürücü yapılarına ait yerimleri oluşturulabilir ve buna her seviyedeki alt klasörler de dahil edilebilir. Bunun ötesinde veri ortamlarında veya mantıksal sürücülerde daha geniş bilgiler (dosya sistemi, boyut, boş alan, vs.) rapora aktarılabilir. Böyle bir yerimi oluşturmak için aşağıdaki işlemler yapılır:

• Olay görünümünde bulunulduğundan emin olunur.

• İlgili veri ortamına, sürücüye veya klasöre sağ tıklanır.

• Açılan menü penceresinde “Bookmark Folder Structure” komutu seçilir.

• Açılan “Bookmark Folder Structure” penceresinden aşağıdaki olanaklar seçilebilir: - Yerimine başka aygıt bilgileri eklenip eklenmeyeceği (“Include Device Information”)

- Raporda bir veya da fazla sütunda görüntülenip görüntülenmeyeceği

- Yeriminin mevcut bir klasör içinde mi yoksa yeni yaratılacak bir klasör içinde mi oluşturulacağı (“Destination Folder”). Yeni bir yerimi klasörü yaratılmak isteniyorsa, “Destination Folder” alanında istenen seviyede sağ tık yapılması ve menü penceresinden “New Folder” komutu seçilmelidir.

File Group Bookmarks (dosya grupları için yerimleri) “File Group Bookmarks”, “Notable File Bookmarks”a benzer şekilde kullanılırlar ve temelde yalnız çok sayıda dosyayı kapsanması, dolayısıyla birbirine ait olan dosyaları gruplandırması ile ayrılmaktadır. Bir “File Group Bookmark” oluşturulması aynı “Notable File Bookmarks” gibidir, yalnız bunda bir seferde çok sayıda dosya işaretlenir.



Notes Bookmark (notlar için yerimi) Bu yerimi ile rapora yorumlar ve notlar eklenebilir. Her not için 1000 karakter kullanılabilir ve bunların biçemi (yazı boyu, italik, kalın vs.) değiştirilebilir. Bir “Notable Bookmark” oluşturmak için aşağıdaki işlemler yapılır: • Yerimi görünümünde bulunulduğundan emin olunur.

• Not yazılacak olan klasör üzerine sağ tıklanır ve ardından menü penceresinde “Add Note” komutu seçilir.

• Açılan “Add Note Bookmark” penceresinde not yazılır, gereği halinde metin düzenlemesi yapılır ve not ayrıca raporda yer alacaksa, kutucuğa bir kanca konur.

• “OK” düğmesine tıklanarak not oluşturulur ve sekme görünümünde klasöre ait diğer yerimleri ile birlikte görüntülenir.

• Eğer notun rapor içindeki yeri değiştirilecekse, yerimi (diğerleri gibi) “sürükle ve bırak” yöntemiyle rapordaki istenen yere taşınabilir.

3.4.4.4. Rapor fonksiyonu

EnCase ile yapılan değerlendirme sırasında çok sayıda yerimi konmuşsa, adeta bir “yan ürün” olarak soruşturma dosyasının önemli bir bölümünü kapsayacak ayrıntılı bir inceleme raporu hazırlanabilir.

Eğer bir yerimi raporda dikkate alınacaksa, bu seçenek “In Report” sütununda işaretlenmiş olmalıdır. Diğer bilgiler “Notes Bookmarks” ile eklenebilir, sıralamalar (tekil yerimleri veya komple klasörler) “sürükle ve bırak” yöntemiyle yapılabilir. Rapor EnCase kapsamında kısmen biçimlendirilebilir. Ancak RTF veya HTML biçimine aktarıldığında, akla gelebilecek her türlü düzenleme yapılabilir. Rapor görünümünde sekme alanına sağ tık yapıldığında ve “Export” komutu seçildiğinde dışarı aktarma diyalogu gösterilir. Bunun ardından açılan pencerede çıktı biçimi (Output Format) seçilip kayıt yolu belirlenebilir.



Şekil 202: Bir rapordan alıntı ve seçenekler penceresi (sekme alanında sağ tık)

3.4.5. Dosyaların/klasörlerin dışarı aktarılması Kural olarak inceleme memurunun ana hedefi, soruşturma yapan uzman memur için dava bakımından önem taşıyan dosya ve bilgilerin hazırlanmasıdır. EnCase bu konuda dosyaların teker teker veya klasör yapısı içinde, harici veri ortamları üzerinde ayrıntılı dizin tabloları ile birlikte üçüncü şahısların kullanımına sunulması için çok elverişli olanaklar sunmaktadır.


Eğer yalnız bir dosya ya da seçilen dosyalar kopyalanacak ya da kurtarılacaksa, “Copy/Unerase” komutu kullanılır. Bunun için aşağıdaki işlemler yapılır:


• Dosya/dosyalar sekme alanında kutucukları işaretlenerek seçilir. Tek bir dosya alternatif olarak dosya üzerine fare ile tıklanarak da işaretlenebilir (ilgili kayıt standart olarak mavi blok içinde gösterilir).

• Sekme alanının herhangi bir yerinde sağ tıklanır – “Copy/Unerase” başlıklı yeni bir pencere açılır.



Şekil 203: Dosyaları kopyala / geri al

Aşağıdaki ayarlar yapılabilir:

o From (nereden) (1) Highlighted File (işaretli dosya): Fare ile tıklanarak tek bir dosya seçilmişse (mavi fon üstünde gösterilir) bu seçenek işaretlenmelidir. All selected files (seçilen dosyaların tümü): Bir veya daha fazla dosyanın kutucuğu kanca ile işaretlenmişse, bu seçenek işaretlenmelidir.

o To (nereye) (2)

Seperate Files (ayrı dosyalar): Dosyalar teker teker yeniden oluşturulur. Merge into one file (bir dosya halinde birleştir): Seçilen dosyaların hepsi tek bir büyük dosya halinde birleştirilir.

Şekil 204: Kopyalanan dosyaların ve hedefin seçilmesi



• Sonraki pencerede aşağıdaki seçenekler seçilebilir:

o Copy (kopyala) (1)

- Logical File Only: Dosyanın yalnız mantıksal kısmı kopyalanır

- Entire Physical File: Fiziksel dosyanın tamamı, yani mantıksal kısım ve boşluk kopyalanır

- RAM and Disk Slack

- RAM Slack Only: Sektör boşluğu – dosya boşluğunun mantıksal ve başlangıç alanı arasındaki tampon – kopyalanır

o Charakter Mask (karakter maskesi) (2)

- None: Dosyayı anlık olarak görüntülendiği şekilde kopyalar

- Do not Write Non-ASCII Charakters: ASCII karakteri olmayanlar hariç bütün karakterleri kopyalar

- Replace Non-ASCII Charakters With DOT: ASCII karakteri olmayanların hepsinin yerine bir nokta koyar

Şekil 205: Kopyalama ya da geri alma seçenekleri

• Sonraki adımda kontrol amacıyla dosyaların sayısı ve boyutları tekrar gösterilir. Bunun ötesinde hedef yol ve gereği halinde büyük dosyaların bölünmesi seçenekleri ayarlanabilir.



Şekil 206: Hedef yol bilgileri ve dosya bölme olanağı

• Son olarak “Finish” düğmesine tıklandığında kopyalama ya da kurtarma süreci başlar ve dosyalar belirtilen dışarı aktarma dizininde istenen bir programla açılabilirler.

Şekil 207: Kopyalama ya da kurtarma bilgilerini gösteren durum ekranı

Uyarı:

Yerimleri de kopyalanıp kurtarılabilir; bu işlem için de yukarıda tarif edilen sıra takip edilir.

Püf Noktası:

“Copy/Unerase” komutu ile çok sayıda dosya kopyalanacak ya da kurtarılacaksa, aynı adlı dosya olma olasılığından dolayı sorun çıkabilir, çünkü yalnız bir hedef dizin belirtilebilmektedir. Bu durumda klasör yapısının da üstlenildiği “Copy Folders” yoluna başvurulması önerilir (bkz. Madde 3.4.5.2).

3.4.5.2. Copy Folders

Münferit dosyaların değerlendirme veri ortamına kopyalanması olanağının yanı sıra, EnCase tüm klasör yapılarının alt klasörler dahil olmak üzere kopyalanması işlevini sunmaktadır.

Bunun için aşağıdaki işlemler yapılır:




• Klasör basit bir sol tıkla veya görünüm ya da sekme alanında kutucuğuna bir kanca konarak işaretlenir.

• Ardından sağ tık ile açılan menü penceresinden “Copy Folders...” komutu seçilir.

• “Copy Folders” başlıklı bir pencere açılır; bunun içinde aşağıdaki bilgiler görülür ya da ayarlanmalıdır:

o Source (kaynak) (1)

Doğru klasörün kopyalanıp kopyalanmadığı kontrol edilebilir.

o Copy... (... kopyalanıyor) (2) Dosya sayısı ve dosya büyüklüğü yeniden gösterilir.

o Bunun altında hedef klasörünün yolu ayarlanabilir (ör. olaya ati “Export” klasörü) (3)

o Copy only selected files inside each folder (her klasörde yalnız seçilmiş dosyaları kopyala) (4)

Tüm dosyalar bir tek klasör altına hiyerarşik yapıları olmadan kopyalanacaksa, bu kutucuk işaretli olmalıdır.

Şekil 208: Klasörlerin kopyalanması için yol ayarları ve seçenekler

3.4.5.3. Export

Export komutu kopyalanan ya da kurtarılan dosyalar, ama ayrıca yerimleri, galerideki resimler vs. hakkında bir genel tablo düzenleme olanağını verir.

Genel tablo hazırlanması için aşağıdaki işlemler yapılmalıdır: • İstenen görünüm penceresinde olunduğundan emin olunmalıdır (olay görünümü, yerimi

görünümü, vs.).

• Görünüm veya sekme alanında klasör veya dosyalar üzerine sağ tıklanır ve menü penceresinden “Export” komutu seçilir.

• Açılan Export penceresinde aşağıdaki ayarlamalar yapılabilir:

• Only Checked Rows (yalnız işaretli satırlar) (1)

Dosyalar, kutucuklarına mavi renkli kanca konarak işaretlenmişse, klasörün tamamından yapılacak seçim bunlarla sınırlandırılabilir. Üç satır aşağıdaki “Active Rows” (aktif satırlar)



alanı bunun kontrol edilmesine olanak tanır; burada işaretli olan dosyaların (dolayısıyla “satırların” – burada Excel ya da dışarı taşınan belgedeki satırlar kastedilmektedir) sayısı gösterilir.

• Start / Stop (2)

“Start” ve “Stop” alanlarından düzenlenen raporun başlangıcı veya bitişi değiştirilebilir.

• Fields (alanlar) (3)

“Fields” üzerinden daha sonra dışarı aktarılmış olan belgede genişletilmiş bilgileri içerecek olan sütunlar ve haneler seçilir. Kutucuklar sol tık ile işaretlenerek daha sonraki genel tabloda her dosyaya ait ad, dosya uzantısı, erişim bilgileri, mantıksal boyut, vs. gösterilir.

• Output File (çıktı dosyası) (4)

Çıktı dosyası seçeneğinden hem dosya biçimi hem de dosya adı ve çıktı yolu ayarlanabilir. Standart olarak metin dosyası üretilir. Ancak “.txt” uzantısı yerine Microsoft Excel (“.xls”) uzantısı yazılırsa, bir tablo belgesi üretilir.

Şekil 209: Dosya bilgilerinin dışarı aktarılması için diyalog penceresi



Şekiller Dizini Şekil 1: EnCase veri formatının görünüşü .............................................................................................................. 8 Şekil 2: Bir imgenin (Image) okunması sırasında doğrulama................................................................................. 9 Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları ................................................................................ 9 Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:\Programme\EnCase4)....................................... 10 Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde .................... 11 Şekil 6: Windows için EnCase program penceresi görünüşü................................................................................ 13 Şekil 7: View görünümü ........................................................................................................................................ 14 Şekil 8: Tablo sütunları - 1. bölüm........................................................................................................................ 15 Şekil 9: Tablo sütunları - 2. bölüm........................................................................................................................ 15 Şekil 10: Tablo sütunları - 3. bölüm...................................................................................................................... 16 Şekil 11: Küçükten büyüğe doğru sıralama .......................................................................................................... 17 Şekil 12: Büyükten küçüğe doğru sıralama........................................................................................................... 17 Şekil 13: İkinci sıralama kriteri ile sıralama ........................................................................................................ 17 Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor ............................................................................... 18 Şekil 15: Ön izlemeli “Gallery” görünümü .......................................................................................................... 19 Şekil 16: “Gallery” görünümünde ayarlama olanakları ...................................................................................... 20 Şekil 17: “Timeline” (zaman doğrusu) görünümü................................................................................................ 20 Şekil 18: “Timeline”ın ayarlama olanakları ........................................................................................................ 21 Şekil 19: Sub-Tab alanının metin görünümü......................................................................................................... 21 Şekil 20: Olay görünümünde araç çubuğu............................................................................................................ 22 Şekil 21: Menü çubuğu.......................................................................................................................................... 24 Şekil 22: File / New............................................................................................................................................... 24 Şekil 23: File / Open ............................................................................................................................................. 24 Şekil 24: File / Save .............................................................................................................................................. 24 Şekil 25: File / Save As ......................................................................................................................................... 25 Şekil 26: File / Save All......................................................................................................................................... 25 Şekil 27: File / Add Device.................................................................................................................................... 25 Şekil 28: File / Add Raw Image............................................................................................................................. 26 Şekil 29: File / Exit EnCase .................................................................................................................................. 26 Şekil 30: Edit / Close............................................................................................................................................. 27 Şekil 31: Edit / Copy Folders ................................................................................................................................ 27 Şekil 32: Edit / Bookmark Files or Folder Structure ............................................................................................ 28 Şekil 33: Edit / Create Hash Set............................................................................................................................ 28 Şekil 34: Edit / Export… ....................................................................................................................................... 29 Şekil 35: Edit / Recover Folders…........................................................................................................................ 29 Şekil 36: Edit / Acquire…...................................................................................................................................... 30 Şekil 37: Edit / Restore… ...................................................................................................................................... 30 Şekil 38: Edit / Hash... .......................................................................................................................................... 31 Şekil 39: Edit / Scan Disk Configuration .............................................................................................................. 31 Şekil 40: Edit / Verify File Integrity ...................................................................................................................... 32 Şekil 41: Edit / Modify Time Zone Settings…........................................................................................................ 32 Şekil 42: Edit / Export Selected Files to i2… ........................................................................................................ 32 Şekil 43: Edit / Mount as Network Share .............................................................................................................. 33 Şekil 44: Edit / Mount as Emulated Disk .............................................................................................................. 33 Şekil 45: Edit / Send To......................................................................................................................................... 34 Şekil 46: Edit / Show Columns .............................................................................................................................. 34 Şekil 47: Column................................................................................................................................................... 35 Şekil 48: Edit / Sort ............................................................................................................................................... 35 Şekil 49: Select Item.............................................................................................................................................. 36 Şekil 50: View / Cases........................................................................................................................................... 36 Şekil 51: View / Bookmarks................................................................................................................................... 37 Şekil 52: View / Devices........................................................................................................................................ 37 Şekil 53: View / File Types.................................................................................................................................... 38 Şekil 54: View / File Signatures ............................................................................................................................ 38 Şekil 55: View / File Viewers ................................................................................................................................ 39 Şekil 56: View / Keywords..................................................................................................................................... 39



Şekil 57: View / Search Hits.................................................................................................................................. 40 Şekil 58: View / Security IDs................................................................................................................................. 40 Şekil 59: View / Text Styles ................................................................................................................................... 41 Şekil 60: View / Scripts ......................................................................................................................................... 41 Şekil 61: View / Hash Sets..................................................................................................................................... 42 Şekil 62: Tools / Search ........................................................................................................................................ 42 Şekil 63: Tools / Select all entries ......................................................................................................................... 42 Şekil 64: Tools / Wipe Drive ................................................................................................................................. 43 Şekil 65: Tools / Verify Evidence Files... .............................................................................................................. 43 Şekil 66: Tools / Create Boot Disk... ..................................................................................................................... 43 Şekil 67: Tools / Options... .................................................................................................................................... 44 Şekil 68: Tools / Refresh ....................................................................................................................................... 45 Şekil 69: Help / About EnCase.............................................................................................................................. 45 Şekil 70: Menü penceresi / Close .......................................................................................................................... 46 Şekil 71: Menü penceresi / Copy Folders ............................................................................................................. 46 Şekil 72: Menü penceresi / Bookmark Files.......................................................................................................... 47 Şekil 73: Menü penceresi / Bookmark Folder Structure ....................................................................................... 47 Şekil 74: Menü penceresi / Create Hash Set... ...................................................................................................... 48 Şekil 75: Menü penceresi / Export ........................................................................................................................ 48 Şekil 76: Menü penceresi / Recover Folders......................................................................................................... 49 Şekil 77: Menü penceresi / Acquire....................................................................................................................... 49 Şekil 78: Menü penceresi / Restore ....................................................................................................................... 50 Şekil 79: Menü penceresi / Hash........................................................................................................................... 50 Şekil 80: Menü penceresi / Scan Disk Configuration............................................................................................ 51 Şekil 81: Menü penceresi / Verify File Integrity ................................................................................................... 51 Şekil 82: Menü penceresi / Modify Time Zone Settings ........................................................................................ 52 Şekil 83: Menü penceresi / Export Selected Files to i2 ......................................................................................... 52 Şekil 84: Menü penceresi / Include (Sub) Folders ................................................................................................ 53 Şekil 85: Menü penceresi / Copy-Unerase... ......................................................................................................... 53 Şekil 86: Menü penceresi / View File Structure .................................................................................................... 54 Şekil 87: Menü penceresi / Send To ...................................................................................................................... 54 Şekil 88: Menü penceresi / Show Columns ........................................................................................................... 55 Şekil 89: Menü penceresi / Column....................................................................................................................... 55 Şekil 90: Menü penceresi / Sort ............................................................................................................................ 56 Şekil 91: Bookmark menüsü / Copy-Unerase........................................................................................................ 56 Şekil 92: Bookmark menüsü / Bookmark Files...................................................................................................... 57 Şekil 93: Bookmark menüsü / Create Hash Set ..................................................................................................... 57 Şekil 94: Bookmark menüsü / View File Structure................................................................................................ 58 Şekil 95: Bookmark menüsü / Send To .................................................................................................................. 58 Şekil 96: Bookmark menüsü / Edit ........................................................................................................................ 59 Şekil 97: Bookmark menüsü / Add Note ................................................................................................................ 59 Şekil 98: Bookmark menüsü/ Show Excluded - Deleted........................................................................................ 60 Şekil 99: Bookmark menüsü / Delete..................................................................................................................... 60 Şekil 100: Bookmark menüsü / Delete All Selected............................................................................................... 61 Şekil 101: Bookmark menüsü / Exclude ................................................................................................................ 61 Şekil 102: Bookmark menüsü / Exclude All Selected ............................................................................................ 62 Şekil 103: Bookmark menüsü / Export .................................................................................................................. 62 Şekil 104: Bookmark menüsü / Export Selected Files to i2................................................................................... 63 Şekil 105: Bookmark menüsü / Summary Bookmark............................................................................................. 63 Şekil 106: Bookmark menüsü / Tag File ............................................................................................................... 63 Şekil 107: Bookmark menüsü / Tag Selected Files................................................................................................ 64 Şekil 108: Bookmark menüsü / Show Columns ..................................................................................................... 64 Şekil 109: Bookmark menüsü / Column ................................................................................................................ 65 Şekil 110: Bookmark menüsü / Sort ...................................................................................................................... 65 Şekil 111: Bookmark menüsü / Select Item ........................................................................................................... 66 Şekil 112: Keyword menüsü / Edit ........................................................................................................................ 66 Şekil 113: Keyword menüsü / New........................................................................................................................ 66 Şekil 114: Keyword menüsü/ Show Excluded - Deleted........................................................................................ 67 Şekil 115: Keyword menüsü / Bookmark Data...................................................................................................... 67 Şekil 116: Keyword menüsü / Delete..................................................................................................................... 67 Şekil 117: Keyword menüsü / Delete All Selected................................................................................................. 68 Şekil 118: Keyword menüsü / Exclude .................................................................................................................. 68



Şekil 119: Keyword menüsü / Exclude All Selected .............................................................................................. 68 Şekil 120: Keyword menüsü / Export .................................................................................................................... 69 Şekil 121: Keyword menüsü / Import .................................................................................................................... 69 Şekil 122: Keyword menüsü / Add Keyword List .................................................................................................. 70 Şekil 123: Keyword menüsü / Rename .................................................................................................................. 70 Şekil 124: Keyword menüsü / New Folder ............................................................................................................ 71 Şekil 125: Keyword menüsü / Expand - Contract ................................................................................................. 71 Şekil 126: Keyword menüsü / Set Included (Sub) Folders .................................................................................... 72 Şekil 127: Keyword menüsü / Show Columns ....................................................................................................... 72 Şekil 128: Keyword menüsü / Column .................................................................................................................. 73 Şekil 129: Keyword menüsü / Sort ........................................................................................................................ 73 Şekil 130: Keyword menüsü / Select Item ............................................................................................................. 73 Şekil 131: Search Hits / Copy-Unerase................................................................................................................. 74 Şekil 132: Search Hits / Bookmark Files .............................................................................................................. 74 Şekil 133: Search Hits / Create Hash Set.............................................................................................................. 75 Şekil 134: Search Hits / View File Structure......................................................................................................... 75 Şekil 135: Search Hits / Send To........................................................................................................................... 76 Şekil 136: Search Hits / Show Excluded - Deleted................................................................................................ 76 Şekil 137: Search Hits / Delete ............................................................................................................................. 77 Şekil 138: Search Hits / Delete All Selected.......................................................................................................... 77 Şekil 139: Search Hits / Exclude........................................................................................................................... 78 Şekil 140: Search Hits / Exclude All Selected ....................................................................................................... 78 Şekil 141: Search Hits / Export ............................................................................................................................. 79 Şekil 142: Search Hits / Export Selected Files to i2.............................................................................................. 79 Şekil 143: Search Hits / Tag File .......................................................................................................................... 79 Şekil 144: Search Hits / Tag Selected Files .......................................................................................................... 80 Şekil 145: Search Hits / View Search Hits ............................................................................................................ 80 Şekil 146: Search Hits / Bookmark Selected Items................................................................................................ 80 Şekil 147: Search Hits / Show Columns ................................................................................................................ 81 Şekil 148: Search Hits / Column ........................................................................................................................... 81 Şekil 149: Search Hits / Sort ................................................................................................................................. 82 Şekil 150: Search Hits / Select Item ...................................................................................................................... 82 Şekil 151: CD-Rom takıldıktan sonraki otomatik başlatma ekranı ....................................................................... 83 Şekil 152: Guidance Software firmasının en son güncellemeleri sunduğu karşıdan yükleme sayfasından alıntı . 84 Şekil 153: Guidance firmasının boot disk görüntülerine ait linkleri içeren karşıdan yükleme sayfasından alıntı 86 Şekil 154: “File / New” ile yeni bir olay yaratılması ........................................................................................... 88 Şekil 155: Yeni olay hakkındaki bilgilerin girildiği pencere................................................................................. 88 Şekil 156:“Add Device” düğmesi ......................................................................................................................... 88 Şekil 157: Yerel veri ortamlarının seçilmesi ......................................................................................................... 89 Şekil 158: Veri ortamının/sürücünün seçilmesi..................................................................................................... 89 Şekil 159: Seçilen veri ortamının veya sürücünün ön izlemesi ............................................................................. 90 Şekil 160: Seçilen veri ortamına ait Preview (önizleme) ...................................................................................... 90 Şekil 161: Veri edinmeden sonra ne yapılacağının belirlenmesi .......................................................................... 91 Şekil 162: İmge oluşturma seçenekleri.................................................................................................................. 92 Şekil 163: Veri edinimi sona erdikten sonraki durum mesajları ........................................................................... 92 Şekil 164: Yeni olay yaratma ................................................................................................................................ 93 Şekil 165: Değerlendirme veri ortamında örnek olay organizasyonu................................................................... 93 Şekil 166: İnceleyen tarafından değiştirilen yol bilgileri...................................................................................... 94 Şekil 167: Veri ortamı ekleme ............................................................................................................................... 94 Şekil 168: Yeni imge klasörü ekleme..................................................................................................................... 95 Şekil 169: Yol ayarları .......................................................................................................................................... 95 Şekil 170: EnCase’e yüklenmek istenen veri ortamı kopyasının seçilmesi............................................................ 96 Şekil 171: “Weiter” (devam) düğmesine iki defa tıklandığında okuma işlemi başlar .......................................... 96 Şekil 172: “Menü çubuğu / Edit / Modify Time Zone settings” üzerinden saat diliminin ayarlanması ................ 97 Şekil 173: Kurulu yazı tipi Arial Unicode’un kontrol edilmesi ............................................................................. 97 Şekil 174: İmgenin doğrulanması ......................................................................................................................... 98 Şekil 175: Veri edinme ve doğrulama Hash’lerinin karşılaştırılmasına olanak veren rapor görünümü .............. 99 Şekil 176: “Scan Disk Configuration” komutu uygulanmadan ÖNCE Win XP altında yazılım RAID............... 100 Şekil 177: Tarama yapıldıktan sonra algılanan Stripe setleri ............................................................................ 100 Şekil 178: Veri ortamının veri sistemi................................................................................................................. 100 Şekil 179: “Partition Finder” betiğinin başlatılması ......................................................................................... 101 Şekil 180: Arama yordamından sonra sonuçları içeren “Lost Files” klasörü ................................................... 102



Şekil 181: Zip dosyası üzerine “View File Structure” komutu uygulandıktan sonra Zip birimi......................... 102 Şekil 182: “File Mounter” betiği penceresi........................................................................................................ 103 Şekil 183: “Verify Signature” işleminin arama penceresinden başlatılması...................................................... 104 Şekil 184: İmza sütunu ........................................................................................................................................ 104 Şekil 185: İşaretli dosyaların Hash değerlerinin üretilmesi ............................................................................... 106 Şekil 186: Kişisel Hash setinin oluşturulması ..................................................................................................... 107 Şekil 187: Eklenen Hash seti............................................................................................................................... 107 Şekil 188: Seçilen Hash setinin kullanılması ...................................................................................................... 108 Şekil 189: Sekme alanında Hash değerleri, setleri ve kategorileri ..................................................................... 108 Şekil 190: Seçilen klasöre yeni anahtar kelime girilmesi.................................................................................... 110 Şekil 191: Yeni bir anahtar kelime girişinde “Search Expression” sekmesi ...................................................... 111 Şekil 192: Karakter setinin seçilmesi için “Code Page” sekmesi....................................................................... 112 Şekil 193: “Kopyala ve yapıştır” ile anahtar kelime listesi eklenmesi ............................................................... 113 Şekil 194: Arama penceresi ve seçenekler .......................................................................................................... 114 Şekil 195: “Highlighted Data Bookmark” konması............................................................................................ 115 Şekil 196: “Notable File Bookmark” konması.................................................................................................... 116 Şekil 197: “Folder Information Bookmark” konması......................................................................................... 117 Şekil 198: File Group Bookmarks....................................................................................................................... 117 Şekil 199: “Notes Bookmark” eklenmesi ............................................................................................................ 118 Şekil 200: Yerimi görünümündeki sütunlar......................................................................................................... 119 Şekil 201: Yerimleri klasörü için görüntüleme seçeneklerinin ayarlanması....................................................... 119 Şekil 202: Bir rapordan alıntı ve seçenekler penceresi (sekme alanında sağ tık)............................................... 122 Şekil 203: Dosyaları kopyala / geri al ................................................................................................................ 123 Şekil 204: Kopyalanan dosyaların ve hedefin seçilmesi ..................................................................................... 123 Şekil 205: Kopyalama ya da geri alma seçenekleri ............................................................................................ 124 Şekil 206: Hedef yol bilgileri ve dosya bölme olanağı........................................................................................ 125 Şekil 207: Kopyalama ya da kurtarma bilgilerini gösteren durum ekranı.......................................................... 125 Şekil 208: Klasörlerin kopyalanması için yol ayarları ve seçenekler ................................................................. 126 Şekil 209: Dosya bilgilerinin dışarı aktarılması için diyalog penceresi ............................................................. 127

en case sürüm

Education