E01 Viewer Forensics Analysis Tool

E01 Dosya Türü Nedir?

Encase Forensic, Guidance Software inc. Tarafından üretilmiş, yaygın olarak adli analiz’ler de kullanılan araçlardandır. Encase Forensic, disk görüntüleme ve koruma, veri kurtarma gibi özellikleri bulunmaktadır.

E01 imaj dosya formatı, EnCase Forensic yazılımı tarafından Expert Witness Format (EWF) uygulamasında kullanılmaktadır. Yani, EWF dosyaların uzantısı .E01türündedir.

E01 dosyası, disklerin görüntülenmesi, logical dosyaların depolanmas, digital kanıtlaın yedeklenmesini sağlar.

Bu dosyaların metadata özellikleri okunabilir/açık bir yapıda değildir. Ayrıca bu dosyalar (imaj dosyaları) sıkıştırılabilme yeteneğine de sahiptir.

Linux işletim sisteminde EWF formatındaki imajlar da çalışabilmek için LIBEWF kütüphanesine ihtiyaç duyulmaktadır.Libewf kütüphanesi Smart EWF-S01 ve EnCase EWF-01formatını desteklemektedir. Özellikle, EnCase imaj uygulaması ile alınan bir imajın adli bilişim analizinde açık kaynak kodlu uygulamalar kullanılacağı zaman libewf kütüphanesinden yararlanılır.

Libewf kütüphanesinde bulunan araçlar aşağıdaki gibidir,

  • Ewfacquire: imaj alma aracıdır.
  • Ewfacquirestream: imaj dosyasını editler/açar.
  • Ewfexport: EWF formatındaki dosyaların türlerini değiştirir.
  • Ewfinfo: imaj dosyasının metadatasını görüntüler.
  • Ewfverify: imaj dosyasını doğrular (verify) eder.

E01 Dosya Yapısı

E01 görüntü dosyası formatı, “Olay Bilgisi” üstbilgisi ile başlar, 64 sektörden oluşan her bloktan sonra, yani 32 KB. CRC’ler ile karıştırılmıştır (Döngüsel Artıklık Denetimi). E01 dosyasının altbilgisi, görüntülenen tüm verilerin MD5 karma değerini içerir.

Üstbilgi: e01 encase görüntü dosyasının üstbilgi bölümü temel olarak  “Olay Bilgileri” içerir . Disk görüntüleme sırasında, kullanıcının bu ayrıntıları EnCase’e girmesi gerekir. Bu bilgiler şunları içerir:

  • Kişinin Adı (veya Araştırmacı)
  • Olay Adı (fiili Olay ile ilişkili olarak)
  • Ortamın tanımı (verilerin toplandığı sabit diskin yapılandırması vb.)
  • Tarih / saat bilgileri (encase görüntü dosyası yapıldığında)
  • Kullanılan Encase Yazılımının sürümü
  • Encase Yazılımının şu anda çalıştığı işletim sistemi (yani edinilen cihaza yüklü işletim sistemi)

CRC (Döngüsel Artıklık Kontrolü): CRC, Döngüsel Artıklık Kontrolü için kullanılan bir kısaltmadır. CRC, E01 dosyalarında Encase tarafından orijinal verilerde herhangi bir yanlışlıkla değişiklik olup olmadığını kontrol etmek için kullanılan bir hata algılama kodudur. CRC temel olarak bir karma işlevidir. Her veri bloğu için bir CRC kodu, edinme başlangıcında yazılım tarafından oluşturulur ve saklanır. Daha sonra, söz konusu veri bloğu tarandığında, ortaya çıkan e01 encase görüntüsünün CRC kodu tekrar hesaplanır. Yeni hesaplanan CRC kodu ve önceden kaydedilmiş CRC eşleşirse, veri bloğu hatasızdır, başka bir veri hatası oluşmuştur. CRC sağlama toplamı, her 32 KB’lik çentik veriyle karıştırılır.


Veri Blokları: E01 dosyası (Encase Image File) veri parçaları içerir. Bunlarda, veri yığınları, veriler 32 KB’lık bloklara bölünür ve CRC sağlama toplamları her veri bloğu arasına gömülür, herhangi bir hata oluşup oluşmadığını kontrol eder.


Altbilgi: E01 görüntü dosyası biçiminin altbilgi bölümü,   söz konusu dosyada bulunan tüm ileti akışının MD5 değerini içerir. Ham görüntü dosyasının bu MD5 karma değeri, herhangi bir üçüncü taraf aracı tarafından oluşturulan aynı görüntü dosyasının MD5 değeri ile karşılaştırılabilir ve karşılaştırılabilir. Her iki MD5 değeri eşleşiyorsa, orijinal disk görüntü dosyasında herhangi bir değişiklik yapılmamıştır. Aksi takdirde, dosya değiştirilmiş veya değiştirilmiştir.

Bu E01 dosyası çok önemli bir disk görüntüleme kaynağıdır ve şimdi adli tıp araştırmacılarının daha sonra incelenebilecek ve analiz edilebilecek bir sabit diskte bulunan verileri yedeklemek için çok tuhaf ve avantajlı bir ortam haline gelmiştir.

.E01 Dosyasını Açmak

.E01 dosyası, üzerine çift tıklanır eğer dosyayı açacağınız yazılımı daha önce kurduysanız ve dosya ilişkilendirmeleri doğru şekilde ayarlandıysa, .E01 dosyası açılabilir. Windows sürekli olarak dosyayı açmak için hangi programın kullanılması gerektiğini soruyorsa yüklemiş olduğunuz uygulamamnın .E01 dosyaları ile ilişkilendirilmemiş veya uygun bir yazılım olmayabilir.

Zarar görmüş dosya ilişkilendirmeleri Windows kayıt defteri (regedit) hataları sonucunda meydana gelebilir.

E01 Viwer uygulaması için SysTools, FTL Imager, Fex Advanced Forensic Tool ve Autopsy kullanacağım.

SysTools

Next ile devam edilir.

I accept the agreement seçilerek Next ile devam edilir.

Kurulumun yapılacağayı yer belirlenir ve Next ile devam edilir.

Next ile devam edilir.

Next lle devam edilir.

Next ile devam edilir.

Install ile kuruluma başlanır.

Finish ile kurulum tamamlanır ve uygulama çalıştırılır.

SysTools Uygulamasının Limitasyonları;

Sistem gereksinimleri,

Uygulamanın ekran görüntüsü aşağıdaki gibidir,

FTK Imager

FTK imager ile E01 dosyası hazırlıyorum.

Hazırlanan E01 ve E0X dosyalarının FTK Imager deki görüntüsü aşağıdaki gibidir.

E01 dosayının içeriği Hexdecimal olarak görüntülenmektedir.

Data Diski oluşturulur. İçerisinde Case1 Folder ve içerisinde gerekli dosyalar bulunur. FTK Imajer ile delil’in imajı E01 formatında alınır.

EnCase Acquisition

Bir başka uygulama olan Enase kurulur ve E01 dosyası açılır.

FEX Image Advanced Forensics

Bir başka uygulama olan FEX Image Advanced Forensic kurulur ve E01 dosyası açılır.



Autopsy 4.14.0

Bir başka uygulama olan Authopsy ileE01 dosyası açılır.

E01 imaj dosyasının içeriinde bulunan dosyalar dan Sakir.pst (outlook mail ) edit’leyebiliyoruz ve içeriğini de açık olarak görüntülüyebiliyoruz.

Keywords list bölümünden IP adresi sorgulaması yapıyorum ve dosyanın içerisinde IP adresi geçen tüm bölümleri gösteriyor.

Volsys.exe dosyasının içerisinde zararlı kod bulunmaktadır ve Autopsy uygulaması ile bu kodlar da görüntülenebilmektedir.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: