2 - $MFT Tablosunu Elde Etme Yöntemleri

MFT dökümanı üç parça halinde paylaşılacaktır.

Bu yazı dizisi ADEO DFIR ekibinin katkılarıyla hazırlanmıştır.

1- Ne İşe Yarar Bu MFT ?

2- $MFT Tablosunu Elde Etme Yöntemleri.

3- MFT Parse Araçlarının Karşılaştırılması ve Adli Bilişim Açısından Önemi.

ABSTRACT — The MFT table, which is the most important in terms of the domain of forensic computing, is described in detail in the previous issue. In this regard, the methods of exporting the MFT table will be mentioned.

I. GİRİŞ

1.1. The Sleuth Kit ( TSK ) Araçlarını Kullanılarak

“icat.exe” TSK’nın ücretsiz sunmuş olduğu MFT tablosundan belirttiğimiz MFT Entry*, Directory Entry** veya INODE*** değerine karşılık gelen verinin çıkartılmasını sağlayan araçtır. MFT tablosundaki ilk girdinin $MFT dosyasının konumunu sakladığı önceki yazıdan bilinmektedir. Bu araç’a ön parametre olarak sıfır değeri girilerek MFT tablosundaki 0. Directory Entry’e sahip olan dosya çıkartılmaya çalışılmıştır.

*MFT Entry : NTFS dosya sistemine ait MFT tablosundaki her bir girişe verilen addır.

**Directory Entry : FAT dosya sistemine ait dosya kayıtlarının tutulduğu tablodaki her bir girdiye verilen addır.

***INODE : Unix/LINUX sistemlerine ait dosya tablosundaki her bir girdiye verilen addır.

The Sleuth Kit : Çeşitli adli bilişim araçlarını barındıran ücretsiz araç çantasıdır.

1.1.a UYGULAMA

Her bir partition’ın kendisine ait MFT tablosu olduğu için, $MFT dosyasını çıkartmadan önce hangi partitiondan çıkartılması gerektiği bilinmelidir. Bu yüzden imaj üzerinde TSK aracı olan “mmls.exe” ile Şekil-1 de görüldüğü üzere partitionlar listelenmeye çalışılmıştır.

Şekil — 1

Sonuca göre sistemde iki adet veri partition’ı bulunmaktadır. Bu çalışmada hedef, sadece bir partitiondan MFT tablosunu çıkartmak olacaktır. Partitionlardan birisinin başlangıç offset değeri 2048 iken diğerinin 1159168’dir. Bu nedenle hangisinin MFT dosyasını almak istediğimiz partition olduğunu öğrenmek için yine TSK’nın aracı olan “fsstat.exe” aracını kullanılacaktır. Bu araç hedef partition hakkında detaylı tanım bilgilerini göstermektedir.

Şekil — 2

İlgili araç –o parametresi ile başlangıç offset değeri belirtilerek kullanılmıştır. Çıktı sonucu olarak partition isminin Kurtarma olduğu, dosya sisteminin ise NTFS olduğu Şekil — 2’de görülmüştür.

Şekil — 3

1159168 sayılı başlangıç offset’i incelendiğinde bu partition’ın $MFT dosyasının çıkarılmak istenildiği partition olduğu anlaşılmıştır.

Hedef partition belirlendikten sonra “icat.exe” yazılımı kullanılarak başlangıç offset değeri 1159168 verilmiştir. Şekil — 4’de görüldüğü üzere dışarıya aktarma opsiyonu kullanılarak MFT tablosu dışarıya “mft__tablosu.raw” adında aktarılmıştır.

Şekil — 4

1.2. FTK Imager Kullanarak

Canlı, çalışan sisteme FTK Imager yazılımı kurularak (istenildiği takdirde FTK Imager’ın Portable versiyonu da kullanılabilir.) sistem üzerindeki MFT tablosu dışarı aktarılabilir.

1.2.a UYGULAMA

Öncelikle hedef sistem üzerinde FTK Imager yazılımı çalıştırılmalıdır. (FTK Imager MFT’nin alınması istenilen bilgisayara kurulmalıdır.)

Şekil 5 — FTK Imager ana menü.

Sonrasında “File” -> “Add Evidence Item” bölümü açılır.

Şekil — 6

Şekil — 6 ‘da görüldüğü üzere karşımıza dört adet seçenek çıkacaktır. Diskin tamamına ihtiyacımız olmayacağı için Mantıksal olarak ( Logical ) diski açarak MFT tablosunu çıkartmak tercih edilmiştir.

Şekil- 7

MFT tablosu çıkarılmak istenilen hedef partition, “Delil Ağacı” bölümünden seçilerek “Finish” butonuna tıklanılmıştır.

Şekil — 8

Şekil — 9 ‘da görüldüğü üzere sol bölüme “C” sistem bölümü eklenmiştir.

Şekil — 9

Root dizini altında $MFT dosyasının varlığı görülmektedir. İstenildiği takdirde $MFT dosyasına sağ tıklanılarak dışarı aktarılabilmektedir.

Şekil — 10

1.3. Autopsy ve VMware Sistem İmajı Kullanarak

“Autopsy” tamamen ücretsiz olan adli bilişim analiz yazılımıdır. Bu bölümde sanal olarak kurulu bir sistemden MFT tablosunu, sanal sistem imajı kullanarak alınması gösterilecektir.

1.3.a UYGULAMA

Şekil — 11

İlk olarak Autopsy uygulaması açılarak menüden “Create New Case” butonu yardımıyla yeni bir olay vakası açılmalıdır. İlgili olay ismi vb. bilgiler doldurulduktan sonra “Add Data Source” butonuna tıklanılarak hedef imajın Autopsy’e aktarılması sağlanılmalıdır.

Şekil — 12

Şekil — 13’de görüldüğü üzere açılan menüden en üstteki seçenek olan “Dısk Image or VM File” seçilerek VMWare imaj’ı veya E01,dd gibi formatlarda imaj açılabilmektedir.

Şekil — 13

Şekil — 14

Şekilde — 14’de görüldüğü üzere bu bölüm araştırmacı için yararlı modülleri seçip, ilgili imaj için gerçekleştirmeyi sağlayan bölümdür. İlgili çalışmada sadece dosya sistemine erişileceği için bu bölümde herhangi bir modül çalıştırılmamıştır. İşlem bittiğinde istenirse log dosyası çıktı olarak alınabilmektedir.

Şekil — 15

Sol menüye eklenen “Veri Kaynağı” bölümünü kullanarak ilgili imaj üzerinden verinin bulunduğu sistem partition’na erişildikten sonra $MFT dosyasının varlığına ulaşılabilir, istenildiği takdirde dosyaya sağ tıklayarak dışarı çıkarılabilmektedir. ( Şekil — 15 )

Şekil — 16

Şekil-17

Üç yöntemle de çıkarılan dosyalara sırasıyla hash ( MD5 ) kontrolü yapıldığında dosyaların hashlerinin aynı olduğu görülmektedir. ( Şekil — 17 )

II. KAYNAK VE REFERANSLAR

[1] http://halilozturkci.com/adli-bilisim-sleuth-kit-tsk-ile-file-system-forensics-4/

[2] https://www.andreafortuna.org/dfir/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/

[3] https://www.sleuthkit.org/

Yazılarımdaki hatalı bölümler için benimle iletişime geçerseniz mutlu olurum.