Autopsy

-Autopsy, Basis Technologies’in açık kaynak kodlu dijital bir adli bilişim inceleme aracıdır.
-FTK ve EnCase gibi ücretli yazılımların birçok özelliğini taşıyan ücretsiz bir programdır.

Autopys ile;
-DD,Encase ve AFF uzantılı İmaj dosyaları üzerinde inceleme yapabiliriz.
-İçerisinde kelime ya da karakter araması yapabiliriz.
-Hash hesaplaması gerçekleştirir.
-Hash tablosu ile bilinen sistem dosyalarını ayıklar.
-Veri kurtarma işlemi gerçekleştirir.
-İmaj içerisindeki E-mail,Telefon numarası,IP Adresi gibi bilgileri inceleyebiliriz.

#İncelenecek imaj dosyalarına “https://www.ashemery.com/dfir.html" veya “https://cfreds.nist.gov/" bağlantısı üzerinden erişebilirsiniz.

İnceleme

-Autopsy aracına “https://www.autopsy.com/download/" bağlantısı üzerinden erişebilirsiniz.

-Aracı çalıştırdığımda karşıma bir Case oluşturma sekmesi çıkmaktadır.New case seçeneği ile devam ediyorum.

-New Case -> Yeni bir case oluşturmak için kullanılır.
-Open Recent Case & Open case -> Daha önce inceleme gerçekleştirilen case’i açmamızı sağlar.

-Oluşturacağım Case’in Adını ve Dizini belirtip ‘Next’ butonu ile devam ediyorum.

-Case’in içerisine inceleme gerçekleştirecek kişinin bilgilerini ekleyebilirim.

-Case oluşturduktan sonra sol üstte bulunan “Add Data Source” butonu ile inceleme gerçekleştireceğim dosyayı ekleyeceğim.

-Dosya tipini,dizini ve saat dilimini seçtikten sonra ‘Next’ butonu ile devam ediyorum.

-Case üzerinde kullanacağımız modülleri seçebiliyoruz.

-İstersek log dosyasını çıktı olarak alabiliriz.Ben çıktı almadan işlemi bitiriyorum.

-Case’imizi oluşturduktan sonra karşımıza inceleme sayfası gelmektedir.

-İçeriğinden elimden geldiğince bahsetmeye çalışacağım.

-Sağ üstte bulunan ‘Keyword Lists’ seçeneği ile İmaj dosyası içerisinde bulunan IP,Email,Telefon Numarası ve URL bilgileri içerisinde istediğimiz aramayı gerçekleştirebiliriz.

-Sağ üstte bulunan ‘Keyword Search’ seçeneği ile belirttiğimiz ‘Text’ bilgisinin bulunduğu tüm dosyaları bana listelemektedir.

-Data Sources sekmesinde İmajı alınan diske kendi cihazımızdaymış gibi erişim sağlayabiliriz.

-Burada Amcache,Shimcache,SRUM gibi kayıtlar üzerinden inceleme gerçekleştirebiliriz.

##Views

#File Types

-‘FileTypes’ başlığı altında Resim,Video,Ses ve Arşiv dosyaları yer almaktadır.

-Örnek olması için ‘Images’ başlığı altına baktığım da burada incelenen imaj içerisinde ki tüm görüntü dosyaları gelmektedir.

-Üzerine tıkladığımızda Thumbnail olarak görüntülemekteyiz.

-‘Video’ başlığı altında ise Thumbnail olarak da görüntüleyebildiğimiz gibi “Extract Files” seçeneği ile kendi cihazım üzerinde içerisinde de video kayıtlarını inceleyebiliriz.

-‘Audio’ başlığı altında ise imaj içerisinde ki ses kayıtlarını görüntülemekteyiz.

-‘Archives’ başlığı altında ise rar dosyalarını görüntüleyebiliriz.

#Documents

-‘Documents’ başlığı altında ise HTML,Office,PDF ve Txt dosyaları yer almaktadır.

-‘Office’ başlığı altında bulunan bir dosyanın ‘Indexed Text’ sekmesi üzerinde içeriği hakkında bilgi sahibi olabilirim.

-Sağ tıklayıp ‘View in New Window’ seçeneğine tıklanırsa içeriğin tamamını yeni bir sekme üzerinde görüntüleyebiliriz.
-Sağ tıklayıp ‘Open in External Viewer’ seçeneğine tıklanırsa içeriğin uzantısına uygun office programında görüntüleyebiliriz.
-’Extract Files’ seçeneği ile kendi cihazımız üzerine aktarım gerçekleştirebiliriz.

-‘Search for files with the same MD5 hash’ seçeneği ile aynı Hash değerine sahip tüm dosyaları görüntüleyebiliriz.

#Executable

-‘Executable’ seçeneği altında çalıştırılabilir dosya tipleri bulunmaktadır.

-Burada ‘exe’ dosyalarının metadata bilgilerini görüntüleyebiliriz.

-‘DLL’ başlığı altında .dll uzantılı dosyalar yer almaktadır.

-DLL dosyaları executable bir uygulama olmadan çalışamazlar.

-‘CMD’ başlığı altında .cmd uzantılı dosyalar yer almaktadır.

-‘COM’ başlığı altında Command(Komut) dosyaları yer almaktadır.

#Deleted Files

-‘All’ başlığı altında imaj içerisinde ki silinmiş tüm dosyalar listelenir ve ‘Indexed Text’ sekmesi altında dosya içeriği görüntülenebilir.

#MB File Size

-MB başlığı altında dosyalar “50–200MB,200–1024MB,+1024MB” şeklinde kategorilere ayrılmıştır.

##Results

-‘Results’ başlığı altında Autopsy aracının yapmış olduğu analizler sonucu elde edilen veriler yer almaktadır.

#Extracted Content

-‘Extracted Content’ başlığı altında Cihaz üzerinde gerçekleşen olaylar hakkında bilgi sahibi olabiliriz.

-‘Device Attached’ başlığı altında imajı incelenen cihaza bağlanan cihazları görüntüleyebiliriz.

-‘Exif Metadata’ başlığı altında görüntü dosyalarının metadata bilgilerine erişebiliriz.

-‘Encryption Detected’ başlığı altında şifrelenmiş dosyaları görüntüleyebiliriz.

-‘Extension Mismatch Detected’ başlığı altında dosya uzantısı uyuşmayan dosyalar listelenmektedir.

-Extension sütunu altında görünen uzantı,MIME sütunu altında ise gerçek dosya tipi görünmektedir.

-‘Installed Programs’ başlığı altında imaj içerisine yüklenmiş programları görüntülemekteyiz.

-‘Operating System Information’ başlığı altında OS hakkında bilgi sahibi olabiliriz.

-‘Operating System User Account’ başlığı altında kullanıcı hesapları hakkında bilgi sahibi olabiliriz.

-‘Recent Documents’ başlığı altında kullanıcının son erişim sağladığı LNK dosyalarını görüntüleyebiliriz.

-‘Web Bookmarks’ başlığı altında kullanıcının Yer İşareti yaptığı siteleri görüntülemekteyiz.

-‘Web Cookies’ başlığı altında bırakılan çerezler hakkında bilgi sahibi olabiliriz.

-Çerez kullanan bir site üzerine erişim sağlandığında sabit diske çerez bırakma konusunda talep gönderilir.
-Çerez dosyaların oturum bilgileri gibi bilgiler yer almaktadır.

-‘Web Downloads’ başlığı altında kullanıcının yapmış olduğu indirmeler hakkında bilgi sahibi olabiliriz.

-‘Web History’ başlığı altında kullanıcının tarayıcı geçmişini görüntüleyebiliriz.

-‘Web Search’ başlığı altında kullanıcının yapmış olduğu arama kayıtlarını görüntüleyebiliriz.

#Keyword Hits

-‘Keyword Hits’ başlığı altında imaj içerisinde yer alan Email,Telefon Numarası,Ip Adresi,URL gibi bilgiler yer almaktadır.

-‘Single Literal Keyword Search’ başlığı altında sağ üst köşede bulunan arama seçenekleri üzerinden gerçekleştirdiğimiz arama kayıtlarını görebiliriz.

-‘Email Addresses’ başlığı altında imaj alınan disk içerisinde yer alan tüm Mail adreslerini listeler.

-Burada ayrıca gelen ve giden mail içeriklerini görüntüleyebiliriz.

-‘Phone Numbers’ başlığı altında imaj alınan disk içerisinde yer alan tüm Telefon numaralarını listeler.

-‘IP Addresses’ başlığı altında bağlantı kurulan IP adreslerini listelemektedir.

-Son olarak ise ‘Account’ başlığı altında imajı alınan disk üzerinde bulunan kredi kartı bilgilerini görüntüleyebiliriz.