-Autopsy, Basis Technologies’in açık kaynak kodlu dijital bir adli bilişim inceleme aracıdır. -FTK ve EnCase gibi ücretli yazılımların birçok özelliğini taşıyan ücretsiz bir programdır.
Autopys ile; -DD,Encase ve AFF uzantılı İmaj dosyaları üzerinde inceleme yapabiliriz. -İçerisinde kelime ya da karakter araması yapabiliriz. -Hash hesaplaması gerçekleştirir. -Hash tablosu ile bilinen sistem dosyalarını ayıklar. -Veri kurtarma işlemi gerçekleştirir. -İmaj içerisindeki E-mail,Telefon numarası,IP Adresi gibi bilgileri inceleyebiliriz.
İnceleme -Autopsy aracına “ https://www.autopsy.com/download/ " bağlantısı üzerinden erişebilirsiniz. -Aracı çalıştırdığımda karşıma bir Case oluşturma sekmesi çıkmaktadır.New case seçeneği ile devam ediyorum. -New Case -> Yeni bir case oluşturmak için kullanılır. -Open Recent Case & Open case -> Daha önce inceleme gerçekleştirilen case’i açmamızı sağlar.
-Oluşturacağım Case’in Adını ve Dizini belirtip ‘Next’ butonu ile devam ediyorum. -Case’in içerisine inceleme gerçekleştirecek kişinin bilgilerini ekleyebilirim. -Case oluşturduktan sonra sol üstte bulunan “Add Data Source” butonu ile inceleme gerçekleştireceğim dosyayı ekleyeceğim.
-Dosya tipini,dizini ve saat dilimini seçtikten sonra ‘Next’ butonu ile devam ediyorum. -Case üzerinde kullanacağımız modülleri seçebiliyoruz. -İstersek log dosyasını çıktı olarak alabiliriz.Ben çıktı almadan işlemi bitiriyorum. -Case’imizi oluşturduktan sonra karşımıza inceleme sayfası gelmektedir. -İçeriğinden elimden geldiğince bahsetmeye çalışacağım.
-Sağ üstte bulunan ‘Keyword Lists’ seçeneği ile İmaj dosyası içerisinde bulunan IP,Email,Telefon Numarası ve URL bilgileri içerisinde istediğimiz aramayı gerçekleştirebiliriz. -Sağ üstte bulunan ‘Keyword Search’ seçeneği ile belirttiğimiz ‘Text’ bilgisinin bulunduğu tüm dosyaları bana listelemektedir. -Data Sources sekmesinde İmajı alınan diske kendi cihazımızdaymış gibi erişim sağlayabiliriz. -Burada Amcache,Shimcache,SRUM gibi kayıtlar üzerinden inceleme gerçekleştirebiliriz.
##Views #File Types -‘FileTypes’ başlığı altında Resim,Video,Ses ve Arşiv dosyaları yer almaktadır. -Örnek olması için ‘Images’ başlığı altına baktığım da burada incelenen imaj içerisinde ki tüm görüntü dosyaları gelmektedir. -Üzerine tıkladığımızda Thumbnail olarak görüntülemekteyiz.
-‘Video’ başlığı altında ise Thumbnail olarak da görüntüleyebildiğimiz gibi “Extract Files” seçeneği ile kendi cihazım üzerinde içerisinde de video kayıtlarını inceleyebiliriz. -‘Audio’ başlığı altında ise imaj içerisinde ki ses kayıtlarını görüntülemekteyiz. -‘Archives’ başlığı altında ise rar dosyalarını görüntüleyebiliriz. #Documents -‘Documents’ başlığı altında ise HTML,Office,PDF ve Txt dosyaları yer almaktadır. -‘Office’ başlığı altında bulunan bir dosyanın ‘Indexed Text’ sekmesi üzerinde içeriği hakkında bilgi sahibi olabilirim. -Sağ tıklayıp ‘View in New Window’ seçeneğine tıklanırsa içeriğin tamamını yeni bir sekme üzerinde görüntüleyebiliriz. -Sağ tıklayıp ‘Open in External Viewer’ seçeneğine tıklanırsa içeriğin uzantısına uygun office programında görüntüleyebiliriz. -’Extract Files’ seçeneği ile kendi cihazımız üzerine aktarım gerçekleştirebiliriz.
-‘Search for files with the same MD5 hash’ seçeneği ile aynı Hash değerine sahip tüm dosyaları görüntüleyebiliriz. #Executable -‘Executable’ seçeneği altında çalıştırılabilir dosya tipleri bulunmaktadır. -Burada ‘exe’ dosyalarının metadata bilgilerini görüntüleyebiliriz.
-‘DLL’ başlığı altında .dll uzantılı dosyalar yer almaktadır. -DLL dosyaları executable bir uygulama olmadan çalışamazlar.
-‘CMD’ başlığı altında .cmd uzantılı dosyalar yer almaktadır. -‘COM’ başlığı altında Command(Komut) dosyaları yer almaktadır. #Deleted Files -‘All’ başlığı altında imaj içerisinde ki silinmiş tüm dosyalar listelenir ve ‘Indexed Text’ sekmesi altında dosya içeriği görüntülenebilir. #MB File Size -MB başlığı altında dosyalar “50–200MB,200–1024MB,+1024MB” şeklinde kategorilere ayrılmıştır. ##Results -‘Results’ başlığı altında Autopsy aracının yapmış olduğu analizler sonucu elde edilen veriler yer almaktadır. #Extracted Content -‘Extracted Content’ başlığı altında Cihaz üzerinde gerçekleşen olaylar hakkında bilgi sahibi olabiliriz. -‘Device Attached’ başlığı altında imajı incelenen cihaza bağlanan cihazları görüntüleyebiliriz. -‘Exif Metadata’ başlığı altında görüntü dosyalarının metadata bilgilerine erişebiliriz. -‘Encryption Detected’ başlığı altında şifrelenmiş dosyaları görüntüleyebiliriz. -‘Extension Mismatch Detected’ başlığı altında dosya uzantısı uyuşmayan dosyalar listelenmektedir. -Extension sütunu altında görünen uzantı,MIME sütunu altında ise gerçek dosya tipi görünmektedir.
-‘Installed Programs’ başlığı altında imaj içerisine yüklenmiş programları görüntülemekteyiz. -‘Operating System Information’ başlığı altında OS hakkında bilgi sahibi olabiliriz. -‘Operating System User Account’ başlığı altında kullanıcı hesapları hakkında bilgi sahibi olabiliriz. -‘Recent Documents’ başlığı altında kullanıcının son erişim sağladığı LNK dosyalarını görüntüleyebiliriz. -‘Web Bookmarks’ başlığı altında kullanıcının Yer İşareti yaptığı siteleri görüntülemekteyiz. -‘Web Cookies’ başlığı altında bırakılan çerezler hakkında bilgi sahibi olabiliriz. -Çerez kullanan bir site üzerine erişim sağlandığında sabit diske çerez bırakma konusunda talep gönderilir. -Çerez dosyaların oturum bilgileri gibi bilgiler yer almaktadır.
-‘Web Downloads’ başlığı altında kullanıcının yapmış olduğu indirmeler hakkında bilgi sahibi olabiliriz. -‘Web History’ başlığı altında kullanıcının tarayıcı geçmişini görüntüleyebiliriz. -‘Web Search’ başlığı altında kullanıcının yapmış olduğu arama kayıtlarını görüntüleyebiliriz. #Keyword Hits -‘Keyword Hits’ başlığı altında imaj içerisinde yer alan Email,Telefon Numarası,Ip Adresi,URL gibi bilgiler yer almaktadır. -‘Single Literal Keyword Search’ başlığı altında sağ üst köşede bulunan arama seçenekleri üzerinden gerçekleştirdiğimiz arama kayıtlarını görebiliriz. -‘Email Addresses’ başlığı altında imaj alınan disk içerisinde yer alan tüm Mail adreslerini listeler. -Burada ayrıca gelen ve giden mail içeriklerini görüntüleyebiliriz.
-‘Phone Numbers’ başlığı altında imaj alınan disk içerisinde yer alan tüm Telefon numaralarını listeler. -‘IP Addresses’ başlığı altında bağlantı kurulan IP adreslerini listelemektedir. -Son olarak ise ‘Account’ başlığı altında imajı alınan disk üzerinde bulunan kredi kartı bilgilerini görüntüleyebiliriz.