Open in app

Sign in

Write

Sign in

AUTOPSY

Seda Nur Şahinoğlu
8 min readOct 16, 2023

--

KURULUM;

  • Otopsi msi sonuçlarının çalıştırılması
  • Windows, Kullanıcı Hesabı Denetimi isterse, Evet’i tıklayın.
  • Bitiren bir düğmeyi tıklatana kadar iletişim kutularını tıklayın.
  • Otopsi şimdi tam olarak kurulmalıdır.

Verileri analiz etmek istersek;

• Create a Case (Vaka Oluştur) : Vaka, bir veya daha fazla veri kaynağı için bir kapsayıcıdır. Veriler analiz edilmeden önce bir tane oluşturulmalıdır.

•Adding a Data Source (Veri Kaynağı Ekleme): Vakaya bir veya daha fazla veri kaynağı eklenir. Veri kaynakları, disk görüntülerini ve yerel dosyaları içerir.

•Analyze with Ingest Modules(Ingest Modülleri ile Analiz Et) : Veri kaynağı eklendikten sonra, ingest modülleri verileri analiz etmek için arka planda çalışır. Sonuçlar gerçek zamanlı olarak arayüze gönderilir ve gerektiğinde uyarılar sağlar. Örnek alma modülleri, karma hesaplama ve arama , anahtar kelime arama ve web yapıt çıkarma işlemlerini içerir .

•Manual Analysis(Manuel Analiz):Kullanıcı, kanıtları belirlemek için arayüzde, dosya içeriğinde ve giriş modülü sonuçlarında gezinir. İlginç öğeler daha sonra raporlama ve analiz için etiketlenebilir.

•Report Generation(Rapor Oluşturma):Kullanıcı, seçilen etiketlere veya sonuçlara dayalı olarak bir nihai rapor başlatır.

VAKA OLUŞTURMA;

•Açılış açılış ekranında yeni bir vaka oluşturmak için bir düğme bulunur.(Create a new case)

•”File”, “Create New Case” menü öğesi

Yeni Vaka sihirbazı iletişim kutusu açılacak ve vaka adını ve temel dizini girmeniz gerekecektir. “ Base directory “ içinde vaka için bir dizin oluşturulacaktır. Dizin zaten mevcutsa, mevcut dizini silmeniz veya farklı bir ad kombinasyonu seçmeniz gerekir. Ayrıca, araştırmacı adı ve vaka numarası gibi isteğe bağlı bilgiler de istenecektir.

Servis talebini oluşturduktan sonra, Adding a Data Source bölümünde açıklandığı gibi bir veri kaynağı eklemeniz istenecektir .

DAVA AÇMA;

• Açılış ekranından “Open Existing Case” veya “Open Recent Case” ı seçin.

•”File”, “Open Case”menü öğesini veya “File”, “Open Recent Case”ı seçin

•Vaka dizinine gidin ve “.aut” dosyasını seçin.

VERİ KAYNAKLARI;

Disk Image: Bir sabit sürücünün veya ortam kartının bayt bayt kopyası olan bir dosya (veya dosya grubu)

Local Drive: Yerel depolama aygıtı (yerel sürücü, USB’ye bağlı sürücü vb.).

Logical Files: Yerel dosyalar veya klasörler.

•Yeşil ana hatlarıyla gösterilen: Tree Viewer

•Mavi ana hatlarıyla gösterilen: Result Viewer

•Kırmızı ile gösterilen: Content Viewer

•Sarı renkle gösterilen: Keyword Search

•Mor renkle gösterilen : Status Area

Tablo Sonuçları Görüntüleyicisi (Dizin Listeleme), veri kataloğunu her dosyanın bazı ayrıntılarını (özellikleri) içeren bir tablo olarak görüntüler. Gösterdiği özellikler şunlardır: ad, zaman (değiştirildi, değiştirildi, erişildi ve oluşturuldu), boyut, bayraklar (dizin ve meta), mod, kullanıcı kimliği, grup kimliği, meta veri adresi, öznitelik adresi ve tür (dizin ve meta ). Bu görünümü seçmek için Tablo Görüntüleyici sekmesine tıklayın.Sonuç Görüntüleyici ayrıca kaydedilen sonuçlar için etkinleştirilebilir ve Tablo Sonuç Görüntüleyicisini doldurmak için Dizin Ağacında hangi düğümün seçildiğine bağlı olarak gruplandırılmış yüksek düzeyli sonuçlar veya dosya düzeyinde sonuçlar gösterebilir.

TREE VİEWER;

Otomatik prosedürlerden (alma) kaydedilen sonuçları bulur. Ağacın dört ana alanı vardır:

•Data Sources: Bu, görüntülerdeki dosya sistemlerinin dizin ağacı hiyerarşisini gösterir. Burada belirli bir dosyaya veya dizine gidebilirsiniz. Eklenen her veri kaynağı bir sürücü olarak temsil edilir. Bir veri kaynağını birden çok kez eklerseniz, birden çok kez görünür.

•Views: Veri kaynaklarından belirli dosya türleri, türe veya diğer özelliklere göre toplanmış şekilde burada gösterilir. Buradaki dosyalar birden fazla veri kaynağından gelebilir. Belirli bir tür veya özellikteki dosyalar için buraya bakın.

•Results: Arka planda alma görevlerinden sonuçları görebileceğiniz ve önceki arama sonuçlarınızı görebileceğiniz yer. Alma modülleri tarafından nelerin bulunduğunu görmek ve önceki arama sonuçlarınızı bulmak için buraya gidin.

•Reports: Oluşturduğunuz veya alım modüllerinin oluşturduğu raporlara referanslar burada gösterilir.

CONTENT VİEWER;

İçerik Görüntüleyici alanı, arayüzün sağ alt alanındadır. Bu alan, belirli bir dosyayı çeşitli biçimlerde görüntülemek için kullanılır. Farklı izleyiciler için farklı sekmeler vardır. Tüm sekmeler tüm dosya türlerini desteklemez, bu nedenle yalnızca bazıları etkinleştirilecektir. Bu alandaki verileri görüntülemek için Result Viewer penceresinden bir dosya seçilmelidir.İçerik Görüntüleyici alanı, bir eklenti çerçevesinin parçasıdır. Daha fazla görüntüleyici türü ekleyecek modüller kurabilirsiniz. Bu bölüm, Otopsi ile varsayılan olarak gelen izleyicileri açıklar.

RESULT CONTENT VİEWER;

İçerik Görüntüleyici, Sonuç Görüntüleyici’de seçilen öğeyle ilişkili yapıları (kaydedilen sonuçlar) gösterir.

HEX CONTENT VİEWER;

Bir dosyanın ham ve tam içeriğini size gösterir. Bu Hex Content Viewer’da, dosyanın verileri, her bir onaltılık değer çiftinden (her bayt) türetilen 16 ASCII karakterlik bir grup tarafından takip edilen 8 baytlık 2 grupta gruplandırılmış onaltılık değerler olarak temsil edilir. Yazdırılamayan ASCII karakterleri ve birden fazla karakter alanı kaplayan karakterler, aşağıdaki ASCII alanında tipik olarak bir nokta (“.”) ile temsil edilir.

MEDİA CONTENT VİEWER;

Medya İçeriği Görüntüleyici bir resim veya video dosyası gösterecektir. Video dosyaları oynatılabilir ve duraklatılabilir. Resmin veya videonun boyutu ekrana sığacak şekilde küçültülür. Medyanın daha karmaşık analizini istiyorsanız, dosyayı dışa aktarmalısınız. “Sonuç Görüntüleyiciler”de resim olmayan bir dosya veya desteklenmeyen bir resim formatı seçerseniz, bu sekme devre dışı bırakılacaktır.

STRİNG CONTENT VİEWER;

String Content Viewer, dosyanın / klasörün (potansiyel olarak ikili) verilerini tarar ve metin olabilecek verileri arar. Uygun veriler bulunduğunda, Dize İçerik Görüntüleyicisi, seçilen komut dosyası/dil için ikili dosyadan çıkarılan, kodu çözülen ve UTF8/16 olarak yorumlanan veri dizelerini gösterir. Bunun, anahtar kelime arama dizininde saklanan bir dosyanın metnini görüntüleyen Metin İçeriği Görüntüleyici’den farklı olduğunu unutmayın. Verilerin dizin oluşturucu tarafından nasıl yorumlandığına bağlı olarak sonuçlar aynı olabilir veya farklı olabilir.

TEXT CONTENT VİEWER;

Görsel Alma sırasında doldurulmuş olabilecek anahtar kelime arama dizinini kullanır. Bir dosyanın dizinde depolanmış metni varsa, bu sekme etkinleştirilecek ve bir dosya veya bir dosyayla ilişkili bir sonuç seçildiğinde kullanıcıya görüntülenecektir. Bu sekme, dosyada metin görünümlü veriler aramaya dayanan “Dize Görünümü”nden daha fazla metin içerebilir. PDF gibi bazı dosyalar, bayt düzeyinde metin görünümlü verilere sahip olmayacaktır, ancak anahtar kelime indeksleme işlemi, bir PDF dosyasını nasıl yorumlayacağını ve metin üreteceğini bilir. Dizin oluşturucunun bildiği dosyalar için, görüntülenen çıkarılan metnin sonunda METADATA bölümü olabilir. Dizine alınmış bir belge herhangi bir meta veri içeriyorsa (oluşturma tarihi, yazar vb.), orada görüntülenecektir. “Dize Görünümü”nün aksine, Metin Görünümünün, ayıklanan dizeler için kullanılacak komut dosyası/dil için yerleşik ayarları olmadığını unutmayın. Bunun nedeni, dizine ekleme sırasında komut dosyasının/dilin kullanılması ve bu ayarın görüntüleyiciyle değil Anahtar Kelime Arama dizin oluşturucuyla ilişkilendirilmesidir. Bu sekme etkinleştirilmemişse, dosyada metin yoktur veya Anahtar Kelime Aramayı bir besleme modülü olarak etkinleştirmemişsinizdir. Bu görüntüleyicinin ayrıca, izleyicinin araç çubuğunun sağ tarafında seçilen “Eşleşmeleri Ara” modunda çalıştırıldığında vurgulanan anahtar kelime isabetlerini görüntülemek için kullanılır.

KEYWORD SEARCH;

Otopsi, indekslenen dosyalardan maksimum miktarda metin çıkarmak için elinden gelenin en iyisini yapar. İlk olarak, indeksleme saf metin dosyası formatı, MS Office Belgeleri, PDF dosyaları, E-posta ve diğerleri gibi desteklenen dosya formatlarından metin çıkarmaya çalışacaktır. Dosya standart metin çıkarıcı tarafından desteklenmiyorsa, Otopsi bir dizi çıkarma algoritmasına geri döner. Bilinmeyen dosya biçimlerinde veya rastgele ikili dosyalarda dize çıkarma, genellikle bir dosyadan oldukça büyük miktarda metin çıkarabilir, bu genellikle gözden geçirenlere ek ipuçları sağlamaya yeterlidir. Dize çıkarma, şifreli dosyalardan metin dizelerini çıkarmaz.

RECENT ACTİVİTY MODULE;

Son Etkinlik modülü, web tarayıcıları (web aramaları dahil), yüklü programlar ve işletim sistemi tarafından kaydedilen kullanıcı etkinliğini çıkarır. Ayrıca Kayıt Defteri kovanında Regripper’ı çalıştırır. Bu, kullanımın son yedi gününde hangi aktivitenin gerçekleştiğini, hangi web sitelerinin ziyaret edildiğini, makinenin ne yaptığını ve nelere bağlı olduğunu görmenizi sağlar.

EMAİL PARSER MODULE;

E-posta Ayrıştırıcı modülü, dosya imzalarına dayalı olarak Thunderbird MBOX dosyalarını ve PST biçimindeki dosyaları tanımlar, bunlardan e-postaları çıkarır ve sonuçları Blackboard’a ekler. Bu modül, bilinen dosyaları atlar ve her mesaj için bir Blackboard yapıtı oluşturur. E-posta eklerini türetilmiş dosyalar olarak ekler. Bu, kullanıcının analiz edilmekte olan sistemden e-posta tabanlı iletişimleri tanımlamasını sağlar.

Extension Mismatch Detector Module;

Dosya Türü Tanımlamasından elde edilen sonuçları kullanır ve dosyanın algılanan türüyle geleneksel olarak ilişkilendirilmeyen bir uzantıya sahip dosyaları işaretler. ‘Bilinen’ (NSRL) dosyaları yok sayar. “Araçlar”, “Seçenekler”, “Dosya Uzantısı Uyuşmazlığı” bölümünde MIME türlerini ve dosya uzantılarını MIME türüne göre özelleştirebilirsiniz.Bu, birinin gizlemeye çalışabileceği dosyaları algılar.

Yapılandırma; “Araçlar”, “Seçenekler”, “Dosya Uzantısı Uyuşmazlığı” iletişim kutusunda MIME türleri eklenebilir ve kaldırılabilir, ayrıca belirli MIME türlerine uzantılar eklenebilir ve kaldırılabilir.

Modülü kullanma; Bu modülle birçok yanlış pozitif alabileceğinizi unutmayın. İstenmeyen isabetleri azaltmak için Otopsi’ye kendi kurallarınızı ekleyebilirsiniz.

Alma ayarları; Alma ayarlarında, kullanıcı modülün uzantıları olmayan dosyaları ve metin dosyalarını atlayıp atlamayacağını seçebilir. Bu seçeneklerin ikisi de varsayılan olarak etkindir.

Sonuçlar; Sonuçlar, Sonuçlar ağacında “Uzantı Uyuşmazlığı Algılandı” altında gösterilir.

Android Analyzer Module;

Android Analyzer modülü, bir Android cihazından SQLite ve diğer dosyaları analiz etmenize olanak tanır. Çoğu Android cihazındaki Fiziksel dökümlerde çalışır (bir edinme yöntemi sağlamadığımızı unutmayın). Otopsi, ses sistemi olmayan eski Android cihazlarını desteklemeyecektir. Bu aygıtlar genellikle onlar için tek bir fiziksel görüntü dosyasına sahiptir ve görüntüde dosya sistemlerinin düzenini açıklayan hiçbir bilgi yoktur. Otopsi bu nedenle ne olduğunu tespit edemeyecektir.

Modül aşağıdakileri çıkarabilmelidir:

•Metin mesajları / SMS / MMS

•Arama kayıtları

•Kişiler

•Tango Mesajları

•Arkadaş Mesajları ile Kelimeler

•Tarayıcıdan ve Google Haritalar’dan GPS

•cache.wifi ve cache.cell dosyalarından GPS

Sonuçlar, ağaçta “Sonuçlar”, “Çıkarılan İçerik” altında görünür.

File Search;

Dosya Arama aracına Araçlar menüsünden veya Veri Gezgini / Dizin Ağacı’ndaki bir veri kaynağı düğümüne sağ tıklayarak erişilebilir. Dosya Aramayı kullanarak, o anda açık durumdaki resimlerden görmek istediğiniz dizinleri ve dosyaları belirleyebilir, filtreleyebilir ve gösterebilirsiniz. Dosya Arama sonuçları, sağ tarafta yepyeni bir Tablo Sonucu görüntüleyicide doldurulacaktır. Şu anda Otopsi, Dosya Aramada yalnızca 4 kategoriyi desteklemektedir: Ad, Boyut, Tarih ve Bilinen Durum tabanlı arama.

Dosya Aramayı açmak için aşağıdakilerden birini yapabilirsiniz: Bir veri kaynağına sağ tıklayın ve “Open File Search by Attributes” “Tools,”File Search by Attributes” ı seçin veya seçin.

TAGGİNG;

Etiketleme (veya Yer İşareti) bir dosya veya nesneye referans oluşturmanıza ve daha sonra kolayca bulmanızı sağlar. İlginç bir öğe keşfedildiğinde, kullanıcı öğeyi sağ tıklayıp etiket seçeneklerinden birini seçerek etiketleyebilir. Bir Blackboard yapı sonucunu etiketlediğinizde, aşağıdakilerden birini seçebilirsiniz:

Tag File– dosyanın kendisi ilginizi çekiyorsa bunu kullanın

Tag Result — sonuç ilginizi çekiyorsa bunu kullanın

Hangisini seçeceğiniz bağlama ve nihai raporda ne istediğinize bağlıdır. Dosyayı veya sonucu etiketlemeyi seçtikten sonra iki seçenek daha vardır:

Quick Tag — sadece etiketi istiyorsanız bunu kullanın

Tag and Comment — bu etiket hakkında bir yorum eklemeniz gerekiyorsa bunu kullanmalısınız.

İsteğe bağlı etiket adları oluşturabilirsiniz. Otopsi, etiket adlarınızı önceki vakalardan hatırlar, bu nedenle akıllıca seçim yapın. Oluşturduğunuz listeden bir etiket seçin veya bir “New Tag”oluşturun.

Etiketleri aynı anda öğe gruplarına uygulayabilirsiniz. Blackboard’da birden çok öğe seçin, sağ tıklayın ve uygun etiketi ekleyin. Öğelerin birden fazla etiketi olabilir.

Etiketli sonuçlar, ağacın “Results”bölümünde “Tags”in altında gösterilir.

Reporting;

Bir rapor oluşturmak için “Araçlar”, “Rapor Oluştur” a gidin. Birkaç farklı rapor türü seçebilirsiniz. Burada HTML raporunu inceleyeceğiz.

Bir rapor türü seçtiğinizde, aşağıdakilerden birini seçin:

•Tüm sonuçlar

•Etiketli Sonuçlar

Tüm Sonuçlar’ı seçerseniz, dahil edilmesini istediğiniz Veri Türlerini (Yapı Türleri) seçebilirsiniz.
Etiketli Sonuçlar’ı seçerseniz, dahil edilmesini istediğiniz etiketleri seçebilirsiniz.

Mobil Inceleme

--

--

Seda Nur Şahinoğlu

Written by Seda Nur Şahinoğlu

7 Followers

Adli Bilişim Mühendisi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams