BİLİŞİM TEKNOLOJİLERİ YÜKSEK LİSANS BİL503 BİLİŞİM SUÇLARI ve ADLİ BİLİŞİM İMAJ PROJESİ Hazırlayan; Nevzat Melih TÜNEK Okul No : 1403660046
1-) DrugCase.dd imajının ne tip bir adli kopya imajını olduğunu yazınız. (Referans: Adli İmaj çeşitleri) OİS işletim Sisteminde oluşturulmuş bir dd/raw tipinde bir imaj dosyasıdır.
2-) İmaj içerisinde kaç adet disk Volume vardır? İmajın MD5 hash'i nedir? MD5 hash= a278cdb355cb1865dd7f9a349582af16 İmaj içerisinde 1 tane disc volume vardır.
3-) Vol2 volume'ü içindeki dosya sistemi (file system) nedir? DrugCase.dd imaj dosyası incelemelerinde vol2 > Forensic Explorer da Disk Bölümü @63 [NO NAME ] isminde bir volume buldum.dosya sistemi ise FAT16 dır.
FAT16 dosya sistemi olarak çalışmaktadır.
4-) İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet fotoğraf dosyası olduğunu gösteriniz? (jpeg, BMP, vb.) Drugcase.dd imaj dosyası içerisinde araştırmalar sonucunda jpeg,bmp,tif,gif vb gibi formatlı hiçbir bulguya rastlanılmamıştır.bu sorunun Forensic Explorer ın demo kullanımından ötürü olabiliceğini düşünmekteyim.
5-) İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet video dosyası olduğunu gösteriniz? Drugcase.dd imaj dosyası içerisinde araştırmalar sonucunda video formatlı hiçbir bulguya rastlanılmamıştır.bu sorunun Forensic Explorer ın demo kullanımından ötürü olabiliceğini düşünmekteyim.
6- İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet ses/audio dosyası olduğunu gösteriniz? İmaj dosyası içinde 5 adet wav ve 4 adet mp3 ses dosyası bulunmuştur. 2 adet wav ve 2 adet mp3 kazınmış verilerden elde edilen verileridir.ayrıca imaj içerisinde ilginç bir bulguya daha rastladım. O da Dağıtılmamış kümeler FAT16 bölümündeki isimli dosya tipini açtığımda bir wav formatlı ses dosyası olmasıydı.
Dağıtılmış Kümeler Fat16 Bölümdeki wav formatlı ses dosyası
7- İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet ofis yazı dosyası olduğunu gösteriniz? (word -.doc,.docx /.pdf vb.) 4 veri kazıma metodu dosya ve 4 adet silinmiş doc formatlı ofis belgelerine ve ayrıyetten 45 adet text uzantılı dosyalara rastlanıldı. xls formatlı belgelerin içini teker teker kontrol edilerek Dude isimli yani ismini açıkça yazmayan İngilizce terimde adamım kelimesi olarak hitap ederek Gabe isimli şahıs ile iletişim halinde olduğu saptandı.saptanan sonuçlar, dump it.doc adlı dosyanın tedarikçilerin, gizli şifrelenmiş bir dosya olduklarını kanıtlayan bir metin mesajlaşması bulgusuna rastlanıldı.
txt uzantılı dosya görüntüsü
8- İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet ofis hesap dosyası olduğunu gösteriniz? (excel - xls,xlsx vb.) 2 Adet xls ve 2 adet pup uzantılı dosya rastlanıldı. Bu Excel tabanlı dosyalar, açılmak istenildiğinde şifrelenmiş gizli bir dosyalar olduğu anlaşıldı ve içeriğine erişilemedi. xls formatlı dosyaları farklı kaydederek şifre kırma denemesi yapılabilirdi. Ancak programdan çıkartılamadığı için veri içeriğine erişemedim.
Şifrelenmiş Xls formatlı dosya görüntüsü
9- ) İmaj içinde detaylı aramalar yapınız ve içerisinde kaç adet silinmiş dosya olduğunu gösteriniz? Çeşitli formatlarda silinmiş veriler mevcut 10 adet silinmiş veriye rastlanıldı.bu verileri içeriklerine erişebilmek mümkün adli bilişim incelemelesi yönünden bulgu niteliği taşıyabilir.
10- İmaj içinde detaylı aramalar yapınız ve silinmiş dosyalardan ne kadarının kurtarılabilir dosya olduğunu gösteriniz? (deleted, not overwritten) 10 adet çalışır düzeyde silinmiş veriye ulaşılmıştır.forensic explorer ın demo sürümünden dolayı klasör kurtarma sistemi yapılamamaktadır.sadece log kayıt açıklaması olarak bilgilendirmektedir.kurtarma işlemi, wav,xls,doc,pup,mp3 uzantılı silinmiş verileri manuel olarak farklı kaydederek kurtarma işlemi yapabiliriz.