Hepinize Merhabalar. 🙂
Bu makalemde sizlere “MFT nasıl parse edilir?” konusundan bahsedeceğim. MFT kayıtlarını parse edebilmek için kullanılan bir çok araç mevcuttur. Ben bu makalemde MFT parse işlemini gerçekleştirirken üç tane araç kullandım.
- FTKImager: Bu araç Adli Bilişim açısından bir çok farklı nedenle ve amaçla kullanılabilmektedir. Benim buradaki kullanma amacım ilk olarak bilgisayarımın sabit disklerinden birini içeri aktaracağım. Daha sonrasında da buradan $MFT kaydını bir klasöre çıkaracağım.
- MFTECmd.exe: İkinci olarak EricZimmerman‘ın Github adresinde bulunan MFTECmd.exe aracını kullanacağım. Bu araç ile klasöre çıkarmış olduğum $MFT kaydını parse etmek için kullanacağım. Ayrıca EricZimmerman’ın Github hesabında bu alanda kullanılan bir çok araç bulunmaktadır.
- Timeline Explorer: MFT parse işlemini yaptıktan sonra Excel kullanarak inceleme yapmak yerine bu aracı kullanarak daha düzenli inceleme, daha hızlı arama ve daha hızlı indexleme işlemi yapabilirsiniz.
$MFT Parse İşlemi
İlk olarak yapmamız gereken şey Gizlilik ayarlarını açmak olacaktır. Bunun için klasörler üzerinde “görünüm>seçenekler” kısmına gidiyoruz. Daha sonra açılan kısımda görünüm sekmesine geliyoruz ve aşağıda gördüğünüz kutucukların içerisini şekildeki gibi işaretliyoruz.
Bunu yapmamın nedeni şu; Parse etmek istediğimiz dosyalar Windows sistem dosyaları olduğu için gizli dosyalardır. Eğer bu işlemi yapmazsanız parse işleminden sonra çıkardığınız dosyaları göremezsiniz.
- Bu kısımda FTKImager ile $MFT kaydını masaüstünde bulunan bir klasöre çıkaracağız. Bunun için ilk olarak aşağıdaki görseldeki gibi sol kısımda bulunan “Add Evidence Item” seçeneğini seçiyoruz.
- Ben burada kendi sistemim üzerinden bir $MFT kaydı parse edeceğim için “LogicalDevice” seçeneğini seçiyorum. Eğer daha önceden alınmış bir imaj dosyasında bu işlemleri yapmak istiyorsanız “ImageFile” seçeneğini seçebilirsiniz.
- Ben burada “D” diskimi eklemek istiyorum. Bu nedenle bu kısımda bu diskimi seçiyorum. Zaten göründüğü üzere bu diskin dosya sistemi de NTFS’dir.
- Görseldeki gibi bu diskimizin içeri aktarıldığını görebiliyoruz. Şimdi burada “root” altında $MFT kaydını görebiliyoruz.
- Bu adımda MFT dosyamızı parse edebilmek için öncelikle bilgisayarımızın üzerinde bir klasöre kaydedeceğim. $MFT dosyasının üzerine “sağ tık>export files“diyoruz.
- Kaydetmek istediğimiz klasörü seçiyoruz. Ben oluşturmuş olduğum “mftexport” klasörünün içerisine çıkardım.
- Başarılı bir şekilde çıkarıldığını görüyoruz.
- Parse işleminde kullanacağımız “MFTECmd.exe” aracına bu bağlantıdan ulaşabilirsiniz.
- Çıkarmış olduğumuz $MFT kaydını ve bu aracı aynı klasöre koyabilirsiniz.
- Bu aracı kullanmak ve parse işlemini yapabilmek için komut satırını yönetici olarak açıyoruz.
- Aracımızın ve $MFT kaydının bulunduğu klasörün yolunu kopyalıyoruz. Sonrasında kullandığımız iki komut şunlardır.
- “cd (buraya yolu yapıştırıyoruz.)”
- “dir“
- Bu kısımda MFT dosyasının yolunu veriyoruz, nereye çıkarmak istediğimizi ve hangi isimle çıkarmak istediğimizi yazıyoruz.
- ” MFTCmde.exe -f <MFT_dosya_yolu> –csv <çıkarmak_istediğiniz_yol> –csv<kaydetmek_istediğiniz_isim> “
- Burada parse etmiş olduğumuz .csv uzantılı MFT kaydının belirttiğimiz konuma kaydedildiğini görüyoruz.
- Excel de açtığımız zaman çok karışık bir yapıyla karşılaşabilirsiniz. Ancak gerekli düzenlemeleri burada yaptıktan sonra incelemenizi yapabilirsiniz.
- Ben Excel üzerinde incelemek yerine bir başka araç olan “TimelineExplorer” aracını kullanacağım.
- Bu araçta EricZimmerman’ın github hesabında yer almaktadır.
- Aracımızı çalıştırdıktan sonra görseldeki gibi bir ekranla karşılaşacaksınız. Burada “File>Open” seçeneklerini seçiyoruz.
- Görüntülemek istediğimiz dosyayı seçiyoruz.
- Aşağıda gördüğünüz gibi parse etmiş olduğumuz $MFT kaydını açmış olduk. Burada gerekli incelemeleri yapabilirsiniz.
- Burada en üst satırda görmüş olduğunuz değerler sistem üzerinde bulunan kayıtların oluşturulma tarihi, dosya adı, boyutu, erişilme tarihi, kopyalanma bilgisi gibi bir çok veriyi içerisinde barındırmaktadır.
- Örnek olarak MFT tablosu üzerinde bir dosyayı aratmak ve bilgilerine erişmek isterseniz “filename” kısmına adını yazarak aratabilirsiniz.
kaynaklar:
- İbrahim Baloğlu
- https://medium.com/@omerfaruk.ozer/mft-nedir-nas%C4%B1l-parse-edilir-93613ac81817