$MFT Nasıl Parse Edilir?

$MFT Nasıl Parse Edilir?

Hepinize Merhabalar. 🙂

Bu makalemde sizlere “MFT nasıl parse edilir?” konusundan bahsedeceğim. MFT kayıtlarını parse edebilmek için kullanılan bir çok araç mevcuttur. Ben bu makalemde MFT parse işlemini gerçekleştirirken üç tane araç kullandım.

  • FTKImager: Bu araç Adli Bilişim açısından bir çok farklı nedenle ve amaçla kullanılabilmektedir. Benim buradaki kullanma amacım ilk olarak bilgisayarımın sabit disklerinden birini içeri aktaracağım. Daha sonrasında da buradan $MFT kaydını bir klasöre çıkaracağım.
  • MFTECmd.exe: İkinci olarak EricZimmerman‘ın Github adresinde bulunan MFTECmd.exe aracını kullanacağım. Bu araç ile klasöre çıkarmış olduğum $MFT kaydını parse etmek için kullanacağım. Ayrıca EricZimmerman’ın Github hesabında bu alanda kullanılan bir çok araç bulunmaktadır.
  • Timeline Explorer: MFT parse işlemini yaptıktan sonra Excel kullanarak inceleme yapmak yerine bu aracı kullanarak daha düzenli inceleme, daha hızlı arama ve daha hızlı indexleme işlemi yapabilirsiniz.

 

$MFT Parse İşlemi 

İlk olarak yapmamız gereken şey Gizlilik ayarlarını açmak olacaktır. Bunun için klasörler üzerinde “görünüm>seçenekler” kısmına gidiyoruz. Daha sonra açılan kısımda görünüm sekmesine geliyoruz ve aşağıda gördüğünüz kutucukların içerisini şekildeki gibi işaretliyoruz.

Bunu yapmamın nedeni şu; Parse etmek istediğimiz dosyalar Windows sistem dosyaları olduğu için gizli dosyalardır. Eğer bu işlemi yapmazsanız parse işleminden sonra çıkardığınız dosyaları göremezsiniz.

34,

 

  • Bu kısımda FTKImager ile $MFT kaydını masaüstünde bulunan bir klasöre çıkaracağız. Bunun için ilk olarak aşağıdaki görseldeki gibi sol kısımda bulunan “Add Evidence Item” seçeneğini seçiyoruz.

35,

 

  • Ben burada kendi sistemim üzerinden bir $MFT kaydı parse edeceğim için “LogicalDevice” seçeneğini seçiyorum. Eğer daha önceden alınmış bir imaj dosyasında bu işlemleri yapmak istiyorsanız “ImageFile” seçeneğini seçebilirsiniz.

36,

 

  • Ben burada “D” diskimi eklemek istiyorum. Bu nedenle bu kısımda bu diskimi seçiyorum. Zaten göründüğü üzere bu diskin dosya sistemi de NTFS’dir.

37,

 

  • Görseldeki gibi bu diskimizin içeri aktarıldığını görebiliyoruz. Şimdi burada “root” altında $MFT kaydını görebiliyoruz.

38,

 

  • Bu adımda MFT dosyamızı parse edebilmek için öncelikle bilgisayarımızın üzerinde bir klasöre kaydedeceğim. $MFT dosyasının üzerine “sağ tık>export files“diyoruz.

39,

 

  • Kaydetmek istediğimiz klasörü seçiyoruz. Ben oluşturmuş olduğum “mftexport” klasörünün içerisine çıkardım.

40,

 

  • Başarılı bir şekilde çıkarıldığını görüyoruz.

41,

 

  • Parse işleminde kullanacağımız “MFTECmd.exe” aracına bu bağlantıdan ulaşabilirsiniz.
  • Çıkarmış olduğumuz $MFT kaydını ve bu aracı aynı klasöre koyabilirsiniz.

42,

 

  • Bu aracı kullanmak ve parse işlemini yapabilmek için komut satırını yönetici olarak açıyoruz.
  • Aracımızın ve $MFT kaydının bulunduğu klasörün yolunu kopyalıyoruz. Sonrasında kullandığımız iki komut şunlardır.
  1. “cd (buraya yolu yapıştırıyoruz.)”
  2. dir

43,

 

  • Bu kısımda MFT dosyasının yolunu veriyoruz, nereye çıkarmak istediğimizi ve hangi isimle çıkarmak istediğimizi yazıyoruz.
  • ” MFTCmde.exe -f <MFT_dosya_yolu> –csv <çıkarmak_istediğiniz_yol> –csv<kaydetmek_istediğiniz_isim>

44,

 

  • Burada parse etmiş olduğumuz .csv uzantılı MFT kaydının belirttiğimiz konuma kaydedildiğini görüyoruz.

45,

 

  • Excel de açtığımız zaman çok karışık bir yapıyla karşılaşabilirsiniz. Ancak gerekli düzenlemeleri burada yaptıktan sonra incelemenizi yapabilirsiniz.
  • Ben Excel üzerinde incelemek yerine bir başka araç olan “TimelineExplorer” aracını kullanacağım.

46,

 

  • Bu araçta EricZimmerman’ın github hesabında yer almaktadır.

47,

 

  • Aracımızı çalıştırdıktan sonra görseldeki gibi bir ekranla karşılaşacaksınız. Burada “File>Open” seçeneklerini seçiyoruz. 48,
  • Görüntülemek istediğimiz dosyayı seçiyoruz.

49,

 

  • Aşağıda gördüğünüz gibi parse etmiş olduğumuz $MFT kaydını açmış olduk. Burada gerekli incelemeleri yapabilirsiniz.
  • Burada en üst satırda görmüş olduğunuz değerler sistem üzerinde bulunan kayıtların oluşturulma tarihi, dosya adı, boyutu, erişilme tarihi, kopyalanma bilgisi gibi bir çok veriyi içerisinde barındırmaktadır.

50, 51,

 

  • Örnek olarak MFT tablosu üzerinde bir dosyayı aratmak ve bilgilerine erişmek isterseniz “filename” kısmına adını yazarak aratabilirsiniz.

52,

 

kaynaklar:

  • İbrahim Baloğlu
  • https://medium.com/@omerfaruk.ozer/mft-nedir-nas%C4%B1l-parse-edilir-93613ac81817

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir