$MFT Nasıl Parse Edilir?
Hepinize Merhabalar. 🙂 Bu makalemde sizlere “MFT nasıl parse edilir?” konusundan bahsedeceğim. MFT kayıtlarını parse edebilmek için kullanılan bir çok araç mevcuttur. Ben bu makalemde MFT parse işlemini gerçekleştirirken üç tane araç kullandım. FTKImager: Bu araç Adli Bilişim açısından bir çok farklı nedenle ve amaçla kullanılabilmektedir. Benim buradaki kullanma amacım ilk olarak bilgisayarımın sabit disklerinden birini içeri aktaracağım. Daha sonrasında da buradan $MFT kaydını bir klasöre çıkaracağım. MFTECmd.exe: İkinci olarak EricZimmerman‘ın Github adresinde bulunan MFTECmd.exe aracını kullanacağım. Bu araç ile klasöre çıkarmış olduğum $MFT kaydını parse etmek için kullanacağım. Ayrıca EricZimmerman’ın Github hesabında bu alanda kullanılan bir çok araç bulunmaktadır. Timeline Explorer: MFT parse işlemini yaptıktan sonra Excel kullanarak inceleme yapmak yerine bu aracı kullanarak daha düzenli inceleme, daha hızlı arama ve daha hızlı indexleme işlemi yapabilirsiniz. $MFT Parse İşlemi İlk olarak yapmamız gereken şey Gizlilik ayarlarını açmak olacaktır. Bunun için klasörler üzerinde “görünüm>seçenekler” kısmına gidiyoruz. Daha sonra açılan…
Master File Table Nedir? MFT’yi Anlamak
Adli bilişim alanında herhangi bir suçu ya da olayı tespit etmek için disk analizi yapılmaktadır. Daha önceki makalelerimde bahsettiğim dosya sistemleri kısmında bir çok farklı dosya sistemi olduğunu öğrendik. Farklı dosya sistemi olmasının yanında bu farklı dosya sistemlerinin analiz yöntemleri de farklı olmaktadır. Bu makalemde NTFS dosya sistemi içerisinde yer alan MFT(Master File Table)’nin adli bilişim açısından önemine ve analizi kısımlarına değineceğim. MFT(Master File Table) MFT İşletim sistemleri üzerinde oluşturulan tüm dosyalar için kendi içerisinde bir kayıt barındırmaktadır. MFT, NTFS dosyasının temelini oluşturur ve NTFS’in kalbi olarak bilinmektedir. Daha anlaşılır olabilmesi için şu şekilde anlatabilirim; Örneğin işletim sistemi üzerinde yeni oluşturulan herhangi bir dosya(kadir.txt, rapor.docx, foto.jpeg…) için MFT üzerinde bir kayıt açılır. Ve bu oluşturulan dosyalar buraya kayıt edilir. İstenilen yani talep edilen dosyaların kullanıcılara sunulması için yerlerinin belirli olması gerekmektedir. MFT ise bu dosyaları kendi üzerine kayıt ediyor ve istenilen yanıtı bizlere getiriyor. MFT tablosu üzerinde yer alan dosyaların…