$MFT Nasıl Parse Edilir?
Hepinize Merhabalar. 🙂 Bu makalemde sizlere “MFT nasıl parse edilir?” konusundan bahsedeceğim. MFT kayıtlarını parse edebilmek için kullanılan bir çok araç mevcuttur. Ben bu makalemde MFT parse işlemini gerçekleştirirken üç tane araç kullandım. FTKImager: Bu araç Adli Bilişim açısından bir çok farklı nedenle ve amaçla kullanılabilmektedir. Benim buradaki kullanma amacım ilk olarak bilgisayarımın sabit disklerinden birini içeri aktaracağım. Daha sonrasında da buradan $MFT kaydını bir klasöre çıkaracağım. MFTECmd.exe: İkinci olarak EricZimmerman‘ın Github adresinde bulunan MFTECmd.exe aracını kullanacağım. Bu araç ile klasöre çıkarmış olduğum $MFT kaydını parse etmek için kullanacağım. Ayrıca EricZimmerman’ın Github hesabında bu alanda kullanılan bir çok araç bulunmaktadır. Timeline Explorer: MFT parse işlemini yaptıktan sonra Excel kullanarak inceleme yapmak yerine bu aracı kullanarak daha düzenli inceleme, daha hızlı arama ve daha hızlı indexleme işlemi yapabilirsiniz. $MFT Parse İşlemi İlk olarak yapmamız gereken şey Gizlilik ayarlarını açmak olacaktır. Bunun için klasörler üzerinde “görünüm>seçenekler” kısmına gidiyoruz. Daha sonra açılan…