EnCase Adli Bilişim Yazılımında Delil Dosyasının (Evidence File) Doğrulanması

EnCase Adli Bilişim Yazılımında Delil Dosyasının (Evidence File) Doğrulanması

Bir delil dosyası otomatik olarak veya elle doğrulanabilir. Delil dosyası EnCase’deki bir olaya eklendiğinde doğrulama işlemi otomatik olarak başlar. Kısmen birkaç saat sürebilen bu işlem sırasında inceleyen olay üzerinde normal şekilde çalışmaya devam edebilir. Doğrulama işlemi durdurulabilir ve tamamen bitmediği sürece, olay her açıldığında otomatik olarak başlar.

Bir doğrulama işlemini yeniden yürütmek için, “View” görünümündeyken ilgili veri ortamı üzerine sağ tık yapılarak, açılan menüde “Verify File Integrity” komutu seçilerek işlem elle başlatılabilir.

Resim 1 EnCase doğrulama işlemi

Eğer herhangi bir sebepten dolayı verifikasyon (doğrulama) işlemini iptal etmek isterseniz, ilerleme çubuğuna çift tıklayın, verifikasyon işlemini sonlandırmanızı sağlayacak bilgi ekranı çıkacaktır.

Aşağıdaki resimde verifikasyona başlanmış bir cihazın raporu görünmektedir. Dikkat edilirse acquisition hash değerinin olduğu verifikasyon hash’inin olmadığını görünmektedir.


Resim-2 EnCase doğrulama işlemi yapılmadan raporlama

Doğrulama (Verifikasyon) sonrası bir cihazın rapor görünümünde;

  • Verifikasyon hash’inin mevcut olduğuna ve acquisition hash ile eş olduğu,

  • File Integrity alanının dosyanın sıfır hata ile doğrulandığını raporladığı görülmektedir.

Resim-3 EnCase doğrulama işlemi yapıldıktan sonra raporlama

Verifikasyon işlemi gerçekte basit bir işlemdir. Delil dosyası içerisindeki her veri bloğu CRC hesaplamasına tabi tutulur. Bir veri bloğunun testi geçebilmesi için verifikasyon CRC’si, delil dosyası yakalanıp kaydedilirken hesaplanan değer ile aynı olmalıdır.

CRC verifikasyonlarına ek olarak, veri blokları yeniden MD5 hash hesaplanmasına tabi tutulur. Sonuç değerine verifikasyon hash değeri (verification hash value) denir. Verifikasyon hash değeri ile acquisition hash değeri karşılaştırılır ve bunlar aynı olmalıdır. Başarılı bir dosya doğrulama için, tüm veri bloklarının verifikasyon CRC değerleri acquisition değerleri ile aynı olmalıdır ve verifikasyon MD5 hash’i acquisition MD5 hash’i ile aynı olmalıdır.

Veri ortamlarının ve sürücülerin Hash değerleri

EnCase, bir fiziksel veri ortamından veya bir mantıksal sürücüden veri edinildiğinde bir MD5 Hash değeri hesaplar. Hash değeri delil dosyası (Evidence File) içine yazılır ve olay dokümantasyonunun bir parçası olur. Bir delil dosyası EnCase’deki bir olaya eklendiğinde, EnCase kayıtlı olan değeri kendi hesapladığı değerle karşılaştırır. Sonuç raporda gösterilir ve burada her zaman görülebilir.

Resim 4 EnCase hash işlemi

Yakalanan disk ya da birimleri manuel olarak hash’leyerek başka bir bütünlük kontrolü yapabilirsiniz. Hash özelliği seçilen fiziksel ya da lojik aygıt için bir MD5 değeri hesaplayacaktır. Bu değeri acquisition hash ile karşılaştırabilirsiniz. Bu özelliğe Tree pane’de aygıtı seçtikten sonra sağ tıklayarak içerik menüsünden erişilebilir.

Sürücünüzün hash değerini hesaplanmak istendiğinde EnCase size hash’lenecek sektörlerin aralığı sorulacaktır. Genellikle Resim 5.6’da görüldüğü gibi varsayılanı aygıtın tümünü seçilmesi tavsye edilir.

Resim 5 EnCase hash işlemi

Fiziksel bir aygıtı hash’leme sonuçları. Görüntülenen tüm detaylar “note bookmark.” ‘a dahil edilerek yer imlenebilir (bookmark’lanabilir). Verify File Integrity fonksiyonu yalnızca yakalanan aygıt seviyesinde çalıştırılabilir. Eğer bir fiziksel aygıt yakaladıysanız, Verify File Integrity özelliğini yalnızca fiziksel seviyede kullanabilmekte olup, birim seviyesinde kullanılammaktadır