E-MAIL Forensics 

E-posta veritabanları ile ilgili adli bilişim çalışması yapılabilecek araçlar yer alır.

MailView: Outlook 4,5 ve 6 mail veritabanlarını (.idx/.mbx/.dbx) içeren dosyalar için görüntüleyici görevi görür.  Windows Vista Mail/ Windows Live Mail/ Mozilla  Thunderword mesaj veritabanları/ EML dosyaları da dahil. Bu uygulama sıradan bir mail  kullanıcısında görülmesi gereken bütün özellikleriyle mailleri listeler. Eklentiler ve onları kaydetme yada HTML görüntüsü şeklinde detaylı da görüntülenebilir. Güçlü arama ve filtreleme  özelliği mevcut.

Mail-Cure: Bu uygulama e-mail leri hasar görmüş/silinmiş bir .dbx dosyasından veya  yeniden yüklenmiş bir Windows sürücüsünden geri kurtarabilir. Kurtarılan kısım EML dosyası olarak kaydedilebilir. Outlook Express ve Foxmail formatlarını destekler.  “ilinmeden/formatlamadan ötürü dosya ismi kaybedilmiş olsa bile, bu uygulama ile kayıp mailler sürücü veya hard  diskten kurtarılabilir.

OutlookAdressBookView: Microsoft Outlook adres defterinde kaydedilen bütün alıcı  mail adreslerinin detaylarını gösteren bir uygulamadır. Gösterdiği detaylarda bazıları şunlar:  E- Mail adres, görünen ad, adres tipi, cadde/sokak adresi, telefon numarası, oluşturulma-  değiştirilme zamanı vs.

OutlookAttachView: Outllook’taki bütün mailleri tarar, bulduğu bütün ekli  dosyaları görüntüler. İstediğiniz dosyayı seçip kaydedebilir, istenmeyen geniş yer kaplayan eklentileri  silebilirsiniz. Ayrıca eklenti listesini xml/html/text/csv dosyası olarak kaydedebilirsiniz.

OutlookStatView: Outllook’taki bütün mail kutunuzu tarar, e-mail ile iletişim  kurduğunuz kişiler hakkında genel istatistikleri önünüze koyar. Her kullanıcı için şu bilgileri çıkarır:  o  kişinin size yolladığı mail sayısı, sizin o kişiye yolladığınız mail sayısı, bu kullanıcı tarafından  kullanılan mail istemci yazılımı, kişi ile mail gönderip aldığın zaman  aralığı

ENCRYPTION Forensics 

Şifreleme algoritmaları ve şifrelenen dosyalar ile ilgili adli bilişim çalışması yapılabilecek araçlar yer alır.

OTFEVolFileFinder: On-The-Fly-Encrypted dosylararının

varlığını kontrol eden araç.

TCHunt 1.5: TrueCrypt birimlerini bulmak için seçili konumu  tarayan küçük ama etkili bir araç.

ZeroView: Memory’de çalışır ve Sector O’ın içeriğini gösterir.  Şüpheli sistemde, tam disk şifrelemesi devrede mi  görmenize yarar.

eCryptfs Parser: Belirtilen bir directory de bulunan her  eCryptfs dosyalarının header(başlık)larını sürekli olarak  ayrıştıran, Linux ve Windows için grafik arayüzü barındıran  bir araç. “ize hangi şifreleme algoritmaları kullanılmış söyler,  orijinal dosya boyutu, dosya imzası vs.  gösterir.

FILE Forensics 

FileAlyzer:  Dosya analizi yapmak için kullanılan bir araç. Basitçe dosya özelliklerini ve hex formatta içeriğini gösterir, genel dosyaların (text, grafik, html, media, PE vs.) içeriğini yorumlar.  Kullanımı bir dosyanın sağ tık ile özelliğine bakmak kadar kolay. “Open in FileAlyzer” menüsü ile görüntülenebilir.

FoldAlyzer: Klasörler hakkında bilgi verir.

FileAlyzer2: Dosya analizi yapmak için kullanılan bir araç. Basitçe dosya özelliklerini ve hex formatta içeriğini gösterir, genel dosyaların (text, grafik,  html, media, PE vs.) içeriğini yorumlar.

TrIDNet: TrID’nin grafik ara yüzlü sürümüdür. İkili (binary) imzadan dosya tipi analizinde kullanılır. E-mail ile size hangi tip dosya gönderilmiş bulur. Adli  bilişim analizinde yardımcı olur. Dosya geri kurtarma da destek sağlar.

FoldersReport: Bir sürücü yada seçili bir klasörü tarar, bunların içinde bulduğu her dosya için gerekli/başlıca bilgileri gösterir. Bunlar: bulunan toplam dosya boyutu, diskteki gerçek dosya boyutu, klasör içindeki dosya sayısı, gizli dosya sayısı, sıkıştırılmış dosya sayısı, alt klasör (subfolders) sayısı. “ürücünüz de en çok hangi klasörün yer kapladığını da söyler. Lokal sürücünüzün klasörlerini, CD-‘OM sürücüsünü, ağ yolu ile uzak bir  bilgisayardaki kaynağı tarayabilirsiniz.

HASHING Forensics 

Hash’leme ile ilgili adli bilişim çalışması yapılabilecek araçlar yer alır.

Harvester: Dosyadan belirli baytları çıkaran, MD5 ve “HA1 heşleri (hash)  üreten programdır. Büyük dosyalara hızlı bir şekilde öncelik sıralaması  yapmak için çok yararlı.

MD5summer: MD5 çeksam (checksum)larını üretir ve doğrular(verify).  Microsoft Windows 9x, NT, ME, 2OOO  ve XP üzerinde kullanılabilir. Ürettiği dosya Linux GNU MD5“um’ın ürettiği dosya ile uyumludur.  Ayrıca Linux üretimli dosyaları da okur.

HashMyFiles: “isteminizde bulunan bir veya birden fazla dosyanın MD5  ve SHA1 heşlerini (hash) hesaplayan bir araçtır. Bu heş listesini  clipboard’a kolayca kopyalayabilirsiniz veya text/htm/xml olarak  kaydedebilirsiniz. Windows Explorer içerik menüsünden çalıştırılabilir ve  seçilen dosya veya klasör için MD5/SHA1 heşleri görüntülenebilir.

QuickHash: Dosya textlerinin ve disklerin hızlı seçimini ve birbiri  ardından hızlıca gelecek şekilde heşlenmelerini sağlar. Linux için üretildi  fakat Windows için olanı da mevcuttur. (MD5, “HA1, “HA256, “HA512).  Çıkışı clipboard’a kopyalanabilir veya csv/html olarak kaydedilebilir.

INSTANT MESSAGING Forensics 

Anlık mesajlaşma programları ile ilgili adli bilişim çalışması yapılabilecek araçlar yer alır.

ConCon Retriever: MSN Messenger ve Windows Live Messenger uygulamanızın içeriğine kolayca erişebilen bir araç. Başlangıçta M“N ifadelerinin (smileyler) kolayca backup’ını almak için oluşturulmuştu, şimdi geliştirildi ve daha fazla özellik eklendi. M“N Messenger 7.5 ve Windows Live Messenger 8.O/8.1’i destekler. Unicode karakter desteği de mevcut.

Instant Messaging History Browser: Güçlü filtreleme motoru ve kapsamlı arayüzü ile iletişim/chat geçmişini toplar ve görüntüler. “izin veya incelediğiniz kişinin bütün IM sohbetlerini, aramalarını ve dosya transferlerini  izleyip görebilir, kişiye veya zamana göre sıralayabilirsiniz.

LiveContactsView: Windows Live Messenger’ınızda bulunan bütün kişilerin detay bilgilerini görmenize yarar. Her kişi için şunlar görüntülenir: E-mail adres, takma ad(nick), hızlı ad( quick name), ad soyad ve daha fazlası. Bir veya birden fazla kişiyi kolayca seçip, bilgileri txt/xml/html/csv dosyalarına dökebilirsiniz, clipboard a yapıştırıp daha sonra Excel veya diğer spreadsheet uygulamalarında kullanabilirsiniz.

SkypeLogView:  Skype uygulamasının ürettiği Log dosyalarını okur. Gelen/Giden çağrıları, sohbet mesajlarını, dosya transferinin detaylarını görüntüleyebilirsiniz. Diğer uygulamalar gibi log listesinden bir veya birden fazla kayıt seçip bunu clipboard’a alabilir ya da text/html/xml/csv dosyasına dökebilirsiniz.

PEER TO PEER Forensics 

eMule MET Viewer: eMule diye bilinen buluşma/dosya  paylaşma dosyalarından çeşitli bilgiler çıkarıp gösteren araçtır.

MetMedic: eMule’nin oluşturduğu .met dosyalarını analiz eden  programdır.

GigaView: GigaTribe sohbet kayıtlarını (chat log) kopyalayıp, sonuçları sonrasında daha detaylı incelemek üzere excel’e aktarılabilen T“V (Tab Seperated Files) dosyalarında gösteren  araçtır.

Lime Juicer: Limewire yazılımını analiz eden bir programdır.

LimeLib5: Limewire V5 ve V4 kütüphanesi .dat dosyasını okuyan  programdır. XL“/HTM çıktısı alabilmek mümkündür.

Props: Limewire/Frostwire programlarına ait .props uzantılı dosyaları yorumlayan bir araçtır. Eğer ‘Geçmişte İndirilenler’ listesinde hiçbir kayıt yoksa, tam rapor alma seçeneği düzgün çalışmayabilir.

 

 

Adli Bilisim Mühendisi


Saniye Nur

Adli Bilisim Mühendisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir