7. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Önsöz
Eldeki bu kılavuz EnCase programı ile veri ortamlarının incelenmesi için polis uygulamalarından
elde edilip yine polis uygulamaları için hazırlanmış bir yardımcı elkitabı niteliğindedir. Ancak yalnızca
programa yeni başlayanlar için bir eğitim kitabı olmayıp, gündelik işlerinde EnCase ile çalışmayanlar
(...ve bu yüzden program yapısının karmaşık olmasından dolayı standart komutlara ulaşmanın
yolunu unutanlar...) için bir başvuru kaynağı olması düşünülmüştür.
Kılavuz üç bölüme ayrılmıştır:
• EnCase Konsepti: Bu bölümde yazılım yapısı, programın kısımları ve EnCase’in çalışma
şekli hakkında bilgi edinebilirsiniz.
• EnCase’de yön bulma: Neredeyse tüm menü ve pencere özelliklerine ait açıklamalar.
• Uygulamada EnCase: EnCase’in etkin kullanımı için olay incelemelerine göre hazırlanmış
uygulama önerileri.
Bu kitabın amacı EnCase eğitiminin yerini almak değildir ve olmamalıdır, ancak gündelik işlerde ve
bunlarla ilişkili sorunlarda bir başvuru kaynağı olabilir.
Okurken sıkılmamanızı ve EnCase ile değerlendirme yaparken başarılar dilerim.
Armin Kisling
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 7
8. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
1. EnCase Konsepti
1.1. Evidence File
EnCase programının merkezi bileşeni “Evidence File”dır. Bu dosya, inceleme sırasında veri
ortamının durumunun güvenli bir şekilde tarif edilmesini sağlayan üç temel bileşen (başlık, kontrol
toplamı ve veri blokları) içermektedir.
1.1.1. Cyclical Redundancy Check (CRC)
CRC normal bir kontrol toplamının bir türevidir ve neredeyse aynı şekilde işlemektedir. CRC, “1234”
sayı dizisi ile “4321” sayı dizisinin değerlerinin eşit olduğu kontrol toplamından bu hususta
ayrılmaktadır. Çoğu sabit disk her sektör için CRC kaydeder. Diskte bir yazma hatası oluştuğunda, o
sektörün CRC değeri, disk sürücüsü donanımının o sektörü okuduktan sonra hesapladığı değere
eşit olmaz. Bu durumda bir “Low-Level Disk Read Error” ortaya çıkar.
1.1.2. Evidence File Format
Her dosya veri ortamının sektör sektör tıpkı kopyasıdır. Bir dosya oluşturulduğunda, kullanıcı onu
soruşturma için gerekli bilgilerle donatır (günlük numarası, inceleyen, notlar, vs.), bunlar da daha
sonra “Olay bilgileri” bloğuna kaydedilebilir. Dosyanın her baytı 32 bitlik CRC ile doğrulanır, bu da
elde edilen verilerin sonradan tahrif edilmesini neredeyse olanaksız kılar. Farklı veri içeriğine sahip
iki sektörün aynı CRC’yi üretmeleri olasılığı tahminen dört milyarda birdir.
EnCase programı tüm veri ortamı kopyası için bir CRC değeri oluşturmak yerine, ona 64 sektörlük
(32 KB) bir blok ekler. Bu sayede güvenlik ve hız arasında iyi bir ortak payda bulunmuş olur.
Olay bilgileri Veri içeren 64 sektör
Şekil 1: EnCase veri formatının görünüşü
1.1.3. Sıkıştırma
EnCase, sıkıştırma algoritması sayesinde veri edinilmesi sırasında veri ortamını asıl boyutunun
%50’sine kadar küçültebilmektedir. Sıkıştırılmış delil dosyalarının (Evidence File) oluşturulması daha
uzun sürmektedir, çünkü salt veri edinme sürecine bir de sıkıştırma süreci eklenmektedir.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 8
9. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
1.1.4. Delil dosyasının (Evidence File)
doğrulanması
Bir delil dosyası otomatik olarak veya elle doğrulanabilir. Delil
dosyası EnCase’deki bir olaya eklendiğinde doğrulama işlemi
otomatik olarak başlar. Kısmen birkaç saat sürebilen bu işlem
sırasında inceleyen olay üzerinde normal şekilde çalışmaya devam
edebilir. Doğrulama işlemi durdurulabilir ve tamamen bitmediği
sürece, olay her açıldığında otomatik olarak başlar.
Bir doğrulama işlemini yeniden yürütmek için, “View”
görünümündeyken ilgili veri ortamı üzerine sağ tık yapılarak, açılan
menüde “Verify File Integrity” komutu seçilerek işlem elle
başlatılabilir.
Şekil 2: Bir imgenin (Image)
okunması sırasında
doğrulama
1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri
EnCase, bir fiziksel veri ortamından veya bir mantıksal sürücüden veri edinildiğinde bir MD5 Hash
değeri hesaplar. Hash değeri delil dosyası (Evidence File) içine yazılır ve olay dokümantasyonunun
bir parçası olur. Bir delil dosyası EnCase’deki bir olaya eklendiğinde, EnCase kayıtlı olan değeri
kendi hesapladığı değerle karşılaştırır. Sonuç raporda gösterilir ve burada her zaman görülebilir.
Hash değeri ilgili veri ortamı veya sürücü üzerine sağ tık yapılarak ve açılan menüden “Hash”
komutu seçilerek kontrol için yeniden hesaplanabilir.
1.2. Case (olay) dosyaları
Bir olay dosyası (Case File, “*.cas”) aşağıdakiler gibi yol bilgilerini ve olay bilgilerini içeren bir metin
dosyasıdır:
• Yerimleri
• Arama sonuçları
• Sınıflandırmalar
• Hash değeri analizleri
• Dosya imzaları sonuçları
İnceleyen kişi olayı kaydettiğinde bir olay dosyası (Case File) üretilir. Otomatik ara kaydetme aktifse,
ayrıca olayın bir de güvenlik kopyası aynı klasör altına kaydedilir (*.cbak).
Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 9
10. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
1.3. EnCase “.ini” dosyaları (ayar dosyaları)
EnCase, her olayda genel ayarlara erişebilmek için “*.ini” dosyaları kullanır. Bunlar örneğin
aşağıdaki bilgileri içerirler:
• İmza tablosu
• Dosya tipleri
• Dosya görüntüleyici
• Filtre
• Anahtar kavramlar
• Metin biçemleri
Bu “*.ini” dosyaları bilgisayardan bilgisayara kopyalanarak ayarlar taşınabilir.
Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:ProgrammeEnCase4)
1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-
Rom’u
EnCase programının DOS sürümünün başlatılabileceği iki tür önyükleme disketi vardır.
EnCase Boot (önyükleme) disketi (EBD) sürücüden sürücüye veri edinimi için, EnCase Network
Boot (önyükleme) disketi (ENBD) ise buna ek olarak ağ kablosu üzerinden geçişli veri edinimi için
kullanılır. Her iki halde de yazılım yoluyla sabit diske yazılmaması sağlanır, bu da pahalı yazma
koruma donanımlarının kullanılmasından tasarruf sağlar.
1.5. EnCase programı
EnCase programının Windows sürümü hem olay verilerinin edinilmesi hem de incelenmesi için
kullanılabilir. Bir tek platform üzerinde imge (Image) oluşturulabilir, kaydedilebilir, görüntülenebilir ve
en ayrıntılı açılardan incelenebilir. Eğer EnCase programından azami derecede faydalanmak
istenirse, raporlamanın büyük bir kısmı bir metin işleme programı kullanılmadan halledilebilir.
1.6. Fastblock
“Fastblock”, Guidance firmasının ürettiği ve halen iki seçenek halinde (donanım ve yazılım seçeneği)
tedarik edilebilen yazma koruma serisinin adıdır. “Fastblock” kullanılarak kaynak ortama yazma
erişimi olmaması ve veri ortamının korumaya rağmen değiştirilememesi sağlanır.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 10
11. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Bunun yanı sıra işlev bakımından eşdeğer ve EnCase ile sorunsuzca birlikte çalışabilen ürünler
üreten çok sayıda üretici bulunmaktadır.
Bir ürün seçiminde belirleyici kriter özellikle veri transfer oranı ile mümkün olduğunca fazla bağlantı
formatını (S-ATA, IDE, SCSI, vs.) desteklemesidir.
ÖNEMLİDİR: Yazma koruma OLMADAN veri edinme işlemine başlanmamalıdır! Pek çok kriminal
teknik kural vardır – ancak bu belki de en önemlisidir!
Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde
1.7. Modüller
Guidance firması EnCase programının yeteneklerinin genişletilmesi için EnCase lisansından ayrı
olarak satın alınması gereken üç program modülü sunmaktadır.
1.7.1. Virtual File System (VFS)
• Ağ paylaşımına açılmış (Windows ortamında ağ paylaşımlı olarak görünürler ama paylaşımda
oldukları diğer kullanıcılar tarafından görülemez) yazma korumalı şüpheli veri ortamları,
mantıksal sürücüler, klasörler, vs. gibi ortamlara erişimi olanaklı kılar.
• VFS, EnCase ortamı dışında yazma korumalı olay incelemeleri için basit bir platform sağlar.
• Dosyalar, EnCase’de olduğu gibi dosya sistemiyle aynı özellikleri içermektedirler (atanmış
(allocated) dosyalar, silinmiş dosyalar, “Alternate Data Streams” (ADS) ve “Unallocated Space”
gibi dahili sistem dosyaları).
• Yazma korumalı ortam bir defa bağlandıktan sonra her Windows uygulaması tarafından
kullanılabilir (ör. Windows Explorer veya virüs tarayıcı, Spyware araçları veya Truva atı araçları
vs. gibi başka uygulamalar).
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 11
12. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar
(soruşturma memurları, savcılar, hakimler vs.)
• Desteklediği dosya sistemleri: DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX
(Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) ve
Palm (Palm OS).
• EnCase tarafından kurtarılan eklentili Windows RAID sistemleri, dinamik sabit diskler ve NTFS
ile sıkıştırılmış veya şifrelenmiş sürücüler.
1.7.2. EnCase Decryption Suite (EDS)
• Microsoft Encrypting File Systems (EFS) tarafından şifrelenmiş dosya veya klasörleri, hatta
Domain üzerinden yetkilendirilen kullanıcı hesaplarını destekler.
• Outlook PST şifrelerini (Outlook 2003 hariç) destekler.
• Internet Explorer’ın Windows Registry tarafından korunmuş yazma alanlarının otomatik olarak
deşifre ve analiz edilmesini olanaklı kılar.
1.7.3. Physical Disk Emulator (PDE)
• Veri ortamlarının veya CD-Rom’ların imgelerini (Image) yazma korumalı yerel sürücü olarak
değerlendirme sistemine dahil eder.
• Başka firmaların aletlerinin kullanılmasına olanak tanır.
• VMWare kullanıldığında, PDE (deneyimlere göre olayların %30 ila %50’sinde) işletim sisteminin
imge (Image) üzerinden önyükleme (boot) yapılmasına olanak sağlar. İnceleyen için zanlının
bilgisayarının el konulduğu zamandaki durumunun tamamen yeni – yazma korumalı –
incelenmesi olanağı doğar.
• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar
(soruşturma memurları, savcılar, hakimler vs.)
• PDE, Windows Explorer’ın göz ardı ettiği, ancak WMWare tarafından rahatlıkla görülebilen ve
önyükleme yapılabilen kendi dosya sistemlerini yükleyebilir. Windows, Linux ve Free BSD
formatlarını okuyamıyorken, aşağıdaki dosya sistemleri çoğu durumda VMWare ile önyükleme
yapılabilmektedir:
• Windows (DOS, FAT 12/16/32, NTFS),
• Linux (SuSE, Red Hat ve Mandrake),
• Free BSD
• NetWare.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 12
13. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2. EnCase içinde yön bulma
(Görünüm)
(Sekme)
(Alt sekme)
Şekil 6: Windows için EnCase program penceresi görünüşü
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 13
14. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.1. “View” (görünüm) alanı
Görünüm “View” (1) menüsünden seçilir. Bu seçimden
sonra seçilen görünüm bir simge (2) üzerinden daima
erişilebilir kalır, yazılar ise tercihe göre gösterilip
gizlenebilir.
Bu görünüm içinde yön bulabilmek için ya da sekme
alanında hangi alanın gösterileceğini belirlemek için
HOMEPLATE (3) kullanılır. Beşgen kutucuk işaretlenirse,
onun altındaki tüm dosya ve klasörler ile alt klasörler ve
onların içindeki dosyalar sekme alanında gösterilir.
EnCase’in 3 sürümünün aksine, burada birden fazla dizin
birbirinden bağımsız olarak sekme alanında
gösterilebilmektedir. Bunun için CTRL tuşu basılı
tutularak dizinler seçilebilir.
HOMEPLATE’in mantıksal ifadesi: Bu dizin altındaki her
şeyi, tüm klasörler, dosyalar ve kayıtlar dahil olmak
üzere, göster.
Buna karşın, üzerine tıklandığında mavi bir kanca beliren
kare kutu (4) işaretlenebilir. Bu işaretleme sekme
alanındaki görünümü değiştirmez, daha çok belirli
Şekil 7: View görünümü komutların uygulanması için dosyaların, kayıtların ve
klasörlerin seçilmesine yarar (ör. kopyalama vs.).
2.2. “Tab” (sekme) görünümü
2.2.1. Table (tablo)
Kayıt hakkındaki her bilgi sütunu sıralama kriteri olarak kullanılabilir.
Sıralamanın en basit olanağı, istenen sütunun gri fonlu başlık alanına çift tıklanmasıdır.
Kriter olarak birden fazla sütun kullanılacaksa, çift tıklama sırasında SHIFT tuşu basılı tutulmalıdır.
En fazla beş sıralama kriteri seçilebilir.
Aynı şekilde her bir sütunun yeri de değiştirilebilir; bunun için istenen sütun farenin sol tuşuna
basılarak işaretlenir ve tuş basılı haldeyken istenen yere sürüklenir.
Bir dosyayı doğrudan incelemek için (ayrı bir pencerede), o dosyanın çift tık ile seçilmesi gerekir.
Bunun üzerine EnCase veri bankasında açılan bu dosyaya ait hangi atamaların olduğu denetlenir.
Bu işlem sırasında dosyanın doğrudan EnCase içinde mi gösterileceği (ancak gösterilemeyen bir
formatta Hex görünümü açılır), dosyanın Windows altındaki programla mı açılacağı yoksa
ayarlanmış bir görüntüleme programı ile mi gösterileceği ayırt edilebilir. Dosya EnCase’in geçici
dizinine kopyalanır ve oradan açılır. Bu sayede imge (Image) değişmez!
2.2.1.1. Adım adım sütunlar
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 14
15. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Şekil 8: Tablo sütunları - 1. bölüm
• (1) Name (Adı)
Dosyanın tam adı
• (2) Filter (Filtre)
Eğer dosyalar filtre üzerinden gösterilecekse, filtrenin adı gösterilir.
• (3) In Report (Rapor İçinde)
Kaydın Rapor İçinde gösterilebilmesi için sağ tık ile açılan menüden seçilmesi gerekir.
• (4) File Ext (Dosya Uzantısı)
Dosya uzantısı
• (5) File Type (Dosya Tipi)
Dosya uzantısına göre dosyanın tipi
• (6) File Category (Dosya Kategorisi)
Dosya kategorisi (“sahte imza” algılandığında değişebilir)
• (7) Signature (İmza)
Başlık ve uzantı arasındaki kontrolün sonucu (bkz. ayrıca “Signature Analyse”).
• (8) Description (Tanım)
Dosyanın cinsi (klasör, dosya, arşiv, salt okunur, vs.).
• (9) Is Deleted (Silinmiş)
Kaydın dosya sisteminde silinmiş olarak kayıtlı olup olmadığını gösterir.
• (10) Last Accessed (Son Erişim)
Son erişim
• (11) File Created (Yaratılma Tarihi)
İncelenen sistemde dosyanın yaratıldığı tarih.
Şekil 9: Tablo sütunları - 2. bölüm
• (12) Last Written (Son Yazma Tarihi)
Son yazma tarihi
• (13) Entry Modified (Son Değişiklik)
Kayıt yalnız NTFS dosya sistemlerinde mevcuttur (MFT kaydında değişiklik)
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 15
16. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
• (14) File Deleted (Silinmiş Dosya)
Silme tarihi (dosyanın çöp sepetine atıldığı zaman).
• (15) Logical Size (Mantıksal Boyut)
Dosyanın mantıksal boyutu (bayt)
• (16) Physical Size (Fiziksel Boyut)
Dosyanın fiziksel boyutu (sektör içindeki boş alanların baytı dahil).
• (17) Starting Extend
Kaydın başlangıç kümesini gösterir.
• (18) File Extents
Dosya bölünmüş ise, DATA Runs adedi.
• (19) Permissions
NTFS sistemlerde erişim yetkilerini gösterir
• (20) Bookmarks (yerimi)
Bir dosyanın ya da içeriğinin ne sıklıkla yerimlerine kaydedildiğinin sayısı.
• (21) Physical Location (Fiziksel Yer)
Kaydın bayt cinsinden fiziksel yeri.
• (22) Physical Sector (Fiziksel Sektör)
Veri ortamı üzerinde dosyanın başladığı fiziksel sektörü gösterir.
Şekil 10: Tablo sütunları - 3. bölüm
• (23) File Identifier
NTFS dosya sistemlerinde MFT kayıtlarının numarası.
• (24) Evidence File (Delil Dosyası)
Kaydın ait olduğu imge ya da cihaz adı.
• (25) Hash Value (Hash Değeri)
Dosyanın Hash değeri
• (26) Hash Set
Dosyanın Hash değerini içeren Hash setini gösterir.
• (27) Hash Category (Hash Kategorisi)
Hash setine verilen kategorinin adı.
• (28) Full Path (Dosya Yolu)
EnCase’deki görünüme göre yol bilgisi (Dikkat: Sürücü harfleri orijinal sistemdekilerle aynı
olmalıdır!)
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 16
17. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
• (29) Short Name (Kısa Adı)
DOS 8.3 formatında dosya adı
• (30) Unique Name (Özgün Adı)
• (31) Original Path (Orijinal Yol)
2.2.1.2. Sütun görünümü
Sıralama
• Sütuna çift tıklandığında = küçükten büyüğe doğru sıralanır (Şekil 11)
• CTRL tuşuna basılarak sütuna çift tıklandığında: büyükten küçüğe doğru sıralanır (Şekil 12)
• SHIFT tuşuna basılarak başka bir sütuna çift tıklandığında: ikinci sıralama kriteri eklenir (Şekil
13)
• Alternatif olarak sekme alanına sağ tıklandığında açılan menüden “Sort” satırı seçilerek de
sıralama yapılabilir.
Şekil 11: Küçükten büyüğe Şekil 12: Büyükten küçüğe Şekil 13: İkinci sıralama kriteri ile
doğru sıralama doğru sıralama sıralama
Un-/Lock Column
Sütunu kilitlemek veya serbest bırakmak için ilgili sütuna çift tık yapılır. Açılan menüde “Column”
satırından “Lock” ya da “Unlock” seçenekleri işaretlenir.
Göster/Gizle
Görünüşü basitleştirmek için sütun sayısı azaltılmak isteniyorsa, sekme alanına sağ tıklanır. Açılan
menüden “Show Columns” satırı seçilir ve görüntülenmesi istenmeyen sütunların işaret kutularındaki
işaretler kaldırılır.
Münferit sütunlar menü penceresindeki “Column/Hide” (CTRL + H) satırından da gizlenebilir.
Sütunları kaydırma
Sütunlar “sürükle ve bırak” yöntemiyle yer değiştirebilir.
2.2.2. Report (rapor)
Rapor, EnCase’in sunduğu en önemli yardımcı araçlardan biridir. Rapor içinde olaya ait sürücüler,
dizin yapısı, dosyalar, fragmanlar vs. ile ilgili olabilecek tüm bilgiler özetlenebilir.
Püf Noktası: Bir dosyanın “Bookmarking” işleminden geçmeden rapor içinde gösterilmesi için kısa
ve etkili bir alternatif bulunmaktadır. Tek bir dosyayı rapor içine almak için dosyanın sekme alanında
“In Report” sütununa sağ tıklanarak “In Report” satırına tıklanır.
Rapor artık yazdırılabilir veya kullanılabilen çeşitli formatlara dönüştürülerek soruşturma dosyasına
eklenebilir.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 17
18. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor
2.2.2.1.1. Zoom In / Out (1)
Rapor, üzerine sağ tıklanarak daha iyi görülebilmesi için yakınlaştırılıp uzaklaştırılabilir.
2.2.2.1.2. Export (2)
• Belge
Rapor “.rtf” formatında belge olarak dışarıya aktarılabilir.
• Web sayfası
Rapor “.html” formatında web sayfası olarak dışarıya aktarılabilir.
2.2.3. Gallery
“Gallery” olayda tespit edilen tüm resimlerin gösterilmesine yarar.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 18
19. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Şekil 15: Ön izlemeli “Gallery” görünümü
Burada EnCase’in dahili görüntüleyicisinde gösterilebilen tüm resimler görüntülenir. Desteklenen
formatlar şunlardır:
• JPG
• GIF
• BMP
• EMF
• PSD
• TIF
• ART
Bu görünümde olayla ilgili resimler yerimleri ile işaretlenebilirler. Çift tıklandığında EnCase’in imza
veri bankası üzerinden bu dosya uzantısı ile ilişkili olan program çağrılır.
İşaretleme kutuları ya da Homeplate ile belli dosyalar ya da dizinler seçilerek resimlerin yalnız
istenen dizinlerle sınırlandırılmış olarak gösterilmesi mümkündür.
Önemlidir:
Burada yalnız dosya uzantısından dolayı bir resim formatı olarak algılanabilen resimler
gösterilmektedir. Dosya uzantısı sahte olan resimler ancak dosya imzalarının denetlenmesinden
(“Verify File Signature”) sonra gösterilebilir!
2.2.3.1. Görünüm
Resim galerisindeki görünüm sütun ve satır sayısı değiştirilerek değiştirilebilir. Bu durumda
önizlemedeki resimlerin boyutları da mevcut olan yere göre uyarlanırlar.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 19
20. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
• Fewer Columns / More Columns
(daha az/çok sütun) (1)
Sütun sayısının azaltılması veya
çoğaltılması. Komut üzerine her
tıklandığında bir sütun çıkarılır ya
da eklenir. Alternatif olarak “Ctrl +
Num - ya da +” kullanılabilir
(klavyedeki sayı tuş takımında artı
veya eksi işareti).
• Fewer Rows / More Rows (daha
az/çok satır) (2)
Satır sayısının azaltılması veya
çoğaltılması. Komut üzerine her
tıklandığında bir satır çıkarılır ya da
eklenir. Alternatif olarak “Shift +
Num - ya da +” kullanılabilir
(klavyedeki sayı tuş takımında artı
veya eksi işareti).
Şekil 16: “Gallery” görünümünde ayarlama olanakları
2.2.4. Timeline (zaman doğrusu)
EnCase’deki bu özellik tarih bilgilerinin toplu halde gösterilmesine olanak verir. Bu şekilde kayıtlı
tarihlere göre örneğin en son faaliyetin ne zaman olduğu söylenebilir.
Şekil 17: “Timeline” (zaman doğrusu) görünümü
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 20
21. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
Buradaki gösterim de yine seçilen dosyaya ya da seçilen dizine ve Homeplate’in kullanılmasına
bağlıdır.
Dikkat!
Dosyaların ve dizinlerin tarih kayıtları değiştirilebilir ve gerçek olmaları şart değildir.
2.2.4.1. Görünüm
• Higher / Lower Resolution
(yüksek/düşük çözünürlük) (1)
Gösterilen zaman diliminin
değiştirilmesi olanağı. Görünüm
alternatif olarak sayı tuş takımındaki
artı veya eksi tuşları ile büyütülüp
küçültülebilir.
• Options (2)
o Start Date: Zaman doğrusunda
gösterimin başlayacağı tarih (ör.
01/01/2000)
Şekil 18: “Timeline”ın ayarlama olanakları
o Stop Date: Zaman doğrusunda
gösterimin biteceği tarih
o Colors: Created, Written, Accessed,
Modified, Deleted ve Logoff
seçeneklerine ait renklerin
değiştirilmesi
2.3. “Sub-Tab” (alt sekme) görünümü
Şekil 19: Sub-Tab alanının metin görünümü
2.3.1. Hex, Text ve Report (1)
Tüm dosyalar hem “Hex kipinde” hem de “Text kipinde” izlenebilir. “Report” görünümü güncel olarak
seçilmiş dosya veya dizinler hakkında bilgi verir.
2.3.2. Picture (resim) (2)
Bu görünüm yalnız EnCase ya da dahili görüntüleyicinin dosyayı resim olarak algılayıp gösterebildiği
durumlarda görülür.
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 21
22. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.3.3. Disk (veri ortamı) (3)
“Disk” görünümü güvenceye alınan veri ortamının fiziksel yapısı ve her bir dosyanın fiziksel yeri
hakkında genel bir görünüm verir.
Eğer dosyalar önceden sekme alanında işaretlenirse, bunlar “Disk” görünümünde alt sekmede
görülebilir.
2.3.4. Console (konsol) (4)
“Console” alt sekme alanının gösterilmesi, sonuçların ara kaydı için kullanılır (ör. arama sonuçları
veya imza denetlemesinin sonucu).
Bir ileri adımda bu sonuçlar ihtiyaca göre yerimlerine eklenebilir.
2.3.5. Filters (filtreler) (5)
Filtre kullanımı, dosyalara ait tüm bilgilerin sütunlarla gösterildiği tablo görünümü ile ilgilidir.
Burada belli dosyaları seçmek için, sıralama üzerinden dosyalar sıralanabilir. Ancak gerek
duyulmayan dosya ve dizinleri gizlemek daha iyidir. Bu olanak filtreler kullanılarak sağlanır.
Burada doğru veya yanlış şeklinde basit bir “Boole” sorgulaması yapılır.
Buna ait “Fitler.ini” dosyası ayrıca Guidance firmasının ana sayfasından indirilebilir ve zaman zaman
güncellenmektedir.
2.3.6. Queries (sorgulamalar) (6)
Birden fazla filtrenin kombine edilebilmesi.
2.3.7. Lock (kilitle) (7)
“Lock” kutusu işaretlendiğinde görünüm sabit kalır. Kutu işaretliyse, alt sekme alanında seçilmiş olan
dosyalar işaretleme sırasındaki görünümleriyle (ör. Hex) gösterilir.
Örnek: Bir resim dosyası işaretlenerek alt sekme alanında Hex görünümü üzerine tıklanırsa, resim
on altılı biçimde gösterilir. Başka bir resim dosyası seçilirse, alt sekme alanındaki görünüm otomatik
olarak “Picture” seçeneğine döner. Eğer resimler Hex görünümünde görüntülenmek isteniyorsa,
“Lock” kutusu işaretlenmelidir.
2.3.8. Dixon Box ve Sektor/Cluster bilgileri (8)
Çok faydalı başka bir görünüm de incelenen veri ortamı üzerindeki fiziksel yerdir. Bu şekilde veri
ortamı üzerinde bulunulan yer her zaman tam olarak belirtilebilir.
2.4. Araç çubuğu
Şekil 20: Olay görünümünde araç çubuğu
2.4.1. New (yeni) (1)
Yeni bir olay yaratır.
Bulunduğu yer: File / New
Araç çubuğu / New
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 22
23. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.4.2. Open (aç) (2)
Mevcut bir olayı açar.
Bulunduğu yer: Menü çubuğu / File / Open
Kısa yol / Ctrl + O
Araç çubuğu / Open
2.4.3. Save (kaydet) (3)
Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet)
seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez.
Bulunduğu yer: Menü çubuğu / File / Save
Kısa yol / Ctrl + S
Araç çubuğu / Save
2.4.4. Print (yazdır) (4)
Bilgisayara bağlı yazıcı üzerinden çıktı alınmasını sağlar (ör. rapor).
2.4.5. Add Device (aygıt/veri ortamı ekle) (5)
Mevcut veya yeni yaratılan olaya bir cihaz, veri ortamı, sürücü veya Evidence File ekler.
Bulunduğu yer: Menü çubuğu / File / Add Device
Araç çubuğu / Add Device
2.4.6. Acquire (veri edinme) (6)
Eklenen veri ortamından veri edinilmesini başlatır ve güvenli veri ortamı üzerinde veri ortamının
kopyasını EnCase imgesi olarak oluşturur.
Bulunduğu yer: Olay görünümünde veri ortamı ya da sürücü üzerine sağ tık / Acquire
Araç çubuğu / Acquire
2.4.7. Search (arama) (7)
Bu düğmeye tıklandığında arama penceresi açılır ve arama seçenekleri ayarlanabilir.
Bulunduğu yer: Menü çubuğu / Tools / Search
Araç çubuğu / Search
2.4.8. 2.4.8 Refresh (güncelle) (8)
Değişiklik olduğunda anlık görünümü günceller. Örneğin uzun bir arama işleminden sonra ilk
bulunan sonuçları görmek için kullanılabilir.
Bulunduğu yer: Menü çubuğu / Tools / Refresh
Fonksiyon tuşları / F5
Araç çubuğu / Refresh
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 23
24. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5. Menü çubuğu
Şekil 21: Menü çubuğu
2.5.1. File
2.5.1.1. New (yeni)
Yeni bir olay yaratır.
Bulunduğu yer: Araç çubuğu / New
Menü çubuğu / File / New
Şekil 22: File / New
2.5.1.2. Open (aç)
İlgili “.case” doyası seçilerek mevcut bir olayı açar.
Bulunduğu yer: Araç çubuğu / Open
Kısa yol / Ctrl + O
Menü çubuğu / File / Open
Şekil 23: File / Open
2.5.1.3. Save (kaydet)
Açık olan olayı kaydeder. “Save All” (tümünü kaydet)
seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar
ve değişiklikler “.ini” dosyalarına kaydedilmez.
Bulunduğu yer: Araç çubuğu / Save
Kısa yol / Ctrl + S
Menü çubuğu / File / Save
Şekil 24: File / Save
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 24
25. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.1.4. Save as (farklı kaydet)
“Save as” ile olayın tamamı - “.ini” dosyaları hariç - başka bir
yere kaydedilebilir veya kayıt yeri değiştirilebilir.
Bulunduğu yer: Menü çubuğu / File / Save as
Şekil 25: File / Save As
2.5.1.5. Save all (tümünü kaydet)
“Save all” açık olan olayı ve tüm EnCase “.ini” dosyalarını en
son ayarlarıyla birlikte kaydeder. Bu şekilde filtrelerin, anahtar
kelimelerin, dosya tiplerinin vs. program ve olay açıldığında
yeniden mevcut olması sağlanır.
Bulunduğu yer: Kısa yol / Ctrl + Shift + S
Menü çubuğu / File / Save all
Şekil 26: File / Save All
2.5.1.6. Add device (aygıt/veri ortamı ekle)
Mevcut veya yeni yaratılan olaya bir aygıt, veri ortamı, sürücü
veya delil dosyası (Evidence File) ekler.
Bulunduğu yer: Araç çubuğu / Add Device
Menü çubuğu / Add Device
Şekil 27: File / Add Device
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 25
26. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.1.7. Add Raw Image (ham kopya ekle)
EnCase sadece kendi formatındaki imge dosyalarını değil,
özellikle Linux sistemlerinde görülen ham imge (Raw Image)
denen verileri de okuyabilir.
Linux ortamında “dd” komutu ile oluşturulmuş bir imge
EnCase’deki bir olaya eklenecekse, bunun için menü
çubuğunda “File” menüsünden “Add Raw Image” seçilmelidir.
Açılan pencerede, ideal durumda “dd” kopyasını oluşturan
kişi tarafından tamamlayıcı bilgiler verilmelidir.
Şekil 28: File / Add Raw Image
“Name”:
Burada imgenin olay içinde tanımlanacağı herhangi bir ad verilebilir.
“Image-Type” (imge türü):
• “None” (yok): Kopya “Unallocated Cluster” olarak eklenir
• “Disk” (sabit disk): Fiziksel veri ortamı
• “Volume” (sürücü): Yerel sürücüler veya disketler, mantıksal veri ortamları ve diğer
değiştirilebilir veri ortamları
• “CD”: CD-Rom için
“Bytes per sector”:
Bu değer çoğu olayda standart boyut olan 512 bayt ayarında kalır.
“Component Files” (dosya bileşenleri):
Başta boş olan bu pencerede sonradan olaya eklenen ham veri blokları gösterilir. Bunun için
pencereye sağ tıklanır ve “New” komutu seçilir. Ham kopyanın tüm bileşenleri eklendikten sonra
“OK” ile onaylanarak okunurlar.
Bulunduğu yer: File / Add Raw Image
2.5.1.8. Exit EnCase (EnCase’i kapat)
Uygulamayı kapatır.
Bulunduğu yer: Menü çubuğu / File / Close
Şekil 29: File / Exit EnCase
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 26
27. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2. Edit
2.5.2.1. Close (kapat)
Seçilen olayı kapatır ya da bir görüntünün olayla olan ilişkisini
ortadan kaldırır.
Bulunduğu yer: Menü çubuğu / Edit / Close
Şekil 30: Edit / Close
2.5.2.2. Copy Folders (klasörü kopyala)
“Copy Folders” ile bir veya daha fazla dizin komple dosyaları
ve alt dizinleri ile birlikte imgeden (Image) bir başka veri
ortamına kopyalanabilir.
Bulunduğu yer: Menü çubuğu / Edit / Copy Folders...
Şekil 31: Edit / Copy Folders
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 27
28. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.3. Bookmark Files / Bookmark Folder Structure (dosyaların / klasör yapılarının yerimleri)
Dosyalara (Bookmark Files) veya tüm dizin yapılarına
(Bookmark Folder Structure) yerimi koyar.
Bulunduğu yer: Menü çubuğu / Edit / Bookmark Files
Kısa yol / Ctrl + B
Menü çubuğu / Edit / Bookmark Folder
Structure
Şekil 32: Edit / Bookmark Files or
Folder Structure
2.5.2.4. Create Hash Set (Hash set oluştur)
“Create Hash Set” (Hash Set oluştur) menü satırından
kullanıcılar tek tek dosyaları veya dizinleri Hash ederek (MD5
algoritması) bu değerleri Hash veri bankasına aktarabilirler
(bkz. Hash Sets).
Şekil 33: Edit / Create Hash Set...
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 28
29. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.5. Export (dışarı taşı)
Bu işlev dosya bilgilerinin ve dosyadaki diğer bilgilerin
kaydedilmesi için kullanılır.
Önemlidir:
Oluşturulacak dosyanın dosya uzantısı “.txt” yerine “*.xls”
şeklinde değiştirilirse, veriler doğrudan Excel’in tablo
biçiminde açılabilir.
Şekil 34: Edit / Export…
2.5.2.6. Recover Folders (klasörü kurtar)
Bu menü satırında dosya sisteminin türünün ne olduğu
bilinmelidir.
• FAT:
FAT dosya sistemlerinde bu komut alt dizinleri arar
(GREP ifadesi şöyle olabilirdi: “x2Ex20 x20 x20 x20
x20 x20 x20.......x2Ex2E) ve bunları bir dizin ağacı
şeklinde gösterir.
• NTFS:
NTFS dosya sistemlerinde “Unallocated” olan alanda bir
MasterFile Table (MFT) kalıntıları aranır ve kayıtlar dizin
ağacı şeklinde kayıp dosyalar (“Lost Files”) klasöründe
gösterilir.
• Reiser/Ext2/etc.
Bu dosya sistemlerinde klasörlerin kurtarılması olanağı
yoktur.
Şekil 35: Edit / Recover Folders…
Bulunduğu yer: Menü çubuğu / Edit / Recover Folders
Menü penceresi / Recover Folders
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 29
30. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.7. Acquire (veri edin)
Bu komut
• sıkıştırmanın değiştirilmesi
• bir şifrenin eklenmesi veya çıkarılması
• imge parçalarındaki dosya büyüklüğünün değiştirilmesi
için kullanılır
Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu komut
ile verilerin güvenceye alınması başlatılır.
Bulunduğu yer: Menü çubuğu / Edit / Acquire…
Menü penceresi / Acquire
Şekil 36: Edit / Acquire…
2.5.2.8. Restore (kurtar)
Eğer hazırlanan güvenlik kopyasından (Image) yeniden bir
veri ortamını kurulması gerekirse, bu işlem bu komut
üzerinden yapılabilir.
Bulunduğu yer: Menü çubuğu / Edit / Restore…
Menü penceresi / Restore
Şekil 37: Edit / Restore…
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 30
31. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.9. Hash
Hash, güvenceye alınan veri ortamının Hash toplamının
alınması için kullanılır (imgenin değil, yalnız güvenceye
alınan verilerin). Bu sırada başlangıç ve bitiş sektörü
belirlenebilir.
Bulunduğu yer: Menü çubuğu / Edit / Hash…
Menü penceresi / Hash...
Şekil 38: Edit / Hash...
2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi)
Bu komut RAID sistemlerinde ve dinamik sabit disklerde
kullanılır.
Bulunduğu yer: Menü çubuğu / Edit / Scan Disk
Configuration
Menü penceresi / Scan Disk
Configuration
Şekil 39: Edit / Scan Disk
Configuration
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 31
32. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et)
Oluşturulan bir olaya ait imgenin ilk kez okunmasında yapılan
denetleme, imgenin hala hatasız olup olmadığının kontrol
edilmesi amacıyla buradan tekrarlanabilir (yazılan blokların
kontrol toplamları denetlenmektedir).
Bulunduğu yer: Menü çubuğu / Edit / Verify File
Integrity
Menü penceresi / Verify File Integrity
Şekil 40: Edit / Verify File Integrity
2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir)
Saat dilimi ayarlarının yapılması işlemi.
Örnek:
Zanlı bilgisayarında, değerlendirmeyi yapan
bilgisayardakinden farklı bir saat dilimi ayarlanmışsa,
uyarlama yapılmadığı takdirde zaman bilgileri hatalı
gösterilir.
Bulunduğu yer: Menü çubuğu / Edit / Modify
Time Zone Settings
Menü penceresi / Modify Time
Settings
Şekil 41: Edit / Modify Time Zone Settings…
2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar)
Bu komut ile bilgiler (dosya içerikleri değil, “Export”
gibi, seçilen dosyalara ait bilgiler) “i2” firmasının
(http://www.i2.co.uk) yazılım ürünlerine aktarılabilir.
Bulunduğu yer: Menü çubuğu / Edit / Export Selected
Files to i2
Menü penceresi / Export Selected Files
to i2
Şekil 42: Edit / Export Selected Files to i2…
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 32
33. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.14. Mount as Network Share
Veri ortamını, sürücü veya dizini ağ paylaşımlı olarak
değerlendirme sistemine ekler. Bunun için VFS
modülü gereklidir (ayrıntılı bilgi 1.7.1’de).
Bulunduğu yer: Menü çubuğu / Edit / Mount as
Network Share
Menü penceresi / Mount as Network
Share
Şekil 43: Edit / Mount as Network Share
2.5.2.15. Mount as Emulated Disk
Bu komutla imge EnCase öykünmesi sayesinde veri
ortamı yapısı değerlendirme sisteminde taklit
edilebilecek şekilde bilgisayara eklenebilir. Bunun için
PDE modülü gereklidir (ayrıntılı bilgi 1.7.3’te).
Bulunduğu yer: Menü çubuğu / Edit / Mount as
Emulated Disk
Menü penceresi / Mount as
Emulated Disk
Şekil 44: Edit / Mount as Emulated Disk
Sekme alanında bir dosya işaretlenirse, Edit menüsü aşağıdaki şekilde değişir:
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 33
34. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.16. Send To (gönder)
Bu komut, yalnız harici görüntüleyici EnCase’e
bağlanmışsa görünür. Bu komut üzerinden dosyalar
çeşitli programlarla gösterilebilir (Windows dilinde “birlikte
aç” komutuna karşılık gelir).
Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa,
EnCase, dahili “File Types” veri bankasını kullanır. Bu
ilgili programlarının dosya uzantılarını gösteren bir sütun
ve görüntüleyici (Viewer) sütununu içerir. Görüntüleyici
sütunu, çift tıklandığında dosyanın nasıl açılacağını
belirtir. Bu alanda “Windows” ibaresi varsa, açılan
programın dosya uzantısı eşleşmesi Windows’a entegre
veri bankasından okunur.
Bulunduğu yer: Menü çubuğu / Edit / Send To
Menü penceresi / Send To
Şekil 45: Edit / Send To
2.5.2.17. Show columns (sütunları göster)
Bu komut gösterilecek sütunların seçilmesine olanak
tanır. Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa,
seçili olan sütunun yanına eklenirler.
Bulunduğu yer: Menü çubuğu / Edit / Show Columns
Menü penceresi / Show Columns
Şekil 46: Edit / Show Columns
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 34
35. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.18. Column (sütun)
Bu komut, sütunun görünüm şeklini ayarlamak için dört
seçenek sunar:
• Hide (gizle)
Seçili sütun gizlenir. “Reset” ile yeniden gösterilebilir.
• Set Lock (kilitle)
Bir sütuna bu komut uygulanırsa, o sütun ve onun
solundaki sütunların hepsi kaydırma sırasında sabit
durur.
• Reset (sıfırla)
Sütunlarla ilgili tüm ayarlamaları ilk durumlarına geri
döndürür.
• Fit to Data (sığdır)
Her bir sütunun boyutunu içindeki bilgilere göre
ayarlar.
Şekil 47: Column • Auto Fit All (hepsini otomatik sığdır)
Tüm sütunların boyutlarını içindeki bilgilere göre
otomatik olarak ayarlar.
Bulunduğu yer: Menü çubuğu / Edit / Column
Menü penceresi / Column
2.5.2.19. Sort (sırala)
“Sort” komutu ile dosyaların sıralanmasını düzenlemek
için pek çok olanak sunulur. Sıralamanın en basit yolu,
sütun adı üzerine çift tıklamaktır. En fazla 5 kriter
belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift
tık ile 2 - 5 kriter belirlenir.
Bulunduğu yer: Menü çubuğu / Edit / Sort
Menü penceresi / Sort
Şekil 48: Edit / Sort
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 35
36. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.2.20. Select Item (seç)
Örneğin uygulanacak bir komutun geçerli olacağı dosyayı
seçer.
Bulunduğu yer: Menü çubuğu / Edit / Select Item
Menü penceresi / Select Item
Şekil 49: Select Item
2.5.3. View (görünüm)
Çeşitli alanların (yerimleri, sürücüler vs.) görünümü “View” menüsünden seçilir ve ardından sol
pencerede gösterilir. Bu görünüm seçimine, adı gizlenip gösterilebilen (simge üzerine sağ tık ve
“Show Names”) küçük bir simge üzerinden doğrudan ulaşılabilir.
Gösterilen bir alanı tekrar kapatmak için sol köşedeki “X” işaretine tıklanır. Görünüm sütunundaki
yer, açılan alanların hepsini bir seferde göstermeye yetmiyorsa (özellikle adları gösterilen
simgelerde böyle olur), “X” işaretinin yanında, görüntüyü sağa-sola kaydırmaya yarayan iki küçük ok
belirir.
Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi verilerin gösterileceğini
belirlemek için “Homeplate” kullanılır (işlev: tüm verileri göster).
Dizinlerin seçilmesi sırasında “CTRL” tuşu basılı tutulursa, birden fazla dizinin birbirinden bağımsız
olarak sekme alanında gösterilmesi mümkündür.
2.5.3.1. Cases (olaylar)
“Cases” (olaylar) alanında delil niteliği olan veriler Windows Explorer’e
benzer bir klasör yapısında gösterilirler. Buradan çeşitli olaylar, mantıksal
sürücüler ve dizinler seçilebilir; bu sırada sol taraftaki bir nesnenin içeriği
sağdaki sekme penceresinde gösterilir. Yine sekme alanında bir dosya
işaretlenirse, onun alt sekme alanında ön izleme gösterilir.
Bulunduğu yer: Menü çubuğu / View / Cases
Şekil 50: View / Cases
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 36
37. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.3.2. Bookmarks (yerimleri)
“Yerimleri” alanında hem simgeler hem de “Bookmark Types” sütunu ile
ayırt edilebilen çeşitli türden yerimleri bulunabilir. Bunlar öncelikle dava
bakımından önem taşıyan dosyaların ve veri parçalarının devam eden
incelemeler ya da rapor için birleştirilmesine yararlar.
İncelemenin yapılanışı üzerinde daha iyi bir görüş elde etmek için
soruşturmacı tarafından kendine ait klasörler yaratılabilir ve ilgili yerimleri
burada saklanabilir (sağ tık / New Folder).
Bulunduğu yer: Menü çubuğu / View / Bookmarks
Şekil 51: View /
Bookmarks
2.5.3.3. Devices (sürücüler)
4. sürüme yeni eklenen “Devices” alanından sürücü adı, güvence altına
alan memurun adı, notlar, veri edinme sürecinin ve doğrulamanın Hash
değeri vs. gibi bilgiler öğrenilebilir. İleri düzey kullanıcılar için ayrıca veri
ortamı konfigürasyonunu düzenleme olanağı vardır.
Bulunduğu yer: Menü çubuğu / View / Devices
Şekil 52: View / Devices
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 37
38. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.3.4. File Types (dosya tipleri)
“File Types” alanı bilinen tüm dosya tiplerinin ve bunlarla bağlantılı
görüntüleme yazılımlarının listesini içermektedir. Kullanıcı dosya tiplerini
inceleyebilir, ekleyebilir, çıkarabilir, düzenleyebilir ve program ilişkilerini
elle uyarlayabilir.
Bulunduğu yer: Menü çubuğu / View / File Types
Şekil 53: View / File
Types
2.5.3.5. File Signatures (dosya imzaları)
Dosya imzaları altında dosya tipleri ile bağlantılı olan özgün “Hex Header”
imzası anlaşılır.
JPG endüstri standardına uygun olan bir resim örneğin daima
“xFFXD8xFF[xFExE0]x00” dizisiyle başlayan bir “Hex Header”a
sahiptir.
EnCase’in bu alanında dosya imzaları incelenebilir, eklenebilir, silinebilir
ve düzenlenebilir.
Bulunduğu yer: Menü çubuğu / View / File Signatures
Şekil 54: View / File
Signatures
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 38
39. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.3.6. File Viewers (dosya görüntüleyiciler)
Kullanıcı buradan dosyaların incelenmesi ve işlenmesi için başka
uygulamaları EnCase ile ilişkilendirebilir. EnCase kendi başına kayda
değer sayıda çok dosyayı dahili olarak gösterebilir (ör. JPG, TXT, vs.),
ancak çok sayıda özel dosya ek yazılım kullanılmasını gerektirir (ör.
QuickView Plus, IrfanView, VideoLAN Client, vs.).
Bu görünümde harici programlara bağlantılar kurulabilir, düzenlenebilir ve
silinebilir.
Bulunduğu yer: Menü çubuğu / View / File Viewers
Şekil 55: View / File
Viewers
2.5.3.7. Keywords (anahtar kelimeler)
Bu alanda olay içinde arama yapmak için anahtar kelimeler yazılabilir,
düzenlenebilir ve silinebilir. “Keywords” denen anahtar kelimeler sözcük,
tümce veya “Hex” dizisi olabilir. Bunlar “Case sensitive” (büyük/küçük harf
ayrımlı), GREP, Unicode, UTF7, UTF8, vs. şeklinde yazılabilirler.
Anahtar kelimelerin listesi global olarak başlatma dosyası (keyword.ini)
içinde saklanır, bundan dolayı ilerideki değerlendirmeler için klasör
yapısının organize edilmesi önerilir.
Bulunduğu yer: Menü çubuğu / View / Keywords
Şekil 56: View /
Keywords
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 39
40. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube
2.5.3.8. Search Hits (arama sonuçları)
Arama sonuçları daha önce yapılan aramalardan üretilir ve bu alanda
gösterilir. Her anahtar kelime kendine ait bir kayıt üretir, buna ait arama
sonuçları da sekme alanında görülebilir.
Bulunduğu yer: Menü çubuğu / View / Search Hits
Şekil 57: View / Search
Hits
2.5.3.9. Security IDs (güvenlik kimlikleri)
Bir NTFS dosya sisteminde her dosya ve klasör bir sahip, bir grup ve bir
dizi yetkiyle eşleştirilmiştir. Bu bilgiler NTFS 4 ve 5 sistemlerinde farklı
şekilde kaydedilmelerine karşın, EnCase bunları bundan bağımsız olarak
okuyup açabilir.
Kullanıcı ve gruplar bir numaralandırma sisteminde gösterilirler ve bu
numaralar “Security Identifier” (SID) olarak tanımlanır. Bir ağ içindeki tüm
kullanıcılar, gruplar ve bilgisayarlar Windows 2000 tarafından ör. Registry
altına kaydedilen özgün birer “Security Identifier”e sahiptirler.
NT, 2000 ve XP sistemlerinin bu özelliğinden dolayı her şeyden önce
dosya ve klasör yetkilerinin incelenmesi için önem taşımaktadır.
Bulunduğu yer: Menü çubuğu / View / Security IDs
Şekil 58: View /
Security IDs
Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 40