Merhaba değerli takipçilerim,Bu yazımızda ücretsiz olarak kullanabileceğimiz veri kurtarma aracı olan Foremost'u Adli Bilişim açısından inceliyor olacağız.
Adli bilişim incelemlerinde olmazsa olmazlardan bir tanesi veri kazıma işlemidir çünkü delillere her zaman direkt olarak erişmeniz mümkün olmayabilir. Suçlu ya da şüphe duyulan kişi delilleri yok edeceğini düşünerek arkasında iz bırakmamak için kendisi için suç teşkil edecek verileri silmektedir.
Eğer wipe (verilerin geri getirelemeyecek şekilde yok edilmesi) işlemi yapılmamış ve silinen verinin önceden depolandığı disk adresi üzerine herhangi bir veri yazılmamış ise silinen veriyi tekrar elde etmek mümkündür. Bu işlem için lisanslı yazılımlar kullanılabildiği gibi, açık kaynak yazılımlar ve araçlar da kullanılabilinmektedir.
Foremost, Amerika Hava Kuvvetlerinden Agents Kris Kendall ve Jesse Kornblum tarafından yazılmış ücretsiz bir araçtır. Foremost ile adli kopyası (image) alınmış dosyalar üzerinde ve canlı olarak disk üzerinde de veri kazıma işlemi gerçekleştirebilirsiniz. Teknik olarak, dosyaların header(başlık bilgisi) ve footer(alt/bitiş bilgisine) bilgilerine bakarak, istenilen dosya türlerini veya tüm silinen dosyaları kurtarır.
Foremost’un son sürümüne http://foremost.sourceforge.net adresinden ulaşabilirsiniz.
Nasıl Kurulur?
- Ubuntu ve Debian sistemlerinde terminale;
apt-get install foremost yazılarak yükleme işlemi gerçekleştirilir.
- Mac OSX(unix) sistemde terminale;
ruby -e “ (curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)” < /dev/null 2> /dev/null yazılarak yükleme işleminin bitmesi beklenir yükleme işlemi bitince brew install foremost komutu yazılarak işlem tamamlanır.
Nasıl Kullanılır?
UYARI! Kullanımına geçmeden önce, eğer adli bir vaka üzerinde kazıma yapacaksanız, silinen dosyaların üzerine veri yazılmaması için diski sadece okunur yapınınız, aksi durumda oluşabilecek yazma işlemi delil bütünlüğünüzü bozacaktır.
Read Only modu için mount -o remount,ro /dev/sdb1 komutunu kullanabilirsiniz.
Örnek Kullanımı:
foremost -t kurtarmak_istenilen_dosya_uzantıları -i kurtarma_islemi_yapılacak_disk -o çıktı_yolu
- -t Dosya türünü belirtme. (-t jpeg,pdf,png,zip ...)
- -i Hangi diskte veya imajda kurtarma işlemi yapacağını belirtme
- -a Bütün dosya türlerinden arar. Bozuk dosyaları da çıkartır.
- -w Sadece audit dosyasını oluşturur, bulunan dosyaları diske yazmaz.
- -v Konsol ekranında yapılan işlemin bütün mesajlarını gösterir.
- -o Bulunan dosyaları nereye yazacağını belirtme (varsayılan: output)
Uygulama:
Takılı olan diskleri ve dizin adresilerini öğrenmek için komut satırına fdisk -l yazmanız yeterli olacaktır.
- foremost -t jpg,jpeg,png,pdf -i /dev/sdb1 -v -o /root/Desktop/bilgi komutu ile işlemimizi başlattık. Eğer tüm silinen verileri kurtarmak istiyor iseniz -t jpg,jpeg,png,pdf bölümü yerine -t all yazmanız yeterli olacaktır.
- Belirtilen türlerdeki dosyalar bulundu ve belirttiğimiz klasöre kayıt ediliyor.
- Kazıma işlemi sonrası dosya uzantısına göre veriler otomatik olarak ayrı klasörlere çıkartılır.
