Bu makalede bir çok modern Linux sürümünün desteklediği ve adli bilişim incelemelerinde sıklıkla karşımıza çıkan Logical Volume Manager türündeki disk bölümlerinin nasıl analiz edilebileceğine değineceğim. Öncelikle LVM türündeki disk bölümlerinin karşımıza nasıl çıktığına bir bakalım. Bunun için elimizdeki örnek disk imajı üzerindeTSK araçlarından mmls'i çalıştırıp disk içindeki bölümler hakkında bilgi alıyoruz. Çalıştırılan komutun çıktısı aşağıda gösterilmiştir.
Yukarıdaki ekran çıktısında 03 numaralı disk bölümünün türüne baktığımızda Linux Logical Volume Manager türünde olduğunu görüyoruz. Bu disk bölümü ile ilgili fsstat uygulaması ile detaylı bilgi almak istediğimizde karşımıza aşağıdaki ekran görüntüsünde gösterildiği gibi bir hata mesajı çıkar. Hata mesajından da anlaşılabileceği üzere kullandığımız TSK uygulaması LVM türündeki disk bölümlerinin türünü tespit edememekte dolayısı ile bu disk bölümü üzerinde herhangi bir işlem yapamamakta.
Bir sonraki aşamada losetup uygulaması ile elimizdeki lvm türündeki disk bölümünü loop device olarak mount ediyoruz. -o parametresi ile vermemiz gereken değer ilgili lvm bölümünün byte olarak offset değeri olmalı. Örneğimizde mmls çıktısından yola çıkarak bu değerin 2104515*512 = 077511680 olduğunu söyleyebiliriz. Bu doğrultuda çalıştırdığımız komut aşağıda gösterilmiştir.
Bir sonraki aşamada ise Linux üzerinde oluşturduğumuz bu loop sürücü hakkında pvs komutu ile detaylı bilgiye ulaşıyoruz. Örnek çıktı aşağıda gösterilmiştir. Buradaki VG sütunu altında ilgili sanal grup ismini öğreniyoruz. Örneğimizdeki sanal grubun isminin vg00 olduğunu görebilirsiniz.
Daha sonra lvdisplay uygulaması ile bir önceki aşamada detaylarını öğrendiğimiz sanal disk grubu içindeki bölümlerin detaylarını öğreniyoruz. Bunun için çalıştırdığımız komut aşağıda gösterilmiştir.
Yukarıdaki çıktıda yer alan LV Name kısmındaki ismi kullanarak ilgili disk bölümüne erişebilir ve TSK uygulamaları ile bu disk bölümü üzerinde işlem yapabilir durumdayız artık. Örneğin aşağıdaki ekran görüntüsü TSK uygulamalarından fls'i kullanarak örnek disk bölümü içindeki dosyaların listesinin alındığı çıktıya ait bir görüntüdür.
