The Sleuth Kit (TSK) İle File System Forensics – 2

Yazımızın ilk kısmında adli bilişim incelemelerinde dosya sistemi seviyesinde analiz yapmamıza imkan tanıyan The Sleuth Kit (TSK) uygulamalarından kısaca bahsetmiş, detaylarını sonraki makalelerde ele alacağımızı belirtmiştik. İlk makaleyi okumayanlar http://halilozturkci.com/adli-bilisim-the-sleuth-kit-tsk-ile-file-system-forensics-1/ adresini ziyaret edebilirler. Şimdi bu araç kiti içindeki uygulamaların detaylarına bakalım.

fsstat uygulaması dosya sistemi hakkında genel istatistiki bilgiler verir ve bu uygulamanın çıktısı dosya sisteminden dosya sistemine göre farklılık gösterir. Parametre olarak sadece ilgili imaj dosyasının adını alır. Eğer girdi olarak verilen imaj dosyası bir fiziksel disk imajı ise bu durumda mmls ile ilgili disk imajı içindeki partition tablosu okunmalı ve hangi bölüme ilişkin istatistiki bilgiler öğrenilmek isteniyorsa –o parametresi ile başlangıç sektörü offset değeri olarak belirtilmelidir. Aşağıdaki ekran görüntüsünde ilk aşamada fsstat uygulamasına girdi olarak bir disk imajı verilmiş ve bunun sonucunda fsstat uygulaması dosya sistemini belirleyemediğini gösterir bir hata mesajı üretmiştir. Sonrasında mmls uygulaması ile disk imajının bölüm tablosu okunmuş ve bir sonraki aşamada detayları öğrenilmek istenen disk bölümü -o parametresi ile belirlenerek detaylar elde edilmiştir.

Yukarıdaki çıktının tam hali aşağıdaki tabloda yer alıyor. Görülebileceği üzere ilgili disk bölümüne en son ne zaman yazıldığı, ilgili disk bölümünün en son ne zaman mount edildiği, düzgün şekilde unmount edilip edilmediği gibi bilgilerin yanında, disk bölümünde kullanılan blok boyutu, kaç blogun boşta olduğu, disk bölümünde kaç inode olduğu, bunların kaçının boşta olduğu ve kaç blok grubunun olduğu gibi bilgiler de yer alır.

BASH

1sansforensics@siftworkstation:~/Desktop$ fsstat -o 10260  able2.dd 
2					FILE SYSTEM INFORMATION
3					——————————————–
4					File System Type: Ext2
5					Volume Name: 
6					Volume ID: 906e777080e09488d0116064da18c0c4
7					Last Written at: 2003-08-10 18:50:03 (UTC)
8					Last Checked at: 1997-02-11 05:20:09 (UTC)
9					Last Mounted at: 1997-02-13 07:33:02 (UTC)
10					Unmounted Improperly
11					Last mounted on: 
12					Source OS: Linux
13					Dynamic Structure
14					InCompat Features: Filetype, 
15					Read Only Compat Features: Sparse Super, 
16					METADATA INFORMATION
17					——————————————–
18					Inode Range: 1 – 12881
19					Root Directory: 2
20					Free Inodes: 5807
21					CONTENT INFORMATION
22					——————————————–
23					Block Range: 0 – 51299
24					Block Size: 1024
25					Reserved Blocks Before Block Groups: 1
26					Free Blocks: 9512
27					BLOCK GROUP INFORMATION
28					——————————————–
29					Number of Block Groups: 7
30					Inodes per group: 1840
31					Blocks per group: 8192
32					Group: 0:
33					  Inode Range: 1 – 1840
34					  Block Range: 1 – 8192
35					  Layout:
36					    Super Block: 1 – 1
37					    Group Descriptor Table: 2 – 2
38					    Data bitmap: 3 – 3
39					    Inode bitmap: 4 – 4
40					    Inode Table: 5 – 234
41					    Data Blocks: 235 – 8192
42					  Free Inodes: 789 (42%)
43					  Free Blocks: 4601 (56%)
44					  Total Directories: 16
45					Group: 1:
46					  Inode Range: 1841 – 3680
47					  Block Range: 8193 – 16384
48					  Layout:
49					    Super Block: 8193 – 8193
50					    Group Descriptor Table: 8194 – 8194
51					    Data bitmap: 8195 – 8195
52					    Inode bitmap: 8196 – 8196
53					    Inode Table: 8197 – 8426
54					    Data Blocks: 8427 – 16384
55					  Free Inodes: 1542 (83%)
56					  Free Blocks: 33 (0%)
57					  Total Directories: 13
58					Group: 2:
59					  Inode Range: 3681 – 5520
60					  Block Range: 16385 – 24576
61					  Layout:
62					    Data bitmap: 16385 – 16385
63					    Inode bitmap: 16386 – 16386
64					    Inode Table: 16389 – 16618
65					    Data Blocks: 16387 – 16388, 16619 – 24576
66					  Free Inodes: 0 (0%)
67					  Free Blocks: 1813 (22%)
68					  Total Directories: 12
69					Group: 3:
70					  Inode Range: 5521 – 7360
71					  Block Range: 24577 – 32768
72					  Layout:
73					    Super Block: 24577 – 24577
74					    Group Descriptor Table: 24578 – 24578
75					    Data bitmap: 24579 – 24579
76					    Inode bitmap: 24580 – 24580
77					    Inode Table: 24581 – 24810
78					    Data Blocks: 24811 – 32768
79					  Free Inodes: 746 (40%)
80					  Free Blocks: 2379 (29%)
81					  Total Directories: 76
82					Group: 4:
83					  Inode Range: 7361 – 9200
84					  Block Range: 32769 – 40960
85					  Layout:
86					    Data bitmap: 32769 – 32769
87					    Inode bitmap: 32770 – 32770
88					    Inode Table: 32773 – 33002
89					    Data Blocks: 32771 – 32772, 33003 – 40960
90					  Free Inodes: 0 (0%)
91					  Free Blocks: 0 (0%)
92					  Total Directories: 10
93					Group: 5:
94					  Inode Range: 9201 – 11040
95					  Block Range: 40961 – 49152
96					  Layout:
97					    Super Block: 40961 – 40961
98					    Group Descriptor Table: 40962 – 40962
99					    Data bitmap: 40963 – 40963
100					    Inode bitmap: 40964 – 40964
101					    Inode Table: 40965 – 41194
102					    Data Blocks: 41195 – 49152
103					  Free Inodes: 969 (52%)
104					  Free Blocks: 545 (6%)
105					  Total Directories: 4
106					Group: 6:
107					  Inode Range: 11041 – 12880
108					  Block Range: 49153 – 51299
109					  Layout:
110					    Data bitmap: 49153 – 49153
111					    Inode bitmap: 49154 – 49154
112					    Inode Table: 49157 – 49386
113					    Data Blocks: 49155 – 49156, 49387 – 51299
114					  Free Inodes: 1761 (95%)
115					  Free Blocks: 141 (6%)
116					  Total Directories: 18
117					sansforensics@siftworkstation:~/Desktop$

Yukarıdaki tabloda yer alan bilgiler fsstat'ın örnek bir ext2 dosya sistemi üzerinde çalıştırılması sonucunda elde edilen bilgilerdir. Eğer fsstat'ı bir NTFS dosya sistemine sahip disk bölümünde çalıştırırsak aşağıdaki tabloda yer alan bilgiler çıkar karşımıza. Buradaki bilgilere baktığımızda cluster boyutunun ne olduğu, toplam ne kadar cluster'ın disk bölümünde olduğu, MFT kayıtlarının boyutunun ne kadar olduğu gibi bilgiler yer almaktadır.

BASH

1sansforensics@siftworkstation:~/Desktop$ fsstat  NTFSImage.001 
2					FILE SYSTEM INFORMATION
3					——————————————–
4					File System Type: NTFS
5					Volume Serial Number: 885ADBF75ADBDFCC
6					OEM Name: NTFS    
7					Volume Name: NTFS
8					Version: Windows XP
9					METADATA INFORMATION
10					——————————————–
11					First Cluster of MFT: 43690
12					First Cluster of MFT Mirror: 2
13					Size of MFT Entries: 1024 bytes
14					Size of Index Records: 4096 bytes
15					Range: 0 – 1280
16					Root Directory: 5
17					CONTENT INFORMATION
18					——————————————–
19					Sector Size: 512
20					Cluster Size: 4096
21					Total Cluster Range: 0 – 131070
22					Total Sector Range: 0 – 1048574
23					$AttrDef Attribute Values:
24					$STANDARD_INFORMATION (16)   Size: 48-72   Flags: Resident
25					$ATTRIBUTE_LIST (32)   Size: No Limit   Flags: Non-resident
26					$FILE_NAME (48)   Size: 68-578   Flags: Resident,Index
27					$OBJECT_ID (64)   Size: 0-256   Flags: Resident
28					$SECURITY_DESCRIPTOR (80)   Size: No Limit   Flags: Non-resident
29					$VOLUME_NAME (96)   Size: 2-256   Flags: Resident
30					$VOLUME_INFORMATION (112)   Size: 12-12   Flags: Resident
31					$DATA (128)   Size: No Limit   Flags: 
32					$INDEX_ROOT (144)   Size: No Limit   Flags: Resident
33					$INDEX_ALLOCATION (160)   Size: No Limit   Flags: Non-resident
34					$BITMAP (176)   Size: No Limit   Flags: Non-resident
35					$REPARSE_POINT (192)   Size: 0-16384   Flags: Non-resident
36					$EA_INFORMATION (208)   Size: 8-8   Flags: Resident
37					$EA (224)   Size: 0-65536   Flags: 
38					$LOGGED_UTILITY_STREAM (256)   Size: 0-65536   Flags: Non-resident
39					sansforensics@siftworkstation:~/Desktop$

The Sleuth Kit (TSK) İle File System Forensics – 2

Halil Öztürkci

RELATED_EVIDENCE

The Sleuth Kit (TSK) İle File System Forensics – 1

The Sleuth Kit (TSK) İle File System Forensics – 4

The Sleuth Kit (TSK) İle File System Forensics – 3