FTK Imager aracımızı açıyoruz ve ardından aldığımız imajı açmamız için ilgili görseldeki işaretli olan “Add Evidence Item” kısmına tıklayarak imajımızı açıyoruz. Bu kısım FTK Imager ile alınan imajı kolaylıkla açmamıza yarar.
Açılan imajımız şekil 1 deki gibi gözükecektir daha sonra bu imajın içerisine girerek şekil 2 deki “Basic Data Partition” kısmınında içerisine giriyoruz daha sonra at dosyalardan “root” klasörüne klasörünün içindeki “$Extend” daha sonra “$UsnJml” dizinine giriyoruz sağ taraftaki $J dosyası bizim parse ediceğimiz dosya bunu belirlediğiniz bir konuma sağ tıklayarak “Export Files” seçeneği ile parse edebilirsiniz.
$J dosyamız masaüstünde bulunan artifact dosyaları kısmına parse edilmiştir.
$J dosyasını parse etmek için kullanacağımız tool Eric Zimmerman’ın toollu olan MFTEcmd toollu olacak. ilk önce komut satırımızı yönetici olarak çalıştırıyoruz ve MFTEcmd toollumuzun cd komutu ile içine gidiyoruz.
Toollumuzun içine girdikten sonra parse etme işlemimize geçiyoruz MFTEcmd.exe ile toolumuzu çalıştırıyoruz ve -f parametresi ile parse edeceğimiz dosyanın yolunu –csv parametresi ile csv çıktısını alıyoruz ve bunu nereye çıktı vereceği yolu yazıyoruz.
Parse etme işlemimiz tamamlandı ve csv dosyasını masaüstüne output dosyasının içine verdi.
Alınan bu csv çıktısını daha düzenli ve anlaşılır şekilde analiz edebilmek için bunu Eric Zimmerman’ın toolu olan TimeLine Explorer de açıcaz ve içeriğini görüntüleyeceğiz.
TimeLine Explorer toolunu yönetici olarak çalıştırıyoruz.
Toolumuz açıldıktan sonra sol üst köşedeki open kısmından csv dosyamızı seçip açıyoruz.
Açtığımız csv çıktısını analiz işlemine başlayabiliriz. Update Timestamp, File name, File Attributes, Source File gibi kısımlara bakabiliriz.
$USNJ Forensics Anlatım Videosu : https://www.youtube.com/watch?v=MlywBqdmj8Y
0 Yorumlar