Professional Documents
Culture Documents
C
FIRAT ÜNİVERSİTESİ
TEKNOLOJİ FAKÜLTESİ
ADLİ BİLİŞİM MÜHENDİSLİĞİ
HAZİRAN 2021
1
İÇİNDEKİLER
İNCELEME YAPILIRKEN KULLANILACAK MOBİL EDİT FORENSİC EXPRESS YAZILIMI KURULUMU VE KULLANIMI
HAKKINDA BİLMEMİZ GEREKENLER ............................................................................................................. 5
1.MOBILEDİT FORENSİC EXPRESS HAKKINDA ................................................................................................................ 5
2.MOBILEDİT FORENSİC EXPRESS’İN ÖZELLİKLERİ .......................................................................................................... 5
3. MOBILEDİT FORENSİC EXPRESS SİSTEM GEREKSİNİMLERİ ............................................................................................. 6
4.BİLİNMESİ GEREKEN BAZI TERİMLER .......................................................................................................................... 7
5. MOBILEDİT FORENSİC EXPRESS KURULUMU .............................................................................................................. 9
6. CİHAZİ BİLGİSAYARA BAĞLAMA VE TANITMA............................................................................................................. 12
7. CİHAZ BAĞLANTI EKRANI....................................................................................................................................... 34
ANDROİD CİHAZI ROOTLAMA.................................................................................................................... 36
ROOTLAMAK NEDİR? .......................................................................................................................................... 36
ANDROİD TELEFONLARA ROOT ATMANIN FAYDALARI NELERDİR? ..................................................................................... 37
ANDROİD TELEFONLARA ROOT ATMANIN ZARARLARI NELERDİR? ..................................................................................... 38
ANDROİD CİHAZIMIZI ROOT KONUMUNA ALMA İŞLEMLERİ .............................................................................. 39
CİHAZI UYGULAMAYA TANITMA ............................................................................................................... 50
CİHAZA FORENSİC CONNECTOR YAZILIMINI KURMA VE İZİN İŞLEMLERİ. ..................................................... 52
TELEFON VERİLERİ ÖN İZLEMESİ ................................................................................................................ 56
TELEFON VERİLERİNE GÖZAT ..................................................................................................................... 59
FİZİKSEL İMAJ OLUŞTURMA....................................................................................................................... 62
İÇE AKTARILACAK VERİLERİ SEÇME ............................................................................................................ 70
FİLTRELER................................................................................................................................................. 72
A-)ZAMANA GÖRE FİLTRELE(FİLTER BY TİME)............................................................................................................... 72
B-)KİŞİYE GÖRE FİLTRELE(FİLTER BY CONTACT) ............................................................................................................. 72
C-)METİN DİZESİ KULLANARAK FİLTRE (HİGHLİGHT BY TEXT STRİNG) ................................................................................ 73
D-)KONUMA GÖRE ARAMA (HİGHLİGHT LOCATİON) .................................................................................................... 73
VERİLERİ ÇIKARMA TÜRLERİ ...................................................................................................................... 74
A-)ÖZEL SEÇİM(SPECİFİC SELECTİON)......................................................................................................................... 74
B-)TAM İÇERİK (FULL CONTENT)................................................................................................................................ 85
FULL CONTENT SEÇENEĞİ İLE ELDE EDİLEN VERİLERİN ANALİZİ .................................................................... 89
DIŞARI AKTARILAN VERİLERİN ANALİZİ ........................................................................................................................ 90
PDF DOSYALARIN ANALİZİ............................................................................................................................................ 98
Log Kayıtları Analizi .................................................................................................................................................... 103
YAPILANDIRMA DOSYASI ANALİZİ.............................................................................................................................. 105
2
CALLS(YAPILAN KONUŞMALAR) ............................................................................................................................. 117
ORGANİZER ...................................................................................................................................................... 118
APPLİCATİONS(UYGULAMALAR) ..................................................................................................................... 119
APPLİCATİON LİST(Uygulama Listesi)........................................................................................................... 119
UYGULAMALARDAN ELDE EDİLEN DİĞER MEDYA DOSYALARI .................................................................... 122
A-)DOCUMENTS(BELGELER)....................................................................................................................................... 122
B-)İMAGES(GÖRÜNTÜLER)......................................................................................................................................... 126
C-)AUDİO FİLES(SES DOSYALARI) ............................................................................................................................... 128
D-)VİDEO FİLES(VİDEO DOSYALARI) ........................................................................................................................... 129
FİLES(DOSYALAR) .............................................................................................................................................. 130
A-)INTERNAL FİLES(DAHİLİ DOSYALAR)........................................................................................................ 130
B-)EXTERNAL FİLES(DIŞ DOSYALAR) ............................................................................................................. 132
CONTACT ANALYSİS (TEMAS ANALİZİ) ............................................................................................................ 136
COOKİES (ÇEREZLER) ........................................................................................................................................ 137
LOCATİONS (KONUMLAR) ............................................................................................................................... 138
SCREEN UNLOCKİNG HİSTORY(EKRAN KİLİDİ GEÇMİŞİ) ....................................................................................... 140
SIM CARD ......................................................................................................................................................... 141
CONTACTS(Kişiler) ........................................................................................................................................ 141
WİFİ NETWORKS (KABLOSUZ AĞLAR) ............................................................................................................. 142
APPLİCATİON ANALYSİS(UYGULAMA ANALİZİ) ......................................................................................... 143
İNCELENECEK UYGULAMALARIN SEÇİMİ............................................................................................ 144
DAVAMIZA AİT BİLGİLERİ GİRME........................................................................................................... 146
OLUŞTURULACAK RAPOR VE DIŞA AKTARILACAK VERİ FORMATLARINI BELİRLEME .......... 147
MEDYA ANALİZİ(CAMERA BALLİSTİCS) ............................................................................................... 148
EXPORT EDİLECEK VERİLERİ ADLANDIRMA VE KAYDEDİLECEĞİ KONUMLARI BELİRLEME149
İNCELEME SONUCU ELDE EDİLEN VERİLERİN ANALİZİ ............................................................................... 152
ACCOUNTS (HESAPLAR).................................................................................................................................... 156
MEDİA FİLES (MEDYA DOSYALARI) ................................................................................................................... 158
GLOBAL NOTİFİCATİONS .............................................................................................................................. 160
RECENT SEARCHES(YAPILAN ARAMALAR) ................................................................................................... 161
CHATS(SOHBETLER)...................................................................................................................................... 162
CONTACTS(İLETİŞİMLER) .............................................................................................................................. 163
VİSİTED(Ziyaret Edilen Gönderiler)............................................................................................................... 164
OTHER MEDİA FİLES ..................................................................................................................................... 166
İMAGES(GÖRÜNTÜLER) ............................................................................................................................................. 166
AUDİOS(SESLER) ......................................................................................................................................................... 167
VİDEOS(VİDEOLAR) .................................................................................................................................................... 168
DOCUMENTS(DÖKÜMANLAR) ................................................................................................................................... 169
3
RESULTS (SONUÇLAR) ............................................................................................................................. 199
EXTRACTED CONTENT(ÇIKARILAN İÇERİKLER) .............................................................................................................. 200
a)ACCOUNTS(Hesaplar) ............................................................................................................................... 200
b)CALL LOGS(Arama Kayıtları) ..................................................................................................................... 201
CONTACTS(İletişimler) .................................................................................................................................. 202
EXİF METADATA................................................................................................................................................ 204
ENCRYPTİON SUSPECTED......................................................................................................................................... 207
EXTENSİON MİSMATCH DETECTED ........................................................................................................................... 208
İNSTALLED PROGRAMS ........................................................................................................................................... 210
MESSAGES ........................................................................................................................................................... 212
WEB BOOKMARKS ............................................................................................................................................ 214
Nedir Yer İmi?............................................................................................................................................... 214
WEB COOKİES ................................................................................................................................................... 215
NEDİR COOKİES? .......................................................................................................................................... 215
WEB FORM AUTOFİLL ....................................................................................................................................... 216
AUTOFİLL NEDİR? ......................................................................................................................................... 216
WEB HİSTORY ................................................................................................................................................... 218
WEB SEARCH..................................................................................................................................................... 220
KEYWORD HİTS ................................................................................................................................................. 221
Email Addresses ........................................................................................................................................... 221
ACCOUNTS(HESAPLAR) .................................................................................................................................... 223
DEVİCE(CİHAZ) HESAPLARI ........................................................................................................................... 223
PHONE(TELEFON) HESAPLARI ...................................................................................................................... 224
WHATSAPP HESAPLARI ................................................................................................................................ 225
FACEBOOK HESAPLARI ................................................................................................................................. 226
4
İNCELEME YAPILIRKEN KULLANILACAK MOBİL EDİT FORENSİC EXPRESS
YAZILIMI KURULUMU VE KULLANIMI HAKKINDA BİLMEMİZ GEREKENLER
1.MOBILEdit Forensic Express Hakkında
MOBILedit Forensic adli bilişim yazılımı ile başta cep telefonları ve SIM kartlar olmak üzere tablet
bilgisayar ve MP3/4 çalarların adli incelemesinde kullanılmaktadır. MOBILedit Forensic adli bilişim
yazılımı ile incelenen cihazlar üzerinde her türlü veriyi görüntülemek, aramak ve incelemek mümkün
olmaktadır.
İncelenebilen veriler arasında arama kayıtları (arayan, aranan ve cevapsız çağrı), telefon rehberi, SMS
ve MMS kayıtları, dosyalar, ajanda, notlar, hatırlatmalar ile Skype, Dropbox ve Everynote gibi
uygulamalara ait kayıtlar yer almaktadır. Aynı zamanda cihazlara ait IMEI, işletim sistemi bilgileri, SIM
detay bilgileri (IMSI ve ICCID) ve sürüm bilgileri de tespit edilebilmektedir. Ayrıca MOBILedit Forensic
Express ile adli bilişim yazılımının silinmiş verileri kurtarma, cihaz güvenlik kodu, PIN ve yedekleme
şifresini bypass ederek işlem yapabilme olanağı gibi bazı özellikleri bulunmaktadır.
• Telefon Güvenlik Kilidini aşma : Birçok telefon modeli için dahili bir telefon kilit
açma özelliğine sahiptir ve telefon bir şifre veya hareketle korunduğunda bile fiziksel
bir görüntü elde etmenizi sağlar. Bu yönteme “Lockdown Files Method” denir. Bu ve
bu tarz uygulamalar ile artık kilit ekranı desenleri, jestler, PIN’ler ve şifreler artık çok
çeşitli Android cihazlardan veri almanın önünde bir engel teşkil etmemektedirler.
• ICCID Klonlama ile PIN Kodu Problemini Aşabilirsiniz : SIM kart çıkartılıp geri
takıldığında ya da bir başka SIM kart takıldığında cihazlar güvenlik nedeniyle PIN
kodu sormakta ve bu da telefonun incelenmesini zorlaştırmaktadır. MOBILedit
Forensic SIM kart klonlama özelliği ile SIM kartın ICCID numarasını boş bir SIM
karta klonlamak suretiyle PIN kodu problemini çözerek incelemeyi
kolaylaştırmaktadır.
5
• Android İşletim Sistemi Olan Cihazları WIFI bağlantısı ile İnceleyebilirsiniz
• Bir telefonu USB kablosu, Wi-Fi veya Bluetooth ile bağlayarak mevcut mobil
cihazların çoğunun bireysel incelemelerini gerçekleştirebilir ve çeşitli ihtiyaçlar
için birden fazla formatta (PDF, HTML, Excel vb.) Raporlar oluşturabilirsiniz
Mümkün olan en iyi kullanıcı deneyiminden yararlanmak için, minimum sistem gereksinimlerinin
aşağıdaki gibi olmasını öneririz:
• CPU: Intel core i3 minimumdur, eşzamanlı ekstraksiyonlar için i7 önerilir, Yüz Eşleştiricisi ve
Fotoğraf Tanıyıcı için AVX'li CPU gereklidir
• RAM: Minimum yapılandırma olarak 4 GB, çok fazla veriye sahip telefonları analiz etmek için
16 GB önerilir
• HDD: sistem sürücüsünde 20 GB boş alan ve ayrıca raporlar için uygun depolama alanı
• İşletim Sistemi: 64-bit OS gereklidir, Windows 7 SP1 ve üstü (Windows 7 SP1, Windows 8.1
veya Windows 10). 32-bit sürümü özel durumlarda kullanılabilir, daha fazla veri işlemek için
önerilmez ve talep üzerine indirilebilir veya talep edilebilir.
• Telefonları bağlamak için yüksek kaliteli kablolar (mini USB, iPhone varyasyonları) gereklidir
Telefonlara doğrudan bağlandığımız için iPhone'lardan veri almak için iTunes kurulumu gerekli
değildir. İTunes yüklü ve bilgisayarda çalışıyorsa, bağlantı servisinin durdurulması gerekir; bu işlem
ana program penceresinden yapılabilir.
6
4.Bilinmesi Gereken Bazı Terimler
ADB - Android Hata Ayıklama Köprüsü - kullanıcının Windows / Linux / macOS komut satırını
kullanarak Android cihazlarını iletişim kurmasına ve kontrol etmesine olanak tanır.
API - Uygulama Programlama Arayüzü - çeşitli yazılım bileşenleri arasında açıkça tanımlanmış iletişim
yöntemleri kümesi
DFU - Cihaz Ürün Yazılımı Yükseltme modu, tüm cihazların herhangi bir durumdan geri yüklenmesini
sağlar
EDL - Acil İndirme modu. Bu, kullanıcıların unbricking, bootloader kilidini açma ve herhangi bir özel
ROM'un yüklenmesi gibi çeşitli görevleri gerçekleştirebileceği özel moddur.
FRP - Fabrika Sıfırlama Koruması - daha önce Google hesabını kaldırmadan sıfırlanmışsa kullanıcının
telefonun kilidini açmasını önler
HTML - Köprü Metni Biçimlendirme Dili - web sayfaları ve web uygulamaları oluşturmak için standart
biçimlendirme dilidir
ICCID - Tümleşik Devre Kartı Tanımlayıcısı - SIM kartları tanımlamak için kullanılır
IMEI - Uluslararası Mobil Cihaz Kimliği - mobil cihazları tanımlamak için benzersiz bir numara
IMSI - Uluslararası Mobil Abone Kimliği - bir hücresel ağın kullanıcısını tanımlamak için kullanılır
MAC - Medya Erişim Kontrolü - bir ağ segmentinin veri bağlantı katmanındaki iletişim için ağ
arayüzlerine atanan benzersiz bir tanımlayıcı
TWRP - Team Win Recovery Project - Android cihazlar için özel kurtarma işlemlerinden biri
USB - Evrensel Seri Veri Yolu - kablolar, bağlantı, iletişim ve güç kaynağı için bir endüstri standardı
7
XML - Kapsamlı İşaretleme Dili - belgeleri hem insan hem de makine tarafından okunabilir kodlamak
için bir dizi kural tanımlar
USB - Evrensel Seri Veri Yolu - kablolar, bağlantı, iletişim ve güç kaynağı için bir endüstri standardı
Android - Google tarafından dünya çapında çeşitli cihazlarda kullanılan Linux çekirdeği temel alınarak
geliştirilen mobil işletim sistemi
Bootloader - kurulu işletim sisteminin tüm yazılımların orijinal olduğunu doğrularken önyükleme ve
başlatma olanağı sağlar
İndirme modu - Samsung'un Fastboot alternatifi, Odin veya Heimdall'ın PC ile iletişim kurmasını
gerektirir
Fastboot - öncelikle ana bilgisayardan USB bağlantısı ile Android cihazların flash dosya sistemini
değiştirmek için kullanılan SDK paketiyle birlikte tanılama protokolü
iOS - yalnızca iPhone ve iPad gibi Apple cihazlarında kullanılan mobil işletim sistemi
Kısayol tuşu kombinasyonu - Android cihazlarda kurtarma veya Fastboot moduna önyükleme
yapmak için kullanılan tuşların birleşimi
8
5. MOBILEdit Forensic Express Kurulumu
İndirme bittikten sonra programımızı açıp gerekli adımları seçip kurulumu başlatıyoruz.
9
2.Gerekli kurulum alanları ve yüklemeler
10
4.Kurulumun son bulması
11
6. Cihazi Bilgisayara Bağlama ve Tanıtma
Genel olarak bağlantı
Bilgisayara bağlı bir telefon program tarafından otomatik olarak algılanmazsa, bağlantı sihirbazı
yardımıyla manuel olarak bağlayabilirsiniz.
Bir sonraki ekran, programın tüm telefonları otomatik olarak algılaması gerektiğini gösterecektir,
ancak sürücülerde veya telefon ayarlarında otomatik algılamayı engelleyen bazı sorunlar
olabilir. Bağlı telefon giriş ekranında görünmüyorsa, lütfen "İleri" düğmesine tıklayın ve bağlantı
sihirbazının telefonu manuel olarak bağlamanıza yardımcı olmasına izin verin.
12
Bir sonraki adımda, telefonun platformunu (işletim sistemi) seçeceksiniz. Seçenekler şunlardır:
Android, iPhone, Windows Phone, Diğer (özellikli telefonlar, vb.).
Sayfanın altına yakın bir yerde ('Popüler telefonların listesi') bağlanacak telefon hakkında daha fazla
bilgi edinmenize yardımcı olacak bir seçenek de vardır. Bağlı telefonun hangi platformda / işletim
sisteminde çalıştığından emin değilseniz veya daha ayrıntılı bilgi gerektiğinde bu seçenek
13
seçilmelidir. Üzerine tıkladıktan sonra, sonraki sayfada bağlı cihazın belirli üreticisini seçme seçeneği
vardır.
Belirli bir telefon üreticisinin seçilmesi, o üreticiden desteklenen tüm cihazların bir listesini
sağlar. Ayrıca , desteklenen tüm cihazların listesini gösterecek "Tümünü seç" seçilebilir. Belirli bir
cihaza tıklanması, desteklenen verilerin bir listesi ve Bağlantı Kitimizdeki (Kit varsa) hangi kablo
telefon için uygun bağlantı kablosu dahil olmak üzere, onunla ilgili tüm ayrıntılı bilgileri gösterecektir.
14
Şimdi "İleri" düğmesine tıklayarak, telefonunuzun işletim sistemi platformunu seçebileceğiniz
"Platform seç" ekranına dönersiniz. Buradan platformunuzu seçin ve kılavuzun adım adım
ilerlemesine izin verin.
Bluetooth bağlantısının Bağlantı Sihirbazı'nın bir parçası olmadığını lütfen unutmayın, çünkü oldukça
farklı bir şekilde yapılır ve PC ile telefon arasında MOBILedit Forensic Express veya bağlayıcı
uygulaması içinden kurulamayan ancak yapılması gereken doğrudan bağlantı gerektirir.
Özel
Android bağlantı sihirbazının ilk ekranı, veri kilidini açmak için telefonun kilidini açmanın gerekli
olduğunu belirten bir uyarı gösterir. Lütfen telefonun kilidini açın.
15
Sonraki ekran, Android cihazlar için şiddetle tavsiye edilen bir adım olan cihazın köklenmesi ile ilgili
tüm bilgileri gösterir, çünkü çoğu durumda köklendirme, telefondan çok daha fazla veri sağlayacaktır.
Bir sonraki adım, kullanıcının USB kablosu ile telefonun Wi-Fi bağlantısı arasında seçim yapmasını
sağlar.
16
a) Kablo bağlantısı
Kablo bağlantı sihirbazının ilk ekranı kullanıcıdan telefon için uygun sürücüleri indirip yüklemesini
ister. Bu adım, telefonun programla doğru şekilde çalışması için kesinlikle gereklidir.
Sonraki birkaç ekran, düzgün bir çalışma bağlantısı için gerekli olan cihazdaki Geliştirici seçeneklerinin
nasıl etkinleştirileceği konusunda kullanıcıya rehberlik edecektir.
17
18
Geliştirici modunu etkinleştirdikten sonra "İleri" düğmesine tıklayın ve telefonda USB hata
ayıklamanın nasıl etkinleştirileceği hakkında sonraki birkaç adımla devam edin; bu, telefon ile
bilgisayar arasında dengeli ve çalışır durumda bir iletişim sağlar.
19
20
Android bağlantı sihirbazının son adımı kullanıcıdan RSA onayına izin vermesini ve PTP veya MTP
iletişim protokolünü seçmesini ister - iki seçenekten birini seçmek tamamdır. Bu şekilde
bağlandığında telefondan veri alınmayacağından, "Yalnızca şarj" ın seçilmemesi gerektiğini lütfen
unutmayın.
Telefon şimdi doğru şekilde bağlanmış olmalıdır. Başarılı bir şekilde bağlanmadıysanız, sihirbazın son
ekranı, telefonun MOBILedit Forensic Express'e bağlanmamasına neden olabilecek ipuçları
sunacaktır. Bu sayfa ayrıca daha ayrıntılı bir web kılavuzuna bağlantı sağlar.
21
b) Kablosuz bağlantı
Bir telefonu Wi-Fi ile bağlamak için, kullanıcının önce "Bağlayıcı Uygulaması" nı kurması
gerekir. Sihirbazın ilk birkaç adımı kullanıcıya nasıl indirileceğini ve onunla nasıl çalışılacağını söyler,
böylece uygun bir bağlantı kurulabilir.
22
IP adresi doğru bir şekilde doldurulduktan sonra, telefon bağlı olmalı ve giriş ekranında
görünmelidir. Değilse, sihirbazın son ekranı, telefonun MOBILedit Forensic Express'e bağlanmamasına
neden olabilecek ipuçları sağlayacaktır. Bu sayfa ayrıca daha ayrıntılı bir web kılavuzuna bağlantı
23
sağlar.
İPhone bağlantı sihirbazının ilk ekranı, veri kilidinin açılması için telefonun kilidinin açılmasının gerekli
olduğuna dair bir uyarı gösterir. Lütfen telefonun kilidini açın.
Sonraki ekran, iOS cihazları için şiddetle tavsiye edilen bir adım olan cihazın hapisten kesilmesi ile ilgili
tüm bilgileri gösterir, çünkü çoğu durumda jailbreak yapmak telefondan çok daha fazla veri
sağlayacaktır.
24
Bir sonraki adım, kullanıcının USB kablosu ile telefonun Wi-Fi bağlantısı arasında seçim yapmasını
sağlar.
Her iki bağlantı türü için de telefonun Otomatik Kilidinin kapalı olması gerekir. Kendisine rehberlik
etmek istediğiniz bağlantı türünü seçin.
25
26
a) Kablo bağlantısı
Kablo bağlantısı kullanırken iTunes'un en son sürümüne ve doğru sürücülerin yüklü olması
gerekir; ayrıca devam eden Apple Mobil Cihaz Hizmetini durdurmak gerekir (bununla ilgili daha
fazla bilgiyi ayrı bir kılavuzda ).
27
Telefonu bağlamanın son adımı, telefonun ekranında görüntülenecek olan güveni onayla düğmesine
basmaktır.
Telefon şimdi doğru şekilde bağlanmış olmalıdır. Değilse, sihirbazın son ekranı, telefonun MOBILedit
Forensic Express'e bağlanmamasına neden olabilecek ipuçları sağlayacaktır. Bu sayfa ayrıca daha
28
ayrıntılı bir web kılavuzuna bağlantı sağlar.
b) Kablosuz bağlantı
Bir iPhone'u Wi-Fi ile bağlamak için kullanıcının MOBILedit Uygulamasına ihtiyacı olacaktır. MOBILedit
uygulamasını App Store'dan ücretsiz olarak indirebilirsiniz. Sihirbazın ilk birkaç adımı kullanıcıya nasıl
indirileceğini ve onunla nasıl çalışılacağını söyleyecektir, böylece uygun bir bağlantı kurulabilir.
29
IP adresi doğru bir şekilde doldurulduktan sonra, telefon bağlanmalı ve bu giriş ekranında
görünecektir. Telefon şimdi doğru şekilde bağlanmış olmalıdır. Durum böyle değilse, sihirbazın son
ekranı, telefonun MOBILedit Forensic Express'e bağlanmamasına neden olabilecek ipuçları
sağlayacaktır. Bu sayfa ayrıca daha ayrıntılı bir web kılavuzuna bağlantı sağlar.
30
3. Windows Phone Telefon Bağlantısı
Bir Windows Phone bağlamak için, doğru sürücülerin bilgisayara yüklenmesi gerekir.Bağlantı
sihirbazının ilk ekranı, bu sürücüleri yükleme sürecinde kullanıcıya yol gösterecektir.
31
Telefon şimdi doğru şekilde bağlanmış olmalıdır. Değilse, sihirbazın son ekranı, telefonun MOBILedit
Forensic Express'e bağlanmamasına neden olabilecek ipuçları sağlayacaktır. Bu sayfa ayrıca daha
ayrıntılı bir web kılavuzuna bağlantı sağlar.
Diğer telefonları (özellikli telefonlar vb.) Bağlamak için bilgisayarda uygun sürücülerin yüklü olması
gerekir. Kılavuzun ilk ekranı kullanıcıya nasıl yapılacağını gösterecektir.
32
Telefonun bilgisayarla düzgün şekilde iletişim kurabilmesi için senkronizasyon modunda bağlanması
gerekir (lütfen 'yalnızca şarj' veya 'yığın depolama' olarak bağlamanın telefondan herhangi bir verinin
alınmasını devre dışı bırakabileceğini unutmayın).
Telefon şimdi doğru şekilde bağlanmış olmalıdır. Sihirbazın son ekranı değilse, telefonun MOBILedit
Forensic Express'e bağlanmamasının bir nedenini verebilecek ipuçları sağlayacaktır. Bu sayfa ayrıca
33
daha ayrıntılı bir web kılavuzuna bağlantı sağlar.
Cihaz başarılı bir şekilde bağlandıktan sonra MOBILedit, Yazılımın kullanımını kolaylaştıran otomatik
telefon algılama özelliğine sahiptir.
34
Cihaz hala bağlı görünmüyorsa, USB bağlantısını kontrol etmeniz ve MOBILedit web sitesinde bulunan
tercih edilen telefon sürücülerini yüklemeniz önerilir.
IOS :
İOS cihazını bağlarken, ekranda bir açılır mesaj olacak, "Güven" i seçin ve MOBILedit Forensics
programı ana sayfasında iOS cihazı bağlı görünür.
Android:
Bağlanırken, ekranda USB hata ayıklama açılır mesajını göreceksiniz, "İzin Ver" i seçin ve cihaz
MOBILedit Adli Tıp programı ana sayfasında bağlı olarak görünecektir.
35
ANDROİD CİHAZI ROOTLAMA
Adli analiz yapabilmemiz için cihazımızı root konumuna almamız gerekmektedir. Bunun için
cihazımızı root konumuna alıp incelememize başlayalım.
ROOTLAMAK NEDİR?
Özetle: Root yetkileri olmayan bir kullanıcı hesabı, cihaz üzerinde belirlenen
sistemsel bir çok şeyi değiştiremez. Android telefon ve tablet üreticileri root yetkilerini
kullanıcılara kapatarak cihaza tam kontrol sağlamamızı engelliyorlar. Genel deyim
olarak root yapma veya root atma işlemi aslında telefona veya tablete root yetkileri
sağlamak anlamındadır.
36
Android Telefonlara Root Atmanın Faydaları Nelerdir?
• Android telefon ve tabletin görünümünü kontrol etme imkânı sağlar.
• Çekirdeğin tam kontrolü, örneğin CPU ve GPU'nun hız aşırtma ve hız aşımına izin
verir.
• Uygulamaların yedeklenmesi, geri yüklenmesi veya toplu düzenlemesi veya birçok
telefonda önceden kurulmuş olan Bloatware'in kaldırılması da dahil olmak üzere tam
uygulama kontrolü verir.
• Köklü bir aygıtta ek denetim seviyelerine izin veren özel bir yazılım (ayrıca özel
ROM olarak da bilinir) yükleyebilme imkânı sunar.
• Rooting işlemi ile Android cihazı şekillendiren farklı ROM' lar kullanılabilir.
• Android telefon ya da tablete otomatik olarak yüklenmiş programlar Android root ile
silinebilir, gereksiz uygulamalar cihazdan kaldırılabilir.
• Sadece root iznine sahip uygulamaları cihaza yüklenebilir, rooting edilmiş cihazlara
uygun programlarla telefon ya da tablet yedeklenebilir.
• Telefonun veya tabletin yazılımına direk müdahale yapıldığı için birçok üretici bu
işlem sonuncunda cihazı garanti dışı bırakabilir. Ancak root edilmiş bir telefonu
servise göndermeden önce un-root denilen yöntemle eski haline getirmek birçok
telefonda mümkün.
• Root işlemi genelde basit ve sorunsuz bir işlem olsa da, deneyimsiz ve dikkatsizseniz
telefona kalıcı zarar verebilirsiniz.
• Root işlemi Türkiye’de kanuni bir engel yok ama bazı ülkelerde bu işlem yasak
olabilir.
• Root yapılmış bir telefona yazılımlar üreticiler tarafından otomatik gönderilmeyebilir
(OTA Update). Bu durumda internetten yeni yazılımı indirip kendiniz kurmanız
gerekir. Aslında bu durumu henüz ülkemize gelmemiş güncellemeleri herkesten önce
yükleme şansı elde ederek avantaja çevirebilirsiniz.
• Gelişigüzel uygulama yükleyen biriyseniz virüslü veya ajan tipi uygulamalar
yüklemişseniz telefona normalden daha fazla zarar verebilirler.
38
ANDROİD CİHAZIMIZI ROOT KONUMUNA ALMA İŞLEMLERİ
Adım 1: Cihaz ayarlarından GELİŞTİRİCİ SEÇENEKLERİ‘Nİ açın.
• Geliştirici seçeneğini açabilmek için öncelikle cihazının Ayarlar / Telefon Hakkında
/ Yazılım Bilgileri kısmına gidin.
• Burada Yapım Numarası kısmına Geliştirici Seçeneği Aktifleştirildi yazısı gelene
kadar tıklayın.
• Daha sonra Geliştirici Seçeneklerine gelip OEM KİLİT AÇMA ve USB HATA
AYIKLAMASI seçeneklerini aktif edin.
39
Adım 2: ODİN Uygulaması yardımıyla Cihaz modelinize uygun indirdiğiniz .tar.md5
TWRP dosyasını AP seçeneğinde belirtilen kısma ekleyiniz.
40
Adım 3: Telefonunuzu GÜÇ TUŞUNU kullanarak tamamen kapatın.
Ardından SES KISMA +ORTA TUŞ +GÜÇ TUŞLARINA (cihazdan cihaza farklılık
gösterebilir) birlikte basılı tutun DOWNLOAD MODU açılana kadar.
Download Modu açıldıktan sonra bir kez SES YÜKSELTME TUŞU yardımıyla işleme
devam ediyoruz.
41
Adım 4: Odin uygulamasında işlemi başlatmadan önce odin uygulamasında otomatik
başlatma seçeneğini kapatmamız lazım.
Bunun için OPTİONS kısmında bulunan AUTO REBOOT seçeneğini kaldırın.
42
Adım 6: TWRP yüklemesi bittikten sonra ODIN ekranında PASS yazısı belirtilecektir.
43
Ardından WİPE > FORMAT DATA seçeneklerine dokunuyoruz.
44
Şimdi ORTA TUŞ yardımı ile TWRP Ana Ekranına dönüyoruz.
Sırasıyla REBOOT >RECOVERY düğmelerine dokunuyoruz.
45
Cihazımıza ait depolama alanı kısmına indirmiş olduğumuz,
46
Ardından sırasıyla .zip uzantılı dosyalarımızın kurulumunu gerçekleştiriyoruz.
Magisk_v21.1.zip dosyasını seçip SWİPE TO CONFIRM FLASH butonunu sağa doğru sürüklüyoruz.
47
Şimdi geri dönüp aynı işlemi no-verify-no-encrypt_ashyx.zip dosyası içinde gerçekleştiriyoruz.
48
Adım 10: Şimdi ORTA TUŞA basıp TWRP ANA EKRANINA geliyoruz ve sırasıyla
REBOOT > SYSTEM düğmelerine dokunuyoruz.
Adım 11: Son olarak cihaz açılınca Dosya Yöneticisine girerek MagiskManager_v8.0.7.apk
uygulamasını yükleyin.
MagiskManager_v8.0.7.apk uygulaması bize ROOT yetkisini verecek uygulamadır.
49
CİHAZI UYGULAMAYA TANITMA
İnceleme yapacağımız uygulama olan MOBİL EDİT FORENSİC EXPRESS ana ekranı.
İnceleme işlemine başlayabilmek için START seçeneği ile bir sonraki adıma geçebiliriz.
Evet şuan burada cihazımız uygulama tarafından otomatik bir şekilde tarama işlemi ile belirleniyor.
50
Evet cihazımızın modeli otomatik olarak belirleniyor.
Aanaliz esnasında daha geniş bilgi elde edebilmek için ROOT işlemi uygulamamız işimizi kolaylaştırıp
daha fazla veriye ulaşmamızı sağlayacaktır.
51
CİHAZA FORENSİC CONNECTOR YAZILIMINI KURMA VE İZİN İŞLEMLERİ.
Telefonumuza aracı program yüklemek için bizden izin istemektedir.
52
FORENSİC CONNECTOR Uygulaması telefonumuza başarılı bir şekilde kurulmuştur.
53
54
Bağlantı başarılı bir şekilde gerçekleştirilmiştir.
Cihazımızı ROOT işlemi ile cihazda erişim sağlayacağımız tüm verilere cihaz tarafından onayda
verdikten sonra gerekli tüm izin işlemleri alınmış bulunmaktadır.
55
TELEFON VERİLERİ ÖN İZLEMESİ
Uygulama bize Phone data preview seçeneği ile inceleme yapacağımız cihaza ait PHONEBOOK ,
MESSAGES ,CAL LOGS ve ORGANİZER seçenekleri altında veriler sunacaktır.
56
Phonebook seçeneğinde inceleme yapacağımız cihazda bulunan kişilerin listesine ulaşmış olduk.
Messages seçeneği bize cihazın mesajlaşma uygulaması olan yani varsayılan mesajlaşma uygulaması
tarafından iletişime geçilen(Gönderilen –Alınan ) kişiler ile yapılan Mesajlaşma kayıtlarını
göstermektedir.
57
Call logs seçeneğinde yapılan aramaların kayıtlarını görüntülemiş olduk.
58
TELEFON VERİLERİNE GÖZAT
Bir sonraki seçeneğimiz olan Browse Phone seçeneği bize cihaz içeriğini görüntüleme imkanı
sağlamaktadır.
59
Fotoğraf dosyalarının bulunduğu konu olan Media klasörünü seçip işleme devam edelim.
60
Evet şuan WhatsApp resimlerinin bulunduğu klasöre erişmiş bulunmaktayız.
Herhangi bir resim dosyasına çift tıklamamız dosyayı görüntülememiz için yeterlidir.
Send klasöründe ise inceleme yapılan cihaz tarafından gönderilmiş resimlere erişebiliriz.
61
FİZİKSEL İMAJ OLUŞTURMA
Physical İmage Create seçeneği ile elimizde bulunan cihazın imajını oluşturabiliriz.
62
Evet imaj alma işlemimiz başlamış bulunmaktadır.
63
Evet cihazımıza ait imaj alma işlemi tamamlanmış bulunmaktadır.
Bir sonraki raporda ise bu imaj dosyasını farklı bir yazılım yardımıyla analiz edeceğim.
Evet ekranımızda da görüldüğü gibi imaj dosyamızda artık incelenebilecek bir formatta ekranımızda
bizlere seçenek olarak sunulmaktadır.
64
Görüldüğü gibi cihaz üzerinde yaptığımız analiz işlemlerini imaj dosyası üzerinde de bire bir aynısını
yapabilmekteyiz.
65
66
Artık telefon bağlantımızı da sonlandırabiliriz. Çünkü cihazımıza ait aldığımız imaj dosyası elimizde
bulunmaktadır.
İnceleme yapacağımız davalar da bizlere belirli sürelerde inceleme imkanı sağlandığı zamanlarda imaj
alarak işleme devam etmek hem pratiklik hem de bize gerekli izinler ile cihaz bulunmadan da daha
uzun zaman da inceleme imkanı sağlamaktadır.
Davalarda incelenecek cihaz sürekli fiziksel olarak elimizde bulunmayacaktır. Bu yüzden imaj alma
seçeneği bizlerinde sürekli kullanacağı bir işlem şeklidir.
67
68
69
İçe Aktarılacak Verileri Seçme
Verilerin her zaman doğrudan canlı bağlı bir cihazdan çıkarılması gerekmez. Ayrıca, çeşitli yedekleme
formatlarından veya diğer uyumlu dosya türlerinden birini yüklemek ve içeriklerini fiziksel aygıtın
varmış gibi işlemek de mümkündür.
MOBILedit Forensic, MOBILedit Forensic Express ve Phone Copier Express - Ürünlerimizin yerel
yedekleme formatıdır. Bir dışa aktarma işlemi gerçekleştirdiğinizde, çıktı biçimlerinden biri olarak
MOBILedit Yedekleme'yi seçebilirsiniz. Bu, daha sonra yüklenebilen ve farklı bir yapılandırma ile
yeniden işlenebilen bir mobiledit_backup.xml dosyası oluşturur.
Android ADB yedeklemesinin yüklenmesine izin verir. Yedek şifrelenmişse, parola girmeniz istenebilir.
70
3. iTunes backup folder (iTunes yedekleme klasörü)
Genellikle 40 karakterlik onaltılık kodla adlandırılan ve benzer şekilde adlandırılmış bir ikili dosya
kümesi içeren bir klasör biçimindeki iTunes yedeklemesini yüklemenizi sağlar. Genellikle bir iTunes
yedeklemesi şifrelenir, bu durumda parolayı girmeniz istenir.
Haritadaki GPS konumları, zaman damgaları, kamera modeli vb. Gibi tüm olası meta veriler için
fotoğraf ve video gibi medya dosyalarını analiz eder. ayrıca RAW ve H.265 ile yeni HEIF / HEIC. Ayrıca
ses dosyaları ve belgeler de analiz edilebilir. MOBILedit Forensic Express ayrıca videoları analiz eder
ve film şeridi oluşturur , böylece video oynatılmadan veya basıldığında anlaşılabilir. Tüm medya
dosyalarının zaman çizelgesi oluşturulabilir. Eğer varsa Kamera Balistik yüklü bir fotoğraf makinesi
analiz ya da değil gerçekten geliyorsa, o zaman bilgi alabilirsiniz.
Haritada görüntülenen GPS konumları, zaman damgaları, kamera modeli vb. Gibi tüm olası meta
veriler için fotoğraf ve video gibi sıkıştırılmış medya dosyalarını analiz eder. Standart JPG, PNG, GIF,
AVI, MP4, MKV gibi geniş medya formatları desteklenir. H.265 ile RAW ve yeni HEIF / HEIC analizlerini
de yapabilir. Ayrıca ses dosyaları ve belgeler de analiz edilebilir. MOBILedit Forensic Express ayrıca
videoları analiz eder ve film şeridi oluşturur , böylece video oynatılmadan veya basıldığında
anlaşılabilir. Tüm medya dosyalarının zaman çizelgesi oluşturulabilir. Eğer varsa Kamera Balistik yüklü
bir fotoğraf makinesi analiz ya da değil gerçekten geliyorsa, o zaman bilgi alabilirsiniz.
Eğer bir yaptık Fiziksel Resmi telefonunuzun bu seçmek için bir seçenektir. Diskinizdeki görüntüyü
bulun ve daha fazla veri bulunan canlı bir telefon gibi analiz etmeye devam edin.
Huawei yedeklemesinin yüklenmesine izin verir . Yedek şifrelenmişse, parola girmeniz istenebilir.
Bir Xiaomi yedeklemesinin yüklenmesine izin verir . Yedek şifrelenmişse, parola girmeniz istenebilir.
Bu seçenek, Samsung Smart Switch yedek dosyalarını MOBILedit Forensic Express'e yüklemenizi ve
analiz etmenizi sağlar.
71
Filtreler
72
C-)Metin dizesi kullanarak filtre (Highlight by text string)
73
VERİLERİ ÇIKARMA TÜRLERİ
Bu kısımda cihazımızı özel olarak inceleme yapmak için specific selection seçiyoruz. Bu kısımda
programın bize sunmuş olduğu alanlar üzerinde özel olarak inceleme gerçekleştirebiliyoruz.
74
Bu alanları sıralayacak olursak;
75
Applications list: Cihazdaki tüm uygulamaların isimlerini listeler.
Photo Recognizer: Bu modül, silah, uyuşturucu, çıplaklık, para ve belgeler gibi fotoğraflarda şüpheli
içeriği otomatik olarak bulur ve tanır. Fotoğraf Tanıyıcı sınırsız sayıda fotoğrafı hızlı bir şekilde analiz
etmek için yapay zeka ve derin makine öğrenimini kullanır ve fotoğrafların büyük veritabanlarındaki
anahtar delikleri manuel olarak aramak için harcanacak uzun süreyi ortadan kaldırmak üzere
tasarlanmıştır. Her fotoğraf kendi özel kategorisine yerleştirilir, böylece araştırmacı durumu iyi
organize edebilir ve şüpheli içeriği ayarlanmış bir raporda kolayca sunabilir.
Face Matcher: Bu önemli özellik, aradığınız kişilerin fotoğraflarını kolayca bulur. En yeni derin
öğrenme tekniklerine dayanan Yüz Eşleştirici, kullanıcıların telefonlarında sıklıkla bulunan büyük
boyutlu fotoğrafları bile hızla analiz eder.
Photos: Telefondaki resimleri gösterir.
76
Contacts analysis: Kişilerin analizi yapar.
Cookies: Telefondaki çerez bilgileri verir.
GPS locations: GPS konumları hakkında bilgi verir.
Notifications: Bildirimler ile ilgi bilgiler
Passwords: Kayıtlı şifreleri gösteririr.
77
Timeline: Hangi zaman aralıklarında neler yapılmış bunu zaman çizelgesi olarak verir.
Data extraction log: Veri çıkarma günlüğü verir.
Biz burada bizlere sunulan tüm seçenekleri seçip daha geniş çaplı bir analiz işlemi yapmak için işlemi
başlatıyoruz.
Davalara göre bu işlemler sadece istenen verinin elde edilmesi amacıyla davamıza uygun verinin elde
edileceği seçenek seçilip tarama işlemi de yapabiliriz.
Dava ve çekimlerinizi daha iyi takip edebilmek için Dava Ayrıntıları sayfasına Dava Ayrıntıları, Telefon
Ayrıntıları ve Araştırmacı Ayrıntılarını girebilirsiniz. Programı bir sonraki açışınızda girdiğiniz Dava
Ayrıntıları ve Araştırmacı Ayrıntıları sizin için kaydedilecektir.
78
Cihaza ve araştırmacıya ait bilgileri eksiksiz girmemiz gerekmektedir.
79
Camera Ballistics, belirli bir fotoğrafın belirli bir kamera tarafından çekilip çekilmediğini belirlemek
için benzersiz bir algoritmik yöntem kullanır. Bu özellik yalnızca geçerli Kamera Balistik Lisansı olan
kullanıcılar için geçerlidir ve her iki uygulamanın da aynı Windows kullanıcı profilini kullanarak aynı
makineye kurulması gerekir.
Cihaz yapımı, modeli, GPS, kamera ayarları, ortalama kare hatası, parmak izi varlığı sonucu, olasılık ve
korelasyon gibi tüm olası bilgiler kanıt olarak sunulmak için uygun, iyi tasarlanmış ve kapsamlı bir PDF
raporunda düzenlenecektir.
Sonuçlar, diğer tipik balistik testler gibi yorumlanmalıdır: cihazın parmak izlerinin izleri bulunursa, o
zaman bir fotoğrafın kameradan gelmesi olasılığı çok yüksektir. Bulunmazsa, belirli bir kameranın
görüntüyü yakalamak için kullanılmadığı anlamına gelmez. Bu, fotoğraflar çok fazla yeniden
boyutlandırıldığında veya düzenlendiğinde, parmak izi bilgilerinin zarar görmesi veya kaybolması
durumunda olabilir.
80
Oluşturulacak rapor formatını seçelim
81
Cihaz üzerinde başlatılan analiz işlemi başlamış bulunmaktadır.
82
İnceleme işlemi bittikten sonra rapor oluşturulmaktadır.
83
Evet cihazımız üzerinde belirlediğimiz kriterlere göre yapılan taramalar sonucu işlem başarılı bir
şekilde tamamlanıp raporumuzda oluşturulmuştur.
84
b-)Tam İçerik (Full Content)
Tam içerik seçeneğini belirlerseniz, mevcut tüm veriler yalnızca bir kez de olsa, raporda dışa aktarılır
ve listelenir. Verileri Zaman Çizelgesi gibi farklı bir biçimde tekrarlayan bazı bölümler
atlanacaktır. Tüm başvurular önemli miktarda zaman alabilecek şekilde analiz edilecektir. Tüm rapor
yapılandırması atlanacak. Bu seçenekle bir MOBILedit Yedekleme XML oluşturduğunuzda, gelecekteki
raporlar için fiziksel telefonu tamamen kaynak olarak kullanabilir. Ayrıntılı toplama ve daha fazla
seçenek için belirli seçim dışa aktarma işlevini kullanmamız daha sağlıklı olacaktır.
85
REPORTS kısmında sunulan seçeneklerden, oluşturacağımız raporun formatının türünü belirtiyoruz.
Birden fazla raporu aynı anda oluşturma imkanına da sahibiz.
Burada PDF REPORT seçeneği ile PDF türünde raporumun oluşturulmasını seçiyorum.
EXPORTS kısmında sunulan seçeneklerden, inceleme sonucu elde edilen verilerden dışa aktarılmasını
istediğimiz verilerin hangi türde dışa aktarılmasını belirtiyoruz.
Burada uygulamamıza özgü format olan MOBILedit export formatı ile dışa aktarma işlemi yapılmasını
seçiyorum.
Dışa aktarılacak verinin ADI ve kaydedileceği konumu belirtip işleme devam ediyorum.
86
Yedekleme işlemi için OK seçeneği ile izin verip işleme devam ediyoruz.
Analiz işlemi ile birlikte rapor oluşturma işleminin sorunsuz bir şekilde devam ettiğini görüyoruz.
87
FULL CONTENT seçeneği ile verileri çıkarma işlememiz başarılı bir şekilde sona ermiştir.
Şimdi elde edilen verilere ve oluşturulan rapora geçip analiz işlemimize devam edelim.
88
FULL CONTENT SEÇENEĞİ İLE ELDE EDİLEN VERİLERİN ANALİZİ
Elde edilen verilerin boyutunun 3.71GB olduğunu içerik olarak ise 2,449 Klasörden 11,362 Dosya elde
edilmiş bulunmaktadır.
89
DIŞARI AKTARILAN VERİLERİN ANALİZİ
İnceleme esnasında mobiledit_export_files türünde dosyaların dışarı aktarılmasını belirtmiştik.
HASH değeri dosyanın değiştirilip değiştirilmediğini analiz edebilme ve kanıtlama adına oldukça
önemlidir.
90
EXPORT edilen bir diğer dosyamız PHONE (Telefon) verilerimiz.
91
Misc klasörü altında elde edilen verilerin analizi ile işlemimize devam edelim.
Analyzers klasöründe ise daha farklı uygulamalara ait farklı isimlerde farklı İCON’lar bulunmaktadır.
92
Raw verilerinin analizi
Birincil veriler olarak da adlandırılan RAW Veriler kaynaktan alınan ham veriler olarak
adlandırılmaktadır.
Evet burada bize raw0 ve raw3 klasörleri adı altında veriler sunulmaktadır.
93
Aynı şekil raw3 sekmesi altında da bizlere veriler sunulmaktadır.
WHATSAPP üzerinden gönderilen bir çok dökümânı elde etme imkânı buldum.
Burada bizler için önemli olan ve en çok ilgilendiren kısım bu dökümanların tümünü cihaz üzerinde
silinmiş olmasına rağmen görüntülüyor olabilmemiz.
94
Phone seçeneği adı altında bizlere sunulan verilerden son olarak phone_image.png dosyası bize cihaz
resmini sunmaktadır.
95
Export edilen dosyalardan bir diğeri ise wizard_screenshots verileri .
Bu verilerde ise verileri çıkarma işlemi yaptığımız sırada seçmiş olduğumuz seçeneklerin sırasıyla
Ekran Görüntüleri alınmış olduğu görülmektedir.
Burada alınan ekran görüntüleri FULL CONTENT seçeneği ile verileri çıkarma işlem yaparken işlem
sırasına göre alınan ekran görüntüleridir.
96
XSD Verilerinin analizi.
XSD veri ,XML dosyalarında taşınan verilerin nasıl yorumlanacağını tanımlayan dosyadır.DTD
dosyalarının eksikliğini gidermek üzere geliştirilmiştir.
Evet burada da gözüktüğü gibi adlandırma da yapıldığı zaman XML dosyası türü kullanılmaktadır.
97
PDF DOSYALARIN ANALİZİ
MOBİL EDİT FORENSİC EXPRESS yazılımı ile incelenmesi istenen verilerin analizinin yapılmasının
ardından oluşacak rapor dosyalarının türünün PDF olarak oluşturulmasını istemiştik şimdi bakalım
pdf_files seçeneğinde bize ne gibi veriler sunulmuş bulunmaktadır.
98
Evet CSS klasörü altında elde edilen veriler HTML bir sayfanın görüntüleneceği ayarlara ait bilgileri
sunar.
99
Fonts seçeneğinde ise cihazda kullanılan yazı türlerinin ayarlarına ait verileri bizlere sunmaktadır.
100
MapView seçeneği altında elde edilen verileri yorumlayacak olursak;
Location.log uzantılı dosyamıza ait konum bilgileri yukarıdaki örnekte de görüldüğü gibi
koordinatlarına kadar bildirilmiştir.
101
Export edilen veriler seçeneğinde elde edilen veriler burada da aynı şekilde gözükmektedir.
Bu verilerde ise verileri çıkarma işlemi yaptığımız sırada seçmiş olduğumuz seçeneklerin sırasıyla
Ekran Görüntüleri alınmış olduğu görülmektedir.
Export edilen veriler seçeneğinde elde edilen veriler burada da aynı şekilde gözükmektedir.
FİLEHASHES.CSV dosyası analiz işleminde export edilen dosyalara ait hash değerlerini bize verir.
HASH değeri dosyanın değiştirilip değiştirilmediğini analiz edebilme ve kanıtlama adına oldukça
önemlidir.
102
Log Kayıtları Analizi
İlk olarak log_full.txt adında bir LOG Kayıtlarının tutulduğu bir dosya ile karşılaşmaktayız.
Burada inceleme işlemi sırasında yapılan tüm işlemler kayıt altına alınmış bulunmaktadır.
Bir diğer LOG kayıtlarına ait dosya olan log_short.txt dosyası ise bize bu kayıtları daha kısa bir şekilde
göstermektedir.
103
.XML Dosya Analizi
Xml dosya uzantısına sahip bir dosya, Genişletilebilir İşaretleme Dili (XML) dosyasıdır.
104
YAPILANDIRMA DOSYASI ANALİZİ
Report_configuration.cfg dosyası içeriğine bakmadan önce ;
Burada da görüldüğü gibi FULL CONTENT (Tam Tarama )seçeneği ile işlemler yapmış bulunmaktayız.
105
OLUŞTURULAN RAPOR DOSYASI (REPORT.PDF) ANALİZİ
MOBİL EDİT FORENSİC EXPRESS yazılımının bize sunmuş olduğu ,yapmış olduğumuz işlemlere ait tüm
sonuçlara ait ve istediğimiz formatta rapor çıktısı olan Report.pdf raporumuza geçelim.
Bize rapor olarak sunulan Report.pdf dosyası 1207 sayfa olarak sunulmuştur.
Şimdi raporda bizler için önemli olan bilgileri analiz ederek yorumlama işlemine geçelim.
106
CASE İNFORMATİON
Raporumuzun ilk sayfasında ;
Investigator Informatıon kısmında bize inceleme yapan kişiye ait bilgiler sunulmaktadır.
107
CASE İnformation kısmında bize davamıza ait belirlemiş olduğumuz bilgiler gözükmektedir.
Cihazımıza ait resim dosyasının yanında verilen bilgiler daha detaylı bilgilerdir.
Cihaz modeli , işletim sistemi , kullanılan sürüm ,seri numaramız , imeı numaramız,cihaz root
durumu ,cihaz içinde sim kartı var mı ve varsa hangi operatörden destek alındığı bilgileri
sunulmaktadır.
108
Devıce Properties seçeneğinde cihazımıza ait daha detaylı verilere erişme imkânı bulmuş olacağız.
Bir önceki sayfada incelediğimiz verilere göre daha detaylı cihaz bilgileri elde etmiş olduk.
Cihaz depolama kapasitesi, doluluk oranı,bluetooth adresi vb. birçok detaya burada erişme imkânı
bulduk.
109
Table of Contents
Cihaz ,dava ve inceleme yapan kişiye ait bilgileri yorumladıktan sonra bizleri içindekiler kısmı
karşılıyor.
Uygulamanın sunmuş olduğu bu raporun oldukça düzenli ve de detaylı bir rapor olduğunu
söylememiz lazım.
110
Screenshots of Report Settings
Ekran görüntüleri ve Rapor ayaları kısmında bize alınan ekran görüntülerini ve rapor oluşturma
ayarlarına ait bilgileri sunmaktadır.
111
SUMMARY (ÖZET)
Summary kısmında bize özetle elde edilen veriler hakkında bilgi vermektedir.
Raporumuzun tüm sayfalarının üst kısmında dava ya ait bilgiler eklenmiş bulunmaktadır.
112
ACCOUNTS(Hesaplar)
Accounts kısmında uygulamalarda kullanmış olduğumuz hesaplar ve hesap bilgileri görülmektedir.
Source file kısmında ise bu bilgiye ait kaynak dosyanın bulunduğu kısmı görmekteyiz.
113
CONTACTS(KİŞİLER)
CONTACTS kısmında bize cihazda bulunan kişilere ait listeyi sunmaktadır.
3 numaralı kısımda ise son görüşme zamanı ve son değiştirilme bilgisi sunulmaktadır.
114
MESSAGES(MESAJLAR)
Messages kısmında bize mesajlaşma bilgilerini sunmaktadır.
4 numaralı alan da mesajı gönderen kişiyle son olarak etkileşime geçilen zaman bilgisi verilmektedir.
115
DETAİLED MESSAGES(Detaylı Mesajlar)
Detailed Messages kısmında mesajların içeriğine daha detaylı bir şekilde ulaşabiliyoruz.
116
CALLS(Yapılan Konuşmalar)
CALLS seçeneği ile elde edilen veriler bize yapılan aramalara ait verilerin listesini sunmaktadır.
1 numaralı alanda elde edilen veride 533 konuşma gerçekleştiğini görüyoruz. Bu konuşmalar bizler
için önemli verilerdir çünkü dava incelerken suç teşkil edecek bir konuşmaya ait verilere buradan
ulaşmaktayız.
117
ORGANİZER
Organizer seçeneğinde ise bize cihazda kayıt edilen organizasyon listesini verir.
118
APPLİCATİONS(UYGULAMALAR)
APPLİCATİON LİST(Uygulama Listesi)
İnceleme yaptığımız uygulamaların listesi burada bize sunulmaktadır.
119
Cihazda bulunan tüm uygulamalara ait verilerin bulunduğu kısımdır. Burada bize cihazda 352
uygulama ve service kurulu olduğu bilgisi sunulmaktadır.
120
8 numaralı alanda sertifika dosyalarını,
121
UYGULAMALARDAN ELDE EDİLEN DİĞER MEDYA DOSYALARI
A-)DOCUMENTS(BELGELER)
Cihazımızda bulunan uygulamalara ait diğer medya dosyalarına ait verilerin analizini yapmakla
incelememize devam edelim.
Eula.txt adında aynı isimli 2 farklı boyutta farklı içerikte dosya bizi karşılamaktadır.
122
Burada elde edilen eula.txt dosyaları; oyunlar ve programların çalışmaları için gerekli kurulum
dosyalarıdır.
123
Elde edilen doküman dosyalarını incelemeye devam edelim.
SENT bilgisi ise bize dosyanın inceleme yapılan cihaz tarafından gönderildiği bilgisini sunmaktadır.
124
Dosyanın içeriğini görüntüleyecek olursak.
125
B-)İMAGES(GÖRÜNTÜLER)
İnceleme yapılan cihazda elde edilen görüntülere ait dosyalara bakalım.
Bu görüntünün bize twitter uygulaması üzerinden elde edilmiş bir görüntü olduğunu görmekteyiz.
Bu iki bilgiden yola çıkacak olursak Modified ve Accessed tarihlerinin aynı olması dosyanın
değiştirilmediği bilgisini sunmaktadır.
Dosyanın boyutu:4,99Kb
Büyüklüğü:128*128
126
Elde edilen görüntülerinin analizine devam edelim.
Bu görüntünün bize telegram uygulaması üzerinden elde edilmiş bir görüntü olduğunu görmekteyiz.
Bu iki bilgiden yola çıkacak olursak Modified ve Accessed tarihlerinin aynı olmaması dosyanın
değiştirildiği bilgisini sunmaktadır.
Dosyanın boyutu8,00Kb
Büyüklüğü:160*160
127
C-)AUDİO FİLES(SES DOSYALARI)
Uygulamalar üzerinde elde edilen verilerden bir diğer verimiz SES Dosyalarına ait veriler.
Uzunluğunun 9 sn olduğu,
Elde edilen dosyamız sorunsuz bir şekilde çalışmaktadır fakat bize dosyanın 9 sn olduğu bilgisi
verilmesine rağmen dosyamızın 8sn elde edilmesi bizler için dosyanın değiştirilme ihtimali
olduğunu düşündürmektedir.
128
D-)VİDEO FİLES(VİDEO DOSYALARI)
Uygulamalar üzerinde elde edilen verilerden bir diğer verimiz VİDEO Dosyalarına ait veriler.
Dosyanın cihaza indirildiği tarih olarak 12.06.2020 tarihini söylememiz doğru olacaktır.
129
FİLES(DOSYALAR)
A-)INTERNAL FİLES(DAHİLİ DOSYALAR)
Cihazda bulunan kurulum ve konfigürasyon ayarlarının bulunup saklandığı tüm dosyalar burada
bulunmaktadır.
130
Uiderros.txt dosyasını çalıştırıp içeriğini inceleyelim.
Sistem dosyalarında bulunan veriler kurulum ve log kayıt dosyaları gibi de yorumlanabilir.
/phone/raw0/data/data/com.compelson.mefconnector/files/
131
B-)EXTERNAL FİLES(DIŞ DOSYALAR)
Cihazımıza dış kaynaklar yardımıyla dahil ettiğimiz dosyalara burada erişme imkanı sağlayacağız.
132
Bulunan resimlerden herhangi birini seçiyoruz.
133
Farklı bir dosyamızı daha inceleyelim.
Evet uygulamayı sorunsuz bir şekilde indirdik android bir cihaz üzerinde çalıştırabiliriz.
134
Evet farklı bir dosyamızı daha inceleyelim.
Bizim için oldukça önemli veri olan LOG Kayıtlarının bulunduğu dosyaların bulunduğu kısımdan ,
Notification_log dosyasını çalıştıralım. Burada bizlere bildirimlere ait LOG kayıtlarının bulunduğu log
dosyasını sunmaktadır.
Hayat eve sığar uygulamasına ait bildirim ayarları ve log kayıtları kısmı.
135
CONTACT ANALYSİS (TEMAS ANALİZİ)
Temas kurulan kişilere ait bilgilerin analiz edileceği bu veriler bizim için oldukça önemlidir.
Bir davada suçlu kişinin temasa geçtiği kişiler ile kurulan tüm temasların analiz verilerdir.
1 numaralı kısımda iletişime geçilen kişinin Mehmet olduğunu ve en çok iletişime geçilen kişi
olduğunu görüyoruz.
5 numaralı alanda yapılan çağrıların daha detaylı bir şekilde sonuçlarını görmekteyiz.
136
COOKİES (ÇEREZLER)
NEDİR COOKİE VERİLERİ ?
Çerezler, bir bilgisayar ağını kullanırken bilgisayarınızı tanımlamak için kullanılan, kullanıcı adı ve
parola gibi küçük veri parçalarına sahip metin dosyalarıdır. Bir tanımlama bilgisinde saklanan veriler,
bağlantınız üzerine sunucu tarafından oluşturulur. Bu veriler, size ve bilgisayarınıza özel bir kimlikle
etiketlenir.
137
LOCATİONS (KONUMLAR)
Cihazda bulunan konum bilgilerine bakalım.
138
Harita üzerinde elde edilen bilgiyi görüntüleyelim.
Cihazda bulunan konum verilerine ait bilgileri yorumlayacak olursak bu konumlar bizi suçlu kişinin
bulunduğu konumları belirterek daha sonra bu konumlara erişmek isterse yakalamak için önemli
bir veridir.
139
SCREEN UNLOCKİNG HİSTORY(Ekran Kilidi Geçmişi)
Ekran kilidini açma geçmişine ait bilgiler yardımıyla cihazımızın ekran kilidinin açılma ve kapanma
zamanına ait bilgilere ulaşabiliriz.
140
SIM CARD
Cihazda takılan cihazda bulunan SIM kartına ait verilerin analizi ile inceleme işlemimize devam
edelim.
CONTACTS(Kişiler)
Sim kartında kayıtlı kişilere ait verilerin bulunduğu kısımdır.
86 kişinin ise sim kartında kayıtlı olduğu ve bu kişilere ait verileri görüntülemekteyiz.
141
WİFİ NETWORKS (KABLOSUZ AĞLAR)
Evet raporumuzda bulunan verilerden son verimiz ise cihaz üzerinden kablosuz bağlantı
gerçekleştirilen ağlara ait bilgilerdir.
Bu verileri görüntüleyelim.
Kablosuz olarak 62 farklı ağa bağlantı yapıldığını ve bu ağlara ait SSID verilerini görüntülemiş
bulunmaktayız.
142
APPLİCATİON ANALYSİS(UYGULAMA ANALİZİ)
İletişim kurmak ve paylaşmak için uygulamaların kullanımı hızla büyüdü. Birçok uygulama
her gün yayınlanır veya güncellenir. Uygulamaların analizinin mümkün olduğu kadar çok
kanıt elde etmek için hayati olduğu açıktır. Bu MOBILedit Forensic Express’in en güçlü
noktasıdır,büyük bir kısmını özellikle uygulama analizi için aramamıza imkan sağlar.
Her uygulama için mevcut olan en fazla veriyi, özellikle de silinen verileri kurtarmanızı
sağlamak için uyarlamalı ve derinlemesine yöntemler kullanmaktadır.
Veriler anlam bakımından analiz edilir, böylece bir not, bir fotoğraf, bir video veya iletilerin
akışını bir mesaj olarak görmeyi sağlar.
>Cihazımızın bağlantısını sağladıktan sonra APPLİCATİON ANALYSİS seçeneğini seçip
NEXT seçeneği ile Uygulama Analizi işlemine başlıyoruz.
143
İNCELENECEK UYGULAMALARIN SEÇİMİ
Evet cihazımızda bulunan uygulamalara ait verilere ulaşmış bulunmaktayız.
144
Adli incelemelerde bizler için soruşturmaya hız kazandırmak amaçlı inceleme yapılacak
belirli uygulama seçilerek analiz yapılacağı gibi tüm uygulamaları seçerek analiz yapmak ta
bilmediğimiz bir kaynaktan veri elde etmek açısından oldukça önemlidir.
Çıkarılacak sonuçları kıyaslamak amacı ile önce bir uygulama seçerek analiz işlemi yapmaya
başlayalım.
Bunun için elde edilen uygulama listesi üzerinden İNSTAGRAM uygulamasını NEXT
seçeneği ile işleme devam edelim.
145
DAVAMIZA AİT BİLGİLERİ GİRME
Report Settings kısmında oluşturacağımız raporumuzda hangi zaman, dil vb. alanlarda hangi
formatların kullanılacağını seçiyoruz.
Show data sources seçeneğini aktif ederek elde edilen verinin kaynak dosyasına erişim
sağlayabiliriz.
Clutter Filtering seçeneği ise bizlere elde edilen verilerin filtrelenmesini sağlayarak
oluşsacak dağınıklığı düzenlemeyi sağlar.
Kendi konumumuza ve davanın incelenmesi esnasında kullanmamız gereken formatlara
uygun şekilde rapor hazırlamamız gerektiğini unutmayalım.
Case Details kısmında davamıza ait bilgileri girerek hangi alanda hangi incelemeyi
yaptığımızı belirtmemiz hem anlaşılırlık hem de inceleme sonucunda elde edilen verilerin
düzenli bir şekilde sınıflandırılmasını sağlar. Bu da raporlama işlemini başarılı şekilde
yorumlamamıza imkân sağlar.
146
OLUŞTURULACAK RAPOR VE DIŞA AKTARILACAK VERİ FORMATLARINI
BELİRLEME
147
MEDYA ANALİZİ(CAMERA BALLİSTİCS)
Camera Ballistics, belirli bir fotoğrafın belirli bir kamera tarafından çekilip çekilmediğini
belirlemek için benzersiz bir algoritmik yöntem kullanır.
Bu özellik yalnızca geçerli Kamera Balistik Lisansı olan kullanıcılar için geçerlidir ve
her iki uygulamanın da aynı Windows kullanıcı profilini kullanarak aynı makineye
kurulması gerekir.
Cihaz yapımı, modeli, GPS, kamera ayarları, ortalama kare hatası, parmak izi varlığı sonucu,
olasılık ve korelasyon gibi tüm olası bilgiler kanıt olarak sunulmak için uygun, iyi tasarlanmış
ve kapsamlı bir PDF raporunda düzenlenecektir.
Sonuçlar, diğer tipik balistik testler gibi yorumlanmalıdır: cihazın parmak izlerinin izleri
bulunursa, o zaman bir fotoğrafın kameradan gelmesi olasılığı çok yüksektir. Bulunmazsa,
belirli bir kameranın görüntüyü yakalamak için kullanılmadığı anlamına gelmez. Bu,
fotoğraflar çok fazla yeniden boyutlandırıldığında veya düzenlendiğinde, parmak izi
bilgilerinin zarar görmesi veya kaybolması durumunda olabilir.
148
EXPORT EDİLECEK VERİLERİ ADLANDIRMA VE KAYDEDİLECEĞİ KONUMLARI
BELİRLEME
Acquring Data bilgisi bize verileri elde etme işlemine başladığını bildirmektedir.
149
Burada bize elde edilen verilerin belirlediğimiz konuma yedeklenmesini istediğimiz de OK
seçeneği ile Yedekleme işlemini başlatabiliriz.
İlerleme durumunu gösteren ekranımızın sağ kısmında bize yapılan inceleme işlemine ait elde
edilen veriler, alınan hatalar vb. adım adım tüm bilgiler gözükmektedir.
Bu bilgiler bize raporumuzda da sunulmaktadır.
150
Son olarak incelemeye ait tüm detayların belirtildiği ve yapılan analiz işlemini ait
Raporumuz oluşturulmaktadır.
151
İNCELEME SONUCU ELDE EDİLEN VERİLERİN ANALİZİ
MOBİL EDİT FORENSİC EXPRESS yazılımının bize sunmuş olduğu ,yapmış olduğumuz işlemlere ait tüm
sonuçlara ait ve istediğimiz formatta rapor çıktısı olan Report.pdf raporumuza geçelim.
Investigator Informatıon kısmında bize inceleme yapan kişiye ait bilgiler sunulmaktadır.
152
CASE İnformation kısmında bize davamıza ait belirlemiş olduğumuz bilgiler gözükmektedir.
Cihazımıza ait resim dosyasının yanında verilen bilgiler daha detaylı bilgilerdir.
Cihaz modeli , işletim sistemi , kullanılan sürüm ,seri numaramız , imeı numaramız,cihaz root
durumu ,cihaz içinde sim kartı var mı ve varsa hangi operatörden destek alındığı bilgileri
sunulmaktadır.
153
Applications(1) seçeneğinde incelenen uygulamanın 1 adet olduğunu bildirmektedir.
154
1 numaralı alanda bizlere android izinlerine ait dosyaları göstermektedir.
5 numaralı alan ise geçen hafta kullanım süresinin 1 gün 11 saat 15 dk olduğunu bildirmektedir.
155
ACCOUNTS (HESAPLAR)
Burada inceleme yapılan uygulamadan elde edilen hesaplar gözükmektedir.
Kullanıcı ID:44210171998,
156
Kullanıcı resmimin:
Verified: 0 Hesabın doğrulanmamış bir hesap olduğu yani İnstagram ile iletişim kurarak hesabın
onaylı bir hesap olmadığını bilgisine ulaşmaktayız.
Number of Besties: 0 Buradan kullanıcın yakın arkadaş kısmına eklediği kimsenin olmadığını,
Source File kısmında ise erişilen bilgilere ait kaynak dosyanın konumunu göstermektedir.
157
MEDİA FİLES (MEDYA DOSYALARI)
Uygulama üzerinden elde edilen dosyalar burada bizlere sunulmaktadır.
158
Bu elde edilen dosyaları daha yakından inceleyelim.
1 numaralı kısımda elde edilen Path bilgisi: Elde edilen dosyanın analiz ekranına getirildiği DOSYA
YOL’u bilgisi gözükmektedir.
hone/misc/analyzers/com.instagram.android_webkit_cached_media_files/chromium_cache/
data/_17102.jpeg
2 numaralı kısımda
159
GLOBAL NOTİFİCATİONS
İnceleme yapılan uygulamaya ait hesap üzerinden alınan bildirimleri gösterilmektedir.
Burada hesabın muthisyazar adlı kullanıcı tarafından bir yorumda bahsedildiği bilgisi verilmektedir.
İnceleme yaptığımız cihaz da bulunan hesaba gönderilen takip istekleri ve gönderisi beğenilen
hesaplarda burada gözükmektedir.
160
RECENT SEARCHES(YAPILAN ARAMALAR)
İnceleme yapılan uygulama üzerinde bulunan hesap verilerinin analizine devam etmekteyiz.
161
CHATS(SOHBETLER)
İnceleme yapılan uygulama üzerinde bulunan hesap verilerinin analizine devam etmekteyiz.
Received kısmında alınan mesajları ve sohbet edilen hesaba ait bilgiler gözükmektedir.
162
CONTACTS(İLETİŞİMLER)
İnceleme yapılan uygulama üzerinde bulunan hesap verilerinin analizine devam etmekteyiz.
Contacts kısmında İNSTAGRAM üzerinden _suattas23 hesabına ait iletişim listesi gözükmektedir.
163
VİSİTED(Ziyaret Edilen Gönderiler)
İnceleme yapılan uygulama üzerinde bulunan hesap verilerinin analizine devam etmekteyiz.
164
Ziyaret edilen gönderinin içeriği ;
165
OTHER MEDİA FİLES
İnceleme yapılan uygulamada elde edilen diğer medya dosyaları burada listelenmektedir.
İMAGES(GÖRÜNTÜLER)
İmages kısmında görüntü dosyalarına erişmekteyiz.
166
AUDİOS(SESLER)
Audio kısmında ses dosyalarına erişmekteyiz.
167
VİDEOS(VİDEOLAR)
Video kısmında Video dosyalarına erişmekteyiz.
168
DOCUMENTS(DÖKÜMANLAR)
169
FİZİKSEL İMAJ OLUŞTURMA
Physical İmage Create seçeneği ile elimizde bulunan cihazın imajını oluşturabiliriz.
170
Evet imaj alma işlemimiz başlamış bulunmaktadır.
171
Evet cihazımıza ait imaj alma işlemi tamamlanmış bulunmaktadır.
İmaj dosyamıza ait büyüklük ise 29GB’dır.
Buradan şu yoruma da erişebiliriz cihazımın hafızası 32GB’dır.
Evet ekranımızda da görüldüğü gibi imaj dosyamızda artık incelenebilecek bir formatta
ekranımızda bizlere seçenek olarak sunulmaktadır.
172
Görüldüğü gibi cihaz üzerinde yaptığımız analiz işlemlerini imaj dosyası üzerinde de bire bir
aynısını yapabilmekteyiz.
173
CİHAZIMIZA AİT ALINAN İMAJ DOSYASINI İNCELEME
Şimdi cihazımıza ait oluşturulan imaj dosyasını farklı bir yazılım olan AUTOPSY yazılımı
ile inceleyelim.
Autopsy ®, bir dijital adli tıp platformu ve The Sleuth Kit® ve diğer dijital adli
tıp araçlarına yönelik grafik arayüzdür. Bir bilgisayarda ne olduğunu araştırmak için kolluk
kuvvetleri, askeri ve kurumsal denetçiler tarafından kullanılır. Hatta kameranızın hafıza
kartındaki fotoğrafları kurtarmak için bile kullanabilirsiniz.
Uygulama açıldığında karşılaşacağımız ekran bize;
Yeni dava oluşturma ve daha önceden oluşturulan davayı açma gibi seçenekler sunmaktadır.
Bizler burada New Case seçeneği ile Yeni Dava oluşturuyoruz.
Oluşturulan dava dosyamıza ait bilgileri ve incelemeye ait oluşturulan Autopsy yazılımımıza
ait .aut uzantılı dosyamızın kaydedileceği konumu belirtip işleme devam ediyoruz.
174
Case bilgilerimizi girdikten sonra İnceleme yapacak kişiye ait bilgileri de ayrıntılı bir
şekilde belirterek işlemimize devam edelim.
175
Eklenecek olan verilere ait dosyaların türünü seçerek uygun olan veri kaynak dosyasını
ekleyeceğiz.
Elimizde imaj dosyası bulunduğu için Disk İmage or WM File seçeneğini aktif ederek imaj
dosyamızı ekleyebiliriz.
Data source kısmında incelenecek İmaj dosyamızı ekleyerek inceleme işlemine devam
ediyoruz.
176
Mobil Edit Forensic Express yazılımı ile oluşturulan Samsung Galaxy J7 2017.img imaj
dosyamızı seçiyoruz.
177
İnceleme esnasında çalışmaların yapılması istenen verilere ait başlık dosyaları gözükmektedir.
Ben detaylı bir arama yapılmasını istediğim için tüm seçenekleri aktif ederek inceleme
işlemini başlatıyorum.
178
Veri kaynakları da başarılı bir şekilde eklenmiştir.
Bu işlemler yapılırken oluşturulan LOG kayıtlarımızı bizlere yazılımımız sunmaktadır.
179
İmaj dosyamıza ait dava dosyamızı oluşturup, gerekli imaj dosyalarımızı veri kaynağı olarak
belirttikten sonra Autopsy yazılımımız bizler için gerekli analiz işlemlerini yapmaktadır.
Burada amaç; elde edilecek sonuçların daha detaylı ve bölümlerine ayrılmış bir şekilde
sunulabilmesidir.
180
Elde edilen verilerin analizi de başarılı bir şekilde yapılıp sonuçlar elde edilmiştir.
Sol üst kısımda davamıza ait case dosyamız oluştuğunu ve de elde edilen sonuçlar ekranın sağ
kısmında kaynak dosyalarına göre ve elde edilen dosyalarında bulunduğu konumlar
belirtilerek listelenmiştir.
Elde edilen tüm verilerin detaylarına bakarak yorumlama işlemine geçebiliriz.
181
Elde edilen tüm verilerimiz ekranımızın sağ kısmında listelenmiş bulunmaktadır.
182
Data Sources(Veri Kaynakları)
Data Sources kısmında veri kaynağımızda bulunan tüm veriler listelenmektedir.
Aşağı açılan tüm alt klasörler veri kaynağımızda elde edilen verilerin bölümlerine ayrılmış
formatıdır.
Wiews seçeneği ile elde edilen verileri görüntüleyelim.
İlk alt klasörümüzde File Types yani dosya tiplerine uygun formatta elde edilen veriler
ayrılmış bulunmaktadır.
Burada bize İmages(5224) bilgisi 5224 Görüntü dosyasının bulunduğunu bildirmektedir.
Video dosyası incelemeler sonucunda elde edilemezken,
350 Ses dosyası,
883 Arşivlenmiş dosyamız ve
509 dosya da veritabanı dosyasıdır.
183
İmages Files(Görüntü Dosyaları)
Bu elde edilen görüntü dosyalarını görüntülemek istersek görüntüyü seçmemiz yeterlidir.
Bu elde edilen görüntüye sağ tıklayıp Export File seçeneği ile dosyayı hem elde edip hem de
farklı incelemelerde kullanmak üzere inceleyebiliriz.
184
Kaydedileceği konum seçerek kaydedelim.
185
Audio Files(Ses Dosyaları)
Elde edilen ses dosyalarımızda başarılı bir şekilde gözükmektedir.
Bu dosyaların çalışma durumunu kontrol edelim.
186
Dosyamızı Export ederek çalıştıralım.
187
Archive Files(Arşiv Dosyaları)
Aynı şekil de elde edilen Archive dosyalarımızı da inceleyelim.
188
Başarılı bir şekilde dışa aktarılan dosyamızı çalıştıralım.
189
Databases(Veritabanı Dosyaları)
Aynı şekil de elde edilen Database(Veritabanı)dosyalarımızı da inceleyebilmekteyiz.
190
Documents(Belgeler)
Documents sekmesinde elde edilen veriler türlerine göre ayırarak bizlere sunulmuş
bulunmaktadır.
Bu doküman dosyalarına yakından bakacak olursak;
191
Pdf uzantılı 21 dosya,
Bu elde edilen tüm verileri Export seçeneği ile dışa aktararak dosyaya ulaşma imkânı
bulunmaktadır.
192
Executable Files(Çalıştırabilir Dosyalar)
Çalıştırılabilir dosyalarımızda uzantısına uygun bir şekilde listelenmiş bulunmaktadır.
40 .dll ve 1 adet .com uzantılı dosyamızı incelenmek üzere elde edilmiş bulunmaktadır.
193
By MIME Type
Elde edilen dosyalarımız dosya türlerine ve uzantılarına göre daha detaylı bir şekilde By
MIME Type kısmında detaylı olarak listelenmiştir.
Adli incelemelerde bu formatta ayrılmış olması bizlere dava dosyasını incelerken hem
vakitten hem de aranılan dosyaya ulaşmaya konusunda avantaj sağlamış olur.
194
Deleted Files(Silinen Veriler)
Burada silinen verilerin sayısının 5536 olduğu ve bu verilerin 4923 tanesinin Dosya Sistem
dosyaları olduğu söylenmektedir.
195
Silinen verilerden herhangi bir dosyayı başarılı bir şekilde görüntülenebileceğini kontrol
edecek olursak;,
İncelemek istediğimiz dosyaya sağ tıklayıp Extract File seçeneği ile dışa aktaralım.
196
Evet dosyamız başarılı bir şekilde görüntülenmektedir.
Adli incelemeler de silinen veriye farklı yöntemler ile ulaşabileceğimiz gibi imaj alarak
da ulaşabileceğimizi görmüş olduk.
Silinen veriler bizler için oldukça önemli verilerdir suçlu kişi, işlemiş olduğu suç
dosyasını silerek kurtulabileceğini düşünmüş olabilir bizlerde tam burada bu dosyalara
erişip davaya bu dosyayı ekleyerek somut deliller ile davamızı tamamlayabilmemiz
gerekmektedir.
197
File Size(Dosya Büyüklüğü)
Dosya büyüklüğüne göre elde edilen dosyaları sıralamamızda bizlere yardımcı olan bu
seçenek ulaşmaya çalıştığımız dosyanın boyutunu listeleme aralığından seçerek kısa sürede
dosyamıza ulaşarak dava mızı daha kısa süre içerisinde sonuçlandırmamıza imkan sağlar.
198
RESULTS (SONUÇLAR)
Mobil Edit Forensic Express yazılımı ile cihazımıza ait oluşturulan imaj dosyamıza ait
veri kaynaklarını elde etmemize imkân sağlayan Autopsy yazılımımız ile şimdide elde edilen
bu verilere ait dosyalara ait sonuçlara geçelim.
199
Extracted Content(Çıkarılan İçerikler)
a)ACCOUNTS(Hesaplar)
Cihazımızda kullanılan uygulamalar üzerinden elde edilen veriler üzerinde inceleme yaparak
kullanılan hesaplara ait bilgiler bizlere sunulmaktadır.
Bu bilgiler ile cihaz kullanıcısının işlenen suç türüne göre suç ile ilişkisi olabilecek siteye olan üyelik
bilgileri ile somut deliller sunabiliriz.
200
b)CALL LOGS(Arama Kayıtları)
Cihazımız üzerinden gerçekleştirilen aramalara ait kayıtlarımıza ait bilgileri görüntüleme işlemi ile
cihaz üzerinden iletişimde bulunan kişilerin listesini elde edebiliriz.
2021-04-06 21:21 ile 21:32 saatleri arasında gerçekleştiği bilgilerine ulaşmış bulunmaktayız.
201
CONTACTS(İletişimler)
Cihaz da bulunan sim kartı ve kurulu olan uygulamalar üzerinden elde edildiği bilgilere iletişime
geçilen kişilerin bilgisi bizlere burada sunulmaktadır.
Listelenmiş bir şekilde elde edilen iletişime geçilen kişilere ait numara bilgisi iletişime geçilen
uygulama bilgileri ve kulllanıcı ID bilgileri bizlere sunulmaktadır.
Elde edileb sonuçları Autopsy yazılımımız .csv uzantılı bir şekilde dışarı aktarıp kaydedebilme
imkânı bizlere sunulmaktadır.
202
Kaydedileceği konumu ve kayıt edileceği ismi belirterek,
203
Elde edilen .csv uzantılı dosyamızı görüntüleyecek olursak,
Verilerimizi başarılı bir şekilde daha detaylı ve anlaşılır bir şekilde incelemek üzere çalıştırabilmiş
olduk.
EXİF METADATA
Exif, Türkçesiyle "Değişebilir görüntü dosyası biçimi", sayısal fotoğraf makineleri tarafından
çekilen görüntülerin içine enstantane, diyafram, pozlama, fotoğraf makinesi markası, modeli
gibi teknik bilgilerin gömülmesini sağlayan, bir veri tanımlama standardıdır.
Metadata, metaveri ya da üst veri, bir kaynağın ya da verinin öğelerini tanımlayan bilgilerdir.
Kısaca veri hakkında veri/bilgi olarak özetlenebilir.
Burada da bizler elimizde bulunan verilere ait metadata bilgilerini analiz edeceğiz.
2538 metadata elde edilmiş bulunmaktadır.
204
Verilerimize ait sonuçlar,
Oluşturulma zamanı, değiştirilme zamanı,boyutu,hash değeri,dosya türü vb. bilgileri
bize sonuçları listelerken görüntülemektedir.
205
Daha yakından inceleyecek olursak;
Görüntüye çift tıklayarak aşağıda listelenen sonuçlar arasından da File Metadata
seçeneğini seçerek de metadata verilerini incelemiş oluruz.
206
Encryption Suspected
Suspected encryption due to high entropy bilgisinden bize ‘Yüksek entropi nedeniyle
şüpheli şifreleme’ yapıldığı bilgisi sunulmaktadır.
207
Extension Mismatch Detected
Şimdi ise elimizde bulunan imaj dosyası üzerinde elde edilen veriler üzerinde oluşan
uzantı uyuşmazlığı bulunan verilere ait sonuçlar listelenemektedir.
3379 sonuç bizlere burada sunulmaktadır.
208
Daha yakından inceleyelim;
Dosyanın bir görüntü dosyası olmasına rağmen uzantısının gıbla olduğunu görmekteyiz.
Burada bir başka yapacağımız sonuç yorumu ise uzantısı bilinmeyen dosyalar 1 ,0 vb.
şekilde de harflendirilmiş olabilir bu şekilde de uyuşmazlık olmaktadır.
Elde edilen bu tür verilerde buradan yola çıkarak düzeltilebilir.
209
İnstalled Programs
İnceleme yapılan cihaz üzerinde bulunan daha sonra kaldırılan programlara ait bilgileri
incelememize imkân sağlanmaktadır.
210
İncelenen dava türüne göre seç teşkil edebilecek yüklenmiş programları buradan
görüntüleyerek kaldırılmasına rağmen somut deliller elde etmiş bulunmaktayız.
Şunu unutmamalıyız ki suç işleyen kişi arkasında delil bırakmak hiçbir zaman
istemeyecektir.
211
Messages
Cihaz üzerinde yapılan mesajlaşma bilgileri ve mesaj içerikleri bizlere burada
sunulmaktadır.
Sonuç olarak 412 mesaj bizlere sunulmaktadır.
212
Bu sonuçları daha yakından inceleyelim.
213
WEB BOOKMARKS
Burada bizlere inceleme yapılan cihaza ait yer imlerine ait veriler sunulmaktadır.
Nedir Yer İmi?
Bilişimde bir terim olan yer imi genellikle şunları ima etmek için kullanılır; Web adreslerini
ya da dosya isimlerini hızlı bir şekilde web tarayıcıdan girebilmek için saklar.
10 sonuç bizler için listelenemektedir.
Yer iminin oluşturulma zamanı ,kullanılan tarayıcı ve kaynak dosyasına ait bilgilere de
bizlere bildirilmektedir.
214
WEB COOKİES
Burada bizlere inceleme yapılan cihaza ait COOKİES’E (ÇEREZLER) ait veriler
sunulmaktadır.
NEDİR COOKİES?
Cookies kavramı, başka bilgisayarlar tarafından sizin bilgisayarlarınıza gönderilmiş olan
dosyalardır.
215
WEB FORM AUTOFİLL
Web üzerinde kayıtlı bulunan otomatik olarak doldurma işlemi yapmamızı sağlayan veriler burada
bizlere sunulmaktadır.
AUTOFİLL NEDİR?
Autofill veya Türkçesiyle Otomatik Doldurma, formlar üzerine giriş yapmış olduğunuz bilgileri
hatırlayarak daha sonra benzeri bir form kullandığımızda bilgilerin otomatik olarak tamamlanmasına
yardımcı olan teknolojidir.
216
Buradan şu yorumu yapabiliriz web siteleri üzerinden gezinirken şifreleri otomatik
olarak kaydetmek ve bu sitelere erişim sağlarken giriş bilgilerini otomatik olarak
sağlamak bizlere kolay gözükse de risk barındırmaktadır.
217
WEB HİSTORY
Web geçmişine ait sonuçlar listelenmiş bulunmaktadır.
30 sonuç bizlere sunulmaktadır.
218
Bu sonuçlara daha yakından bakacak olursak;
Burada bize hangi tarayıcı üzerinden verilerin elde edildiği, işlemin gerçekleşme zamanı
ve url bilgisi sunulmaktadır.
Url’mizi kontrol edelim.
Tarayıcı geçmişine ait veriler de gezinilen siteleri incelemek amacıyla önemli verilerdir.
219
WEB SEARCH
Burada ise bizlere inceleme yapılan cihaz üzerinde web izerinden yapılan aramalara ait
bilgiler listelenmektedir.
Burada bizler 8 sonuç sunulmaktadır.
Burada bize hangi tarayıcı üzerinden verilerin elde edildiği, işlemin gerçekleşme zamanı
ve domain bilgisi sunulmaktadır.
220
KEYWORD HİTS
Burada bizlere anahtar kelimelere göre sonuçları listelemektedir.
Farklı seçenekler ile bu sonuçları düzenli ve detaylı olarak listelemek istemiş program
fakat bizim burada elde edilen sonuçlarımız sadece Email Addresses seçeneği adı altında
listelenmektedir.
Email Addresses
Autopsy yazılım burada bizlere imaj üzerinde kelime listelerine göre analiz işlemini
email adreslerine göre analiz edip bizlere sonuçları sunmaktadır.
221
Daha yakından bakalım bu sonuçlara,
222
ACCOUNTS(HESAPLAR)
İncelememizde uygulamara ait hesaplar farklı farklı alanlarda sunulmuştu burada ise
bizlere bu hesapları bir inceleme alanı oluşturarak bu hesapları listelemektedir.
DEVİCE(CİHAZ) HESAPLARI
Cihazda bulunan hesapları inceleyerek işleme başlayalım.
223
PHONE(TELEFON) HESAPLARI
224
WHATSAPP HESAPLARI
Hesaplarımızı incelemeye devam ederken şimdide WHATSAPP uygulaması üzerinde kayıtlı olan
hesapları inceleyerek işleme devam edelim.
225
FACEBOOK HESAPLARI
Hesaplarımızı incelemeye devam ederken şimdide FACEBOOK uygulaması üzerinde kayıtlı olan
hesapları inceleyerek işleme devam edelim.
226