- 28 Mar 2020
- 6,320
- 4,775
Giriş
Merhaba bugünkü yazımda bir adli bilişim aracı olan, The Sleuth Kit (TSK) aracının kullanımını inceleyeceğiz.
Bu aracın pek çok özelliği olsa da, ben bu yazı da imaj almayı ve bu aldığımız imaj içeriğini incelemeyi anlatacağım.
İyi okumalar dilerim...
Kurulum
Programın kullanımından önce kurulum ile başlayalım.
Bunun için öncelikle yeni bir terminal penceresi açıyoruz.
Kurulum için kullanacağımız komut
apt-get install sleuthkit
Bu kurma esnasında bize "Do you want to continue? [Y/n]" diye soracak. Burada "Y" dememiz gerekiyor.
Bundan sonra kurulumumuz, bir süre indirme işlemi yaptıktan sonra başarıyla tamamlanacaktır.
Kullanım
Evet, programımızı kurduk. Şimdi ise sırasıyla kullanımlarını inceleyelim.
İmaj Alma
Bu işlem için öncelikle kullanacağımız komut
sudo fdisk --list
Buradan dizinimizin "/dev/sda1" olduğunu gördük.
Az sonra işlem yapacağımızda bu dizini kullanacağız.
Şimdi ise imaj alma kodumuza bakalım.
Bunun için kullanacağımız komut "dd" komutu.
"dd" komutuna ek olarak da kullanmamız gereken 2 parametre bulunmakta.
Bu parametreler; if ve of parametesi.
if: imajın alınacağı kısmı belirler.
of: imajın aktarılacağı kısmı belirler
Bu işlem için öncelikle kullanacağımız komut şablonu
sudo dd if=<konum> of=<konum>/<dosya_ismi>.dd
Benim şahsi kullanım şeklim (siz kendi konumlarınızı ayarlayın)
sudo dd if=/dev/sdb1 of=/root/Desktop/Imaj/imj.dd
Not: Burada ilerleme çubuğu vs. gözükmüyor. (İmaj dosyasının özelliklerinden boyutunun ne kadar olduğunu görebilirsiniz.) İşlem bitince mesaj çıkacaktır.
Ayrıca buradaki imaj alma boyutu ve süresi belleğinizin boyutuna ve cihazınız performansına bağlıdır.
Örneğin ben de olduğu gibi 16gb'lık bir flash belleğe sahipseniz, imaj boyutu da 16gb kadar olacaktır.
Gördüğünüz gibi, imaj alma işlemimiz tamamlandı.
Disk hızı: 7.1 MB/s
Geçen Süre: 2198.55s (36,6 dakika)
Kullanılan Ram: 2gb
İmaj Diskinin İçeriğini İnceleme
Evet, şimdi ise oluşturduğumuz imaj dosyasının içeriğini nasıl inceleyebiliriz ona bakalım.
Bunun için aşağıdaki komutu kullanacağız.
fls -o <offset> <dosya_ismi>
Benim şahsi kullanım şeklim aşağıdaki gibidir.
fls -o 128 imj.dd
Kapanış
Evet, yazımız şimdilik bu kadar. İlerleyen zamanlarda bu aracın farklı kullanımlarını da anlatmayı düşünüyorum.
Umarım bu yazı işinize yaramıştır veya gelecekte yarar.
Okuduğunuz için teşekkür ederim, iyi forumlar dilerim!