Ana Sayfa / Etiket Arşivi: Encase

Etiket Arşivi: Encase

Sistem saati kontrolü

Sistem saatinde yapılan değişiklikleri kontrol etmek için aklınızdakilere ek olarak şöyle bir yöntem kullanabiliriz. Buradaki senaryomuz sistem saatinin geri alınmış olması üzerine kurulacak. Bu senaryomuzda sistem saatinin geriye yönelik olarak değiştirildiğini düşünüyoruz, ileriye yönelik bir değişim olması durumunda da benzer mantığı yürütebilirsiniz.

Devamı »

File Slack Nedir?

  File Slack ya da Dosya Artığı Nedir? Bu yazı Encase içerisinde dikkatinizi bu zamana kadar belki çekmiş olan ama üzerinde pekde durmadığınız bir konu olan file slack üzerine olacak. Encase üzerinde text ya da hex görünümde kırmızı olarak yazılan alandır. Ne gerekli File slack yani dosya artığı kavramını anlayabilmeniz …

Devamı »

Fiziksel ve Mantıksal Boyut Kavramları

Encase/FTK da görünen fiziksel ve mantıksal boyut ne demek? (physical and logical size) Tüm dosyaların fiziksel ve mantıksal boyutu vardır. Bazen fiziksel boyut, mantıksal boyuttan daha büyük bazen de eşittir. Fakat mantıksal boyut hiç bir zaman fiziksel boyuttan büyük olamaz; eğer böyle bir durum söz konusu ise dosya sisteminde bir …

Devamı »

$BitMap Nedir?

$BitMap; NTFS dosya sisteminde yer alan özel bir dosyadır. Bu dosya kullanılan ve kullanılmayan kümeler hakkındaki bilgiyi tutar.  Bir dosya NTFS biçimli bir diskte yer tutuyorsa, onun konumu küme bazlı olarak $BitMap de tutulur. $BitMap  in kullanılan ve kullanılmayan kümeleri izlemedeki yöntem çok basittir. $BitMap içerisinde yer alan her bit …

Devamı »

MFT Mirror Nedir?

MFT Mirror, adli bilişim uygulamaları içerisinde $MFTMirror olarak görünür. MFT nin kısmı bir yedeğidir. Yani bu yedek MFT nin tamamını içermez. MFT Mirror aşağıdaki 4 NTFS sitem dosyasının yedeğini içerir ; $MFT $MFT Mirror $Log $Volume

Devamı »

Bir dosya silindiğinde -1-

Bu makale de Adli bilişimciler için en önemli delillendirme konularından biri olan silinme tarihi hakkında bilgilere yer verilecektir.  "Dosya ne zaman silindi?". Bu makale Windows işletim sistemi için bu sorunun cevabını bulmaya yönelik olarak ele alınmıştır. Silinme Tarihleri Silinme tarihlerini bulabilmek için iki senaryo mevcut, 1. olarak geri dönüşüm kutusuna …

Devamı »

Bir dosya silindiğinde -2-

Neden Silinen her dosya geri dönüşüm kutusunda yer almaz? Sistem tarafından silinenler: İşletim sisteminiz bir dosyayı silmişse bu dosya geri dönüşüm kutusuna taşınmaz. (Mesela rutin temizlik işlemleri sırasında böyle birşey olabilir) Kullanıcı katılımlı sistem silmeleri: Kullanıcının internet geçmişini temizlemesi veya bir programın kaldırılması sırasında dosyalar sistem tarafından silinirler, bu dosyalarda …

Devamı »

Encase deki “Entry Modified” ne demek?

Encase bir kaç farklı tarih türünü doğrudan gösteriyor ; bu tarihler içinde "oluşturma", "yazma", "erişim"  ve adli bilişimciler tarafından tam olarak akıllara oturtulamayan ya da karıştırılan; "Entry Modified" Türkçe karşılığı olarak "kayıt değişikliği" diyebiliriz. "Entry modified" tarihi dosyayı tutan MFT kaydında meydana gelen son değişikliğin karşılığıdır. Yani MFT’nin dosya hakkında …

Devamı »