Ana Sayfa / Genel / Adli Bilişim Yönünden MFT

Adli Bilişim Yönünden MFT

Adli bilişim çerçevesinde değerlendirilidiğinde MFT için aşağıdaki açıklamaları yapabiliriz.

MFT hakkında daha ayrıntılı bilgileri NTFS bölümünde bulabilirsiniz. Burada adli bilişim yönünden MFT üzerinde, ne tür yorumlar yapabiliriz başlıkları değerlendirilecektir.

MFT bilindiği gibi Master File Table kelimelerinin kısaltmasıdır. Yani ana dosya tablosu, bir kitabın içindekiler bölümü olarak düşünebiliriz. NTFS dosya sistemindeki kuşkusuz en önemli dosyadır. Birimdeki tüm dosyaların izlemesini yapar, dosyalara ait konum bilgileri, hangi dizine ait, mantıksal konumu, fiziksel konumu ve dosyalara ait metadataları içerir:İçerdiği metadatalara örnek olarak

  • Created Date (Oluşturma tarihi),Entry Modified Date(Girdi Değişikliği tarihi), Accessed Date (Erişim tarihi) ve Last Written Date (Son Yazma Tarihi), öznitelik bilgileri.
  • Bir dosyanın fiziksel ve mantıksal boyutu, izinleri (erişim güvenliği) vs. verilerin hepsi MFT kayıtlarında tutulurlar ve "MFT Entries" (MFT girdileri, kayıtları vs. gibi) isimlendirilir. MFT girdileri standart olarak 1024 byte uzunluğundadır. NTFS olarak biçimlendirilmiş bir hard disk üzerindeki herşey ve MFT’ nin kendiside bir MFT kaydına sahiptir.
  • MFT de yer alan ilk 16 kayıt NTFS sistem dosyalarına ayrılmıştır. Bu dosyalar arasında 

$MFT, $MFT Mirror ve $BitMap ‘i sayabiliriz.(adı geçen diğer sistem dosyalarını NTFS konusu altında bulabilirsiniz. Daha sonra Adli Bilişim konusu altında da diğer NTFS sistem dosyalarını değerlendireceğim)

 

MFT genişletilebilir ancak normal şartlar altında asla küçültülemez. Bu özelliği; adli bilişimciler için hayat kurtaran özellikler arasında sayabiliriz; örnek olarak silinen bir verinin kurtarılması ve bir verinin silinip silinmediğine karar verme konusunda çok önemlidir.

Bir dosya silindiğinde, dosya bilgilerini tutan MFT kaydı tekrar kullanım için hazır olarak işaretlenir. Bu kayıt üzerine yeni bir dosya kaydı girene kadar değişmeden durur. Hard disk üzerinde yeni bir dosya oluşturulduğunda; uygun olan bir sonraki MFT kaydının üzerine yazılır, uygun bir kayıt yoksa MFT’ ye yeni bir kayıt eklenerek genişletilir.
 
 
Örnek 1:

Diyelimki MFT üzerinde 100 kayıt var. Örneğimize can verecek olan dosyamız da X olsun. X silinir ve hemen ardından 1.000 yeni dosya oluşturulursa X isimli dosyamız üzerine yazılmış hale gelir. Ancak buna rağmen hard disk üzerinde yer alan X dosyasının taşıdığı veriler hala zarar görmemiş olabilir. MFT kayıtlarında yer alan isim, metadata vb. alanlar üzerine yazılmış olabilir.

 
Örnek 2:

Bu sefer MFT üzerinde 10.000 kayıt olsun. 1.000 tanesi silinmiş ve hemen ardından iki yeni dosya hard diske eklenmiş olsun.Bu durumda 998 kayıt kurtarılabilir durumdadır.Aynı şekilde bağlı veriler de (yani kayda karşılık gelen dosyadaki veriler) kurtarılabilirdir. Tabii ki yeni eklenen iki dosya tüm kayıtların üzerine yazılmamışsa. Bu sayılar pek de güzel gelmiyor olabilir ancak, işletim sistemi durmadan bunları arka planda siz farkında olmadan yapıp durur. Örneğin önbelleğe alınan bir internet sitesi, yazılım kurulumları için gereken geçici dosyalar ve işlem tamamlanınca otomatikmen silinmeleri vs. bir yığın işlemde gerçekten adli bilişimciler için hiç güzel değil.

Not ve Yorumlar:
Bir dosyada ki veri MFT kaydından ayrıdır. Bu duruma pek çok şey neden olur, silinme ve hard disk parçalanmaları en önemli iki neden arasında sayılabilir. Şimdi bir kaç senaryo üzerinde karşılaşabileceğimiz durumlara bakalım:
  1. Dosya silinmiş fakat MFT kayıtları ve dosya verileri %100 kurtarılabilirdir. Silinen dosya %100 kurtarılır
  2. Dosya silinmiştir ve MFT kayıtları kurtarılabilirdir fakat dosyaya ait verilerin kısmen üzerine yazılmıştır.Bu durumda dosya kısmen kurtarılabilir.
  3. Dosya silinmiş, MFT kayıtları kurtarılabilir fakat dosya verisi üzerine tamamen yeni veriler yazılmıştır. Bu durumda dosya kurtarılamaz fakat dosyaya ait isim, tarihler, boyutlar vs. kurtarılabilirdir.
  4. Dosya silinmiş, MFT kaydı ve dosya verisi %100 kurtarılabilirdir. Dosyanın tamamı kayıp olabilir. Buna rağmen dijital delillendirme yöntemleri ile dosya hakkında bir çok veriye ulaşılabilir.
  5. Dosya silinmiş, MFT kaydının tamamının üzerine yazılmış fakat dosyaya ait verilerin tamamının üzerine yeni veriler yazılmamışsa bu durumda dosyaya ait verilerin bir kısmı ya da dosya parçalanma halinde hard diske dağılmış olarak bulunuyorsa dosyanın tamamı geri getirilebilir.
  6. MFT nin oluşturma tarihi hard diskin format tarihidir diyebiliriz.*
  7. Dosyalarda meydana gelen herhangi bir değişiklik , encase içerisinde yer alan Entry Modified isimli stünun tarihinin güncellenmesi demektir, bu tarih MFT içerisinde yer alır.
 
MFT kayıtlarının tamamının üzerine yazılmamışsa; benzer bir çok senaryo oluşturulabilir.
İlerde kaleme alınacak olan "MFT File Slack" ve "Dosya sistemi ve Adli Analiz" isimli makaleler ile daha çok bilgiye merhaba diyebilirsiniz. İyi çalışmalar

 

 

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

Port Tarama

Bu makalede port taramanın ne olduğuna değinip, farklı port tarama yöntemleri ve güvenlik açıklarını nasıl …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir