Ana Sayfa / Genel / Dosya İmzası Arama

Dosya İmzası Arama

Pek çok dosya türü onları diğerlerinden ayıran kesin veriler içerirler. Mesela bir .html ya da .doc uzantılı dosya diğerlerinden kesin olarak ayrılabilirler, bu fark görüntülenen uzantıdan farklı bir ayrımdır. Bu ayrımı sağlayan kodlara "imza" denir ve bu imzalar elektronik keşifler ve adli bilişim alanında sıkça kullanılırlar. (işin mantığı ile bilgilere dosya sistemleri bölümünden ulaşabilirsiniz)

Örnek 1: Bir GIF (ASCII) dosyasının ilk birkaç karakteri hex (onaltılık tabandaki görünümleri) olarak  47 49 46  dır.

 

Örnek 2: Word belgesi için hex kodları “D0 CF 11 E0 A1 B1 1A E1″ şeklindedir.

Örnek 3: JPEG için“FF D9″şeklindedir.

Bu kodlar teorik olarak bir dokümanın başlangıcını belirtirler. Bazı dokümanlar ise hem dosyanın başlangıcında (header – başlık bilgisi ifadesini duymuşsunuzdur) hemde bitişinde (footer) bu tip kodlar bulundururlar.  Bu kodları pek çok amaç için kullanabiliriz dosya tanımlama, dosyaları tekrar oluşturma vs.

 

İmza ile dosya tanımlama :

Bilgisayarınızın sistem klasörleri içerisinde yer alan .dll uzantılı bir dosya olduğunu (zaten hali hazırda, win tabanlı sistemler için, yüzlerce vardır) düşünelim. Bu dosya herkes için ilk bakışta normal görünecektir. Ancak dosyanın başlık bilgileri dediğimiz kısımda  “D0 CF 11 E0 A1 B1 1A E1″ karakter dizisi varsa biz bu dosyaya bir .DOC uzantılı dosyadır diyebiliriz. Bu işlemi kim neden yapar dersek, bazı verileri saklamak isteyen herhangi birisi bu yola başvurabilir.

Adli Bilişim yazılımları veri tabanlarında bulunan yüzlerce dosya imzasından karşılaştırma yaparak dosyaların asıl kimliklerini bize gösterebilirler.

Dosyaların Tekrar Oluşturulması (File Carving) :

Bu işlem hem adli bilişim uygulamaları hem de veri kurtarma araçları tarafından sıkça yapılan bir işlemdir. Bir dosya silindiğinde ve kolayca geri getirilemediği durumlarda (örneğin: dosya kısmen silindiğinde,  MFT kayıtları bozulduğunda vs.) dosyaların tekrar oluşturulması işlemi veri kurtarma için en iyi yöntemdir.

Bu işlemde hard diskin her sektörü taranır (veya belli bir bölgesi) ve dosyaların imzalarına bakılır. Bu yöntemde mantık gayet basittir, hard diskin sektörleri boyunca imzalara bakılır başlık bilgisi (header) ve bitiş bilgisi (footer) arasında kalan ya da iki başlık bilgisi arasında kalan kısım dosya olarak ayrılır.Yani bunun anlamı ikisınır belirleyici imza arasında kalan kısım sektörler boyunca dosyamız budur denilerek tekrar oluşturulur.

 

Veri kurtarma işlemi yapmışsanız içeriği sağlam olan ya da bozuk olan hiç farketmez aslında küçük boyutlu olduğunu bildiğiniz bir dosya bu işlemden sonra gigabyte boyutlarında olabilir. Bunun nedeni imzalar arasının dosya olarak kabul edilmesinden ve dosyanın parçalara ayrılmış olmasından kaynaklanmatadır.

 

Tabii ki bu sistem her zaman başarılı sonuç vermez, çünkü silinmiş bir dosyanın üzerine yazılmış olabilir ya da parçalanmaya uğramış bir dosya varsa parçaların bir araya getirilmesi işlemi çok daha karmaşıktır ve henüz otomatik olarak tam verimli çalışan bir program geliştirilmemiştir. Onlarca gigabyte olan bir doyanın asıl sınırlarınıel ile belirlemek daha iyi sonuç verecektir ama bu da çok uzun zaman alır. 

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

Port Tarama

Bu makalede port taramanın ne olduğuna değinip, farklı port tarama yöntemleri ve güvenlik açıklarını nasıl …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir