Encase Case Delil Ekleme

Bir Case oluşturduktan sonra, ekrana delil ekleme sayfası (Add Evidence) gelecektir. Bu sayfa kullanılarak Case içerisine bir veya daha fazla delil (bilgisayarın gücü ile doğru orantılı) eklenebilir.

Ekrandaki aynı ekleme menüleri, yukarıda bulunan Add Evidence içerisinde de bulunmaktadır.

Delil olarak imaj eklenebileceği gibi, imaj alınmadan (yazılım koruma sonrasında) herhangi bir sürücü veya network bağlantısı da eklenebilecektir. Bunun yanında akıllı telefonlara yönelik delillerde eklemek mümkündür.

Add Local Device : Encase programına herhangi bir yerel sürücü eklemek için bu menü kullanılacaktır.

Bu menü genelde, gecikmesinde sakınca olan adli veya istihbari durumlarda (terör olayı önleme gibi) imaj almaya yeterli zamanın bulunmadığı veya operasyonel faaliyetin devam etmesine yönelik bilgilerin elde edilmesi için kullanılmaktadır.

Eğer bu menü kullanılacaksa, sürücüler takılmadan önce donanımsal veya yazılımsal yazma koruma sağlanmış olmalıdır.

Bu menü kullanılarak sürücüler sistem bilgisayarına bağlanacaksa, bilgisayarın en hızlı bağlantı türü tercih edilmelidir.

Add Network Preview: Bu menü altında, kullanıcıya iki adet seçenek sunulacaktır; Add SAFE Network Preview veya Add Direct Network Preview.

Add Evidence File: Case içerisine imaj eklenecek menüdür. Eklenebilecek imaj dosya türleri aşağıya çıkarılmıştır.

  • EnCase Evidence dosyası, (E01 veya Ex01),
  • Logical Evidence dosyası (L01 veya Lx01),
  • VMWare (vmdk),
  • Virtual PC file (vhd),
  • SafeBack (*.001) file.

Add Raw Image: Eğer hedef imaj raw veya dd dosya türünde ise, eklemek için bu menü kullanılacaktır.

Add Crossover Preview: Hedef bilgisayar içerisindeki harddiskin sökülüp takılmasının zor olduğu veya zaman alacağı durumlarda, harddisk sökülmeden bir cros kablo bağlantısı ile hedef bilgisayar üzerinden imaj almak için bu menü kullanılabilecektir.

İmaj işlemi için bu menü kullanıldığında, Write Block donanımına gerek kalmayacaktır.

Bu menü genelde RAID yapısı sistemler ile harddisk anakart altına yerleştirilmiş notebookların imajlarının alınmasında kullanılabilir.

Encase içerisine dahil edilen bir modül sayesinde akıllı telefonların imajlarının alınması ve incelemesi özelliği eklenmiştir. Yine delil ekleme ekranında mobil cihazlara yönelik 3 adet seçenek kullanıcıya sunulacaktır.

Acquire from Device:  Bir mobil cihazın sistem bilgisayarı ile imajının alınabilmesi için sistem bilgisayarının öncelikle bilgisayara takılan mobil cihazı tanıması gerekmektedir. Bunun için mobil cihazlara ait driverlar sistem bilgisayarına yüklenmiş olmalıdır.

Mobil cihazlara ait driverlar daha önce yüklenmemişse, bu menü başlatıldığında, Encase driver dosyalarının belirtilen adresten download edilerek kurulması yönünde kullanıcıyı ikaz edecektir.

Acquire from File : Encase tanınan bir mobil cihazın imajının alınmasına yönelik ikinci adım kapsamında, imaj ve personele ait veriler bu menü kullanılarak girilecektir. Menülerin kullanılması ileriki derslerde anlatılacaktır.

Acquire from Cloud: Hedef şahsa ait sosyal medya programlarındaki (Facebook, Google veya Twitter gibi) verilerin, kullanılacak bir Tokens veya tespit edilecek kullanıcı ad ve şifreleri vasıtasıyla bulut içerisindeki verilerin imajları bu menü kullanılacaktır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir