En Case SüRüM

10,910 views
11,238 views

Published on

Published in: Education
1 Comment
7 Likes
Statistics
Notes
No Downloads
Views
Total views
10,910
On SlideShare
0
From Embeds
0
Number of Embeds
6,049
Actions
Shares
0
Downloads
349
Comments
1
Likes
7
Embeds 0
No embeds

No notes for slide

En Case SüRüM

  1. 1. EnCase Sürüm 4.x ile Çalışmanın Temelleri Sürüm 1 – Şubat 2005
  2. 2. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube İçindekiler Önsöz......................................................................................................................... 7 1. EnCase Konsepti ............................................................................................... 8 1.1. Evidence File...........................................................................................................8 1.1.1. Cyclical Redundancy Check (CRC)................................................................................... 8 1.1.2. Evidence File Format......................................................................................................... 8 1.1.3. Sıkıştırma........................................................................................................................... 8 1.1.4. Delil dosyasının (Evidence File) doğrulanması ................................................................. 9 1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri ................................................................ 9 1.2. Case (olay) dosyaları..............................................................................................9 1.3. EnCase “.ini” dosyaları (ayar dosyaları) ............................................................10 1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-Rom’u...................10 1.5. EnCase programı ..................................................................................................10 1.6. Fastblock ...............................................................................................................10 1.7. Modüller.................................................................................................................11 1.7.1. Virtual File System (VFS) ................................................................................................ 11 1.7.2. EnCase Decryption Suite (EDS)...................................................................................... 12 1.7.3. Physical Disk Emulator (PDE) ......................................................................................... 12 2. EnCase içinde yön bulma ............................................................................... 13 2.1. “View” (görünüm) alanı........................................................................................14 2.2. “Tab” (sekme) görünümü ....................................................................................14 2.2.1. Table (tablo)..................................................................................................................... 14 2.2.1.1. Adım adım sütunlar ................................................................................................. 14 2.2.1.2. Sütun görünümü...................................................................................................... 17 2.2.2. Report (rapor) .................................................................................................................. 17 2.2.3. Gallery.............................................................................................................................. 18 2.2.3.1. Görünüm ................................................................................................................. 19 2.2.4. Timeline (zaman doğrusu) ............................................................................................... 20 2.2.4.1. Görünüm ................................................................................................................. 21 2.3. “Sub-Tab” (alt sekme) görünümü .......................................................................21 2.3.1. Hex, Text ve Report ........................................................................................................ 21 2.3.2. Picture (resim) ................................................................................................................. 21 2.3.3. Disk (veri ortamı) ............................................................................................................. 22 2.3.4. Console (konsol) ............................................................................................................. 22 2.3.5. Filters (filtreler) ................................................................................................................ 22 2.3.6. Queries (sorgulamalar) ................................................................................................... 22 2.3.7. Lock (kilitle) ..................................................................................................................... 22 2.3.8. Dixon Box ve Sektor/Cluster bilgileri ............................................................................... 22 2.4. Araç çubuğu..........................................................................................................22 2.4.1. New (yeni) ....................................................................................................................... 22 2.4.2. Open (aç) ........................................................................................................................ 23 2.4.3. Save (kaydet) .................................................................................................................. 23 2.4.4. Print (yazdır) ................................................................................................................... 23 2.4.5. Add Device (aygıt/veri ortamı ekle) ................................................................................. 23 2.4.6. Acquire (veri edinme) ...................................................................................................... 23 2.4.7. Search (arama) ............................................................................................................... 23 2.4.8. 2.4.8 Refresh (güncelle) 8) .............................................................................................. 23 Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 2
  3. 3. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5. Menü çubuğu ........................................................................................................24 2.5.1. File ................................................................................................................................... 24 2.5.1.1. New (yeni) ............................................................................................................... 24 2.5.1.2. Open (aç) ................................................................................................................ 24 2.5.1.3. Save (kaydet) .......................................................................................................... 24 2.5.1.4. Save as (farklı kaydet) ............................................................................................ 25 2.5.1.5. Save all (tümünü kaydet) ........................................................................................ 25 2.5.1.6. Add device (aygıt/veri ortamı ekle) ......................................................................... 25 2.5.1.7. Add Raw Image (ham kopya ekle).......................................................................... 26 2.5.1.8. Exit EnCase (EnCase’i kapat)................................................................................. 26 2.5.2. Edit................................................................................................................................... 27 2.5.2.1. Close (kapat)........................................................................................................... 27 2.5.2.2. Copy Folders (klasörü kopyala) .............................................................................. 27 2.5.2.3. Bookmark Files / Bookmark Folder Structure ........................................................ 28 2.5.2.4. Create Hash Set (Hash set oluştur) ........................................................................ 28 2.5.2.5. Export (dışarı taşı)................................................................................................... 29 2.5.2.6. Recover Folders (klasörü kurtar) ............................................................................ 29 2.5.2.7. Acquire (veri edin) ................................................................................................... 30 2.5.2.8. Restore (kurtar) ....................................................................................................... 30 2.5.2.9. Hash ........................................................................................................................ 31 2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi) ................. 31 2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 32 2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 32 2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 32 2.5.2.14. Mount as Network Share......................................................................................... 33 2.5.2.15. Mount as Emulated Disk ......................................................................................... 33 2.5.2.16. Send To (gönder) .................................................................................................... 34 2.5.2.17. Show columns (sütunları göster) ............................................................................ 34 2.5.2.18. Column (sütun)........................................................................................................ 35 2.5.2.19. Sort (sırala) ............................................................................................................. 35 2.5.2.20. Select Item (seç) ..................................................................................................... 36 2.5.3. View (görünüm)................................................................................................................ 36 2.5.3.1. Cases (olaylar) ........................................................................................................ 36 2.5.3.2. Bookmarks (yerimleri) ............................................................................................. 37 2.5.3.3. Devices (sürücüler) ................................................................................................. 37 2.5.3.4. File Types (dosya tipleri) ......................................................................................... 38 2.5.3.5. File Signatures (dosya imzaları) ............................................................................. 38 2.5.3.6. File Viewers (dosya görüntüleyiciler) ...................................................................... 39 2.5.3.7. Keywords (anahtar kelimeler) ................................................................................. 39 2.5.3.8. Search Hits (arama sonuçları) ................................................................................ 40 2.5.3.9. Security IDs (güvenlik kimlikleri) ............................................................................. 40 2.5.3.10. Text Styles (metin biçemleri)................................................................................... 41 2.5.3.11. Scripts (betikler) ...................................................................................................... 41 2.5.3.12. Hash Sets (Hash setleri) ......................................................................................... 42 2.5.4. Tools ................................................................................................................................ 42 2.5.4.1. Search (arama) ....................................................................................................... 42 2.5.4.2. Select all entries (kayıtların tümünü seç) ................................................................ 42 2.5.4.3. Wipe Drive (veri ortamının üzerine yaz).................................................................. 43 2.5.4.4. Verify Evidence Files (delil dosyalarını doğrula)..................................................... 43 2.5.4.5. Create Boot Disk (önyükleme disketi hazırla) ......................................................... 43 2.5.4.6. Options (seçenekler) ............................................................................................... 44 2.5.4.7. Refresh (güncelle)................................................................................................... 45 2.5.5. Help (yardım) ................................................................................................................... 45 2.5.5.1. About EnCase (EnCase hakkında) ......................................................................... 45 2.6. Menü pencerelerindeki komutlar.........................................................................46 2.6.1. Cases Menü (olaylar menüsü)......................................................................................... 46 2.6.1.1. Close (kapat)........................................................................................................... 46 2.6.1.2. Copy Folders (klasörü kopyala) .............................................................................. 46 2.6.1.3. Bookmark Files (yerimi koy).................................................................................... 47 2.6.1.4. Bookmark Folder Structure (klasör yapısına yerimi koy) ........................................ 47 2.6.1.5. Create Hash Set (Hash set oluştur) ........................................................................ 48 Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 3
  4. 4. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.6.1.6. Export (dışarı taşı)................................................................................................... 48 2.6.1.7. Recover Folders (klasörü kurtar) ............................................................................ 49 2.6.1.8. Acquire (veri edin) ................................................................................................... 49 2.6.1.9. Restore (kurtar) ....................................................................................................... 50 2.6.1.10. Hash ........................................................................................................................ 50 2.6.1.11. Scan Disk Configuration (veri ortamı konfigürasyonunu denetle)........................... 51 2.6.1.12. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 51 2.6.1.13. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 52 2.6.1.14. Export Selected Files to i2 ...................................................................................... 52 2.6.1.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 53 2.6.1.16. Copy/Unerase (kopyala/geri al) .............................................................................. 53 2.6.1.17. View File Structure (dosya yapısını göster) ............................................................ 54 2.6.1.18. Send to (gönder) ..................................................................................................... 54 2.6.1.19. Show Columns (sütunları göster)............................................................................ 55 2.6.1.20. Column (sütun)........................................................................................................ 55 2.6.1.21. Sort (sırala) ............................................................................................................. 56 2.6.2. Bookmark Menü (yerimleri menüsü)................................................................................ 56 2.6.2.1. Copy/Unerase (kopyala/geri al) .............................................................................. 56 2.6.2.2. Bookmark Files (yerimi koy).................................................................................... 57 2.6.2.3. Create Hash Set (Hash set oluştur) ........................................................................ 57 2.6.2.4. View File Structure (dosya yapısını göster) ............................................................ 58 2.6.2.5. Send to (gönder) ..................................................................................................... 58 2.6.2.6. Edit (düzenle) .......................................................................................................... 59 2.6.2.7. Add Note (not ekle) ................................................................................................. 59 2.6.2.8. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 60 2.6.2.9. Delete (sil) ............................................................................................................... 60 2.6.2.10. Delete all selected (seçili yerimlerinin tümünü sil) .................................................. 61 2.6.2.11. Exclude (hariç tut) ................................................................................................... 61 2.6.2.12. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 62 2.6.2.13. Export (dışarı taşı)................................................................................................... 62 2.6.2.14. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 63 2.6.2.15. Summary Bookmark (derleme yerimi) .................................................................... 63 2.6.2.16. Tag File (dosya etiketi)............................................................................................ 63 2.6.2.17. Tag selected files (seçilen dosyaları işaretle) ......................................................... 64 2.6.2.18. Show Columns (sütunları göster)............................................................................ 64 2.6.2.19. Column (sütun)........................................................................................................ 65 2.6.2.20. Sort (sırala) ............................................................................................................. 65 2.6.2.21. Select Item (seç) ..................................................................................................... 66 2.6.3. Keywords Menü (anahtar kelime menüsü) ...................................................................... 66 2.6.3.1. Edit (düzenle) .......................................................................................................... 66 2.6.3.2. New (yeni) ............................................................................................................... 66 2.6.3.3. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 67 2.6.3.4. Bookmark Data (yerimi koy).................................................................................... 67 2.6.3.5. Delete (sil) ............................................................................................................... 67 2.6.3.6. Delete all selected (seçili anahtar kelimelerin tümünü sil) ...................................... 68 2.6.3.7. Exclude (hariç tut) ................................................................................................... 68 2.6.3.8. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 68 2.6.3.9. Export (dışarı taşı)................................................................................................... 69 2.6.3.10. Import (dışarıdan aktar)........................................................................................... 69 2.6.3.11. Add Keyword List (anahtar kelime listesi ekle) ....................................................... 70 2.6.3.12. Rename (ad değiştir)............................................................................................... 70 2.6.3.13. New Folder (yeni klasör) ......................................................................................... 71 2.6.3.14. Expand / Contract (genişlet/daralt) ......................................................................... 71 2.6.3.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 72 2.6.3.16. Show Columns (sütunları göster)............................................................................ 72 2.6.3.17. Column (sütun)........................................................................................................ 73 2.6.3.18. Sort (sırala) ............................................................................................................. 73 2.6.3.19. Select Item (seç) ..................................................................................................... 73 2.6.4. Search Hits Menü (arama sonuçları menüsü) ................................................................. 74 2.6.4.1. Copy/Unerase (kopyala/geri al) .............................................................................. 74 2.6.4.2. Bookmark Files (yerimi koy).................................................................................... 74 2.6.4.3. Create Hash Set (Hash set oluştur) ........................................................................ 75 Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 4
  5. 5. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.6.4.4. View File Structure (dosya yapısını göster) ............................................................ 75 2.6.4.5. Send to (gönder) ..................................................................................................... 76 2.6.4.6. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 76 2.6.4.7. Delete (sil) ............................................................................................................... 77 2.6.4.8. Delete All Selected (seçili anahtar kelimelerin tümünü sil) ..................................... 77 2.6.4.9. Exclude (hariç tut) ................................................................................................... 78 2.6.4.10. Exclude All Selected (seçili dosyaların tümünü hariç tut) ....................................... 78 2.6.4.11. Export (dışarı taşı)................................................................................................... 79 2.6.4.12. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 79 2.6.4.13. Tag File (dosya etiketi)............................................................................................ 79 2.6.4.14. Tag Selected Files (seçilen dosyaları işaretle) ....................................................... 80 2.6.4.15. View Search Hits (arama sonuçlarını göster) ......................................................... 80 2.6.4.16. Bookmark Selected Items (seçili arama sonuçlarına yerimi koy) ........................... 80 2.6.4.17. Show Columns (sütunları göster)............................................................................ 81 2.6.4.18. Column (sütun)........................................................................................................ 81 2.6.4.19. Sort (sırala) ............................................................................................................. 82 2.6.4.20. Select Item (seç) ..................................................................................................... 82 3. Uygulamada EnCase ....................................................................................... 83 3.1. EnCase programının kurulması...........................................................................83 3.1.1. Program ........................................................................................................................... 83 3.1.2. Dongle sürücüsü .............................................................................................................. 83 3.1.3. Guidance İnternet sitesinden tedarik edilebilecek güncellemeler.................................... 84 3.2. Bootdisk (önyükleme disketi)..............................................................................85 3.2.1. EnCase’de boot disketi hazırlanması .............................................................................. 85 3.2.2. ENBD hazırlanması ......................................................................................................... 85 3.3. Görüntü (Image) oluşturma .................................................................................86 3.3.1. Boot Disk.......................................................................................................................... 86 3.3.1.1. EBD ile Drive-to-Drive-Acquisition .......................................................................... 86 3.3.1.2. ENBD ile Crossover-Acquisition ............................................................................. 86 3.3.2. Windows için EnCase ...................................................................................................... 87 3.3.2.1. New (yeni olay yaratma) ......................................................................................... 88 3.3.2.2. Add device (veri ortamı ekle) .................................................................................. 88 3.3.2.3. Acquire (veri edinme) .............................................................................................. 90 3.3.2.4. Options (seçenekler) ............................................................................................... 91 3.4. Değerlendirme ......................................................................................................93 3.4.1. Yeni Case (olay) yaratma ................................................................................................ 93 3.4.1.1. Olay organizasyonu ................................................................................................ 93 3.4.1.2. Veri girme ve yol değiştirme.................................................................................... 93 3.4.1.3. İmge dosyalarının eklenmesi .................................................................................. 94 3.4.1.4. Uyum ayarlarının yapılması .................................................................................... 97 3.4.2. Ön çalışmalar................................................................................................................... 97 3.4.2.1. Verify File Integrity (veri bütünlüğünün doğrulanması) ........................................... 98 3.4.2.2. “Acquisition Hash” ve “Verify Hash” karşılaştırması ............................................... 98 3.4.2.3. Scan Disk Configuration........................................................................................ 100 3.4.2.4. File System (dosya sistemi)’nin belirlenmesi ........................................................ 100 3.4.2.5. Silimmiş bölüntülerin kurtarılması ......................................................................... 101 3.4.2.6. Recover Folders (klasörü kurtar) .......................................................................... 101 3.4.2.7. Mount Compound Files (bileşik dosyaları ilişkilendir) ........................................... 102 3.4.2.8. File Mounter Script ................................................................................................ 103 3.4.2.9. Verify File Signatures (dosya imzalarının doğrulanması) ..................................... 104 3.4.2.10. Hash analizi........................................................................................................... 105 3.4.2.11. Initialize Case-Script (olayın başlatılması) ............................................................ 109 3.4.3. Arama ............................................................................................................................ 109 3.4.3.1. Keywords (anahtar kelimeler) organizasyonu....................................................... 109 3.4.3.2. Aramayı başlat ...................................................................................................... 113 3.4.4. Bookmarks (yerimleri).................................................................................................... 114 3.4.4.1. Yerimlerinin anlaşılması ........................................................................................ 114 3.4.4.2. Yerimi görünümü................................................................................................... 118 Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 5
  6. 6. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 3.4.4.3. Ayrıntılar: Yerimi oluşturma................................................................................... 120 3.4.4.4. Rapor fonksiyonu .................................................................................................. 121 3.4.5. Dosyaların/klasörlerin dışarı aktarılması ....................................................................... 122 3.4.5.1. Copy/Unerase (kopyala/geri al) ............................................................................ 122 3.4.5.2. Copy Folders......................................................................................................... 125 3.4.5.3. Export .................................................................................................................... 126 Şekiller Dizini .........................................................................................................128 Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 6
  7. 7. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Önsöz Eldeki bu kılavuz EnCase programı ile veri ortamlarının incelenmesi için polis uygulamalarından elde edilip yine polis uygulamaları için hazırlanmış bir yardımcı elkitabı niteliğindedir. Ancak yalnızca programa yeni başlayanlar için bir eğitim kitabı olmayıp, gündelik işlerinde EnCase ile çalışmayanlar (...ve bu yüzden program yapısının karmaşık olmasından dolayı standart komutlara ulaşmanın yolunu unutanlar...) için bir başvuru kaynağı olması düşünülmüştür. Kılavuz üç bölüme ayrılmıştır: • EnCase Konsepti: Bu bölümde yazılım yapısı, programın kısımları ve EnCase’in çalışma şekli hakkında bilgi edinebilirsiniz. • EnCase’de yön bulma: Neredeyse tüm menü ve pencere özelliklerine ait açıklamalar. • Uygulamada EnCase: EnCase’in etkin kullanımı için olay incelemelerine göre hazırlanmış uygulama önerileri. Bu kitabın amacı EnCase eğitiminin yerini almak değildir ve olmamalıdır, ancak gündelik işlerde ve bunlarla ilişkili sorunlarda bir başvuru kaynağı olabilir. Okurken sıkılmamanızı ve EnCase ile değerlendirme yaparken başarılar dilerim. Armin Kisling Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 7
  8. 8. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 1. EnCase Konsepti 1.1. Evidence File EnCase programının merkezi bileşeni “Evidence File”dır. Bu dosya, inceleme sırasında veri ortamının durumunun güvenli bir şekilde tarif edilmesini sağlayan üç temel bileşen (başlık, kontrol toplamı ve veri blokları) içermektedir. 1.1.1. Cyclical Redundancy Check (CRC) CRC normal bir kontrol toplamının bir türevidir ve neredeyse aynı şekilde işlemektedir. CRC, “1234” sayı dizisi ile “4321” sayı dizisinin değerlerinin eşit olduğu kontrol toplamından bu hususta ayrılmaktadır. Çoğu sabit disk her sektör için CRC kaydeder. Diskte bir yazma hatası oluştuğunda, o sektörün CRC değeri, disk sürücüsü donanımının o sektörü okuduktan sonra hesapladığı değere eşit olmaz. Bu durumda bir “Low-Level Disk Read Error” ortaya çıkar. 1.1.2. Evidence File Format Her dosya veri ortamının sektör sektör tıpkı kopyasıdır. Bir dosya oluşturulduğunda, kullanıcı onu soruşturma için gerekli bilgilerle donatır (günlük numarası, inceleyen, notlar, vs.), bunlar da daha sonra “Olay bilgileri” bloğuna kaydedilebilir. Dosyanın her baytı 32 bitlik CRC ile doğrulanır, bu da elde edilen verilerin sonradan tahrif edilmesini neredeyse olanaksız kılar. Farklı veri içeriğine sahip iki sektörün aynı CRC’yi üretmeleri olasılığı tahminen dört milyarda birdir. EnCase programı tüm veri ortamı kopyası için bir CRC değeri oluşturmak yerine, ona 64 sektörlük (32 KB) bir blok ekler. Bu sayede güvenlik ve hız arasında iyi bir ortak payda bulunmuş olur. Olay bilgileri Veri içeren 64 sektör Şekil 1: EnCase veri formatının görünüşü 1.1.3. Sıkıştırma EnCase, sıkıştırma algoritması sayesinde veri edinilmesi sırasında veri ortamını asıl boyutunun %50’sine kadar küçültebilmektedir. Sıkıştırılmış delil dosyalarının (Evidence File) oluşturulması daha uzun sürmektedir, çünkü salt veri edinme sürecine bir de sıkıştırma süreci eklenmektedir. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 8
  9. 9. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 1.1.4. Delil dosyasının (Evidence File) doğrulanması Bir delil dosyası otomatik olarak veya elle doğrulanabilir. Delil dosyası EnCase’deki bir olaya eklendiğinde doğrulama işlemi otomatik olarak başlar. Kısmen birkaç saat sürebilen bu işlem sırasında inceleyen olay üzerinde normal şekilde çalışmaya devam edebilir. Doğrulama işlemi durdurulabilir ve tamamen bitmediği sürece, olay her açıldığında otomatik olarak başlar. Bir doğrulama işlemini yeniden yürütmek için, “View” görünümündeyken ilgili veri ortamı üzerine sağ tık yapılarak, açılan menüde “Verify File Integrity” komutu seçilerek işlem elle başlatılabilir. Şekil 2: Bir imgenin (Image) okunması sırasında doğrulama 1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri EnCase, bir fiziksel veri ortamından veya bir mantıksal sürücüden veri edinildiğinde bir MD5 Hash değeri hesaplar. Hash değeri delil dosyası (Evidence File) içine yazılır ve olay dokümantasyonunun bir parçası olur. Bir delil dosyası EnCase’deki bir olaya eklendiğinde, EnCase kayıtlı olan değeri kendi hesapladığı değerle karşılaştırır. Sonuç raporda gösterilir ve burada her zaman görülebilir. Hash değeri ilgili veri ortamı veya sürücü üzerine sağ tık yapılarak ve açılan menüden “Hash” komutu seçilerek kontrol için yeniden hesaplanabilir. 1.2. Case (olay) dosyaları Bir olay dosyası (Case File, “*.cas”) aşağıdakiler gibi yol bilgilerini ve olay bilgilerini içeren bir metin dosyasıdır: • Yerimleri • Arama sonuçları • Sınıflandırmalar • Hash değeri analizleri • Dosya imzaları sonuçları İnceleyen kişi olayı kaydettiğinde bir olay dosyası (Case File) üretilir. Otomatik ara kaydetme aktifse, ayrıca olayın bir de güvenlik kopyası aynı klasör altına kaydedilir (*.cbak). Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 9
  10. 10. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 1.3. EnCase “.ini” dosyaları (ayar dosyaları) EnCase, her olayda genel ayarlara erişebilmek için “*.ini” dosyaları kullanır. Bunlar örneğin aşağıdaki bilgileri içerirler: • İmza tablosu • Dosya tipleri • Dosya görüntüleyici • Filtre • Anahtar kavramlar • Metin biçemleri Bu “*.ini” dosyaları bilgisayardan bilgisayara kopyalanarak ayarlar taşınabilir. Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:ProgrammeEnCase4) 1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD- Rom’u EnCase programının DOS sürümünün başlatılabileceği iki tür önyükleme disketi vardır. EnCase Boot (önyükleme) disketi (EBD) sürücüden sürücüye veri edinimi için, EnCase Network Boot (önyükleme) disketi (ENBD) ise buna ek olarak ağ kablosu üzerinden geçişli veri edinimi için kullanılır. Her iki halde de yazılım yoluyla sabit diske yazılmaması sağlanır, bu da pahalı yazma koruma donanımlarının kullanılmasından tasarruf sağlar. 1.5. EnCase programı EnCase programının Windows sürümü hem olay verilerinin edinilmesi hem de incelenmesi için kullanılabilir. Bir tek platform üzerinde imge (Image) oluşturulabilir, kaydedilebilir, görüntülenebilir ve en ayrıntılı açılardan incelenebilir. Eğer EnCase programından azami derecede faydalanmak istenirse, raporlamanın büyük bir kısmı bir metin işleme programı kullanılmadan halledilebilir. 1.6. Fastblock “Fastblock”, Guidance firmasının ürettiği ve halen iki seçenek halinde (donanım ve yazılım seçeneği) tedarik edilebilen yazma koruma serisinin adıdır. “Fastblock” kullanılarak kaynak ortama yazma erişimi olmaması ve veri ortamının korumaya rağmen değiştirilememesi sağlanır. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 10
  11. 11. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Bunun yanı sıra işlev bakımından eşdeğer ve EnCase ile sorunsuzca birlikte çalışabilen ürünler üreten çok sayıda üretici bulunmaktadır. Bir ürün seçiminde belirleyici kriter özellikle veri transfer oranı ile mümkün olduğunca fazla bağlantı formatını (S-ATA, IDE, SCSI, vs.) desteklemesidir. ÖNEMLİDİR: Yazma koruma OLMADAN veri edinme işlemine başlanmamalıdır! Pek çok kriminal teknik kural vardır – ancak bu belki de en önemlisidir! Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde 1.7. Modüller Guidance firması EnCase programının yeteneklerinin genişletilmesi için EnCase lisansından ayrı olarak satın alınması gereken üç program modülü sunmaktadır. 1.7.1. Virtual File System (VFS) • Ağ paylaşımına açılmış (Windows ortamında ağ paylaşımlı olarak görünürler ama paylaşımda oldukları diğer kullanıcılar tarafından görülemez) yazma korumalı şüpheli veri ortamları, mantıksal sürücüler, klasörler, vs. gibi ortamlara erişimi olanaklı kılar. • VFS, EnCase ortamı dışında yazma korumalı olay incelemeleri için basit bir platform sağlar. • Dosyalar, EnCase’de olduğu gibi dosya sistemiyle aynı özellikleri içermektedirler (atanmış (allocated) dosyalar, silinmiş dosyalar, “Alternate Data Streams” (ADS) ve “Unallocated Space” gibi dahili sistem dosyaları). • Yazma korumalı ortam bir defa bağlandıktan sonra her Windows uygulaması tarafından kullanılabilir (ör. Windows Explorer veya virüs tarayıcı, Spyware araçları veya Truva atı araçları vs. gibi başka uygulamalar). Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 11
  12. 12. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube • EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar (soruşturma memurları, savcılar, hakimler vs.) • Desteklediği dosya sistemleri: DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX (Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) ve Palm (Palm OS). • EnCase tarafından kurtarılan eklentili Windows RAID sistemleri, dinamik sabit diskler ve NTFS ile sıkıştırılmış veya şifrelenmiş sürücüler. 1.7.2. EnCase Decryption Suite (EDS) • Microsoft Encrypting File Systems (EFS) tarafından şifrelenmiş dosya veya klasörleri, hatta Domain üzerinden yetkilendirilen kullanıcı hesaplarını destekler. • Outlook PST şifrelerini (Outlook 2003 hariç) destekler. • Internet Explorer’ın Windows Registry tarafından korunmuş yazma alanlarının otomatik olarak deşifre ve analiz edilmesini olanaklı kılar. 1.7.3. Physical Disk Emulator (PDE) • Veri ortamlarının veya CD-Rom’ların imgelerini (Image) yazma korumalı yerel sürücü olarak değerlendirme sistemine dahil eder. • Başka firmaların aletlerinin kullanılmasına olanak tanır. • VMWare kullanıldığında, PDE (deneyimlere göre olayların %30 ila %50’sinde) işletim sisteminin imge (Image) üzerinden önyükleme (boot) yapılmasına olanak sağlar. İnceleyen için zanlının bilgisayarının el konulduğu zamandaki durumunun tamamen yeni – yazma korumalı – incelenmesi olanağı doğar. • EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar (soruşturma memurları, savcılar, hakimler vs.) • PDE, Windows Explorer’ın göz ardı ettiği, ancak WMWare tarafından rahatlıkla görülebilen ve önyükleme yapılabilen kendi dosya sistemlerini yükleyebilir. Windows, Linux ve Free BSD formatlarını okuyamıyorken, aşağıdaki dosya sistemleri çoğu durumda VMWare ile önyükleme yapılabilmektedir: • Windows (DOS, FAT 12/16/32, NTFS), • Linux (SuSE, Red Hat ve Mandrake), • Free BSD • NetWare. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 12
  13. 13. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2. EnCase içinde yön bulma (Görünüm) (Sekme) (Alt sekme) Şekil 6: Windows için EnCase program penceresi görünüşü Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 13
  14. 14. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.1. “View” (görünüm) alanı Görünüm “View” (1) menüsünden seçilir. Bu seçimden sonra seçilen görünüm bir simge (2) üzerinden daima erişilebilir kalır, yazılar ise tercihe göre gösterilip gizlenebilir. Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi alanın gösterileceğini belirlemek için HOMEPLATE (3) kullanılır. Beşgen kutucuk işaretlenirse, onun altındaki tüm dosya ve klasörler ile alt klasörler ve onların içindeki dosyalar sekme alanında gösterilir. EnCase’in 3 sürümünün aksine, burada birden fazla dizin birbirinden bağımsız olarak sekme alanında gösterilebilmektedir. Bunun için CTRL tuşu basılı tutularak dizinler seçilebilir. HOMEPLATE’in mantıksal ifadesi: Bu dizin altındaki her şeyi, tüm klasörler, dosyalar ve kayıtlar dahil olmak üzere, göster. Buna karşın, üzerine tıklandığında mavi bir kanca beliren kare kutu (4) işaretlenebilir. Bu işaretleme sekme alanındaki görünümü değiştirmez, daha çok belirli Şekil 7: View görünümü komutların uygulanması için dosyaların, kayıtların ve klasörlerin seçilmesine yarar (ör. kopyalama vs.). 2.2. “Tab” (sekme) görünümü 2.2.1. Table (tablo) Kayıt hakkındaki her bilgi sütunu sıralama kriteri olarak kullanılabilir. Sıralamanın en basit olanağı, istenen sütunun gri fonlu başlık alanına çift tıklanmasıdır. Kriter olarak birden fazla sütun kullanılacaksa, çift tıklama sırasında SHIFT tuşu basılı tutulmalıdır. En fazla beş sıralama kriteri seçilebilir. Aynı şekilde her bir sütunun yeri de değiştirilebilir; bunun için istenen sütun farenin sol tuşuna basılarak işaretlenir ve tuş basılı haldeyken istenen yere sürüklenir. Bir dosyayı doğrudan incelemek için (ayrı bir pencerede), o dosyanın çift tık ile seçilmesi gerekir. Bunun üzerine EnCase veri bankasında açılan bu dosyaya ait hangi atamaların olduğu denetlenir. Bu işlem sırasında dosyanın doğrudan EnCase içinde mi gösterileceği (ancak gösterilemeyen bir formatta Hex görünümü açılır), dosyanın Windows altındaki programla mı açılacağı yoksa ayarlanmış bir görüntüleme programı ile mi gösterileceği ayırt edilebilir. Dosya EnCase’in geçici dizinine kopyalanır ve oradan açılır. Bu sayede imge (Image) değişmez! 2.2.1.1. Adım adım sütunlar Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 14
  15. 15. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Şekil 8: Tablo sütunları - 1. bölüm • (1) Name (Adı) Dosyanın tam adı • (2) Filter (Filtre) Eğer dosyalar filtre üzerinden gösterilecekse, filtrenin adı gösterilir. • (3) In Report (Rapor İçinde) Kaydın Rapor İçinde gösterilebilmesi için sağ tık ile açılan menüden seçilmesi gerekir. • (4) File Ext (Dosya Uzantısı) Dosya uzantısı • (5) File Type (Dosya Tipi) Dosya uzantısına göre dosyanın tipi • (6) File Category (Dosya Kategorisi) Dosya kategorisi (“sahte imza” algılandığında değişebilir) • (7) Signature (İmza) Başlık ve uzantı arasındaki kontrolün sonucu (bkz. ayrıca “Signature Analyse”). • (8) Description (Tanım) Dosyanın cinsi (klasör, dosya, arşiv, salt okunur, vs.). • (9) Is Deleted (Silinmiş) Kaydın dosya sisteminde silinmiş olarak kayıtlı olup olmadığını gösterir. • (10) Last Accessed (Son Erişim) Son erişim • (11) File Created (Yaratılma Tarihi) İncelenen sistemde dosyanın yaratıldığı tarih. Şekil 9: Tablo sütunları - 2. bölüm • (12) Last Written (Son Yazma Tarihi) Son yazma tarihi • (13) Entry Modified (Son Değişiklik) Kayıt yalnız NTFS dosya sistemlerinde mevcuttur (MFT kaydında değişiklik) Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 15
  16. 16. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube • (14) File Deleted (Silinmiş Dosya) Silme tarihi (dosyanın çöp sepetine atıldığı zaman). • (15) Logical Size (Mantıksal Boyut) Dosyanın mantıksal boyutu (bayt) • (16) Physical Size (Fiziksel Boyut) Dosyanın fiziksel boyutu (sektör içindeki boş alanların baytı dahil). • (17) Starting Extend Kaydın başlangıç kümesini gösterir. • (18) File Extents Dosya bölünmüş ise, DATA Runs adedi. • (19) Permissions NTFS sistemlerde erişim yetkilerini gösterir • (20) Bookmarks (yerimi) Bir dosyanın ya da içeriğinin ne sıklıkla yerimlerine kaydedildiğinin sayısı. • (21) Physical Location (Fiziksel Yer) Kaydın bayt cinsinden fiziksel yeri. • (22) Physical Sector (Fiziksel Sektör) Veri ortamı üzerinde dosyanın başladığı fiziksel sektörü gösterir. Şekil 10: Tablo sütunları - 3. bölüm • (23) File Identifier NTFS dosya sistemlerinde MFT kayıtlarının numarası. • (24) Evidence File (Delil Dosyası) Kaydın ait olduğu imge ya da cihaz adı. • (25) Hash Value (Hash Değeri) Dosyanın Hash değeri • (26) Hash Set Dosyanın Hash değerini içeren Hash setini gösterir. • (27) Hash Category (Hash Kategorisi) Hash setine verilen kategorinin adı. • (28) Full Path (Dosya Yolu) EnCase’deki görünüme göre yol bilgisi (Dikkat: Sürücü harfleri orijinal sistemdekilerle aynı olmalıdır!) Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 16
  17. 17. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube • (29) Short Name (Kısa Adı) DOS 8.3 formatında dosya adı • (30) Unique Name (Özgün Adı) • (31) Original Path (Orijinal Yol) 2.2.1.2. Sütun görünümü Sıralama • Sütuna çift tıklandığında = küçükten büyüğe doğru sıralanır (Şekil 11) • CTRL tuşuna basılarak sütuna çift tıklandığında: büyükten küçüğe doğru sıralanır (Şekil 12) • SHIFT tuşuna basılarak başka bir sütuna çift tıklandığında: ikinci sıralama kriteri eklenir (Şekil 13) • Alternatif olarak sekme alanına sağ tıklandığında açılan menüden “Sort” satırı seçilerek de sıralama yapılabilir. Şekil 11: Küçükten büyüğe Şekil 12: Büyükten küçüğe Şekil 13: İkinci sıralama kriteri ile doğru sıralama doğru sıralama sıralama Un-/Lock Column Sütunu kilitlemek veya serbest bırakmak için ilgili sütuna çift tık yapılır. Açılan menüde “Column” satırından “Lock” ya da “Unlock” seçenekleri işaretlenir. Göster/Gizle Görünüşü basitleştirmek için sütun sayısı azaltılmak isteniyorsa, sekme alanına sağ tıklanır. Açılan menüden “Show Columns” satırı seçilir ve görüntülenmesi istenmeyen sütunların işaret kutularındaki işaretler kaldırılır. Münferit sütunlar menü penceresindeki “Column/Hide” (CTRL + H) satırından da gizlenebilir. Sütunları kaydırma Sütunlar “sürükle ve bırak” yöntemiyle yer değiştirebilir. 2.2.2. Report (rapor) Rapor, EnCase’in sunduğu en önemli yardımcı araçlardan biridir. Rapor içinde olaya ait sürücüler, dizin yapısı, dosyalar, fragmanlar vs. ile ilgili olabilecek tüm bilgiler özetlenebilir. Püf Noktası: Bir dosyanın “Bookmarking” işleminden geçmeden rapor içinde gösterilmesi için kısa ve etkili bir alternatif bulunmaktadır. Tek bir dosyayı rapor içine almak için dosyanın sekme alanında “In Report” sütununa sağ tıklanarak “In Report” satırına tıklanır. Rapor artık yazdırılabilir veya kullanılabilen çeşitli formatlara dönüştürülerek soruşturma dosyasına eklenebilir. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 17
  18. 18. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor 2.2.2.1.1. Zoom In / Out (1) Rapor, üzerine sağ tıklanarak daha iyi görülebilmesi için yakınlaştırılıp uzaklaştırılabilir. 2.2.2.1.2. Export (2) • Belge Rapor “.rtf” formatında belge olarak dışarıya aktarılabilir. • Web sayfası Rapor “.html” formatında web sayfası olarak dışarıya aktarılabilir. 2.2.3. Gallery “Gallery” olayda tespit edilen tüm resimlerin gösterilmesine yarar. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 18
  19. 19. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Şekil 15: Ön izlemeli “Gallery” görünümü Burada EnCase’in dahili görüntüleyicisinde gösterilebilen tüm resimler görüntülenir. Desteklenen formatlar şunlardır: • JPG • GIF • BMP • EMF • PSD • TIF • ART Bu görünümde olayla ilgili resimler yerimleri ile işaretlenebilirler. Çift tıklandığında EnCase’in imza veri bankası üzerinden bu dosya uzantısı ile ilişkili olan program çağrılır. İşaretleme kutuları ya da Homeplate ile belli dosyalar ya da dizinler seçilerek resimlerin yalnız istenen dizinlerle sınırlandırılmış olarak gösterilmesi mümkündür. Önemlidir: Burada yalnız dosya uzantısından dolayı bir resim formatı olarak algılanabilen resimler gösterilmektedir. Dosya uzantısı sahte olan resimler ancak dosya imzalarının denetlenmesinden (“Verify File Signature”) sonra gösterilebilir! 2.2.3.1. Görünüm Resim galerisindeki görünüm sütun ve satır sayısı değiştirilerek değiştirilebilir. Bu durumda önizlemedeki resimlerin boyutları da mevcut olan yere göre uyarlanırlar. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 19
  20. 20. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube • Fewer Columns / More Columns (daha az/çok sütun) (1) Sütun sayısının azaltılması veya çoğaltılması. Komut üzerine her tıklandığında bir sütun çıkarılır ya da eklenir. Alternatif olarak “Ctrl + Num - ya da +” kullanılabilir (klavyedeki sayı tuş takımında artı veya eksi işareti). • Fewer Rows / More Rows (daha az/çok satır) (2) Satır sayısının azaltılması veya çoğaltılması. Komut üzerine her tıklandığında bir satır çıkarılır ya da eklenir. Alternatif olarak “Shift + Num - ya da +” kullanılabilir (klavyedeki sayı tuş takımında artı veya eksi işareti). Şekil 16: “Gallery” görünümünde ayarlama olanakları 2.2.4. Timeline (zaman doğrusu) EnCase’deki bu özellik tarih bilgilerinin toplu halde gösterilmesine olanak verir. Bu şekilde kayıtlı tarihlere göre örneğin en son faaliyetin ne zaman olduğu söylenebilir. Şekil 17: “Timeline” (zaman doğrusu) görünümü Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 20
  21. 21. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube Buradaki gösterim de yine seçilen dosyaya ya da seçilen dizine ve Homeplate’in kullanılmasına bağlıdır. Dikkat! Dosyaların ve dizinlerin tarih kayıtları değiştirilebilir ve gerçek olmaları şart değildir. 2.2.4.1. Görünüm • Higher / Lower Resolution (yüksek/düşük çözünürlük) (1) Gösterilen zaman diliminin değiştirilmesi olanağı. Görünüm alternatif olarak sayı tuş takımındaki artı veya eksi tuşları ile büyütülüp küçültülebilir. • Options (2) o Start Date: Zaman doğrusunda gösterimin başlayacağı tarih (ör. 01/01/2000) Şekil 18: “Timeline”ın ayarlama olanakları o Stop Date: Zaman doğrusunda gösterimin biteceği tarih o Colors: Created, Written, Accessed, Modified, Deleted ve Logoff seçeneklerine ait renklerin değiştirilmesi 2.3. “Sub-Tab” (alt sekme) görünümü Şekil 19: Sub-Tab alanının metin görünümü 2.3.1. Hex, Text ve Report (1) Tüm dosyalar hem “Hex kipinde” hem de “Text kipinde” izlenebilir. “Report” görünümü güncel olarak seçilmiş dosya veya dizinler hakkında bilgi verir. 2.3.2. Picture (resim) (2) Bu görünüm yalnız EnCase ya da dahili görüntüleyicinin dosyayı resim olarak algılayıp gösterebildiği durumlarda görülür. Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 21
  22. 22. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.3.3. Disk (veri ortamı) (3) “Disk” görünümü güvenceye alınan veri ortamının fiziksel yapısı ve her bir dosyanın fiziksel yeri hakkında genel bir görünüm verir. Eğer dosyalar önceden sekme alanında işaretlenirse, bunlar “Disk” görünümünde alt sekmede görülebilir. 2.3.4. Console (konsol) (4) “Console” alt sekme alanının gösterilmesi, sonuçların ara kaydı için kullanılır (ör. arama sonuçları veya imza denetlemesinin sonucu). Bir ileri adımda bu sonuçlar ihtiyaca göre yerimlerine eklenebilir. 2.3.5. Filters (filtreler) (5) Filtre kullanımı, dosyalara ait tüm bilgilerin sütunlarla gösterildiği tablo görünümü ile ilgilidir. Burada belli dosyaları seçmek için, sıralama üzerinden dosyalar sıralanabilir. Ancak gerek duyulmayan dosya ve dizinleri gizlemek daha iyidir. Bu olanak filtreler kullanılarak sağlanır. Burada doğru veya yanlış şeklinde basit bir “Boole” sorgulaması yapılır. Buna ait “Fitler.ini” dosyası ayrıca Guidance firmasının ana sayfasından indirilebilir ve zaman zaman güncellenmektedir. 2.3.6. Queries (sorgulamalar) (6) Birden fazla filtrenin kombine edilebilmesi. 2.3.7. Lock (kilitle) (7) “Lock” kutusu işaretlendiğinde görünüm sabit kalır. Kutu işaretliyse, alt sekme alanında seçilmiş olan dosyalar işaretleme sırasındaki görünümleriyle (ör. Hex) gösterilir. Örnek: Bir resim dosyası işaretlenerek alt sekme alanında Hex görünümü üzerine tıklanırsa, resim on altılı biçimde gösterilir. Başka bir resim dosyası seçilirse, alt sekme alanındaki görünüm otomatik olarak “Picture” seçeneğine döner. Eğer resimler Hex görünümünde görüntülenmek isteniyorsa, “Lock” kutusu işaretlenmelidir. 2.3.8. Dixon Box ve Sektor/Cluster bilgileri (8) Çok faydalı başka bir görünüm de incelenen veri ortamı üzerindeki fiziksel yerdir. Bu şekilde veri ortamı üzerinde bulunulan yer her zaman tam olarak belirtilebilir. 2.4. Araç çubuğu Şekil 20: Olay görünümünde araç çubuğu 2.4.1. New (yeni) (1) Yeni bir olay yaratır. Bulunduğu yer: File / New Araç çubuğu / New Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 22
  23. 23. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.4.2. Open (aç) (2) Mevcut bir olayı açar. Bulunduğu yer: Menü çubuğu / File / Open Kısa yol / Ctrl + O Araç çubuğu / Open 2.4.3. Save (kaydet) (3) Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez. Bulunduğu yer: Menü çubuğu / File / Save Kısa yol / Ctrl + S Araç çubuğu / Save 2.4.4. Print (yazdır) (4) Bilgisayara bağlı yazıcı üzerinden çıktı alınmasını sağlar (ör. rapor). 2.4.5. Add Device (aygıt/veri ortamı ekle) (5) Mevcut veya yeni yaratılan olaya bir cihaz, veri ortamı, sürücü veya Evidence File ekler. Bulunduğu yer: Menü çubuğu / File / Add Device Araç çubuğu / Add Device 2.4.6. Acquire (veri edinme) (6) Eklenen veri ortamından veri edinilmesini başlatır ve güvenli veri ortamı üzerinde veri ortamının kopyasını EnCase imgesi olarak oluşturur. Bulunduğu yer: Olay görünümünde veri ortamı ya da sürücü üzerine sağ tık / Acquire Araç çubuğu / Acquire 2.4.7. Search (arama) (7) Bu düğmeye tıklandığında arama penceresi açılır ve arama seçenekleri ayarlanabilir. Bulunduğu yer: Menü çubuğu / Tools / Search Araç çubuğu / Search 2.4.8. 2.4.8 Refresh (güncelle) (8) Değişiklik olduğunda anlık görünümü günceller. Örneğin uzun bir arama işleminden sonra ilk bulunan sonuçları görmek için kullanılabilir. Bulunduğu yer: Menü çubuğu / Tools / Refresh Fonksiyon tuşları / F5 Araç çubuğu / Refresh Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 23
  24. 24. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5. Menü çubuğu Şekil 21: Menü çubuğu 2.5.1. File 2.5.1.1. New (yeni) Yeni bir olay yaratır. Bulunduğu yer: Araç çubuğu / New Menü çubuğu / File / New Şekil 22: File / New 2.5.1.2. Open (aç) İlgili “.case” doyası seçilerek mevcut bir olayı açar. Bulunduğu yer: Araç çubuğu / Open Kısa yol / Ctrl + O Menü çubuğu / File / Open Şekil 23: File / Open 2.5.1.3. Save (kaydet) Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez. Bulunduğu yer: Araç çubuğu / Save Kısa yol / Ctrl + S Menü çubuğu / File / Save Şekil 24: File / Save Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 24
  25. 25. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.1.4. Save as (farklı kaydet) “Save as” ile olayın tamamı - “.ini” dosyaları hariç - başka bir yere kaydedilebilir veya kayıt yeri değiştirilebilir. Bulunduğu yer: Menü çubuğu / File / Save as Şekil 25: File / Save As 2.5.1.5. Save all (tümünü kaydet) “Save all” açık olan olayı ve tüm EnCase “.ini” dosyalarını en son ayarlarıyla birlikte kaydeder. Bu şekilde filtrelerin, anahtar kelimelerin, dosya tiplerinin vs. program ve olay açıldığında yeniden mevcut olması sağlanır. Bulunduğu yer: Kısa yol / Ctrl + Shift + S Menü çubuğu / File / Save all Şekil 26: File / Save All 2.5.1.6. Add device (aygıt/veri ortamı ekle) Mevcut veya yeni yaratılan olaya bir aygıt, veri ortamı, sürücü veya delil dosyası (Evidence File) ekler. Bulunduğu yer: Araç çubuğu / Add Device Menü çubuğu / Add Device Şekil 27: File / Add Device Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 25
  26. 26. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.1.7. Add Raw Image (ham kopya ekle) EnCase sadece kendi formatındaki imge dosyalarını değil, özellikle Linux sistemlerinde görülen ham imge (Raw Image) denen verileri de okuyabilir. Linux ortamında “dd” komutu ile oluşturulmuş bir imge EnCase’deki bir olaya eklenecekse, bunun için menü çubuğunda “File” menüsünden “Add Raw Image” seçilmelidir. Açılan pencerede, ideal durumda “dd” kopyasını oluşturan kişi tarafından tamamlayıcı bilgiler verilmelidir. Şekil 28: File / Add Raw Image “Name”: Burada imgenin olay içinde tanımlanacağı herhangi bir ad verilebilir. “Image-Type” (imge türü): • “None” (yok): Kopya “Unallocated Cluster” olarak eklenir • “Disk” (sabit disk): Fiziksel veri ortamı • “Volume” (sürücü): Yerel sürücüler veya disketler, mantıksal veri ortamları ve diğer değiştirilebilir veri ortamları • “CD”: CD-Rom için “Bytes per sector”: Bu değer çoğu olayda standart boyut olan 512 bayt ayarında kalır. “Component Files” (dosya bileşenleri): Başta boş olan bu pencerede sonradan olaya eklenen ham veri blokları gösterilir. Bunun için pencereye sağ tıklanır ve “New” komutu seçilir. Ham kopyanın tüm bileşenleri eklendikten sonra “OK” ile onaylanarak okunurlar. Bulunduğu yer: File / Add Raw Image 2.5.1.8. Exit EnCase (EnCase’i kapat) Uygulamayı kapatır. Bulunduğu yer: Menü çubuğu / File / Close Şekil 29: File / Exit EnCase Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 26
  27. 27. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2. Edit 2.5.2.1. Close (kapat) Seçilen olayı kapatır ya da bir görüntünün olayla olan ilişkisini ortadan kaldırır. Bulunduğu yer: Menü çubuğu / Edit / Close Şekil 30: Edit / Close 2.5.2.2. Copy Folders (klasörü kopyala) “Copy Folders” ile bir veya daha fazla dizin komple dosyaları ve alt dizinleri ile birlikte imgeden (Image) bir başka veri ortamına kopyalanabilir. Bulunduğu yer: Menü çubuğu / Edit / Copy Folders... Şekil 31: Edit / Copy Folders Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 27
  28. 28. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.3. Bookmark Files / Bookmark Folder Structure (dosyaların / klasör yapılarının yerimleri) Dosyalara (Bookmark Files) veya tüm dizin yapılarına (Bookmark Folder Structure) yerimi koyar. Bulunduğu yer: Menü çubuğu / Edit / Bookmark Files Kısa yol / Ctrl + B Menü çubuğu / Edit / Bookmark Folder Structure Şekil 32: Edit / Bookmark Files or Folder Structure 2.5.2.4. Create Hash Set (Hash set oluştur) “Create Hash Set” (Hash Set oluştur) menü satırından kullanıcılar tek tek dosyaları veya dizinleri Hash ederek (MD5 algoritması) bu değerleri Hash veri bankasına aktarabilirler (bkz. Hash Sets). Şekil 33: Edit / Create Hash Set... Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 28
  29. 29. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.5. Export (dışarı taşı) Bu işlev dosya bilgilerinin ve dosyadaki diğer bilgilerin kaydedilmesi için kullanılır. Önemlidir: Oluşturulacak dosyanın dosya uzantısı “.txt” yerine “*.xls” şeklinde değiştirilirse, veriler doğrudan Excel’in tablo biçiminde açılabilir. Şekil 34: Edit / Export… 2.5.2.6. Recover Folders (klasörü kurtar) Bu menü satırında dosya sisteminin türünün ne olduğu bilinmelidir. • FAT: FAT dosya sistemlerinde bu komut alt dizinleri arar (GREP ifadesi şöyle olabilirdi: “x2Ex20 x20 x20 x20 x20 x20 x20.......x2Ex2E) ve bunları bir dizin ağacı şeklinde gösterir. • NTFS: NTFS dosya sistemlerinde “Unallocated” olan alanda bir MasterFile Table (MFT) kalıntıları aranır ve kayıtlar dizin ağacı şeklinde kayıp dosyalar (“Lost Files”) klasöründe gösterilir. • Reiser/Ext2/etc. Bu dosya sistemlerinde klasörlerin kurtarılması olanağı yoktur. Şekil 35: Edit / Recover Folders… Bulunduğu yer: Menü çubuğu / Edit / Recover Folders Menü penceresi / Recover Folders Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 29
  30. 30. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.7. Acquire (veri edin) Bu komut • sıkıştırmanın değiştirilmesi • bir şifrenin eklenmesi veya çıkarılması • imge parçalarındaki dosya büyüklüğünün değiştirilmesi için kullanılır Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu komut ile verilerin güvenceye alınması başlatılır. Bulunduğu yer: Menü çubuğu / Edit / Acquire… Menü penceresi / Acquire Şekil 36: Edit / Acquire… 2.5.2.8. Restore (kurtar) Eğer hazırlanan güvenlik kopyasından (Image) yeniden bir veri ortamını kurulması gerekirse, bu işlem bu komut üzerinden yapılabilir. Bulunduğu yer: Menü çubuğu / Edit / Restore… Menü penceresi / Restore Şekil 37: Edit / Restore… Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 30
  31. 31. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.9. Hash Hash, güvenceye alınan veri ortamının Hash toplamının alınması için kullanılır (imgenin değil, yalnız güvenceye alınan verilerin). Bu sırada başlangıç ve bitiş sektörü belirlenebilir. Bulunduğu yer: Menü çubuğu / Edit / Hash… Menü penceresi / Hash... Şekil 38: Edit / Hash... 2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi) Bu komut RAID sistemlerinde ve dinamik sabit disklerde kullanılır. Bulunduğu yer: Menü çubuğu / Edit / Scan Disk Configuration Menü penceresi / Scan Disk Configuration Şekil 39: Edit / Scan Disk Configuration Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 31
  32. 32. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et) Oluşturulan bir olaya ait imgenin ilk kez okunmasında yapılan denetleme, imgenin hala hatasız olup olmadığının kontrol edilmesi amacıyla buradan tekrarlanabilir (yazılan blokların kontrol toplamları denetlenmektedir). Bulunduğu yer: Menü çubuğu / Edit / Verify File Integrity Menü penceresi / Verify File Integrity Şekil 40: Edit / Verify File Integrity 2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) Saat dilimi ayarlarının yapılması işlemi. Örnek: Zanlı bilgisayarında, değerlendirmeyi yapan bilgisayardakinden farklı bir saat dilimi ayarlanmışsa, uyarlama yapılmadığı takdirde zaman bilgileri hatalı gösterilir. Bulunduğu yer: Menü çubuğu / Edit / Modify Time Zone Settings Menü penceresi / Modify Time Settings Şekil 41: Edit / Modify Time Zone Settings… 2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar) Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi, seçilen dosyalara ait bilgiler) “i2” firmasının (http://www.i2.co.uk) yazılım ürünlerine aktarılabilir. Bulunduğu yer: Menü çubuğu / Edit / Export Selected Files to i2 Menü penceresi / Export Selected Files to i2 Şekil 42: Edit / Export Selected Files to i2… Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 32
  33. 33. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.14. Mount as Network Share Veri ortamını, sürücü veya dizini ağ paylaşımlı olarak değerlendirme sistemine ekler. Bunun için VFS modülü gereklidir (ayrıntılı bilgi 1.7.1’de). Bulunduğu yer: Menü çubuğu / Edit / Mount as Network Share Menü penceresi / Mount as Network Share Şekil 43: Edit / Mount as Network Share 2.5.2.15. Mount as Emulated Disk Bu komutla imge EnCase öykünmesi sayesinde veri ortamı yapısı değerlendirme sisteminde taklit edilebilecek şekilde bilgisayara eklenebilir. Bunun için PDE modülü gereklidir (ayrıntılı bilgi 1.7.3’te). Bulunduğu yer: Menü çubuğu / Edit / Mount as Emulated Disk Menü penceresi / Mount as Emulated Disk Şekil 44: Edit / Mount as Emulated Disk Sekme alanında bir dosya işaretlenirse, Edit menüsü aşağıdaki şekilde değişir: Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 33
  34. 34. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.16. Send To (gönder) Bu komut, yalnız harici görüntüleyici EnCase’e bağlanmışsa görünür. Bu komut üzerinden dosyalar çeşitli programlarla gösterilebilir (Windows dilinde “birlikte aç” komutuna karşılık gelir). Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa, EnCase, dahili “File Types” veri bankasını kullanır. Bu ilgili programlarının dosya uzantılarını gösteren bir sütun ve görüntüleyici (Viewer) sütununu içerir. Görüntüleyici sütunu, çift tıklandığında dosyanın nasıl açılacağını belirtir. Bu alanda “Windows” ibaresi varsa, açılan programın dosya uzantısı eşleşmesi Windows’a entegre veri bankasından okunur. Bulunduğu yer: Menü çubuğu / Edit / Send To Menü penceresi / Send To Şekil 45: Edit / Send To 2.5.2.17. Show columns (sütunları göster) Bu komut gösterilecek sütunların seçilmesine olanak tanır. Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa, seçili olan sütunun yanına eklenirler. Bulunduğu yer: Menü çubuğu / Edit / Show Columns Menü penceresi / Show Columns Şekil 46: Edit / Show Columns Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 34
  35. 35. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.18. Column (sütun) Bu komut, sütunun görünüm şeklini ayarlamak için dört seçenek sunar: • Hide (gizle) Seçili sütun gizlenir. “Reset” ile yeniden gösterilebilir. • Set Lock (kilitle) Bir sütuna bu komut uygulanırsa, o sütun ve onun solundaki sütunların hepsi kaydırma sırasında sabit durur. • Reset (sıfırla) Sütunlarla ilgili tüm ayarlamaları ilk durumlarına geri döndürür. • Fit to Data (sığdır) Her bir sütunun boyutunu içindeki bilgilere göre ayarlar. Şekil 47: Column • Auto Fit All (hepsini otomatik sığdır) Tüm sütunların boyutlarını içindeki bilgilere göre otomatik olarak ayarlar. Bulunduğu yer: Menü çubuğu / Edit / Column Menü penceresi / Column 2.5.2.19. Sort (sırala) “Sort” komutu ile dosyaların sıralanmasını düzenlemek için pek çok olanak sunulur. Sıralamanın en basit yolu, sütun adı üzerine çift tıklamaktır. En fazla 5 kriter belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift tık ile 2 - 5 kriter belirlenir. Bulunduğu yer: Menü çubuğu / Edit / Sort Menü penceresi / Sort Şekil 48: Edit / Sort Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 35
  36. 36. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.2.20. Select Item (seç) Örneğin uygulanacak bir komutun geçerli olacağı dosyayı seçer. Bulunduğu yer: Menü çubuğu / Edit / Select Item Menü penceresi / Select Item Şekil 49: Select Item 2.5.3. View (görünüm) Çeşitli alanların (yerimleri, sürücüler vs.) görünümü “View” menüsünden seçilir ve ardından sol pencerede gösterilir. Bu görünüm seçimine, adı gizlenip gösterilebilen (simge üzerine sağ tık ve “Show Names”) küçük bir simge üzerinden doğrudan ulaşılabilir. Gösterilen bir alanı tekrar kapatmak için sol köşedeki “X” işaretine tıklanır. Görünüm sütunundaki yer, açılan alanların hepsini bir seferde göstermeye yetmiyorsa (özellikle adları gösterilen simgelerde böyle olur), “X” işaretinin yanında, görüntüyü sağa-sola kaydırmaya yarayan iki küçük ok belirir. Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi verilerin gösterileceğini belirlemek için “Homeplate” kullanılır (işlev: tüm verileri göster). Dizinlerin seçilmesi sırasında “CTRL” tuşu basılı tutulursa, birden fazla dizinin birbirinden bağımsız olarak sekme alanında gösterilmesi mümkündür. 2.5.3.1. Cases (olaylar) “Cases” (olaylar) alanında delil niteliği olan veriler Windows Explorer’e benzer bir klasör yapısında gösterilirler. Buradan çeşitli olaylar, mantıksal sürücüler ve dizinler seçilebilir; bu sırada sol taraftaki bir nesnenin içeriği sağdaki sekme penceresinde gösterilir. Yine sekme alanında bir dosya işaretlenirse, onun alt sekme alanında ön izleme gösterilir. Bulunduğu yer: Menü çubuğu / View / Cases Şekil 50: View / Cases Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 36
  37. 37. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.3.2. Bookmarks (yerimleri) “Yerimleri” alanında hem simgeler hem de “Bookmark Types” sütunu ile ayırt edilebilen çeşitli türden yerimleri bulunabilir. Bunlar öncelikle dava bakımından önem taşıyan dosyaların ve veri parçalarının devam eden incelemeler ya da rapor için birleştirilmesine yararlar. İncelemenin yapılanışı üzerinde daha iyi bir görüş elde etmek için soruşturmacı tarafından kendine ait klasörler yaratılabilir ve ilgili yerimleri burada saklanabilir (sağ tık / New Folder). Bulunduğu yer: Menü çubuğu / View / Bookmarks Şekil 51: View / Bookmarks 2.5.3.3. Devices (sürücüler) 4. sürüme yeni eklenen “Devices” alanından sürücü adı, güvence altına alan memurun adı, notlar, veri edinme sürecinin ve doğrulamanın Hash değeri vs. gibi bilgiler öğrenilebilir. İleri düzey kullanıcılar için ayrıca veri ortamı konfigürasyonunu düzenleme olanağı vardır. Bulunduğu yer: Menü çubuğu / View / Devices Şekil 52: View / Devices Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 37
  38. 38. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.3.4. File Types (dosya tipleri) “File Types” alanı bilinen tüm dosya tiplerinin ve bunlarla bağlantılı görüntüleme yazılımlarının listesini içermektedir. Kullanıcı dosya tiplerini inceleyebilir, ekleyebilir, çıkarabilir, düzenleyebilir ve program ilişkilerini elle uyarlayabilir. Bulunduğu yer: Menü çubuğu / View / File Types Şekil 53: View / File Types 2.5.3.5. File Signatures (dosya imzaları) Dosya imzaları altında dosya tipleri ile bağlantılı olan özgün “Hex Header” imzası anlaşılır. JPG endüstri standardına uygun olan bir resim örneğin daima “xFFXD8xFF[xFExE0]x00” dizisiyle başlayan bir “Hex Header”a sahiptir. EnCase’in bu alanında dosya imzaları incelenebilir, eklenebilir, silinebilir ve düzenlenebilir. Bulunduğu yer: Menü çubuğu / View / File Signatures Şekil 54: View / File Signatures Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 38
  39. 39. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.3.6. File Viewers (dosya görüntüleyiciler) Kullanıcı buradan dosyaların incelenmesi ve işlenmesi için başka uygulamaları EnCase ile ilişkilendirebilir. EnCase kendi başına kayda değer sayıda çok dosyayı dahili olarak gösterebilir (ör. JPG, TXT, vs.), ancak çok sayıda özel dosya ek yazılım kullanılmasını gerektirir (ör. QuickView Plus, IrfanView, VideoLAN Client, vs.). Bu görünümde harici programlara bağlantılar kurulabilir, düzenlenebilir ve silinebilir. Bulunduğu yer: Menü çubuğu / View / File Viewers Şekil 55: View / File Viewers 2.5.3.7. Keywords (anahtar kelimeler) Bu alanda olay içinde arama yapmak için anahtar kelimeler yazılabilir, düzenlenebilir ve silinebilir. “Keywords” denen anahtar kelimeler sözcük, tümce veya “Hex” dizisi olabilir. Bunlar “Case sensitive” (büyük/küçük harf ayrımlı), GREP, Unicode, UTF7, UTF8, vs. şeklinde yazılabilirler. Anahtar kelimelerin listesi global olarak başlatma dosyası (keyword.ini) içinde saklanır, bundan dolayı ilerideki değerlendirmeler için klasör yapısının organize edilmesi önerilir. Bulunduğu yer: Menü çubuğu / View / Keywords Şekil 56: View / Keywords Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 39
  40. 40. EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube 2.5.3.8. Search Hits (arama sonuçları) Arama sonuçları daha önce yapılan aramalardan üretilir ve bu alanda gösterilir. Her anahtar kelime kendine ait bir kayıt üretir, buna ait arama sonuçları da sekme alanında görülebilir. Bulunduğu yer: Menü çubuğu / View / Search Hits Şekil 57: View / Search Hits 2.5.3.9. Security IDs (güvenlik kimlikleri) Bir NTFS dosya sisteminde her dosya ve klasör bir sahip, bir grup ve bir dizi yetkiyle eşleştirilmiştir. Bu bilgiler NTFS 4 ve 5 sistemlerinde farklı şekilde kaydedilmelerine karşın, EnCase bunları bundan bağımsız olarak okuyup açabilir. Kullanıcı ve gruplar bir numaralandırma sisteminde gösterilirler ve bu numaralar “Security Identifier” (SID) olarak tanımlanır. Bir ağ içindeki tüm kullanıcılar, gruplar ve bilgisayarlar Windows 2000 tarafından ör. Registry altına kaydedilen özgün birer “Security Identifier”e sahiptirler. NT, 2000 ve XP sistemlerinin bu özelliğinden dolayı her şeyden önce dosya ve klasör yetkilerinin incelenmesi için önem taşımaktadır. Bulunduğu yer: Menü çubuğu / View / Security IDs Şekil 58: View / Security IDs Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 40

×