En Case SüRüM

EnCase Sürüm 4.x

ile
Çalışmanın Temelleri

Sürüm 1 – Şubat 2005

EnCase Sürüm 4.x ile Çalışmanın Temelleri Armin Kisling –324. Şube

İçindekiler

Önsöz......................................................................................................................... 7
1. EnCase Konsepti ............................................................................................... 8
1.1. Evidence File...........................................................................................................8
1.1.1. Cyclical Redundancy Check (CRC)................................................................................... 8
1.1.2. Evidence File Format......................................................................................................... 8
1.1.3. Sıkıştırma........................................................................................................................... 8
1.1.4. Delil dosyasının (Evidence File) doğrulanması ................................................................. 9
1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri ................................................................ 9
1.2. Case (olay) dosyaları..............................................................................................9
1.3. EnCase “.ini” dosyaları (ayar dosyaları) ............................................................10
1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-Rom’u...................10
1.5. EnCase programı ..................................................................................................10
1.6. Fastblock ...............................................................................................................10
1.7. Modüller.................................................................................................................11
1.7.1. Virtual File System (VFS) ................................................................................................ 11
1.7.2. EnCase Decryption Suite (EDS)...................................................................................... 12
1.7.3. Physical Disk Emulator (PDE) ......................................................................................... 12
2. EnCase içinde yön bulma ............................................................................... 13
2.1. “View” (görünüm) alanı........................................................................................14
2.2. “Tab” (sekme) görünümü ....................................................................................14
2.2.1. Table (tablo)..................................................................................................................... 14
2.2.1.1. Adım adım sütunlar ................................................................................................. 14
2.2.1.2. Sütun görünümü...................................................................................................... 17
2.2.2. Report (rapor) .................................................................................................................. 17
2.2.3. Gallery.............................................................................................................................. 18
2.2.3.1. Görünüm ................................................................................................................. 19
2.2.4. Timeline (zaman doğrusu) ............................................................................................... 20
2.2.4.1. Görünüm ................................................................................................................. 21
2.3. “Sub-Tab” (alt sekme) görünümü .......................................................................21
2.3.1. Hex, Text ve Report ........................................................................................................ 21
2.3.2. Picture (resim) ................................................................................................................. 21
2.3.3. Disk (veri ortamı) ............................................................................................................. 22
2.3.4. Console (konsol) ............................................................................................................. 22
2.3.5. Filters (filtreler) ................................................................................................................ 22
2.3.6. Queries (sorgulamalar) ................................................................................................... 22
2.3.7. Lock (kilitle) ..................................................................................................................... 22
2.3.8. Dixon Box ve Sektor/Cluster bilgileri ............................................................................... 22
2.4. Araç çubuğu..........................................................................................................22
2.4.1. New (yeni) ....................................................................................................................... 22
2.4.2. Open (aç) ........................................................................................................................ 23
2.4.3. Save (kaydet) .................................................................................................................. 23
2.4.4. Print (yazdır) ................................................................................................................... 23
2.4.5. Add Device (aygıt/veri ortamı ekle) ................................................................................. 23
2.4.6. Acquire (veri edinme) ...................................................................................................... 23
2.4.7. Search (arama) ............................................................................................................... 23
2.4.8. 2.4.8 Refresh (güncelle) 8) .............................................................................................. 23

Baden-Württemberg Eyalet Kriminal Dairesi Sayfa 2


2.5. Menü çubuğu ........................................................................................................24
2.5.1. File ................................................................................................................................... 24
2.5.1.1. New (yeni) ............................................................................................................... 24
2.5.1.2. Open (aç) ................................................................................................................ 24
2.5.1.3. Save (kaydet) .......................................................................................................... 24
2.5.1.4. Save as (farklı kaydet) ............................................................................................ 25
2.5.1.5. Save all (tümünü kaydet) ........................................................................................ 25
2.5.1.6. Add device (aygıt/veri ortamı ekle) ......................................................................... 25
2.5.1.7. Add Raw Image (ham kopya ekle).......................................................................... 26
2.5.1.8. Exit EnCase (EnCase’i kapat)................................................................................. 26
2.5.2. Edit................................................................................................................................... 27
2.5.2.1. Close (kapat)........................................................................................................... 27
2.5.2.2. Copy Folders (klasörü kopyala) .............................................................................. 27
2.5.2.3. Bookmark Files / Bookmark Folder Structure ........................................................ 28
2.5.2.4. Create Hash Set (Hash set oluştur) ........................................................................ 28
2.5.2.5. Export (dışarı taşı)................................................................................................... 29
2.5.2.6. Recover Folders (klasörü kurtar) ............................................................................ 29
2.5.2.7. Acquire (veri edin) ................................................................................................... 30
2.5.2.8. Restore (kurtar) ....................................................................................................... 30
2.5.2.9. Hash ........................................................................................................................ 31
2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi) ................. 31
2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 32
2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 32
2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar) ........................................ 32
2.5.2.14. Mount as Network Share......................................................................................... 33
2.5.2.15. Mount as Emulated Disk ......................................................................................... 33
2.5.2.16. Send To (gönder) .................................................................................................... 34
2.5.2.17. Show columns (sütunları göster) ............................................................................ 34
2.5.2.18. Column (sütun)........................................................................................................ 35
2.5.2.19. Sort (sırala) ............................................................................................................. 35
2.5.2.20. Select Item (seç) ..................................................................................................... 36
2.5.3. View (görünüm)................................................................................................................ 36
2.5.3.1. Cases (olaylar) ........................................................................................................ 36
2.5.3.2. Bookmarks (yerimleri) ............................................................................................. 37
2.5.3.3. Devices (sürücüler) ................................................................................................. 37
2.5.3.4. File Types (dosya tipleri) ......................................................................................... 38
2.5.3.5. File Signatures (dosya imzaları) ............................................................................. 38
2.5.3.6. File Viewers (dosya görüntüleyiciler) ...................................................................... 39
2.5.3.7. Keywords (anahtar kelimeler) ................................................................................. 39
2.5.3.8. Search Hits (arama sonuçları) ................................................................................ 40
2.5.3.9. Security IDs (güvenlik kimlikleri) ............................................................................. 40
2.5.3.10. Text Styles (metin biçemleri)................................................................................... 41
2.5.3.11. Scripts (betikler) ...................................................................................................... 41
2.5.3.12. Hash Sets (Hash setleri) ......................................................................................... 42
2.5.4. Tools ................................................................................................................................ 42
2.5.4.1. Search (arama) ....................................................................................................... 42
2.5.4.2. Select all entries (kayıtların tümünü seç) ................................................................ 42
2.5.4.3. Wipe Drive (veri ortamının üzerine yaz).................................................................. 43
2.5.4.4. Verify Evidence Files (delil dosyalarını doğrula)..................................................... 43
2.5.4.5. Create Boot Disk (önyükleme disketi hazırla) ......................................................... 43
2.5.4.6. Options (seçenekler) ............................................................................................... 44
2.5.4.7. Refresh (güncelle)................................................................................................... 45
2.5.5. Help (yardım) ................................................................................................................... 45
2.5.5.1. About EnCase (EnCase hakkında) ......................................................................... 45
2.6. Menü pencerelerindeki komutlar.........................................................................46
2.6.1. Cases Menü (olaylar menüsü)......................................................................................... 46
2.6.1.1. Close (kapat)........................................................................................................... 46
2.6.1.2. Copy Folders (klasörü kopyala) .............................................................................. 46
2.6.1.3. Bookmark Files (yerimi koy).................................................................................... 47
2.6.1.4. Bookmark Folder Structure (klasör yapısına yerimi koy) ........................................ 47



2.6.1.7. Recover Folders (klasörü kurtar) ............................................................................ 49
2.6.1.8. Acquire (veri edin) ................................................................................................... 49
2.6.1.9. Restore (kurtar) ....................................................................................................... 50
2.6.1.10. Hash ........................................................................................................................ 50
2.6.1.11. Scan Disk Configuration (veri ortamı konfigürasyonunu denetle)........................... 51
2.6.1.12. Verify File Integrity (veri bütünlüğünü kontrol et) .................................................... 51
2.6.1.13. Modify Time Zone Settings (saat dilimi ayarlarını değiştir) ..................................... 52
2.6.1.14. Export Selected Files to i2 ...................................................................................... 52
2.6.1.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 53
2.6.1.16. Copy/Unerase (kopyala/geri al) .............................................................................. 53
2.6.1.17. View File Structure (dosya yapısını göster) ............................................................ 54
2.6.1.18. Send to (gönder) ..................................................................................................... 54
2.6.1.19. Show Columns (sütunları göster)............................................................................ 55
2.6.1.20. Column (sütun)........................................................................................................ 55
2.6.1.21. Sort (sırala) ............................................................................................................. 56
2.6.2. Bookmark Menü (yerimleri menüsü)................................................................................ 56
2.6.2.5. Send to (gönder) ..................................................................................................... 58
2.6.2.6. Edit (düzenle) .......................................................................................................... 59
2.6.2.7. Add Note (not ekle) ................................................................................................. 59
2.6.2.8. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster) ......... 60
2.6.2.9. Delete (sil) ............................................................................................................... 60
2.6.2.10. Delete all selected (seçili yerimlerinin tümünü sil) .................................................. 61
2.6.2.11. Exclude (hariç tut) ................................................................................................... 61
2.6.2.12. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 62
2.6.2.15. Summary Bookmark (derleme yerimi) .................................................................... 63
2.6.2.16. Tag File (dosya etiketi)............................................................................................ 63
2.6.2.17. Tag selected files (seçilen dosyaları işaretle) ......................................................... 64
2.6.2.19. Column (sütun)........................................................................................................ 65
2.6.2.20. Sort (sırala) ............................................................................................................. 65
2.6.2.21. Select Item (seç) ..................................................................................................... 66
2.6.3. Keywords Menü (anahtar kelime menüsü) ...................................................................... 66
2.6.3.1. Edit (düzenle) .......................................................................................................... 66
2.6.3.2. New (yeni) ............................................................................................................... 66
2.6.3.4. Bookmark Data (yerimi koy).................................................................................... 67
2.6.3.5. Delete (sil) ............................................................................................................... 67
2.6.3.6. Delete all selected (seçili anahtar kelimelerin tümünü sil) ...................................... 68
2.6.3.8. Exclude all selected (seçili dosyaların tümünü hariç tut) ........................................ 68
2.6.3.10. Import (dışarıdan aktar)........................................................................................... 69
2.6.3.11. Add Keyword List (anahtar kelime listesi ekle) ....................................................... 70
2.6.3.12. Rename (ad değiştir)............................................................................................... 70
2.6.3.13. New Folder (yeni klasör) ......................................................................................... 71
2.6.3.14. Expand / Contract (genişlet/daralt) ......................................................................... 71
2.6.3.15. Include Sub Folders / Set Included Folders / Include Single Folder ...................... 72
2.6.3.17. Column (sütun)........................................................................................................ 73
2.6.3.18. Sort (sırala) ............................................................................................................. 73
2.6.3.19. Select Item (seç) ..................................................................................................... 73
2.6.4. Search Hits Menü (arama sonuçları menüsü) ................................................................. 74



2.6.4.5. Send to (gönder) ..................................................................................................... 76
2.6.4.7. Delete (sil) ............................................................................................................... 77
2.6.4.8. Delete All Selected (seçili anahtar kelimelerin tümünü sil) ..................................... 77
2.6.4.10. Exclude All Selected (seçili dosyaların tümünü hariç tut) ....................................... 78
2.6.4.13. Tag File (dosya etiketi)............................................................................................ 79
2.6.4.14. Tag Selected Files (seçilen dosyaları işaretle) ....................................................... 80
2.6.4.15. View Search Hits (arama sonuçlarını göster) ......................................................... 80
2.6.4.16. Bookmark Selected Items (seçili arama sonuçlarına yerimi koy) ........................... 80
2.6.4.18. Column (sütun)........................................................................................................ 81
2.6.4.19. Sort (sırala) ............................................................................................................. 82
2.6.4.20. Select Item (seç) ..................................................................................................... 82
3. Uygulamada EnCase ....................................................................................... 83
3.1. EnCase programının kurulması...........................................................................83
3.1.1. Program ........................................................................................................................... 83
3.1.2. Dongle sürücüsü .............................................................................................................. 83
3.1.3. Guidance İnternet sitesinden tedarik edilebilecek güncellemeler.................................... 84
3.2. Bootdisk (önyükleme disketi)..............................................................................85
3.2.1. EnCase’de boot disketi hazırlanması .............................................................................. 85
3.2.2. ENBD hazırlanması ......................................................................................................... 85
3.3. Görüntü (Image) oluşturma .................................................................................86
3.3.1. Boot Disk.......................................................................................................................... 86
3.3.1.1. EBD ile Drive-to-Drive-Acquisition .......................................................................... 86
3.3.1.2. ENBD ile Crossover-Acquisition ............................................................................. 86
3.3.2. Windows için EnCase ...................................................................................................... 87
3.3.2.1. New (yeni olay yaratma) ......................................................................................... 88
3.3.2.2. Add device (veri ortamı ekle) .................................................................................. 88
3.3.2.3. Acquire (veri edinme) .............................................................................................. 90
3.3.2.4. Options (seçenekler) ............................................................................................... 91
3.4. Değerlendirme ......................................................................................................93
3.4.1. Yeni Case (olay) yaratma ................................................................................................ 93
3.4.1.1. Olay organizasyonu ................................................................................................ 93
3.4.1.2. Veri girme ve yol değiştirme.................................................................................... 93
3.4.1.3. İmge dosyalarının eklenmesi .................................................................................. 94
3.4.1.4. Uyum ayarlarının yapılması .................................................................................... 97
3.4.2. Ön çalışmalar................................................................................................................... 97
3.4.2.1. Verify File Integrity (veri bütünlüğünün doğrulanması) ........................................... 98
3.4.2.2. “Acquisition Hash” ve “Verify Hash” karşılaştırması ............................................... 98
3.4.2.3. Scan Disk Configuration........................................................................................ 100
3.4.2.4. File System (dosya sistemi)’nin belirlenmesi ........................................................ 100
3.4.2.5. Silimmiş bölüntülerin kurtarılması ......................................................................... 101
3.4.2.6. Recover Folders (klasörü kurtar) .......................................................................... 101
3.4.2.7. Mount Compound Files (bileşik dosyaları ilişkilendir) ........................................... 102
3.4.2.8. File Mounter Script ................................................................................................ 103
3.4.2.9. Verify File Signatures (dosya imzalarının doğrulanması) ..................................... 104
3.4.2.10. Hash analizi........................................................................................................... 105
3.4.2.11. Initialize Case-Script (olayın başlatılması) ............................................................ 109
3.4.3. Arama ............................................................................................................................ 109
3.4.3.1. Keywords (anahtar kelimeler) organizasyonu....................................................... 109
3.4.3.2. Aramayı başlat ...................................................................................................... 113
3.4.4. Bookmarks (yerimleri).................................................................................................... 114
3.4.4.1. Yerimlerinin anlaşılması ........................................................................................ 114
3.4.4.2. Yerimi görünümü................................................................................................... 118



3.4.4.3. Ayrıntılar: Yerimi oluşturma................................................................................... 120
3.4.4.4. Rapor fonksiyonu .................................................................................................. 121
3.4.5. Dosyaların/klasörlerin dışarı aktarılması ....................................................................... 122
3.4.5.1. Copy/Unerase (kopyala/geri al) ............................................................................ 122
3.4.5.2. Copy Folders......................................................................................................... 125
3.4.5.3. Export .................................................................................................................... 126
Şekiller Dizini .........................................................................................................128



Önsöz

Eldeki bu kılavuz EnCase programı ile veri ortamlarının incelenmesi için polis uygulamalarından
elde edilip yine polis uygulamaları için hazırlanmış bir yardımcı elkitabı niteliğindedir. Ancak yalnızca
programa yeni başlayanlar için bir eğitim kitabı olmayıp, gündelik işlerinde EnCase ile çalışmayanlar
(...ve bu yüzden program yapısının karmaşık olmasından dolayı standart komutlara ulaşmanın
yolunu unutanlar...) için bir başvuru kaynağı olması düşünülmüştür.

Kılavuz üç bölüme ayrılmıştır:

• EnCase Konsepti: Bu bölümde yazılım yapısı, programın kısımları ve EnCase’in çalışma
şekli hakkında bilgi edinebilirsiniz.

• EnCase’de yön bulma: Neredeyse tüm menü ve pencere özelliklerine ait açıklamalar.

• Uygulamada EnCase: EnCase’in etkin kullanımı için olay incelemelerine göre hazırlanmış
uygulama önerileri.

Bu kitabın amacı EnCase eğitiminin yerini almak değildir ve olmamalıdır, ancak gündelik işlerde ve
bunlarla ilişkili sorunlarda bir başvuru kaynağı olabilir.

Okurken sıkılmamanızı ve EnCase ile değerlendirme yaparken başarılar dilerim.

Armin Kisling



1. EnCase Konsepti

1.1. Evidence File
EnCase programının merkezi bileşeni “Evidence File”dır. Bu dosya, inceleme sırasında veri
ortamının durumunun güvenli bir şekilde tarif edilmesini sağlayan üç temel bileşen (başlık, kontrol
toplamı ve veri blokları) içermektedir.

1.1.1. Cyclical Redundancy Check (CRC)
CRC normal bir kontrol toplamının bir türevidir ve neredeyse aynı şekilde işlemektedir. CRC, “1234”
sayı dizisi ile “4321” sayı dizisinin değerlerinin eşit olduğu kontrol toplamından bu hususta
ayrılmaktadır. Çoğu sabit disk her sektör için CRC kaydeder. Diskte bir yazma hatası oluştuğunda, o
sektörün CRC değeri, disk sürücüsü donanımının o sektörü okuduktan sonra hesapladığı değere
eşit olmaz. Bu durumda bir “Low-Level Disk Read Error” ortaya çıkar.

1.1.2. Evidence File Format
Her dosya veri ortamının sektör sektör tıpkı kopyasıdır. Bir dosya oluşturulduğunda, kullanıcı onu
soruşturma için gerekli bilgilerle donatır (günlük numarası, inceleyen, notlar, vs.), bunlar da daha
sonra “Olay bilgileri” bloğuna kaydedilebilir. Dosyanın her baytı 32 bitlik CRC ile doğrulanır, bu da
elde edilen verilerin sonradan tahrif edilmesini neredeyse olanaksız kılar. Farklı veri içeriğine sahip
iki sektörün aynı CRC’yi üretmeleri olasılığı tahminen dört milyarda birdir.
EnCase programı tüm veri ortamı kopyası için bir CRC değeri oluşturmak yerine, ona 64 sektörlük
(32 KB) bir blok ekler. Bu sayede güvenlik ve hız arasında iyi bir ortak payda bulunmuş olur.

Olay bilgileri Veri içeren 64 sektör

Şekil 1: EnCase veri formatının görünüşü

1.1.3. Sıkıştırma
EnCase, sıkıştırma algoritması sayesinde veri edinilmesi sırasında veri ortamını asıl boyutunun
%50’sine kadar küçültebilmektedir. Sıkıştırılmış delil dosyalarının (Evidence File) oluşturulması daha
uzun sürmektedir, çünkü salt veri edinme sürecine bir de sıkıştırma süreci eklenmektedir.



1.1.4. Delil dosyasının (Evidence File)
doğrulanması
Bir delil dosyası otomatik olarak veya elle doğrulanabilir. Delil
dosyası EnCase’deki bir olaya eklendiğinde doğrulama işlemi
otomatik olarak başlar. Kısmen birkaç saat sürebilen bu işlem
sırasında inceleyen olay üzerinde normal şekilde çalışmaya devam
edebilir. Doğrulama işlemi durdurulabilir ve tamamen bitmediği
sürece, olay her açıldığında otomatik olarak başlar.
Bir doğrulama işlemini yeniden yürütmek için, “View”
görünümündeyken ilgili veri ortamı üzerine sağ tık yapılarak, açılan
menüde “Verify File Integrity” komutu seçilerek işlem elle
başlatılabilir.

Şekil 2: Bir imgenin (Image)
okunması sırasında
doğrulama

1.1.5. Veri ortamlarının ve sürücülerin Hash değerleri
EnCase, bir fiziksel veri ortamından veya bir mantıksal sürücüden veri edinildiğinde bir MD5 Hash
değeri hesaplar. Hash değeri delil dosyası (Evidence File) içine yazılır ve olay dokümantasyonunun
bir parçası olur. Bir delil dosyası EnCase’deki bir olaya eklendiğinde, EnCase kayıtlı olan değeri
kendi hesapladığı değerle karşılaştırır. Sonuç raporda gösterilir ve burada her zaman görülebilir.
Hash değeri ilgili veri ortamı veya sürücü üzerine sağ tık yapılarak ve açılan menüden “Hash”
komutu seçilerek kontrol için yeniden hesaplanabilir.

1.2. Case (olay) dosyaları
Bir olay dosyası (Case File, “*.cas”) aşağıdakiler gibi yol bilgilerini ve olay bilgilerini içeren bir metin
dosyasıdır:
• Yerimleri
• Arama sonuçları
• Sınıflandırmalar
• Hash değeri analizleri
• Dosya imzaları sonuçları
İnceleyen kişi olayı kaydettiğinde bir olay dosyası (Case File) üretilir. Otomatik ara kaydetme aktifse,
ayrıca olayın bir de güvenlik kopyası aynı klasör altına kaydedilir (*.cbak).

Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları



1.3. EnCase “.ini” dosyaları (ayar dosyaları)
EnCase, her olayda genel ayarlara erişebilmek için “*.ini” dosyaları kullanır. Bunlar örneğin
aşağıdaki bilgileri içerirler:
• İmza tablosu
• Dosya tipleri
• Dosya görüntüleyici
• Filtre
• Anahtar kavramlar
• Metin biçemleri
Bu “*.ini” dosyaları bilgisayardan bilgisayara kopyalanarak ayarlar taşınabilir.

Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:ProgrammeEnCase4)

1.4. EnCase Boot (önyükleme) disketi / Boot (önyükleme) CD-
Rom’u
EnCase programının DOS sürümünün başlatılabileceği iki tür önyükleme disketi vardır.
EnCase Boot (önyükleme) disketi (EBD) sürücüden sürücüye veri edinimi için, EnCase Network
Boot (önyükleme) disketi (ENBD) ise buna ek olarak ağ kablosu üzerinden geçişli veri edinimi için
kullanılır. Her iki halde de yazılım yoluyla sabit diske yazılmaması sağlanır, bu da pahalı yazma
koruma donanımlarının kullanılmasından tasarruf sağlar.

1.5. EnCase programı
EnCase programının Windows sürümü hem olay verilerinin edinilmesi hem de incelenmesi için
kullanılabilir. Bir tek platform üzerinde imge (Image) oluşturulabilir, kaydedilebilir, görüntülenebilir ve
en ayrıntılı açılardan incelenebilir. Eğer EnCase programından azami derecede faydalanmak
istenirse, raporlamanın büyük bir kısmı bir metin işleme programı kullanılmadan halledilebilir.

1.6. Fastblock
“Fastblock”, Guidance firmasının ürettiği ve halen iki seçenek halinde (donanım ve yazılım seçeneği)
tedarik edilebilen yazma koruma serisinin adıdır. “Fastblock” kullanılarak kaynak ortama yazma
erişimi olmaması ve veri ortamının korumaya rağmen değiştirilememesi sağlanır.



Bunun yanı sıra işlev bakımından eşdeğer ve EnCase ile sorunsuzca birlikte çalışabilen ürünler
üreten çok sayıda üretici bulunmaktadır.
Bir ürün seçiminde belirleyici kriter özellikle veri transfer oranı ile mümkün olduğunca fazla bağlantı
formatını (S-ATA, IDE, SCSI, vs.) desteklemesidir.

ÖNEMLİDİR: Yazma koruma OLMADAN veri edinme işlemine başlanmamalıdır! Pek çok kriminal
teknik kural vardır – ancak bu belki de en önemlisidir!

Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde

1.7. Modüller
Guidance firması EnCase programının yeteneklerinin genişletilmesi için EnCase lisansından ayrı
olarak satın alınması gereken üç program modülü sunmaktadır.

1.7.1. Virtual File System (VFS)
• Ağ paylaşımına açılmış (Windows ortamında ağ paylaşımlı olarak görünürler ama paylaşımda
oldukları diğer kullanıcılar tarafından görülemez) yazma korumalı şüpheli veri ortamları,
mantıksal sürücüler, klasörler, vs. gibi ortamlara erişimi olanaklı kılar.
• VFS, EnCase ortamı dışında yazma korumalı olay incelemeleri için basit bir platform sağlar.
• Dosyalar, EnCase’de olduğu gibi dosya sistemiyle aynı özellikleri içermektedirler (atanmış
(allocated) dosyalar, silinmiş dosyalar, “Alternate Data Streams” (ADS) ve “Unallocated Space”
gibi dahili sistem dosyaları).
• Yazma korumalı ortam bir defa bağlandıktan sonra her Windows uygulaması tarafından
kullanılabilir (ör. Windows Explorer veya virüs tarayıcı, Spyware araçları veya Truva atı araçları
vs. gibi başka uygulamalar).



• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar
(soruşturma memurları, savcılar, hakimler vs.)

• Desteklediği dosya sistemleri: DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX
(Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) ve
Palm (Palm OS).
• EnCase tarafından kurtarılan eklentili Windows RAID sistemleri, dinamik sabit diskler ve NTFS
ile sıkıştırılmış veya şifrelenmiş sürücüler.

1.7.2. EnCase Decryption Suite (EDS)
• Microsoft Encrypting File Systems (EFS) tarafından şifrelenmiş dosya veya klasörleri, hatta
Domain üzerinden yetkilendirilen kullanıcı hesaplarını destekler.
• Outlook PST şifrelerini (Outlook 2003 hariç) destekler.

• Internet Explorer’ın Windows Registry tarafından korunmuş yazma alanlarının otomatik olarak
deşifre ve analiz edilmesini olanaklı kılar.

1.7.3. Physical Disk Emulator (PDE)
• Veri ortamlarının veya CD-Rom’ların imgelerini (Image) yazma korumalı yerel sürücü olarak
değerlendirme sistemine dahil eder.
• Başka firmaların aletlerinin kullanılmasına olanak tanır.

• VMWare kullanıldığında, PDE (deneyimlere göre olayların %30 ila %50’sinde) işletim sisteminin
imge (Image) üzerinden önyükleme (boot) yapılmasına olanak sağlar. İnceleyen için zanlının
bilgisayarının el konulduğu zamandaki durumunun tamamen yeni – yazma korumalı –
incelenmesi olanağı doğar.
• EnCase kullanımı için eğitim görmemiş kişilerin delilleri inceleyebilmesine olanak sağlar
(soruşturma memurları, savcılar, hakimler vs.)

• PDE, Windows Explorer’ın göz ardı ettiği, ancak WMWare tarafından rahatlıkla görülebilen ve
önyükleme yapılabilen kendi dosya sistemlerini yükleyebilir. Windows, Linux ve Free BSD
formatlarını okuyamıyorken, aşağıdaki dosya sistemleri çoğu durumda VMWare ile önyükleme
yapılabilmektedir:
• Windows (DOS, FAT 12/16/32, NTFS),
• Linux (SuSE, Red Hat ve Mandrake),
• Free BSD

• NetWare.



2. EnCase içinde yön bulma

(Görünüm)
(Sekme)

(Alt sekme)

Şekil 6: Windows için EnCase program penceresi görünüşü



2.1. “View” (görünüm) alanı

Görünüm “View” (1) menüsünden seçilir. Bu seçimden
sonra seçilen görünüm bir simge (2) üzerinden daima
erişilebilir kalır, yazılar ise tercihe göre gösterilip
gizlenebilir.

Bu görünüm içinde yön bulabilmek için ya da sekme
alanında hangi alanın gösterileceğini belirlemek için
HOMEPLATE (3) kullanılır. Beşgen kutucuk işaretlenirse,
onun altındaki tüm dosya ve klasörler ile alt klasörler ve
onların içindeki dosyalar sekme alanında gösterilir.

EnCase’in 3 sürümünün aksine, burada birden fazla dizin
birbirinden bağımsız olarak sekme alanında
gösterilebilmektedir. Bunun için CTRL tuşu basılı
tutularak dizinler seçilebilir.

HOMEPLATE’in mantıksal ifadesi: Bu dizin altındaki her
şeyi, tüm klasörler, dosyalar ve kayıtlar dahil olmak
üzere, göster.

Buna karşın, üzerine tıklandığında mavi bir kanca beliren
kare kutu (4) işaretlenebilir. Bu işaretleme sekme
alanındaki görünümü değiştirmez, daha çok belirli
Şekil 7: View görünümü komutların uygulanması için dosyaların, kayıtların ve
klasörlerin seçilmesine yarar (ör. kopyalama vs.).

2.2. “Tab” (sekme) görünümü

2.2.1. Table (tablo)
Kayıt hakkındaki her bilgi sütunu sıralama kriteri olarak kullanılabilir.
Sıralamanın en basit olanağı, istenen sütunun gri fonlu başlık alanına çift tıklanmasıdır.
Kriter olarak birden fazla sütun kullanılacaksa, çift tıklama sırasında SHIFT tuşu basılı tutulmalıdır.
En fazla beş sıralama kriteri seçilebilir.
Aynı şekilde her bir sütunun yeri de değiştirilebilir; bunun için istenen sütun farenin sol tuşuna
basılarak işaretlenir ve tuş basılı haldeyken istenen yere sürüklenir.

Bir dosyayı doğrudan incelemek için (ayrı bir pencerede), o dosyanın çift tık ile seçilmesi gerekir.
Bunun üzerine EnCase veri bankasında açılan bu dosyaya ait hangi atamaların olduğu denetlenir.
Bu işlem sırasında dosyanın doğrudan EnCase içinde mi gösterileceği (ancak gösterilemeyen bir
formatta Hex görünümü açılır), dosyanın Windows altındaki programla mı açılacağı yoksa
ayarlanmış bir görüntüleme programı ile mi gösterileceği ayırt edilebilir. Dosya EnCase’in geçici
dizinine kopyalanır ve oradan açılır. Bu sayede imge (Image) değişmez!

2.2.1.1. Adım adım sütunlar



Şekil 8: Tablo sütunları - 1. bölüm

• (1) Name (Adı)
Dosyanın tam adı

• (2) Filter (Filtre)
Eğer dosyalar filtre üzerinden gösterilecekse, filtrenin adı gösterilir.

• (3) In Report (Rapor İçinde)
Kaydın Rapor İçinde gösterilebilmesi için sağ tık ile açılan menüden seçilmesi gerekir.

• (4) File Ext (Dosya Uzantısı)
Dosya uzantısı

• (5) File Type (Dosya Tipi)
Dosya uzantısına göre dosyanın tipi

• (6) File Category (Dosya Kategorisi)
Dosya kategorisi (“sahte imza” algılandığında değişebilir)

• (7) Signature (İmza)
Başlık ve uzantı arasındaki kontrolün sonucu (bkz. ayrıca “Signature Analyse”).

• (8) Description (Tanım)
Dosyanın cinsi (klasör, dosya, arşiv, salt okunur, vs.).

• (9) Is Deleted (Silinmiş)
Kaydın dosya sisteminde silinmiş olarak kayıtlı olup olmadığını gösterir.

• (10) Last Accessed (Son Erişim)
Son erişim

• (11) File Created (Yaratılma Tarihi)
İncelenen sistemde dosyanın yaratıldığı tarih.


• (12) Last Written (Son Yazma Tarihi)
Son yazma tarihi

• (13) Entry Modified (Son Değişiklik)
Kayıt yalnız NTFS dosya sistemlerinde mevcuttur (MFT kaydında değişiklik)



• (14) File Deleted (Silinmiş Dosya)
Silme tarihi (dosyanın çöp sepetine atıldığı zaman).

• (15) Logical Size (Mantıksal Boyut)
Dosyanın mantıksal boyutu (bayt)

• (16) Physical Size (Fiziksel Boyut)
Dosyanın fiziksel boyutu (sektör içindeki boş alanların baytı dahil).

• (17) Starting Extend
Kaydın başlangıç kümesini gösterir.

• (18) File Extents
Dosya bölünmüş ise, DATA Runs adedi.
• (19) Permissions
NTFS sistemlerde erişim yetkilerini gösterir

• (20) Bookmarks (yerimi)
Bir dosyanın ya da içeriğinin ne sıklıkla yerimlerine kaydedildiğinin sayısı.

• (21) Physical Location (Fiziksel Yer)
Kaydın bayt cinsinden fiziksel yeri.
• (22) Physical Sector (Fiziksel Sektör)
Veri ortamı üzerinde dosyanın başladığı fiziksel sektörü gösterir.


• (23) File Identifier
NTFS dosya sistemlerinde MFT kayıtlarının numarası.

• (24) Evidence File (Delil Dosyası)
Kaydın ait olduğu imge ya da cihaz adı.

• (25) Hash Value (Hash Değeri)
Dosyanın Hash değeri

• (26) Hash Set
Dosyanın Hash değerini içeren Hash setini gösterir.

• (27) Hash Category (Hash Kategorisi)
Hash setine verilen kategorinin adı.

• (28) Full Path (Dosya Yolu)
EnCase’deki görünüme göre yol bilgisi (Dikkat: Sürücü harfleri orijinal sistemdekilerle aynı
olmalıdır!)



• (29) Short Name (Kısa Adı)
DOS 8.3 formatında dosya adı

• (30) Unique Name (Özgün Adı)

• (31) Original Path (Orijinal Yol)

2.2.1.2. Sütun görünümü

Sıralama
• Sütuna çift tıklandığında = küçükten büyüğe doğru sıralanır (Şekil 11)
• CTRL tuşuna basılarak sütuna çift tıklandığında: büyükten küçüğe doğru sıralanır (Şekil 12)
• SHIFT tuşuna basılarak başka bir sütuna çift tıklandığında: ikinci sıralama kriteri eklenir (Şekil
13)
• Alternatif olarak sekme alanına sağ tıklandığında açılan menüden “Sort” satırı seçilerek de
sıralama yapılabilir.

Şekil 11: Küçükten büyüğe Şekil 12: Büyükten küçüğe Şekil 13: İkinci sıralama kriteri ile
doğru sıralama doğru sıralama sıralama

Un-/Lock Column
Sütunu kilitlemek veya serbest bırakmak için ilgili sütuna çift tık yapılır. Açılan menüde “Column”
satırından “Lock” ya da “Unlock” seçenekleri işaretlenir.

Göster/Gizle
Görünüşü basitleştirmek için sütun sayısı azaltılmak isteniyorsa, sekme alanına sağ tıklanır. Açılan
menüden “Show Columns” satırı seçilir ve görüntülenmesi istenmeyen sütunların işaret kutularındaki
işaretler kaldırılır.
Münferit sütunlar menü penceresindeki “Column/Hide” (CTRL + H) satırından da gizlenebilir.

Sütunları kaydırma
Sütunlar “sürükle ve bırak” yöntemiyle yer değiştirebilir.

2.2.2. Report (rapor)
Rapor, EnCase’in sunduğu en önemli yardımcı araçlardan biridir. Rapor içinde olaya ait sürücüler,
dizin yapısı, dosyalar, fragmanlar vs. ile ilgili olabilecek tüm bilgiler özetlenebilir.
Püf Noktası: Bir dosyanın “Bookmarking” işleminden geçmeden rapor içinde gösterilmesi için kısa
ve etkili bir alternatif bulunmaktadır. Tek bir dosyayı rapor içine almak için dosyanın sekme alanında
“In Report” sütununa sağ tıklanarak “In Report” satırına tıklanır.
Rapor artık yazdırılabilir veya kullanılabilen çeşitli formatlara dönüştürülerek soruşturma dosyasına
eklenebilir.



Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor

2.2.2.1.1. Zoom In / Out (1)
Rapor, üzerine sağ tıklanarak daha iyi görülebilmesi için yakınlaştırılıp uzaklaştırılabilir.

2.2.2.1.2. Export (2)

• Belge
Rapor “.rtf” formatında belge olarak dışarıya aktarılabilir.

• Web sayfası
Rapor “.html” formatında web sayfası olarak dışarıya aktarılabilir.

2.2.3. Gallery
“Gallery” olayda tespit edilen tüm resimlerin gösterilmesine yarar.



Şekil 15: Ön izlemeli “Gallery” görünümü

Burada EnCase’in dahili görüntüleyicisinde gösterilebilen tüm resimler görüntülenir. Desteklenen
formatlar şunlardır:
• JPG
• GIF
• BMP
• EMF
• PSD
• TIF
• ART
Bu görünümde olayla ilgili resimler yerimleri ile işaretlenebilirler. Çift tıklandığında EnCase’in imza
veri bankası üzerinden bu dosya uzantısı ile ilişkili olan program çağrılır.
İşaretleme kutuları ya da Homeplate ile belli dosyalar ya da dizinler seçilerek resimlerin yalnız
istenen dizinlerle sınırlandırılmış olarak gösterilmesi mümkündür.
Önemlidir:
Burada yalnız dosya uzantısından dolayı bir resim formatı olarak algılanabilen resimler
gösterilmektedir. Dosya uzantısı sahte olan resimler ancak dosya imzalarının denetlenmesinden
(“Verify File Signature”) sonra gösterilebilir!
2.2.3.1. Görünüm
Resim galerisindeki görünüm sütun ve satır sayısı değiştirilerek değiştirilebilir. Bu durumda
önizlemedeki resimlerin boyutları da mevcut olan yere göre uyarlanırlar.



• Fewer Columns / More Columns
(daha az/çok sütun) (1)
Sütun sayısının azaltılması veya
çoğaltılması. Komut üzerine her
tıklandığında bir sütun çıkarılır ya
da eklenir. Alternatif olarak “Ctrl +
Num - ya da +” kullanılabilir
(klavyedeki sayı tuş takımında artı
veya eksi işareti).

• Fewer Rows / More Rows (daha
az/çok satır) (2)
Satır sayısının azaltılması veya
çoğaltılması. Komut üzerine her
tıklandığında bir satır çıkarılır ya da
eklenir. Alternatif olarak “Shift +
Num - ya da +” kullanılabilir
(klavyedeki sayı tuş takımında artı
veya eksi işareti).

Şekil 16: “Gallery” görünümünde ayarlama olanakları

2.2.4. Timeline (zaman doğrusu)
EnCase’deki bu özellik tarih bilgilerinin toplu halde gösterilmesine olanak verir. Bu şekilde kayıtlı
tarihlere göre örneğin en son faaliyetin ne zaman olduğu söylenebilir.

Şekil 17: “Timeline” (zaman doğrusu) görünümü



Buradaki gösterim de yine seçilen dosyaya ya da seçilen dizine ve Homeplate’in kullanılmasına
bağlıdır.
Dikkat!
Dosyaların ve dizinlerin tarih kayıtları değiştirilebilir ve gerçek olmaları şart değildir.
2.2.4.1. Görünüm

• Higher / Lower Resolution
(yüksek/düşük çözünürlük) (1)
Gösterilen zaman diliminin
değiştirilmesi olanağı. Görünüm
alternatif olarak sayı tuş takımındaki
artı veya eksi tuşları ile büyütülüp
küçültülebilir.

• Options (2)
o Start Date: Zaman doğrusunda
gösterimin başlayacağı tarih (ör.
01/01/2000)

Şekil 18: “Timeline”ın ayarlama olanakları
o Stop Date: Zaman doğrusunda
gösterimin biteceği tarih
o Colors: Created, Written, Accessed,
Modified, Deleted ve Logoff
seçeneklerine ait renklerin
değiştirilmesi

2.3. “Sub-Tab” (alt sekme) görünümü

Şekil 19: Sub-Tab alanının metin görünümü

2.3.1. Hex, Text ve Report (1)
Tüm dosyalar hem “Hex kipinde” hem de “Text kipinde” izlenebilir. “Report” görünümü güncel olarak
seçilmiş dosya veya dizinler hakkında bilgi verir.

2.3.2. Picture (resim) (2)
Bu görünüm yalnız EnCase ya da dahili görüntüleyicinin dosyayı resim olarak algılayıp gösterebildiği
durumlarda görülür.



2.3.3. Disk (veri ortamı) (3)
“Disk” görünümü güvenceye alınan veri ortamının fiziksel yapısı ve her bir dosyanın fiziksel yeri
hakkında genel bir görünüm verir.
Eğer dosyalar önceden sekme alanında işaretlenirse, bunlar “Disk” görünümünde alt sekmede
görülebilir.

2.3.4. Console (konsol) (4)
“Console” alt sekme alanının gösterilmesi, sonuçların ara kaydı için kullanılır (ör. arama sonuçları
veya imza denetlemesinin sonucu).
Bir ileri adımda bu sonuçlar ihtiyaca göre yerimlerine eklenebilir.

2.3.5. Filters (filtreler) (5)
Filtre kullanımı, dosyalara ait tüm bilgilerin sütunlarla gösterildiği tablo görünümü ile ilgilidir.
Burada belli dosyaları seçmek için, sıralama üzerinden dosyalar sıralanabilir. Ancak gerek
duyulmayan dosya ve dizinleri gizlemek daha iyidir. Bu olanak filtreler kullanılarak sağlanır.
Burada doğru veya yanlış şeklinde basit bir “Boole” sorgulaması yapılır.
Buna ait “Fitler.ini” dosyası ayrıca Guidance firmasının ana sayfasından indirilebilir ve zaman zaman
güncellenmektedir.

2.3.6. Queries (sorgulamalar) (6)
Birden fazla filtrenin kombine edilebilmesi.

2.3.7. Lock (kilitle) (7)
“Lock” kutusu işaretlendiğinde görünüm sabit kalır. Kutu işaretliyse, alt sekme alanında seçilmiş olan
dosyalar işaretleme sırasındaki görünümleriyle (ör. Hex) gösterilir.
Örnek: Bir resim dosyası işaretlenerek alt sekme alanında Hex görünümü üzerine tıklanırsa, resim
on altılı biçimde gösterilir. Başka bir resim dosyası seçilirse, alt sekme alanındaki görünüm otomatik
olarak “Picture” seçeneğine döner. Eğer resimler Hex görünümünde görüntülenmek isteniyorsa,
“Lock” kutusu işaretlenmelidir.

2.3.8. Dixon Box ve Sektor/Cluster bilgileri (8)
Çok faydalı başka bir görünüm de incelenen veri ortamı üzerindeki fiziksel yerdir. Bu şekilde veri
ortamı üzerinde bulunulan yer her zaman tam olarak belirtilebilir.

2.4. Araç çubuğu

Şekil 20: Olay görünümünde araç çubuğu

2.4.1. New (yeni) (1)
Yeni bir olay yaratır.
Bulunduğu yer: File / New
Araç çubuğu / New



2.4.2. Open (aç) (2)
Mevcut bir olayı açar.
Bulunduğu yer: Menü çubuğu / File / Open
Kısa yol / Ctrl + O
Araç çubuğu / Open

2.4.3. Save (kaydet) (3)
Açık olan olayı kaydeder. “Save All” (tümünü kaydet) seçeneğinin aksine “Save” (kaydet)
seçeneğinde tüm ayarlar ve değişiklikler “.ini” dosyalarına kaydedilmez.
Bulunduğu yer: Menü çubuğu / File / Save
Kısa yol / Ctrl + S
Araç çubuğu / Save

2.4.4. Print (yazdır) (4)
Bilgisayara bağlı yazıcı üzerinden çıktı alınmasını sağlar (ör. rapor).

2.4.5. Add Device (aygıt/veri ortamı ekle) (5)
Mevcut veya yeni yaratılan olaya bir cihaz, veri ortamı, sürücü veya Evidence File ekler.
Bulunduğu yer: Menü çubuğu / File / Add Device
Araç çubuğu / Add Device

2.4.6. Acquire (veri edinme) (6)
Eklenen veri ortamından veri edinilmesini başlatır ve güvenli veri ortamı üzerinde veri ortamının
kopyasını EnCase imgesi olarak oluşturur.
Bulunduğu yer: Olay görünümünde veri ortamı ya da sürücü üzerine sağ tık / Acquire
Araç çubuğu / Acquire

2.4.7. Search (arama) (7)
Bu düğmeye tıklandığında arama penceresi açılır ve arama seçenekleri ayarlanabilir.
Bulunduğu yer: Menü çubuğu / Tools / Search
Araç çubuğu / Search

2.4.8. 2.4.8 Refresh (güncelle) (8)
Değişiklik olduğunda anlık görünümü günceller. Örneğin uzun bir arama işleminden sonra ilk
bulunan sonuçları görmek için kullanılabilir.
Bulunduğu yer: Menü çubuğu / Tools / Refresh
Fonksiyon tuşları / F5
Araç çubuğu / Refresh



2.5. Menü çubuğu

Şekil 21: Menü çubuğu

2.5.1. File
2.5.1.1. New (yeni)

Yeni bir olay yaratır.

Bulunduğu yer: Araç çubuğu / New
Menü çubuğu / File / New

Şekil 22: File / New

2.5.1.2. Open (aç)

İlgili “.case” doyası seçilerek mevcut bir olayı açar.

Bulunduğu yer: Araç çubuğu / Open
Kısa yol / Ctrl + O
Menü çubuğu / File / Open

Şekil 23: File / Open

2.5.1.3. Save (kaydet)

Açık olan olayı kaydeder. “Save All” (tümünü kaydet)
seçeneğinin aksine “Save” (kaydet) seçeneğinde tüm ayarlar
ve değişiklikler “.ini” dosyalarına kaydedilmez.

Bulunduğu yer: Araç çubuğu / Save
Kısa yol / Ctrl + S
Menü çubuğu / File / Save

Şekil 24: File / Save



2.5.1.4. Save as (farklı kaydet)

“Save as” ile olayın tamamı - “.ini” dosyaları hariç - başka bir
yere kaydedilebilir veya kayıt yeri değiştirilebilir.

Bulunduğu yer: Menü çubuğu / File / Save as

Şekil 25: File / Save As

2.5.1.5. Save all (tümünü kaydet)

“Save all” açık olan olayı ve tüm EnCase “.ini” dosyalarını en
son ayarlarıyla birlikte kaydeder. Bu şekilde filtrelerin, anahtar
kelimelerin, dosya tiplerinin vs. program ve olay açıldığında
yeniden mevcut olması sağlanır.

Bulunduğu yer: Kısa yol / Ctrl + Shift + S
Menü çubuğu / File / Save all

Şekil 26: File / Save All

2.5.1.6. Add device (aygıt/veri ortamı ekle)

Mevcut veya yeni yaratılan olaya bir aygıt, veri ortamı, sürücü
veya delil dosyası (Evidence File) ekler.

Bulunduğu yer: Araç çubuğu / Add Device
Menü çubuğu / Add Device

Şekil 27: File / Add Device



2.5.1.7. Add Raw Image (ham kopya ekle)

EnCase sadece kendi formatındaki imge dosyalarını değil,
özellikle Linux sistemlerinde görülen ham imge (Raw Image)
denen verileri de okuyabilir.
Linux ortamında “dd” komutu ile oluşturulmuş bir imge
EnCase’deki bir olaya eklenecekse, bunun için menü
çubuğunda “File” menüsünden “Add Raw Image” seçilmelidir.
Açılan pencerede, ideal durumda “dd” kopyasını oluşturan
kişi tarafından tamamlayıcı bilgiler verilmelidir.

Şekil 28: File / Add Raw Image
“Name”:
Burada imgenin olay içinde tanımlanacağı herhangi bir ad verilebilir.
“Image-Type” (imge türü):

• “None” (yok): Kopya “Unallocated Cluster” olarak eklenir

• “Disk” (sabit disk): Fiziksel veri ortamı
• “Volume” (sürücü): Yerel sürücüler veya disketler, mantıksal veri ortamları ve diğer
değiştirilebilir veri ortamları

• “CD”: CD-Rom için
“Bytes per sector”:
Bu değer çoğu olayda standart boyut olan 512 bayt ayarında kalır.
“Component Files” (dosya bileşenleri):
Başta boş olan bu pencerede sonradan olaya eklenen ham veri blokları gösterilir. Bunun için
pencereye sağ tıklanır ve “New” komutu seçilir. Ham kopyanın tüm bileşenleri eklendikten sonra
“OK” ile onaylanarak okunurlar.

Bulunduğu yer: File / Add Raw Image

2.5.1.8. Exit EnCase (EnCase’i kapat)

Uygulamayı kapatır.

Bulunduğu yer: Menü çubuğu / File / Close

Şekil 29: File / Exit EnCase



2.5.2. Edit
2.5.2.1. Close (kapat)

Seçilen olayı kapatır ya da bir görüntünün olayla olan ilişkisini
ortadan kaldırır.

Bulunduğu yer: Menü çubuğu / Edit / Close

Şekil 30: Edit / Close

2.5.2.2. Copy Folders (klasörü kopyala)

“Copy Folders” ile bir veya daha fazla dizin komple dosyaları
ve alt dizinleri ile birlikte imgeden (Image) bir başka veri
ortamına kopyalanabilir.

Bulunduğu yer: Menü çubuğu / Edit / Copy Folders...

Şekil 31: Edit / Copy Folders



2.5.2.3. Bookmark Files / Bookmark Folder Structure (dosyaların / klasör yapılarının yerimleri)

Dosyalara (Bookmark Files) veya tüm dizin yapılarına
(Bookmark Folder Structure) yerimi koyar.

Bulunduğu yer: Menü çubuğu / Edit / Bookmark Files
Kısa yol / Ctrl + B
Menü çubuğu / Edit / Bookmark Folder
Structure

Şekil 32: Edit / Bookmark Files or
Folder Structure

2.5.2.4. Create Hash Set (Hash set oluştur)

“Create Hash Set” (Hash Set oluştur) menü satırından
kullanıcılar tek tek dosyaları veya dizinleri Hash ederek (MD5
algoritması) bu değerleri Hash veri bankasına aktarabilirler
(bkz. Hash Sets).

Şekil 33: Edit / Create Hash Set...



2.5.2.5. Export (dışarı taşı)

Bu işlev dosya bilgilerinin ve dosyadaki diğer bilgilerin
kaydedilmesi için kullanılır.
Önemlidir:
Oluşturulacak dosyanın dosya uzantısı “.txt” yerine “*.xls”
şeklinde değiştirilirse, veriler doğrudan Excel’in tablo
biçiminde açılabilir.

Şekil 34: Edit / Export…

2.5.2.6. Recover Folders (klasörü kurtar)

Bu menü satırında dosya sisteminin türünün ne olduğu
bilinmelidir.

• FAT:
FAT dosya sistemlerinde bu komut alt dizinleri arar
(GREP ifadesi şöyle olabilirdi: “x2Ex20 x20 x20 x20
x20 x20 x20.......x2Ex2E) ve bunları bir dizin ağacı
şeklinde gösterir.

• NTFS:
NTFS dosya sistemlerinde “Unallocated” olan alanda bir
MasterFile Table (MFT) kalıntıları aranır ve kayıtlar dizin
ağacı şeklinde kayıp dosyalar (“Lost Files”) klasöründe
gösterilir.

• Reiser/Ext2/etc.
Bu dosya sistemlerinde klasörlerin kurtarılması olanağı
yoktur.

Şekil 35: Edit / Recover Folders…
Bulunduğu yer: Menü çubuğu / Edit / Recover Folders
Menü penceresi / Recover Folders



2.5.2.7. Acquire (veri edin)

Bu komut
• sıkıştırmanın değiştirilmesi
• bir şifrenin eklenmesi veya çıkarılması
• imge parçalarındaki dosya büyüklüğünün değiştirilmesi
için kullanılır

Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu komut
ile verilerin güvenceye alınması başlatılır.

Bulunduğu yer: Menü çubuğu / Edit / Acquire…
Menü penceresi / Acquire

Şekil 36: Edit / Acquire…

2.5.2.8. Restore (kurtar)

Eğer hazırlanan güvenlik kopyasından (Image) yeniden bir
veri ortamını kurulması gerekirse, bu işlem bu komut
üzerinden yapılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Restore…
Menü penceresi / Restore

Şekil 37: Edit / Restore…



2.5.2.9. Hash

Hash, güvenceye alınan veri ortamının Hash toplamının
alınması için kullanılır (imgenin değil, yalnız güvenceye
alınan verilerin). Bu sırada başlangıç ve bitiş sektörü
belirlenebilir.

Bulunduğu yer: Menü çubuğu / Edit / Hash…
Menü penceresi / Hash...

Şekil 38: Edit / Hash...

2.5.2.10. Scan Disk Configuration (veri ortamı konfigürasyonunun incelenmesi)

Bu komut RAID sistemlerinde ve dinamik sabit disklerde
kullanılır.

Bulunduğu yer: Menü çubuğu / Edit / Scan Disk
Configuration
Menü penceresi / Scan Disk
Configuration

Şekil 39: Edit / Scan Disk
Configuration



2.5.2.11. Verify File Integrity (veri bütünlüğünü kontrol et)

Oluşturulan bir olaya ait imgenin ilk kez okunmasında yapılan
denetleme, imgenin hala hatasız olup olmadığının kontrol
edilmesi amacıyla buradan tekrarlanabilir (yazılan blokların
kontrol toplamları denetlenmektedir).

Bulunduğu yer: Menü çubuğu / Edit / Verify File
Integrity
Menü penceresi / Verify File Integrity

Şekil 40: Edit / Verify File Integrity

2.5.2.12. Modify Time Zone Settings (saat dilimi ayarlarını değiştir)

Saat dilimi ayarlarının yapılması işlemi.
Örnek:
Zanlı bilgisayarında, değerlendirmeyi yapan
bilgisayardakinden farklı bir saat dilimi ayarlanmışsa,
uyarlama yapılmadığı takdirde zaman bilgileri hatalı
gösterilir.

Bulunduğu yer: Menü çubuğu / Edit / Modify
Time Zone Settings
Menü penceresi / Modify Time
Settings

Şekil 41: Edit / Modify Time Zone Settings…

2.5.2.13. Export selected files to i2 (seçilen dosyaları i2’ye aktar)

Bu komut ile bilgiler (dosya içerikleri değil, “Export”
gibi, seçilen dosyalara ait bilgiler) “i2” firmasının
(http://www.i2.co.uk) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Export Selected
Files to i2
Menü penceresi / Export Selected Files
to i2

Şekil 42: Edit / Export Selected Files to i2…



2.5.2.14. Mount as Network Share

Veri ortamını, sürücü veya dizini ağ paylaşımlı olarak
değerlendirme sistemine ekler. Bunun için VFS
modülü gereklidir (ayrıntılı bilgi 1.7.1’de).

Bulunduğu yer: Menü çubuğu / Edit / Mount as
Network Share
Menü penceresi / Mount as Network
Share

Şekil 43: Edit / Mount as Network Share

2.5.2.15. Mount as Emulated Disk

Bu komutla imge EnCase öykünmesi sayesinde veri
ortamı yapısı değerlendirme sisteminde taklit
edilebilecek şekilde bilgisayara eklenebilir. Bunun için
PDE modülü gereklidir (ayrıntılı bilgi 1.7.3’te).

Bulunduğu yer: Menü çubuğu / Edit / Mount as
Emulated Disk
Menü penceresi / Mount as
Emulated Disk

Şekil 44: Edit / Mount as Emulated Disk

Sekme alanında bir dosya işaretlenirse, Edit menüsü aşağıdaki şekilde değişir:



2.5.2.16. Send To (gönder)

Bu komut, yalnız harici görüntüleyici EnCase’e
bağlanmışsa görünür. Bu komut üzerinden dosyalar
çeşitli programlarla gösterilebilir (Windows dilinde “birlikte
aç” komutuna karşılık gelir).
Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa,
EnCase, dahili “File Types” veri bankasını kullanır. Bu
ilgili programlarının dosya uzantılarını gösteren bir sütun
ve görüntüleyici (Viewer) sütununu içerir. Görüntüleyici
sütunu, çift tıklandığında dosyanın nasıl açılacağını
belirtir. Bu alanda “Windows” ibaresi varsa, açılan
programın dosya uzantısı eşleşmesi Windows’a entegre
veri bankasından okunur.

Bulunduğu yer: Menü çubuğu / Edit / Send To
Menü penceresi / Send To
Şekil 45: Edit / Send To

2.5.2.17. Show columns (sütunları göster)

Bu komut gösterilecek sütunların seçilmesine olanak
tanır. Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa,
seçili olan sütunun yanına eklenirler.

Bulunduğu yer: Menü çubuğu / Edit / Show Columns
Menü penceresi / Show Columns

Şekil 46: Edit / Show Columns



2.5.2.18. Column (sütun)

Bu komut, sütunun görünüm şeklini ayarlamak için dört
seçenek sunar:

• Hide (gizle)
Seçili sütun gizlenir. “Reset” ile yeniden gösterilebilir.
• Set Lock (kilitle)
Bir sütuna bu komut uygulanırsa, o sütun ve onun
solundaki sütunların hepsi kaydırma sırasında sabit
durur.
• Reset (sıfırla)
Sütunlarla ilgili tüm ayarlamaları ilk durumlarına geri
döndürür.
• Fit to Data (sığdır)
Her bir sütunun boyutunu içindeki bilgilere göre
ayarlar.
Şekil 47: Column • Auto Fit All (hepsini otomatik sığdır)
Tüm sütunların boyutlarını içindeki bilgilere göre
otomatik olarak ayarlar.

Bulunduğu yer: Menü çubuğu / Edit / Column
Menü penceresi / Column

2.5.2.19. Sort (sırala)

“Sort” komutu ile dosyaların sıralanmasını düzenlemek
için pek çok olanak sunulur. Sıralamanın en basit yolu,
sütun adı üzerine çift tıklamaktır. En fazla 5 kriter
belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift
tık ile 2 - 5 kriter belirlenir.

Bulunduğu yer: Menü çubuğu / Edit / Sort
Menü penceresi / Sort

Şekil 48: Edit / Sort



2.5.2.20. Select Item (seç)

Örneğin uygulanacak bir komutun geçerli olacağı dosyayı
seçer.

Bulunduğu yer: Menü çubuğu / Edit / Select Item
Menü penceresi / Select Item

Şekil 49: Select Item

2.5.3. View (görünüm)
Çeşitli alanların (yerimleri, sürücüler vs.) görünümü “View” menüsünden seçilir ve ardından sol
pencerede gösterilir. Bu görünüm seçimine, adı gizlenip gösterilebilen (simge üzerine sağ tık ve
“Show Names”) küçük bir simge üzerinden doğrudan ulaşılabilir.
Gösterilen bir alanı tekrar kapatmak için sol köşedeki “X” işaretine tıklanır. Görünüm sütunundaki
yer, açılan alanların hepsini bir seferde göstermeye yetmiyorsa (özellikle adları gösterilen
simgelerde böyle olur), “X” işaretinin yanında, görüntüyü sağa-sola kaydırmaya yarayan iki küçük ok
belirir.
Bu görünüm içinde yön bulabilmek için ya da sekme alanında hangi verilerin gösterileceğini
belirlemek için “Homeplate” kullanılır (işlev: tüm verileri göster).
Dizinlerin seçilmesi sırasında “CTRL” tuşu basılı tutulursa, birden fazla dizinin birbirinden bağımsız
olarak sekme alanında gösterilmesi mümkündür.
2.5.3.1. Cases (olaylar)

“Cases” (olaylar) alanında delil niteliği olan veriler Windows Explorer’e
benzer bir klasör yapısında gösterilirler. Buradan çeşitli olaylar, mantıksal
sürücüler ve dizinler seçilebilir; bu sırada sol taraftaki bir nesnenin içeriği
sağdaki sekme penceresinde gösterilir. Yine sekme alanında bir dosya
işaretlenirse, onun alt sekme alanında ön izleme gösterilir.

Bulunduğu yer: Menü çubuğu / View / Cases

Şekil 50: View / Cases



2.5.3.2. Bookmarks (yerimleri)

“Yerimleri” alanında hem simgeler hem de “Bookmark Types” sütunu ile
ayırt edilebilen çeşitli türden yerimleri bulunabilir. Bunlar öncelikle dava
bakımından önem taşıyan dosyaların ve veri parçalarının devam eden
incelemeler ya da rapor için birleştirilmesine yararlar.
İncelemenin yapılanışı üzerinde daha iyi bir görüş elde etmek için
soruşturmacı tarafından kendine ait klasörler yaratılabilir ve ilgili yerimleri
burada saklanabilir (sağ tık / New Folder).

Bulunduğu yer: Menü çubuğu / View / Bookmarks

Şekil 51: View /
Bookmarks

2.5.3.3. Devices (sürücüler)

4. sürüme yeni eklenen “Devices” alanından sürücü adı, güvence altına
alan memurun adı, notlar, veri edinme sürecinin ve doğrulamanın Hash
değeri vs. gibi bilgiler öğrenilebilir. İleri düzey kullanıcılar için ayrıca veri
ortamı konfigürasyonunu düzenleme olanağı vardır.

Bulunduğu yer: Menü çubuğu / View / Devices

Şekil 52: View / Devices



2.5.3.4. File Types (dosya tipleri)

“File Types” alanı bilinen tüm dosya tiplerinin ve bunlarla bağlantılı
görüntüleme yazılımlarının listesini içermektedir. Kullanıcı dosya tiplerini
inceleyebilir, ekleyebilir, çıkarabilir, düzenleyebilir ve program ilişkilerini
elle uyarlayabilir.

Bulunduğu yer: Menü çubuğu / View / File Types

Şekil 53: View / File
Types

2.5.3.5. File Signatures (dosya imzaları)

Dosya imzaları altında dosya tipleri ile bağlantılı olan özgün “Hex Header”
imzası anlaşılır.
JPG endüstri standardına uygun olan bir resim örneğin daima
“xFFXD8xFF[xFExE0]x00” dizisiyle başlayan bir “Hex Header”a
sahiptir.
EnCase’in bu alanında dosya imzaları incelenebilir, eklenebilir, silinebilir
ve düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / File Signatures

Signatures



2.5.3.6. File Viewers (dosya görüntüleyiciler)

Kullanıcı buradan dosyaların incelenmesi ve işlenmesi için başka
uygulamaları EnCase ile ilişkilendirebilir. EnCase kendi başına kayda
değer sayıda çok dosyayı dahili olarak gösterebilir (ör. JPG, TXT, vs.),
ancak çok sayıda özel dosya ek yazılım kullanılmasını gerektirir (ör.
QuickView Plus, IrfanView, VideoLAN Client, vs.).
Bu görünümde harici programlara bağlantılar kurulabilir, düzenlenebilir ve
silinebilir.

Bulunduğu yer: Menü çubuğu / View / File Viewers

Viewers

2.5.3.7. Keywords (anahtar kelimeler)

Bu alanda olay içinde arama yapmak için anahtar kelimeler yazılabilir,
düzenlenebilir ve silinebilir. “Keywords” denen anahtar kelimeler sözcük,
tümce veya “Hex” dizisi olabilir. Bunlar “Case sensitive” (büyük/küçük harf
ayrımlı), GREP, Unicode, UTF7, UTF8, vs. şeklinde yazılabilirler.
Anahtar kelimelerin listesi global olarak başlatma dosyası (keyword.ini)
içinde saklanır, bundan dolayı ilerideki değerlendirmeler için klasör
yapısının organize edilmesi önerilir.

Bulunduğu yer: Menü çubuğu / View / Keywords

Şekil 56: View /
Keywords



2.5.3.8. Search Hits (arama sonuçları)

Arama sonuçları daha önce yapılan aramalardan üretilir ve bu alanda
gösterilir. Her anahtar kelime kendine ait bir kayıt üretir, buna ait arama
sonuçları da sekme alanında görülebilir.

Bulunduğu yer: Menü çubuğu / View / Search Hits

Şekil 57: View / Search
Hits

2.5.3.9. Security IDs (güvenlik kimlikleri)

Bir NTFS dosya sisteminde her dosya ve klasör bir sahip, bir grup ve bir
dizi yetkiyle eşleştirilmiştir. Bu bilgiler NTFS 4 ve 5 sistemlerinde farklı
şekilde kaydedilmelerine karşın, EnCase bunları bundan bağımsız olarak
okuyup açabilir.
Kullanıcı ve gruplar bir numaralandırma sisteminde gösterilirler ve bu
numaralar “Security Identifier” (SID) olarak tanımlanır. Bir ağ içindeki tüm
kullanıcılar, gruplar ve bilgisayarlar Windows 2000 tarafından ör. Registry
altına kaydedilen özgün birer “Security Identifier”e sahiptirler.
NT, 2000 ve XP sistemlerinin bu özelliğinden dolayı her şeyden önce
dosya ve klasör yetkilerinin incelenmesi için önem taşımaktadır.

Bulunduğu yer: Menü çubuğu / View / Security IDs

Şekil 58: View /
Security IDs



2.5.3.10. Text Styles (metin biçemleri)

Farklı metin biçemlerine, özellikle Avrupa harici yazı karakterlerinin doğru
gösterilmesi için gerek duyulur. Bunun ötesinde belli bir metin biçeminin
satır sonları seçeneği alt sekme alanındaki ön izlemeyi
kolaylaştırmaktadır (ör. program kodlarında vs.).
Bu alanda başka metin biçemleri eklenebilir, düzenlenebilir veya silinebilir.

Bulunduğu yer: Menü çubuğu / View / Text Styles

Şekil 59: View / Text
Styles

2.5.3.11. Scripts (betikler)

EnScript’ler önceden tanımlanmış prosedürlerin otomasyonu için
kullanılan EnCase’e özgü küçük programlar veya makrolardır. EnScript’ler
çok kuvvetlidirler ve neredeyse EnCase’in tüm alanlarına erişebilirler.
Bunlar aramadan rapor hazırlamaya kadar neredeyse tüm kriminal teknik
görevleri olanaklı kılmaktadırlar.
“Scripts” (betikler) kayıt kartında EnScript’ler eklenebilir, silinebilir ve
düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / Scripts

Şekil 60: View / Scripts



2.5.3.12. Hash Sets (Hash setleri)

“Hash Set” altında çeşitli uygulamaların Hash değerleri koleksiyonu
saklanmaktadır. Çok sayıda Hash Set birleştirilirse, buna “Hash Library”
(Hash kütüphanesi) de denir.
Bir Hash seti ya da bir Hash kütüphanesinin tamamı ya kişisel olarak
oluşturulur, ya da ülke ve dillere özgü olan mevcut kaynaklar (örneğin
BKA’nın) kullanılır. Faydalı bir uygulama alanı, örneğin daha sonraki olay
incelemesi için ilgili sistem verilerinin gizlenebilmesi amacıyla boş bir
Windows 2000 kurulumundan bir Hash set oluşturulmasıdır. Sonuçta
arama büyük ölçüde hızlanacaktır, çünkü incelenecek dosya sayısı büyük
ölçüde azalacaktır.
“Hash Sets” kayıt kartında Hash setleri eklenebilir, silinebilir,
sınıflandırılabilir ve düzenlenebilir.

Bulunduğu yer: Menü çubuğu / View / Hash Sets

Şekil 61: View / Hash
Sets

2.5.4. Tools
2.5.4.1. Search (arama)

Bu düğmeye tıklandığında arama penceresi açılır ve arama
seçenekleri ayarlanabilir.

Bulunduğu yer: Araç çubuğu / Search
Menü çubuğu / Tools / Search

Şekil 62: Tools / Search

2.5.4.2. Select all entries (kayıtların tümünü seç)

Kayıtların tümünün seçilmesine ya da seçimin kaldırılmasına
yarayan alt sekme alanındaki işaretleme kutusuna karşılık gelir.

Bulunduğu yer: Menü çubuğu / Tools / Select all entries

Şekil 63: Tools / Select all entries



2.5.4.3. Wipe Drive (veri ortamının üzerine yaz)

Veri ortamının güvenli şekilde üzerine yazılmasına yarar. Kişisel
güvenlik ortamlarının daha sonraki uygulamalar için kriminal
teknik bakımdan hazırlanmasına yarayan faydalı bir işlevdir.

Bulunduğu yer: Menü çubuğu / Tools / Wipe Drive...

Şekil 64: Tools / Wipe Drive

2.5.4.4. Verify Evidence Files (delil dosyalarını doğrula)

Her veri bloğunun kontrol toplamlarını kontrol ederek bir imge
dosyası içinde hataların denetlenmesine olanak sağlar.

Bulunduğu yer: Menü çubuğu / Tools / Verify Evidence Files

Şekil 65: Tools / Verify Evidence
Files...

2.5.4.5. Create Boot Disk (önyükleme disketi hazırla)

Veri ortamlarından veri edinilmesine yarayan özel bir kriminal
teknik EnCase Boot disketi hazırlama olanağı sağlar. Bu durumda
DOS 7’nin önyükleme sırasında sabit diske ya da C: sürücüsüne
yazmamasına dikkat edilmelidir. Bundan dolayı burada kullanılan
“IO.SYS” ve “COMMAND.COM” dosyalarının yolları “C:” yerine
“A:” olarak değiştirilmiştir.
Önyükleme disketini tamamlamak için, işlem bittikten sonra
EnCase’in kurulum dizinindeki “en.exe” dosyası (normalde
C:ProgramlarEnCase4) diskete kopyalanmalıdır.

Şekil 66: Tools / Create Boot
Disk... Bulunduğu yer: Menü çubuğu / Tools / Create Boot Disk...



2.5.4.6. Options (seçenekler)

“Options” seçeneğinden çeşitli ayarlar yapılabilir, ör.:

“Case Options” (olay seçenekleri)
• Name (adı, normalde delil no./günlük no./zanlı/vs.)
• Examiner Name (inceleyenin adı)
• Default Export Folder (standart dışarı aktarma klasörü)

• Temporary Folder (geçici dosyaların klasörü)
Şekil 67: Tools / Options...

Global
• Auto Save (olayın otomatik olarak kaydedilmesi için zaman aralığı)
• Show true / Show false (sekme görünümünde doğru-yanlış bilgilerinin gösterilmesi için ayar
olanağı, ör. “In Report”)
• Enable Picture Viewer (resim görüntüleyicinin aktifleştirilmesi)
• Enable ART and PNG Image Display (dosya uzantısı ART ve PNG olan resimlerin
gösterilmesinin aktifleştirilmesi)
• Date Format (tarih biçiminin ayarlanması)
• Time Format (zaman biçiminin ayarlanması - 12/24 saat)
Colors (renkler)

• Default Colors (standart renkler): Yerimleri, arma sonuçları vs. için renk ayarlama olanağı.
Fonts (yazı tipleri)

• Default Fonts (standart yazı tipleri): EnCase’deki çeşitli alanlar (görünüm, sekme, alt sekme vs.)
için yazı tiplerinin ayarlanması olanağı
EnScripts

• Allow the following local file system operations (takip eden yerel sistem komutları için izin):
EnCase’de EnScript’lerin yetkilerinin kısıtlanması mümkündür. Betiklerin kaynakları her zaman
denetlenemediğinden, “Execute Programs” (dosyaları yürüt) işaret kutusu asla işaretli
olmamalıdır.
Storage Paths (kayıt yolları)
• EnCase’deki tüm “.ini” dosyalarının kaydedileceği yolun ayarlanması
• Tüm ekibin aynı anahtar kelimelere, filtrelere vs. erişebilmesi için dosyanın bir sunucuya
aktarılabilmesi olanağı



2.5.4.7. Refresh (güncelle)

Bir komut uygulandığında anlık sonuç durumunu günceller.
Örneğin uzun bir arama işleminden sonra ilk bulunan sonuçları
görmek için kullanılabilir.

Bulunduğu yer: Araç çubuğu / Refresh
Menü çubuğu / Tools / Refresh

Şekil 68: Tools / Refresh

2.5.5. Help (yardım)
Asıl anlamında “yardım” değildir - bunun için elkitabı basılı halde veya elektronik ortamda elde
bulundurulmalıdır. Bu menü başlığı altında yalnız, kurulu yazılım hakkında bilgi içeren “About
EnCase” seçeneği bulunmaktadır.

2.5.5.1. About EnCase (EnCase hakkında)

Bu pencereden kurulu olan
EnCase sürümü hakkında
aşağıdaki bilgiler öğrenilebilir:
• Sürüm numarası ve kurma
tarihi
• Dongle kimlik numarası
• Distribütör ve sipariş no.
• Kurulu olan modüller (ör.
VFS, PDE, vs.)

Bulunduğu yer: Help / About
EnCase

Şekil 69: Help / About EnCase



2.6. Menü pencerelerindeki komutlar

2.6.1. Cases Menü (olaylar menüsü)

2.6.1.1. Close (kapat)

Seçilen olayı kapatır ya da bir görüntünün olayla olan
ilişkisini ortadan kaldırır.

Bulunduğu yer: Menü penceresi / Close
Menü çubuğu / Edit / Close

Şekil 70: Menü penceresi / Close

2.6.1.2. Copy Folders (klasörü kopyala)

“Copy Folders” ile bir veya daha fazla dizin komple
dosyaları ve alt dizinleri ile birlikte imgeden bir başka veri
ortamına kopyalanabilir.

Bulunduğu yer: Menü penceresi / Copy Folders...
Menü çubuğu / Edit / Copy Folders...

Şekil 71: Menü penceresi / Copy Folders



2.6.1.3. Bookmark Files (yerimi koy)

Bu menü başlığından bir veya daha fazla dosyadan bir
yerimi oluşturulabilir. Gereği halinde yerimlerine yorum
eklenebilir ve başarıyla hazırlandıktan sonra “View /
Bookmarks” altında görülebilir.

Bulunduğu yer: Menü penceresi / Bookmark Files
Menü çubuğu / Edit / Bookmark Files

Şekil 72: Menü penceresi / Bookmark
Files

2.6.1.4. Bookmark Folder Structure (klasör yapısına yerimi koy)

Bu komutla bir veya daha fazla dizin daha sonra rapora
alınmak üzere ya da kolay bulunması için işaretlenebilir.

Bulunduğu yer: Menü penceresi / Bookmark Folder
Structure
Menü çubuğu / Edit / Bookmark Folder
Structure

Şekil 73: Menü penceresi / Bookmark
Folder Structure




“Create Hash Set” (Hash set oluştur) komutuyla münferit
dosyalar veya dizinler Hash edilebilir (MD5 algoritması)
ve değerler Hash veri bankasına aktarılabilir.

Bulunduğu yer: Menü penceresi / Create Hash Set
Menü çubuğu / Edit / Create Hash
Set...

Şekil 74: Menü penceresi / Create Hash
Set...


Bu işlev üzerinden dosya bilgileri bir dosyaya
kaydedilebilir.
Önemlidir:
Oluşturulacak dosyanın dosya uzantısı “.txt” yerine “*.xls”
şeklinde değiştirilirse, veriler doğrudan Excel’in tablo
biçiminde açılabilir.

Bulunduğu yer: Menü penceresi / Export
Menü çubuğu / Edit / Export

Şekil 75: Menü penceresi / Export




Bu menü satırında dosya sisteminin türünün ne olduğu
bilinmelidir.

• FAT:
FAT dosya sistemlerinde bu komut alt dizinleri arar
(GREP ifadesi şöyle olabilirdi: “x2Ex20 x20 x20
x20 x20 x20 x20.......x2Ex2E) ve bunları bir dizin
ağacı şeklinde gösterir.

• NTFS:
NTFS dosya sistemlerinde “Unallocated” olan alanda
bir MasterFile Table (MFT) kalıntıları aranır ve
kayıtlar dizin ağacı şeklinde kayıp dosyalar (“Lost
Files”) klasöründe gösterilir.
• Reiser/Ext2/etc.
Bu dosya sistemlerinde klasörlerin kurtarılması
olanağı yoktur.

Bulunduğu yer: Menü penceresi / Recover Folders
Şekil 76: Menü penceresi / Recover Menü çubuğu / Edit / Recover Folders
Folders

2.6.1.8. Acquire (veri edin)

Bu komut
• sıkıştırmanın değiştirilmesi
• bir şifrenin eklenmesi veya çıkarılması
• imge parçalarındaki dosya büyüklüğünün
değiştirilmesi için kullanılır

Eğer henüz veri ortamı kopyası oluşturulmadıysa, bu
komut ile verilerin güvenceye alınması başlatılır.

Bulunduğu yer: Menü penceresi / Acquire
Menü çubuğu / Edit / Acquire

Şekil 77: Menü penceresi / Acquire



2.6.1.9. Restore (kurtar)

Eğer hazırlanan güvenlik kopyasının (Image) yeniden
bir veri ortamını kurulması gerekirse, bu işlem bu komut
üzerinden yapılabilir.

Bulunduğu yer: Menü penceresi / Restore
Menü çubuğu / Edit / Restore

Şekil 78: Menü penceresi / Restore

2.6.1.10. Hash

Hash, güvenceye alınan veri ortamının Hash toplamının
alınması için kullanılır (imgenin değil, yalnız güvenceye
alınan verilerin). Bu sırada başlangıç ve bitiş sektörü
belirlenebilir.

Bulunduğu yer: Menü penceresi / Hash
Menü çubuğu / Edit / Hash

Şekil 79: Menü penceresi / Hash



2.6.1.11. Scan Disk Configuration (veri ortamı konfigürasyonunu denetle)

Bu komut RAID sistemlerinde ve dinamik sabit disklerde
kullanılır.

Bulunduğu yer: Menü penceresi / Scan Disk
Configuration
Menü çubuğu / Edit / Scan Disk
Configuration

Şekil 80: Menü penceresi / Scan Disk
Configuration

Bu komut RAID sistemlerinde ve dinamik sabit disklerde kullanılır.

2.6.1.12. Verify File Integrity (veri bütünlüğünü kontrol et)

Oluşturulan bir olaya ait imgenin ilk kez okunmasında
yapılan denetleme, imgenin hala hatasız olup
olmadığının kontrol edilmesi amacıyla buradan
tekrarlanabilir (yazılan blokların kontrol toplamları
denetlenmektedir).

Bulunduğu yer: Menü penceresi / Verify File Integrity
Menü çubuğu / Edit / Verify File Integrity

Şekil 81: Menü penceresi / Verify File
Integrity



2.6.1.13. Modify Time Zone Settings (saat dilimi ayarlarını değiştir)

Bu komut ile saat dilimi ayarları yapılabilir. Olay veya veri
ortamı için çağrılmasına bağlı olarak iki farklı diyalog
vardır.

Bulunduğu yer: Menü penceresi / Modify Time Zone
Settings
Menü çubuğu / Edit / Modify Time Zone
Settings

Şekil 82: Menü penceresi / Modify Time
Zone Settings

2.6.1.14. Export Selected Files to i2

Bu komut ile bilgiler (dosya içerikleri değil, “Export” gibi,
seçilen dosyalara ait bilgiler) “i2” firmasının
(http://www.i2.co.uk) yazılım ürünlerine aktarılabilir.

Bulunduğu yer: Menü çubuğu / Edit / Export Selected
Files to i2
Menü penceresi / Export Selected Files
to i2

Şekil 83: Menü penceresi / Export
Selected Files to i2



2.6.1.15. Include Sub Folders / Set Included Folders / Include Single Folder (alt klasörleri kapsa
/ kapsanan klasörleri ayarla / tek klasörü kapsa)

Bu komutlar sekme alanındaki gösterim içindir
(“Homeplate” uygulaması). Tercihe göre seçilen
dizindeki tüm kayıtlar alt dizinlerindeki kayıtlarla birlikte
veya onlar olmadan gösterilir.
Önemlidir:
3. sürümün aksine 4. sürümde birden fazla dizin
seçilebilir.

Bulunduğu yer: Menü penceresi / Set Included (Sub)
Folders

Şekil 84: Menü penceresi / Include (Sub)
Folders

Dosya işaret kutusuna mavi kanca konarak sekme alanında işaretlenmişse, diğer komutlar
menü penceresi üzerinden uygulanabilir:

2.6.1.16. Copy/Unerase (kopyala/geri al)

Copy/Unerase ile:
• dosyalar, dizinler ve EnCase tarafından yaratılan
kayıtlar (ör. Unallocated Clusters veya Volume Boot)
imgeden başka bir veri ortamına kopyalanabilir.
• EnCase tarafından silinmiş ve kurtarılabilir olarak
algılanan dosyalar kurtarılabilir.

Bulunduğu yer: Menü penceresi / Copy-Unerase

Şekil 85: Menü penceresi / Copy-
Unerase...



2.6.1.17. View File Structure (dosya yapısını göster)

Bu komut bazı bileşik dosyalar için uygulanır. Bunların
arasında OLE yapısında olan dosyalar (Object Linking
and Embedding), Zip dosyaları, Outlook PST dosyaları,
Outlook Express 5 posta kutusu (DBX) ve Registry
dosyaları sayılır.
Komut uygulandıktan sonra dosya içerikleri bir dizin
ağacında gösterilir ve değerlendirilebilir.

Bulunduğu yer: Menü penceresi / View File Structure

Şekil 86: Menü penceresi / View File
Structure

2.6.1.18. Send to (gönder)

Bu komut, yalnız harici görüntüleyici EnCase’e
bağlanmışsa görünür. Bu komut üzerinden dosyalar
çeşitli programlarla gösterilebilir (Windows dilinde “birlikte
aç” komutuna karşılık gelir).
Eğer bir dosya doğrudan üzerine çift tıklanarak açılırsa,
EnCase dahili “File Types” veri bankasını kullanır. Bu ilgili
programlarının dosya uzantılarını gösteren bir sütun ve
görüntüleyici (Viewer) sütununu içerir. Görüntüleyici
sütunu, çift tıklandığında dosyanın nasıl açılacağını
belirtir. Bu alanda “Windows” ibaresi varsa, açılan
programın dosya uzantısı eşleşmesi Windows’un dahili
veri bankasından okunur.

Bulunduğu yer: Menü penceresi / Send To
Şekil 87: Menü penceresi / Send To



2.6.1.19. Show Columns (sütunları göster)

tanır. Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa,
seçili olan sütunun yanına eklenirler.

Bulunduğu yer: Menü penceresi / Show Columns

Şekil 88: Menü penceresi / Show
Columns


Bu komut sütunun görünüm şeklini ayarlamak için dört
seçenek sunar:

• Hide (gizle)
durur.
döndürür.
Her bir sütunun boyutunu içindeki bilgilere göre
ayarlar.
Şekil 89: Menü penceresi / Column
• Auto Fit All (hepsini otomatik sığdır)

Bulunduğu yer: Menü penceresi / Column




“Sort” komutu ile dosyaların sıralanmasını düzenlemek
için pek çok olanak sunulur. Sıralamanın en basit yolu,
sütun adı üzerine çift tıklamaktır. En fazla 5 kriter
belirlenebilir. Bunun için SHIFT tuşu basılı tutulurken çift
tık ile 2 - 5 kriter belirlenir.

Bulunduğu yer: Menü penceresi / Sort

Şekil 90: Menü penceresi / Sort

2.6.2. Bookmark Menü (yerimleri menüsü)


Yeriminin ilişkili olduğu dosyaları inceleme
diskindeki herhangi bir klasöre kopyalama ya
da geri olma olanağı sağlar. Buradan
dosyalar harici programlarla incelenmeye
devam edilebilir veya soruşturma memuruna
- ör. CD-Rom veya DVD üzerinde - iletilebilir.

Bulunduğu yer: Menü penceresi /
Copy/Unerase...

Şekil 91: Bookmark menüsü / Copy-Unerase




Yeriminin ilişkili olduğu dosyanın veya
dosyaların bir başka yerimiyle işaretlenmesi
(ör. bir başka klasörde veya yeni klasörde).

Bulunduğu yer: Menü penceresi / Bookmark
Files

Şekil 92: Bookmark menüsü / Bookmark Files


Hash değeri analizi yapılmadan seçilemez
(Araç çubuğu / Search / Compute Hash
Value). Bunun ardından seçilen dosyalara ait
bir Hash seti oluşturulabilir.

Bulunduğu yer: Menü penceresi / Create
Hash Set...

Şekil 93: Bookmark menüsü / Create Hash Set




Bu komut bazı bileşik dosyalar için uygulanır.
Bunların arasında OLE yapısında olan
dosyalar (Object Linking and Embedding),
Zip dosyaları, Outlook PST dosyaları,
Outlook Express 5 posta kutusu (DBX) ve
Registry dosyaları sayılır.
Komut uygulandıktan sonra dosya içerikleri
bir dizin ağacında gösterilir ve
değerlendirilebilir.

Bulunduğu yer: Menü penceresi / View File
Structure

Şekil 94: Bookmark menüsü / View File Structure


Doğrudan açılmak üzere dosyanın
gönderilebileceği bağlı harici dosya
görüntüleyiciyle irtibat kurar (bkz. ayrıca:
View / File Viewers).


Şekil 95: Bookmark menüsü / Send To



2.6.2.6. Edit (düzenle)

Görüntüleme alanında klasör adının
değiştirilmesine ve sekme alanında yerimi
yorumu yazmaya ya da dosya tipini
değiştirmeye olanak sağlar.

Bulunduğu yer: Menü penceresi / Edit
Kısa yol / Enter

Şekil 96: Bookmark menüsü / Edit

2.6.2.7. Add Note (not ekle)

“Notable Bookmark” (notlara yerimi) ekler.
Bununla yorumlar ve notlar rapora eklenebilir.
Her not için 1000 karakter kullanılabilir ve
bunların biçemi (yazı boyu, italik, kalın vs.)
değiştirilebilir.

Bulunduğu yer: Menü penceresi / Add Note
Kısa yol / Insert

Şekil 97: Bookmark menüsü / Add Note



2.6.2.8. Show Excluded / Show Deleted (hariç tutulanları göster / silinenleri göster)

“Exclude” ya da “Delete” komutları ile
görüntülenmemesi sağlanan - ancak gerçekte
silinmemiş olan - dosyalar gösterilir.

Bulunduğu yer: Menü penceresi / Show
Excluded
Menü penceresi / Show
Deleted

Şekil 98: Bookmark menüsü/ Show Excluded -
Deleted

2.6.2.9. Delete (sil)

Sekme alanında üzerine sağ tık / Delete ile
bu komut uygulanan yerimini siler. “Show
Deleted” (silinenleri göster) ile “silinen”
yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Delete
Kısa yol / Delete

Şekil 99: Bookmark menüsü / Delete



2.6.2.10. Delete all selected (seçili yerimlerinin tümünü sil)

İşaret kutuları mavi kanca ile işaretlenen
yerimlerinin tümünü siler. “Show Deleted”
(silinenleri göster) ile “silinen” yerimleri
gösterilir.

Bulunduğu yer: Menü penceresi / Delete All
Selected
Kısa yol / Ctrl + Delete

Şekil 100: Bookmark menüsü / Delete All Selected

2.6.2.11. Exclude (hariç tut)

Bu seçenek yerimini gizler, ancak listeden
silmez. “Show Excluded” (hariç tutulanları
göster) ile “hariç tutulan” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Exclude
Kısa yol / Ctrl + E

Şekil 101: Bookmark menüsü / Exclude



2.6.2.12. Exclude all selected (seçili dosyaların tümünü hariç tut)

Bu komutla işaretli yerimlerinin tümü gizlenir.
“Show Excluded” (hariç tutulanları göster) ile
“hariç tutulan” yerimleri gösterilir.

Bulunduğu yer: Menü penceresi / Exclude All
Selected
Kısa yol / Ctrl + Shift + E

Şekil 102: Bookmark menüsü / Exclude All Selected


kaydedilebilir.
Önemlidir:
Oluşturulacak dosyanın dosya uzantısı “.txt”
yerine “*.xls” şeklinde değiştirilirse, veriler
doğrudan Excel’in tablo biçiminde açılabilir.


Şekil 103: Bookmark menüsü / Export




Bu komut ile bilgiler (dosya içerikleri değil,
“Export” gibi, seçilen dosyalara ait bilgiler) “i2”
firmasının (http://www.i2inc.com) yazılım
ürünlerine aktarılabilir.

Selected Files to i2...

Şekil 104: Bookmark menüsü / Export Selected Files
to i2

2.6.2.15. Summary Bookmark (derleme yerimi)

Olaylar üstü iki yerimi koyulabilir:

• Search Summary (arama özeti):
Tüm aramaların sonuç sayısı, arama
tarihi ve zamanı ve de arama metni ile
listelenmesi için

• Case Time Settings (olayın zaman
ayarları):
Zaman ayarlarının gösterilmesi

Bulunduğu yer: Menü penceresi / Summary
Bookmark

Şekil 105: Bookmark menüsü / Summary Bookmark

2.6.2.16. Tag File (dosya etiketi)

Bu seçenekle bir yerimi seçilir ve olay
görünümü altında işaret kutusuna mavi kanca
konur. “Bookmark” görünümünde yalnız
“Entry Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag File
Kısa yol / Ctrl + T

Şekil 106: Bookmark menüsü / Tag File



2.6.2.17. Tag selected files (seçilen dosyaları işaretle)

Bu seçenekle mavi kanca ile işaretlenmiş
birden fazla yerimi seçilir ve olay görünümü
altında işaret kutusuna mavi kanca konur.
“Bookmark” görünümünde yalnız “Entry
Selected” sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag
Selected Files
Kısa yol / Ctrl + Shift + T

Şekil 107: Bookmark menüsü / Tag Selected Files


Bu komut gösterilecek sütunların seçilmesine
olanak tanır. Gizlenmiş olan sütunlar
sonradan tekrar çağrılırsa, seçili olan sütunun
yanına eklenirler.

Bulunduğu yer: Menü penceresi / Show
Columns

Şekil 108: Bookmark menüsü / Show Columns




Bu komut sütunun görünüm şeklini ayarlamak
için dört seçenek sunar:

• Hide (gizle)
Seçili sütun gizlenir. “Reset” ile yeniden
gösterilebilir.
Bir sütuna bu komut uygulanırsa, o sütun
ve onun solundaki sütunların hepsi
kaydırma sırasında sabit durur.
Sütunlarla ilgili tüm ayarlamaları ilk
durumlarına geri döndürür.
Şekil 109: Bookmark menüsü / Column Her bir sütunun boyutunu içindeki
bilgilere göre ayarlar.
Tüm sütunların boyutlarını içindeki
bilgilere göre otomatik olarak ayarlar.



“Sort” komutu ile dosyaların sıralanmasını
düzenlemek için pek çok olanak sunulur.
Sıralamanın en basit yolu, sütun adı üzerine
çift tıklamaktır. En fazla 5 kriter belirlenebilir.
Bunun için SHIFT tuşu basılı tutulurken çift tık
ile 2 - 5 kriter belirlenir.


Şekil 110: Bookmark menüsü / Sort




Bu seçenek ile bir arama sonucu seçilir ve
işaret kutusuna mavi bir kanca konur.

Bulunduğu yer: Menü penceresi / Select Item
Kısa yol / Boşluk tuşu

Şekil 111: Bookmark menüsü / Select Item

2.6.3. Keywords Menü (anahtar kelime menüsü)
2.6.3.1. Edit (düzenle)

Klasör adını ya da bir anahtar kelimeyi (ve onun
seçeneklerini) değiştirme olanağı sağlar.

Bulunduğu yer: Menü penceresi / Edit
Kısa yol / Enter

Şekil 112: Keyword menüsü / Edit

2.6.3.2. New (yeni)

Menü penceresinden “New” komutu seçildiğinde, yeni
anahtar kelimenin yazılması için bir pencere açılır. “Insert”
tuşu ile alternatif işlevler yürütülebilir.

Bulunduğu yer: Menü penceresi / New
Kısa yol / Insert

Şekil 113: Keyword menüsü / New




“Exclude” ya da “Delete” komutları ile görüntülenmemesi
sağlanan - ancak gerçekte silinmemiş olan - dosyaları
gösterir.

Bulunduğu yer: Menü penceresi / Show Excluded
Menü penceresi / Show Deleted

Şekil 114: Keyword menüsü/ Show
Excluded - Deleted

2.6.3.4. Bookmark Data (yerimi koy)

Dosyaya ait, arama sonucunun ilişkili olduğu bir yerimi koyar.
Yerimi “Menü çubuğu / View / Bookmarks” üzerinden
görülebilir ve rapora aktarılabilir.

Bulunduğu yer: Menü penceresi / Bookmark Data

Şekil 115: Keyword menüsü /
Bookmark Data


Sekme alanında üzerine sağ tık / Delete ile bu komut
uygulanan anahtar kelimeyi siler. “Show Deleted” (silinenleri
göster) ile “silinen” anahtar kelimeler gösterilir.

Kısa yol / Delete

Şekil 116: Keyword menüsü / Delete



2.6.3.6. Delete all selected (seçili anahtar kelimelerin tümünü sil)

İşaret kutuları mavi kanca ile işaretlenen anahtar kelimelerin
tümünü siler. “Show Deleted” (silinenleri göster) ile “silinen”
anahtar kelimeler gösterilir.

Bulunduğu yer: Menü penceresi / Delete All Selected

Şekil 117: Keyword menüsü / Delete
All Selected


Bu seçenek anahtar kelimeyi gizler, ancak genel listeden
silmez. “Show Excluded” (hariç tutulanları göster) ile “hariç
tutulan” anahtar kelimeler gösterilir.


Exclude

2.6.3.8. Exclude all selected (seçili dosyaların tümünü hariç tut)

Bu komutla işaretli anahtar kelimelerin tümü gizlenir. “Show
Excluded” (hariç tutulanları göster) ile “hariç tutulan” anahtar
kelimeler gösterilir.

Bulunduğu yer: Menü penceresi / Exclude All Selected

Exclude All Selected




Anahtar kelimelerin bir tabloya aktarılmalarına olanak sağlar.
Aktarılacak sütunlar seçme kutusu işaretlenerek seçilirler.

Bulunduğu yer: Menü penceresi / Export...

Şekil 120: Keyword menüsü / Export

2.6.3.10. Import (dışarıdan aktar)

Bu işlev ile önceden hazırlanmış olan anahtar kelime listeleri
dışarıdan aktarılabilir. Örneğin benzer durumdaki bir başka
soruşturma bağlamında başka bir meslektaş önemli anahtar
kelimeler listesi hazırlamışsa, bu liste yazma işine gerek
kalmaksızın oradan alınabilir.

Bulunduğu yer: Menü penceresi / Import...

Şekil 121: Keyword menüsü / Import



2.6.3.11. Add Keyword List (anahtar kelime listesi ekle)

Çok sayıda önemli anahtar kelimenin (ör. soruşturmacının
elindeki bir metin belgesinden) “kopyala/yapıştır” ile EnCase
arama listesine eklenmesine olanak sağlar.

Bulunduğu yer: Menü penceresi / Add Keyword List...

Şekil 122: Keyword menüsü / Add
Keyword List

2.6.3.12. Rename (ad değiştir)

Kullanıcının yarattığı bir klasörün adını değiştirir.

Bulunduğu yer: Menü penceresi / Rename

Şekil 123: Keyword menüsü / Rename



2.6.3.13. New Folder (yeni klasör)

Anahtar kelimeler için yeni bir klasör oluşturur.

Bulunduğu yer: Menü penceresi / New Folder...

Şekil 124: Keyword menüsü / New
Folder

2.6.3.14. Expand / Contract (genişlet/daralt)

Dizin ağacındaki anahtar kelime klasörlerinin rahat bir
şekilde genişletilip daraltılmasını sağlar.

Bulunduğu yer: Menü penceresi / Expand/Contract
Menü penceresi / Expand All
Menü penceresi / Contract All

Şekil 125: Keyword menüsü / Expand
- Contract



2.6.3.15. Include Sub Folders / Set Included Folders / Include Single Folder (alt klasörleri kapsa
/ kapsanan klasörleri ayarla / tek klasörü kapsa)

Bu komutlar sekme alanındaki gösterim içindir (Homeplate
uygulaması). Tercihe göre seçilen dizindeki tüm kayıtlar alt
dizinlerindeki kayıtlarla birlikte veya onalar olmadan
gösterilir.
Önemlidir:
3. sürümün aksine 4. sürümde birden fazla dizin seçilebilir!

Bulunduğu yer: Menü penceresi / Set Included (Sub-)
Folders
Kısa yol / ...

Şekil 126: Keyword menüsü / Set
Included (Sub) Folders

Menü penceresi görünüm alanında değil de sekme alanında açılırsa, daha
başka seçenekler de uygulanabilir:


Bu komut gösterilecek sütunların seçilmesine olanak tanır.
Gizlenmiş olan sütunlar sonradan tekrar çağrılırsa, seçili
olan sütunun yanına eklenirler.

Bulunduğu yer: Menü penceresi / Show Columns...

Şekil 127: Keyword menüsü / Show
Columns




Bu komut sütunun görünüm şeklini ayarlamak için dört
seçenek sunar:

• Hide (gizle)
durur.
Şekil 128: Keyword menüsü / Column • Reset (sıfırla)
döndürür.
Her bir sütunun boyutunu içindeki bilgilere göre ayarlar.



“Sort” komutu ile dosyaların sıralanmasını düzenlemek için
pek çok olanak sunulur. Sıralamanın en basit yolu, sütun
adı üzerine çift tıklamaktır. En fazla 5 kriter belirlenebilir.
Bunun için SHIFT tuşu basılı tutulurken çift tık ile 2 - 5 kriter
belirlenir.


Şekil 129: Keyword menüsü / Sort


Bu seçenek ile bir arama sonucu seçilir ve işaret kutusuna
mavi bir kanca konur.


Şekil 130: Keyword menüsü / Select
Item



2.6.4. Search Hits Menü (arama sonuçları menüsü)

Arama sonucunun ilişkili olduğu bulunan dosyaları
inceleme diskindeki herhangi bir klasöre kopyalama
ya da geri olma olanağı sağlar. Buradan dosyalar
harici programlarla incelenmeye devam edilebilir
veya soruşturma memuruna - ör. CD-Rom veya DVD
üzerinde - iletilebilir.

Bulunduğu yer: Menü penceresi / Copy-Unerase

Şekil 131: Search Hits / Copy-Unerase


Arama sonucunun ilişkili olduğu dosya veya dosyalara
yerimi konması.

Bulunduğu yer: Menü penceresi / Bookmark Files

Şekil 132: Search Hits / Bookmark Files




Hash değeri analizi yapılmadan seçilemez (Araç
çubuğu / Search / Compute Hash Value). Bunun
ardından seçilen dosyalara ve dizinlere ait bir Hash
seti oluşturulabilir.

Bulunduğu yer: Menü penceresi / Create Hash Set

Şekil 133: Search Hits / Create Hash Set


Bu komut bazı bileşik dosyalar için uygulanır.
Bunların arasında OLE yapısında olan dosyalar
(Object Linking and Embedding), Zip dosyaları,
Outlook PST dosyaları, Outlook Express 5 posta
kutusu (DBX) ve Registry dosyaları sayılır.
Komut uygulandıktan sonra dosya içerikleri bir dizin
ağacında gösterilir ve değerlendirilebilir.

Bulunduğu yer: Menü penceresi / View File
Structure

Şekil 134: Search Hits / View File Structure




Doğrudan açılmak üzere dosyanın gönderilebileceği
bağlı harici dosya görüntüleyiciyle irtibat kurar (bkz.
ayrıca: View / File Viewers).


Şekil 135: Search Hits / Send To


“Exclude” ya da “Delete” komutları ile
görüntülenmemesi sağlanan - ancak gerçekte
silinmemiş olan - dosyaları gösterir.

Bulunduğu yer: Menü penceresi / Show Excluded
Menü penceresi / Show Deleted

Şekil 136: Search Hits / Show Excluded -
Deleted




Sekme alanında üzerine sağ tık / Delete ile bu komut
uygulanan arama sonucunu siler. “Show Excluded”
(hariç tutulanları göster) ile “hariç tutulan” arama
sonuçları gösterilir.

Kısa yol / Delete

Şekil 137: Search Hits / Delete

2.6.4.8. Delete All Selected (seçili anahtar kelimelerin tümünü sil)

İşaret kutuları mavi kanca ile işaretlenen anahtar
kelimelerin tümünü siler. “Show Excluded” (hariç
tutulanları göster) ile “hariç tutulan” arama sonuçları
gösterilir.

Bulunduğu yer: Menü penceresi / Delete All
Selected

Şekil 138: Search Hits / Delete All Selected




Bu seçenek arama sonucunu gizler, ancak arama
sonuçları listesinden silmez. “Show Excluded” (hariç
tutulanları göster) ile “hariç tutulan” arama sonuçları
gösterilir.


Şekil 139: Search Hits / Exclude

2.6.4.10. Exclude All Selected (seçili dosyaların tümünü hariç tut)

Bu komutla işaretli arama sonuçlarının tümü gizlenir.
“Show Excluded” (hariç tutulanları göster) ile “hariç
tutulan” arama sonuçları gösterilir.

Bulunduğu yer: Menü penceresi / Exclude All
Selected

Şekil 140: Search Hits / Exclude All Selected




kaydedilebilir.
Önemlidir:
Oluşturulacak dosyanın dosya uzantısı “.txt” yerine
“*.xls” şeklinde değiştirilirse, veriler doğrudan Excel’in
tablo biçiminde açılabilir.


Şekil 141: Search Hits / Export


Bu komut ile bilgiler (dosya içerikleri değil, “Export”
gibi, seçilen dosyalara ait bilgiler) “i2” firmasının
(http://www.i2inc.com) yazılım ürünlerine aktarılabilir.

Selected Files to i2...

Şekil 142: Search Hits / Export Selected Files
to i2

2.6.4.13. Tag File (dosya etiketi)

Bu seçenekle bir arama sonucu seçilir ve olay
görünümü altında işaret kutusuna mavi kanca konur.
“Search Hits” görünümünde yalnız “Entry Selected”
sütununda bir kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag File
Kısa yol / Ctrl + T

Şekil 143: Search Hits / Tag File



2.6.4.14. Tag Selected Files (seçilen dosyaları işaretle)

Bu seçenekle mavi kanca ile işaretlenmiş birden fazla
arama sonucu seçilir ve olay görünümü altında işaret
kutusuna mavi kanca konur. “Search Hits”
görünümünde yalnız “Entry Selected” sütununda bir
kayıt görünür.

Bulunduğu yer: Menü penceresi / Tag Selected
Files
Kısa yol / Ctrl + Shift + T

Şekil 144: Search Hits / Tag Selected Files

2.6.4.15. View Search Hits (arama sonuçlarını göster)

Bu komutla arama sonuçlarının gösterilme şekli
değiştirilebilir. Menü penceresinde (veya araç
çubuğunda) bu komuta tıklandığında arama sonuçları
• Case (olay)
• Keyword (anahtar kelime)
• Device (veri ortamı)
kriterlerine göre gösterilebilirler. Seçim, işaret kutusu
işaretlenerek yapılır, gösterimdeki sıra değişikliği ise
“sürükle/bırak” yöntemiyle yapılır.

Bulunduğu yer: Menü penceresi / View / Search Hits

Şekil 145: Search Hits / View Search Hits

2.6.4.16. Bookmark Selected Items (seçili arama sonuçlarına yerimi koy)

Seçilen arama sonuçlarına yerimi konmasını sağlar.

Bulunduğu yer: Menü penceresi / Bookmark
Selected Items

Şekil 146: Search Hits / Bookmark Selected
Items




tanır. Gizlenmiş olan sütunlar sonradan tekrar
çağrılırsa, seçili olan sütunun yanına eklenirler.

Bulunduğu yer: Menü penceresi / Show Columns

Şekil 147: Search Hits / Show Columns


Bu komut sütunun görünüm şeklini ayarlamak için
dört seçenek sunar:

• Hide (gizle)
Seçili sütun gizlenir. “Reset” ile yeniden
gösterilebilir.
Bir sütuna bu komut uygulanırsa, o sütun ve
onun solundaki sütunların hepsi kaydırma
sırasında sabit durur.
Sütunlarla ilgili tüm ayarlamaları ilk durumlarına
geri döndürür.
Şekil 148: Search Hits / Column Her bir sütunun boyutunu içindeki bilgilere göre
ayarlar.





“Sort” komutu ile dosyaların sıralanmasını
düzenlemek için pek çok olanak sunulur (küçükten
büyüğe, büyükten küçüğe, vs.).
Ancak EnCase’de en kolay sıralama olanağı sekme
alanında sütun adının üzerine çift tıklanmasıdır.
Burada en fazla 5 kriter belirlenebilir. Bunun için
SHIFT tuşu basılı tutulurken çift tık ile 2 - 5 kriter
belirlenir.


Şekil 149: Search Hits / Sort


Bu seçenek ile bir arama sonucu seçilir ve işaret
kutusuna mavi bir kanca konur.


Şekil 150: Search Hits / Select Item



3. Uygulamada EnCase

3.1. EnCase programının kurulması

3.1.1. Program
EnCase programının Windows sürümünün kurulum yordamı CD-Rom’un otomatik başlatma
arayüzünden başlatılabilir. CD-Rom üzerindeki sürüm güncel sürüm değilse, Guidance şirketinin
İnternet sitesinden en son sürümün indirilmesi tavsiye edilir. Kurulum dosyasının adı “Update”
olmasına rağmen, eski sürümün kurulu olması şart değildir.
Kaynak: http://www.guidancesoftware.com

3.1.2. Dongle sürücüsü
Her iki seçeneğe (USB ve paralel port) ait Dongle sürücüleri de programla birlikte verilen CD-Rom
üzerinde bulunmaktadır ve bunlara otomatik başlatma menüsünden ulaşılabilir.
Eğer CD-Rom yanınızda değilse, dosya Guidance İnternet sitesindeki karşıdan yükleme sayfasında
bulunabilir.
EnCase programı Dongle’dan önce kurulursa, en üstteki bilgi satırında “EnCase Acquisition Edition”
ibaresi gösterilir ve program yalnız Image (görüntü) oluşturmak için kullanılabilir. Ancak Dongle
kurulduktan sonra bu mesajın yerine “EnCase Forensic Edition” gösterilir ve EnCase programının
artık kriminal teknik incelemeler için kullanılabileceğini gösterir.
Kaynak: http://www.guidancesoftware.com

Şekil 151: CD-Rom takıldıktan sonraki otomatik başlatma ekranı



3.1.3. Guidance İnternet sitesinden tedarik edilebilecek güncellemeler
Sık sık yapılan program iyileştirmeleri ve geliştirmeleri nedeniyle Guidance İnternet sitesindeki
karşıdan yükleme sayfasının düzenli olarak ziyaret edilmesi şiddetle önerilir.
Zorunlu üyelik işlemi tamamlandıktan sonra aşağıdaki ürünler tedarik edilebilir:
• Güncel program sürümü
• Tüm ek modüller (VFS, PDE, EFS)
• Güncel EnScript kütüphanesi
• Güncel filtre kütüphanesi
• Sürücü yazılımları (Dongle, sürücüler, vs.)
• Güncel Boot disk görüntüleri
• Yardımcı videolar (ve bunlar için gerekli “WebEx Player”)
• Aletler, vs.
Püf Noktası:
Siteyi ziyaret ettiğinizde “Messageboard”a (mesaj panosu, üyelik gerekmektedir!) bir göz atmak
faydalıdır, çünkü burada EnCase programıyla değerlendirme işi (ve dolayısıyla ortaya çıkan
problemler) hakkında diğer kullanıcılarla yoğun bir deneyim alışverişi olmaktadır.
Kaynak(lar): http://www.guidancesoftware.com/support/downloads.shtm
http://www.guidancesoftware.com/support/MessageBoard/Index.shtm

Şekil 152: Guidance Software firmasının en son güncellemeleri sunduğu karşıdan yükleme sayfasından
alıntı



3.2. Bootdisk (önyükleme disketi)
EnCase ile çalışırken sık sık “EnCase Boot Disk”e başvurmak gerekmektedir. Önyükleme disketi,
Windows kullanılamıyorsa veya kullanılmayacaksa, veri ortamlarının DOS kipinde güvenli edinimi
için kullanılmaktadır
DOS işletim sistemi, yazma koruma yazılımı kullanılarak, özel bir donanım kullanmaya gerek
kalmadan kriminal teknik bakımdan doğru bir edinim yürütülmesine olanak verir.
Önyükleme disketi zanlı bilgisayarının veya güvenlik bilgisayarının boot edilmesine yarar ve
temelde, işlevleri aşağıda açıklanan iki tür boot disketi ayırt edilir:
• EBD (EnCase Boot Disk)
• ENBD (EnCase Network Boot Disk)
ÖNEMLİDİR:
Zanlı bilgisayarının önyükleme sıralamasının diskete ayarlı olduğundan mutlaka emin olunuz!

3.2.1. EnCase’de boot disketi hazırlanması
Menü çubuğundan ve “Tools / Create Boot Disk” menüsünden veri ortamının edinilmesi için
kullanılabilecek bir kriminal teknik EnCase Boot disketi (EBD) hazırlanabilir. Bu sayede DOS 7’nin
önyükleme sırasında sabit diske ya da C: sürücüsüne yazmaması temin edilir. Bundan dolayı
burada kullanılan “IO.SYS” ve “COMMAND.COM” dosyalarının yolları “C:” yerine “A:” olarak
değiştirilmiştir.
Önyükleme disketini tamamlamak için, işlem bittikten sonra EnCase’in kurulum dizinindeki “en.exe”
dosyası (normalde C:ProgramlarEnCase4) diskete kopyalanmalıdır.
Bu şekilde hazırlanan EBD öncelikle Drive-to-Drive-Acquisition (ör. zanlı bilgisayarının önyüklemesi
ve kendi HDD’si üzerinde güvenceye alınması için) işlemine yarar, ancak veri transfer oranı
Windows altındaki güvenceye alma işleminden daha düşüktür.
Bulunduğu yer: Menü çubuğu / Tools / Create Boot Disk

3.2.2. ENBD hazırlanması
EnCase, Drive-to-Drive-Acquisition işleminin yanı sıra ağ kablosu üzerinden geçişli veri edinimi
(Crossover-Acquisation) ile özel (teknik) koşullara karşılık verilebilmesi olanağını sağlar. Bu işlem
için gerekli “EnCase Network Boot Disk”in, kısaca ENBD, elde edilmesinin en kolay yolu Guidance
İnternet sitesinden indirmektir.
Bilgisayar ENBD ile önyüklendiğinde, ilk seçenekler ekranından bilgisayarın ağ kartının otomatik
olarak tanınıp tanınmadığı ve buna ait sürücünün yüklenip yüklenmediği tespit edilebilir. Belli başlı
sürücülerin neredeyse hepsi diskette mevcut olduğundan, bu işlem şekli çoğu olayda tavsiye edilir.
“Manual” yönteminde ağ kartının elle belirlenmesi ve sürücünün yüklenmesi gerekir.
Bunun ardından DOS için EnCase sunucu kipinde başlatılır ve edinim için hazırdır.
Kaynak: http://www.guidancesoftware.com/support/network_bootdisk.shtm



Şekil 153: Guidance firmasının boot disk görüntülerine ait linkleri içeren karşıdan yükleme sayfasından
alıntı

3.3. Görüntü (Image) oluşturma

3.3.1. Boot Disk
3.3.1.1. EBD ile Drive-to-Drive-Acquisition
Zanlı veri ortamının veri edinimi komple DOS için EnCase içinde yürütülür. Duruma göre ya zanlı
bilgisayarında önyükleme yapılır ve bir güvenlik HDD’si eklenir ya da zanlı HDD’si güvenlik
bilgisayarına monte edilir. Kaynak ve hedef ortamının aynı ana karta bağlı olmasından dolayı bu
işleme “Drive-to-Drive-Acquisition” denir ve bunda “Server Modus” yoktur.

Sabit diskin bağlanması
• Güvenlik HDD’sini veya zanlı HDD’sini IDE kablosuyla önyükleme yapılacak bilgisayarın ana
kartına bağlayın.
• Jumper'ların doğru ayarlanmasına dikkat edin.

DOS için EnCase'in başlatılması
• EBD’yi takın ve bilgisayarı açın.
• BIOS’a göz atıp önyükleme sırasını kontrol edin, gerekiyorsa öncelik sırasını değiştirin.
• Disketi sürücü harfinin gösterildiği komut ekranı geldiğinde “en” komutu ile DOS için EnCase’i
başlatın.

Veri ortamını bloke etmek / blokeyi kaldırmak

• Bağlı olan veri ortamlarının bloke (“Lock”) olup olmadığını kontrol edin (standart istisna,
EnCase’in Windows’taki DOS penceresinden başlatılmasıdır).
• Aygıtları görün ve kendinizin ya da zanlının veri ortamını teşhis edin (ÖNEMLİDİR!)
• İmgenin yazılabilmesi için kendi veri ortamınızın blokesini kaldırın.

3.3.1.2. ENBD ile Crossover-Acquisition
EnCase Network Boot Disk (ENBD) ile veri edinim işlemi EnCase'in normal önyükleme disketi ile
yapılan veri edinim işlemiyle büyük ölçüde benzerlik taşımaktadır. Başlıca farklar şunlardır:



• Ağ bağlantı kablosu üzerinden bağlantı kurma:
Veri edinim işlemine katılan iki bilgisayarın ağ kartları üzerinden bağlantı kurabilmeleri için
EnCase ile birlikte sarı renkli ağ bağlantı kablosu verilmektedir.

• Ağ kartı sürücüsü:
Normal önyükleme diskinden ayrılan nokta, bunda ağ kartı sürücülerinin olmasıdır. Bu işlemde
ağ kartının tanıtılması ve ardından sürücünün kurulması ya EnCase’e bırakılabilir (“Auto”) ya da
elle yapılabilir. Az rastlanır bir ağ kartıyla karşılaşıldığında, sürücüyü kendinizde önyükleme
disketine kaydedebilirsiniz.
ENBD sürümleri Guidance Software şirketinin İnternet sitesindeki
http://www.guidancesoftware.com/support/articles/networkbootdisk.shtm adresinden ya da
http://www.guidancesoftware.com/support/downloads.shtm adresinden doğrudan ISO dosyası
olarak indirilebilir (bkz. ayrıca Şekil 153).

ENBD ile veri edinimi için aşağıdaki işlemler yapılır:
• Zanlı bilgisayarının ağ bağlantı kablosu (kros kablo) ile güvenlik bilgisayarına bağlanması

• Zanlı bilgisayarında ENBD ile önyükleme yapılması (önemli: önyükleme sıralamasına dikkat
edin!)
• Ya doğru ağ kartını seçin ya da “AUTO” seçeneğini
• DOS için EnCase’i başlatın (“AUTO” seçilmişse, doğru ağ kartı tanındıktan sonra DOS için
EnCase otomatik olarak başlar)
• DOS için EnCase’i zanlı bilgisayarında “Server” kipine getirin
• Güvenlik bilgisayarını Windows altında önyükleyin

• Güvenlik bilgisayarındaki IP adresinin ve alt ağ maskesinin (Subnetmask) statik olduğundan
emin olun. Değilse: DHCP seçeneğini kapatın ve IP adresini (ör. 10.0.0.50), alt ağ adresini (ör.
255.255.255.0) yazın. Ayrıca, başarılı bir bağlantı kurulmasını önleyebilecekleri için WINS ve
DNS ayarlarının da duruma göre silinmesi gerekebilir.
• Windows için EnCase’i başlatın.
• Yeni olay yaratın ve araç çubuğundaki “Add Device” üzerine tıklayın.
• Açılan pencerede – normalde yapıldığı gibi – “Local Drivers” değil, “Network Crossover”
seçeneğini seçin.
• EnCase zanlı bilgisayarı ile bağlantı kurar ve “Preview” (ön izleme)’de görülecek ve bir sonraki
adımda veri edinilebilecek (Acquire) şekilde onun veri ortamını okur.

3.3.2. Windows için EnCase
Verilerin güvenceye alınması normalde – ör. hız nedeniyle – EnCase’in Windows arayüzü ile
yürütülmektedir. Bu işlem sırasında ancak yazma koruma sağlandığı takdirde veri ortamına
erişilmesine izin verilir! (Parola: Veri değiştirme!). Windows altında Guidance firmasının donanım ve
yazılımları ile başka firmaların (Tableau, vs.) uygun ürünleri kullanılmaktadır.



3.3.2.1. New (yeni olay yaratma)

Veriler güvenceye alınmaya başlanmadan önce EnCase’in Windows
arayüzünde yeni bir olay yaratılmalıdır. Bu işlem “New” simgesi veya
“File/New” menüsü üzerinden yapılır.
Takip eden diyalogda dört bilgi girilir:
• Name (olayın adı) (1)
Şekil 154: “File / • Examiner Name (inceleyenin adı) (2)
New” ile yeni bir
• Default Export Folder (standart dışarı aktarma klasörü) (3)
olay yaratılması
• Default Temp Folder (standart geçici klasör) (4)

Yalnız imge oluşturulacaksa ve hemen ardından değerlendirme yapılmayacaksa, “Export” ve “Temp”
klasörleri şimdilik olduğu gibi bırakılabilir. Ancak diğer tüm bilgiler imge dosyalarıyla birlikte saklanır
ve daha sonra değerlendirme yapılırken EnCase ile çağrılabilirler.

Şekil 155: Yeni olay hakkındaki bilgilerin girildiği pencere

3.3.2.2. Add device (veri ortamı ekle)

“Add Device” (veri ortamı ekle) komutu ile bir diyalog penceresi açılır.
Sol pencerede “Local” kutusu ve sağ pencerede “Local Drivers” kutusu
işaretlendikten sonra yerel sistemdeki tüm fiziksel ve mantıksal veri
ortamlarını listeleyen yeni bir diyalog açılır.

Şekil 156:“Add Device”
düğmesi



Şekil 157: Yerel veri ortamlarının seçilmesi

İstenen veri ortamı seçildiğinde, seçilen veri ortamını gösteren yeni bir diyalog açılır. Bunun üzerine
çift tıklandığında, EnCase içinde gösterilmesine ilişkin bilgiler verilebilir (ancak bu bilgiler iki adım
sonra da verilebilirler).

Şekil 158: Veri ortamının/sürücünün seçilmesi

Pencerede “Read File System” kutusu işaretlenmemişse, ne bölüntü tablosunun ne de dizin
ağacının üstlenildiği bir imge okunabilir. Yani veriler büyük bir blok halinde ele alınır.



Şekil 159: Seçilen veri ortamının veya sürücünün ön izlemesi

Önemlidir:
Bu noktaya kadar henüz imge üretilmemiştir. Bu veriler yalnız ön izleme olarak görüntülenirler ve bu
durum veri ortamının simgesi üzerindeki küçük mavi üçgen ile belirtilir.

3.3.2.3. Acquire (veri edinme)

Önceki adımda bir veri ortamı
seçilmişse, EnCase tarafından
okunur ve önce görüntüleme
alanında önizleme şeklinde
gösterilir. Bu önizleme durumu
küçük mavi üçgen ile gösterilir.
(1)
Ancak bir sonraki adımda veri
ortamı gerçekten güvenceye
alınır. Bu işlem ya “Acquire”
düğmesi (2) ya da
“Edit/Acquire” menüsü
üzerinden yürütülür.

Şekil 160: Seçilen veri ortamına ait Preview (önizleme)

Açılan pencerede (Şekil 161) aşağıdaki ayarlamalar yapılabilir:

• “Acquire another disk” (bir başka sabit diskten veri edin) (1)
“Acquire another disk” kutusu işaretlenirse, işlem bittikten sonra başka önizleme yapılmadan
başka imgeler de oluşturulabilir. Bu seçenek özellikle çok sayıdaki disketin, Zip kartuşunun vs.
güvenceye alınmasında yararlıdır.
• “Search, Hash and Signature Analysis” (arama, Hash ve imza analizi) (2)
Bu komut bir Batch dosyası (toplu işlem dosyası) ile karşılaştırılabilir, çünkü imge kaydedildikten
hemen sonra üç işlem yürütülür: Bir arama yordamı başlatılır, bilinen Hash değerleriyle
karşılaştırma yapılır ve imza analizi (bir dosyanın başlığı ve dosya uzantısının karşılaştırılması)
yürütülür. Ancak arama yordamı için anahtar kelimelerin “Acquire” komutundan önce seçilmiş
olması gerekmektedir.
• “New Image File” (yeni imge dosyası) (3)
• “Do not add” (ekleme) (4)
İmge yaratılan olaya eklenmez, daha sonra açılmak üzere sabit diskte saklanır.
• “Add to Case” (olaya ekle) (5)
İmge oluşturulduktan ve sabit diske kaydedildikten sonra olay içindeki önizlemede gösterilir.
• “Replace source device” (kaynak aygıtını değiştir) (6)



İmge üretilir ve kaydedilir, ancak önceden önizlemede gösterilen veri ortamının yerine geçer ve
arama sonuçlarını, terimlerini vs. devralır.

Şekil 161: Veri edinmeden sonra ne yapılacağının belirlenmesi

3.3.2.4. Options (seçenekler)
DOS sürümünde olduğu gibi, takip eden pencerede idari bilgiler yazılır. “Add Device” (aygıt ekle)
adımında veri ortamına ait bilgiler girilmişse (Name, Evidence Number, Notes) bunlar maskede
gösterilir ve gereği halinde değiştirilebilir.
Bunların ötesinde şu alanlar da faydalıdır:
• Start Sector / Stop Sector (başlangıç ve bitiş sektörü) (1)
İstisnai hallerde veri ortamının tamamındaki veri edinilmeyecekse, buradan başlangıç ve bitiş
sektörleri, sektörüne kadar tam olarak ayarlanabilir.
• Compression (sıkıştırma) (2)
EnCase, imge dosyasını veri ortamının başlangıçtaki boyutuna kıyasla sıkıştırabilmektedir. Hız
nedeniyle ilke olarak “None” (hayır) seçeneğinin işaretlenmesi önerilir, çünkü imge fazla yer
kaplamaması için sonradan da sıkıştırılabilmektedir.
• Password (şifre) (3)
İmge dosyasına şifre koyulabilir.
• File Segment Size (dosya bölüt boyu) (4)
İmge daha sonraki yedekleme ortamına (CD-Rom, DVD) uygun olarak bölünebilir. İmge
parçalarının boyutu 2000 MB’ye kadar istendiği gibi ayarlanabilir.
• Output Path (hedef yol) (5)
İmgenin saklanacağı yol seçilir.



Şekil 162: İmge oluşturma seçenekleri

Önemlidir:
Bu adımlar (olay yarat, aygıt ekle, veri edin, seçenekler, veri ortamı kopyasının tam olarak
hazırlanması) Dongle olmadan da yapılabilir. Bu durumda EnCase “Acquisition Edition” (veri edinme
sürümü) olarak çalışır ve veri ortamının önizlemesi mümkün değildir. Program güvenli kipte
çalışmaktadır. Ancak Dongle takıldıktan sonraki “Forensic Edition” (kriminal teknik sürümü) içinde
önizleme ve de imgenin açılması mümkün olmaktadır.

Şekil 163: Veri edinimi sona erdikten sonraki durum mesajları



3.4. Değerlendirme
Zanlının veri ortamındaki veriler güvenceye alındıktan ve gerekli ön çalışmaları ile birlikte yeni bir
olay yaratıldıktan sonra inceleyenin asıl işi başlar: Dava bakımından önem taşıyan verilerin
değerlendirilmesi ve hazırlık soruşturmasına dahil edilmesi.

3.4.1. Yeni Case (olay) yaratma
Her değerlendirmenin başlangıcı yeni bir olay, yani gerekli olan “.cas”
EnCase dosyasının yaratılmasıdır. Bu işlem ya “New” düğmesine
basılarak ya da “File / New” menüsü üzerinden yapılır.
Olay bu dosya altında sabit diske kaydedilir ve daha sonra kaydedilen
gelişmelerle birlikte her zaman yeniden açılabilir (ya Explorer’da “.cas”
dosyası üzerine çift tıklayarak veya EnCase açıkken “Open” düğmesine
tıklayarak ya da “File / Open” menüsünden).
Şekil 164: Yeni olay
yaratma
Bulunduğu yer: Menü çubuğu / File / New
Araç çubuğu / New
3.4.1.1. Olay organizasyonu
Yeni bir “Case” (olay) yaratılmadan önce inceleyicinin kendi veri ortamındaki dizinlerde gerekli olan
organizasyonel önlemleri alması gerekmektedir. Bunun için deneyimlere dayanılarak değerlendirme
diskinde aşağıdaki klasörlerin yaratılması önerilir.

• Günlük numarası ve zanlının adı verilen bir
klasör (1)

onun içinde

• Delil numarası verilen bir klasör (olay (Case)
bunun altına kaydedilir) (2)

ve onun altında yine aşağıdaki klasörler:

• “Evidence”: İmge dosyalarının kaydedilmesi için
(3)

• “Export”: Dışarı aktarılan veriler klasörü (4)

• “Temp”: Görüntüleyici ile açılan EnCase
dosyalarının geçici olarak kaydedildiği klasör (5)
Şekil 165: Değerlendirme veri ortamında
örnek olay organizasyonu

3.4.1.2. Veri girme ve yol değiştirme
Yeni bir olay yaratıldığında, ilk önce “Case Options” (olay seçenekleri)’ni içeren bir pencere açılır.
Burada, aynı zamanda EnCase’in “.case” dosyasına vereceği olay adının yanı sıra “Examiner
Name” (inceleyenin adı) yazılabilir.
Bunun ötesinde EnCase’de “Export” ve “Temp” klasörlerinin standart yolları, eğer bir önceki adımda
oluşturduysanız, kendi oluşturduğunuz yollara göre değiştirilmelidir.



Şekil 166: İnceleyen tarafından değiştirilen yol bilgileri
Uyarı:
Buradan yapılan ayarlar her zaman için Tools / Options menüsünden ve “Case Options” kayıt
kartından değiştirilebilir.

3.4.1.3. İmge dosyalarının eklenmesi

Eğer mevcut imge dosyaları henüz “boş” olaya
eklenecekse, imge oluşturmadaki gibi “Add Device” işlemi
seçilmelidir. Açılan pencerede “Evidence Files” üzerine
sağ tık yapılır ve menü penceresinden “New” seçilir.

Şekil 167: Veri ortamı ekleme



Şekil 168: Yeni imge klasörü ekleme

Sonraki pencerede imgenin kayıtlı olduğu yer seçildiğinde pencerenin sağ tarafında bir (veya daha
fazla) imge görülür.

Şekil 169: Yol ayarları



Şekil 170: EnCase’e yüklenmek istenen veri ortamı kopyasının seçilmesi

İstenen imge kutusuna işaret konularak işaretlendikten sonra bir iki tık ile yeni olaya eklenir.

Şekil 171: “Weiter” (devam) düğmesine iki defa tıklandığında okuma işlemi başlar



Olay içinde daha fazla veri ortamı eşzamanlı incelenecekse (ör. zanlının masaüstü ve dizüstü
bilgisayarının peş peşe incelenmesi) bu işlem diğer imgeler için de tekrarlanabilir.
3.4.1.4. Uyum ayarlarının yapılması
Asıl değerlendirmeye başlamadan önce gerekli olması olası ön işlemler yapılmalıdır. Bunlardan
bazıları doğru saat diliminin ayarlanması (ortam üzerine sağ tık, “Modify Time Zone Settings”) ve
gerekli olması olası yazı tiplerinin kurulması (eğer daha önceden yapılmamışsa).

Şekil 172: “Menü çubuğu / Edit / Modify Time Zone settings” üzerinden saat diliminin ayarlanması

Standart olarak kullanılmayan yazı
karakterlerinin (ör. Arapça, Çince, vs.)
gösterilebilmesi için değerlendirme
bilgisayarında “Arial Unicode MS” yazı
türü kurulu olmalıdır.
Yazı türleri “Control Panel”den kontrol
edilebilir.
Yazı türü henüz kurulmamışsa, ör. MS
Office CD’sinden yüklenebilir.
EnCase için gerekli ayarlar ilgili yerde
ayrıntılı olarak açıklanacaktır.

Şekil 173: Kurulu yazı tipi Arial Unicode’un kontrol edilmesi

3.4.2. Ön çalışmalar
Dava bakımından önemli verilerin aranmasına başlamadan önce, daima aşağıdaki adımlar bir
kontrol listesi yardımıyla uygulanmalıdır. Bu ön çalışmalar bazı olaylarda çok sıkıcı olabilir ve
gereksiz görülebilir, ancak arama sonuçlarındaki başarıyı epey yükseltmektedir!
Örnekler:



• Zanlı çocuk pornografisi içerikli resimlerin dosya uzantılarını değiştirmişse (“.jpg”leri ör. “.cds”
yaptıysa) EnCase bunları resim dosyası olarak göstermez.
Çözüm: “Verify File Signature” (dosya imzalarının doğrulanması)

• Belli bir anahtar kelimeye göre (ör. “Ecstasy”) belge dosyalarında arama yapılırken de yalnız bu
tür dosyalar (yani “.txt”, “.doc”, vs.) dikkate alınır. Ancak önemli bir belge dosyası bir e-posta
eklentisi içindeyse veya sıkıştırılmış arşiv içindeyse (ör. “.zip” veya “.rar”), EnCase bunların
içeriğini dikkate almaz.
Çözüm: “Mount Compound Files”
“File Mounter Script”

3.4.2.1. Verify File Integrity (veri bütünlüğünün doğrulanması)
Bir imge dosyası olaya eklendikten sonra, EnCase otomatik olarak güvenceye alınan verinin
doğrulanması işlemine başlar. Yani Hash değeri denetlemesi yardımıyla okunan imgenin güvenceye
alınan imgeyle tam olarak aynı olup olmadığı tespit edilir. Ekranın sağ alt tarafında durum ve kalan
zaman yanıp sönen durum çubuğu ile gösterilir.

Bu süreç durum çubuğu üzerine çift tıklanarak ve açılan diyalogdan
“Cancel” üzerine tıklanarak iptal edilebilir.
Ancak doğrulama işleminin sonucu yalnız doğrulama sürecinin tamamı
bittikten sonra ve olay kaydedildikten sonra kalıcı olarak saklanır.

Şekil 174: İmgenin
doğrulanması

İptal edilmesi durumunda, olay yeniden açıldığında doğrulama işlemi otomatik olarak başlar. İptal
edilen doğrulama süreci, sonradan “View” görünümündeyken veri ortamı üzerine sağ tık yapılarak,
açılan menü penceresinden “Verify File Integrity” seçilerek elle de tekrarlanabilir.
Bulunduğu yer: View / Cases / veri ortamı üzerine sağ tık / Verify File Integrity

3.4.2.2. “Acquisition Hash” ve “Verify Hash” karşılaştırması
Doğrulama tamamlandıktan sonra, imgenin okunması sırasında belirlenen Hash değeri veri
edinmede belirlenen Hash değeri ile karşılaştırılır.
Bunun için görünüm alanında “Devices” (aygıtlar)’a geçilir ve olay adı sol tık ile işaretlenir. Ardından
alt sekme alanında “Report” düğmesine tıklandığında veri ortamı ve – veri edinme ve doğrulama
Hash'leri dahil olmak üzere – bölüntüler hakkında ayrıntılı bilgiler gösterilir.



Şekil 175: Veri edinme ve doğrulama Hash’lerinin karşılaştırılmasına olanak veren rapor görünümü

Bulunduğu yer: View / Devices / dosya adını işaretleyin / alt sekme alanında “Report”



3.4.2.3. Scan Disk Configuration
EnCase, “Scan Disk Configuration” (View / Cases / veri ortamı üzerine sağ tık / “Scan Disk
Configuration”) komutu verildiğinde, hem yazılım RAID’lerini hem de dinamik veri ortamlarını
algılayabilir ve olay görünümü dizin ağacında sanal olarak yeniden gösterebilir. Ancak bu adımdan
sonra kaydedilmiş verilere erişim sağlanabilir!

Şekil 176: “Scan Disk Configuration” komutu
uygulanmadan ÖNCE Win XP altında yazılım
RAID

Şekil 177: Tarama yapıldıktan sonra algılanan
Stripe setleri

Uyarı:
Veri ortamı yapılanışını donanım kontrol ediyorsa, önemli bilgilerin tümü kartın BIOS’unda bulunur.
Bundan dolayı EnCase yapılanışı veri ortamlarından yapılandıramaz ve inceleyici zanlının
sistemindeki her sürücüye birer birer veri edinimi işlemini uygulamak durumundadır. Bunun için en
uygun yöntem ağ bağlantı kablosu ile birlikte ENBD kullanılmasıdır (Dikkat: Boot disketinde RAID
Controller sürücüleri olmalıdır!).
Bulunduğu yer: View / Cases / veri ortamı üzerine sağ tık / Scan Disk Configuration

3.4.2.4. File System (dosya sistemi)’nin belirlenmesi
Veri ortamının ya da münferit bölüntülerin dosya sistemleri – veri edinme ve Hash değerlerinde
bahsedildiği gibi – “View / Devices” altından, olay adına sol tıklanarak ve ardından alt sekme
alanında “Report” düğmesine tıklanarak görülebilir.

Şekil 178: Veri ortamının veri sistemi

Bulunduğu yer: View / Devices / dosya adı üzerine sol tık / alt sekme alanında “Report” düğmesi



3.4.2.5. Silimmiş bölüntülerin kurtarılması
“Partition Finder” betiği veri ortamının sektörlerinde, bir FAT, NTFS veya EXT-2 bölüntü
başlangıcına işaret eden ipuçlarını araştırır ve bulduklarına yerimi koyar. Otomatik aramayı
başlatmak için şunlar yapılır:
• “Scripts” görünümüne geçin (menü çubuğu / View / Scripts) (1)

• Dizin ağacında “Partition Finder (v4)” betiğini bulun ve üzerine çift tıklayın. Bunun üzerine
betiğin program kodu sekme alanında gösterilir. (2)

• Sekme alanına sağ tıklayın ve “Run” komutunu seçin. Alternatif olarak “F9” fonksiyon tuşu
da kullanılabilir. (3)

Şekil 179: “Partition Finder” betiğinin başlatılması

İleri düzey kullanıcılar bu aramayı – epey fazla zahmetle – elle de yürütebilirler.

Bulunduğu yer: View / Scripts / “Partition Finder” betiği

EnCase kullanıcı tarafından silinmiş klasörleri kurtarabilir. Ancak bunun yağılış şekli dosya sistemine
göre farklılık gösterir:

• FAT:
“Unallocated Cluster” içinde silinen klasörler için “nokta, iki nokta imzasını” arayın. Eğer böyle
bir imza bulunursa, EnCase silinmiş olan bu klasör içindeki dosyaları ve klasörleri kurtarabilir.
Kurtarma işlemi tamamlandıktan sonra görünüm alanındaki dizin ağacında, içinde sonuçların
görülebileceği “Recovered Folders” adlı bir klasör belirir.



• NTFS:
“Unallocated Cluster” içinde hala listelenmiş, ama herhangi bir ana dizine ait olmayan verilerin
bulunmasına yarayan MFT (Master File Table) kalıntılarını arayın.
Kurtarılan veriler görünüm alanındaki dizin ağacında “Lost Files” klasöründe gösterilirler.

• UFS/EXT2/EXT3:
Çalışma şekli NTFS gibidir ve kurtarılan veriler görünüm alanındaki dizin ağacında “Lost Files”
klasöründe gösterilirler.

Şekil 180: Arama yordamından sonra sonuçları içeren “Lost Files” klasörü

3.4.2.7. Mount Compound Files (bileşik dosyaları ilişkilendir)
“Compound Files” (bileşik dosyalar) aşağıdaki örneklerde verilen çok katmanlı dosyalara denir:
• OLE dosyaları (“Object Link Embedded”, yani nesneler başka nesnelerin içine gömülmüştür, ör.
bir Excel tablosu bir Word belgesi içine)
• E-posta dosyaları (Outlook PST dosyaları ve Outlook Express DBX dosyaları)
• Kayıt (lisanslama) dosyaları
Sekme alanında ilgili bileşik dosya üzerine sağ tıklanıp menü penceresinden “View File Structure”
seçildiğinde dosyanın çeşitli katmanları görünüm alanındaki dizin ağacında gösterilir. “Mount
Compound File Types” adlı betik ile bu süreç tüm edinilmiş dosyalar için otomatik olarak
yürütülebilir.

Şekil 181: Zip dosyası üzerine “View File Structure” komutu uygulandıktan sonra Zip birimi

Bulunduğu yer: Sekme alanı / dosya üzerine sağ tık / View File Structure
View / Scripts / Mount Compound File Types



3.4.2.8. File Mounter Script
“View / Scripts" altında adı “File Mounter” olan bir betik bulunmaktadır. Bu betik yürütüldüğünde,
tercihe göre aşağıdaki dosya uzantılarına sahip arşivler ilişkilendirilebilir:

• "dbx"
• "gz"
• "tgz"
• "pst"
• "tar"
• "thumbs.db"
• "db"
• "zip"
• "rar"

İmza analizi önceden yapılmışsa (Madde
3.4.2.9) imzalarla, dosya uzantılarıyla
aranabildiğinden daha etkin arama yapılabilir.
(1)
Bunun ötesinde arama sahası, seçilen
dosyalarla sınırlandırılabilir. (2)
İstenen dosya uzantıları ilgili kutu işaretlenerek
seçilirler. (3)

Şekil 182: “File Mounter” betiği penceresi

İlişkilendirilen dosyaların sayısı çok fazlaysa, EnCase’de performans ve kararlılık sorunları ortaya
çıkar.
Münferit dosyalar, sekme görünümünde üzerine sağ tıklanarak ve “View File Structure” komutu
üzerinden elle ilişkilendirilebilirler.
Ardından arşivin içeriği görünüm alanındaki dizin ağacında gösterilir.



3.4.2.9. Verify File Signatures (dosya imzalarının doğrulanması)
Dosya imzaları doğrulanırken olaydaki dosyaların dosya başlıkları imza tablosuyla ve onunla ilişkili
uzantılarla karşılaştırılır.

Dosya uzantıları, dosyanın hangi
tipe ait olduğunu gösterir. Bilgisayar
programları, hangi programın hangi
dosyayı açacağına karar verirken
sıklıkla yalnız bu uzantılara
güvenirler.
Ancak bir dosyanın gerçek
içeriğinin, dosyanın uzantısı
Windows ile bağlantılı standart
programlar tarafından açılamayacak
şekilde değiştirilerek gizlenmesi
kolaylıkla düşünülebilir.

Şekil 183: “Verify Signature” işleminin arama penceresinden
başlatılması

Buna göre eğer bir pedofil tüm resim dosyalarının “.jpg” uzantılarını rasgele bir harf dizisi şeklinde
(veya özellikle göze çarpmayacak, “.dll” gibi bir uzantı şeklinde) değiştirseydi, EnCase dahil çoğu
program dosyanın içeriğini görüntüleyemezdi. Bundan dolayı dosya imzalarının doğrulanması
kaçınılmaz bir işlemdir!
İmza analizi, araç çubuğundaki “Search” düğmesi ile veya menü satırından (Tools / Search) açılan
arama fonksiyonu ile başlatılır. Arama işleminden bilinen bu pencerede yalnız “Verify file signatures”
kutusu işaretli olmalıdır. “Start” düğmesine basıldığında, arka planda analiz işlemi başlar.
İmza analizi tamamlandıktan sonra sonuç sekme alanında “Signatures” tablo sütununda görülebilir.
Aşağıdaki sonuçlar görülebilir:

• Bad signature (sahte imza):
Dosya uzantısı imza tablosunda mevcuttur, ancak dosya başlığı buna
uygun değildir. Eğer henüz bilinmeyen bir başlık satırı söz konusuysa, bu
bilgi imza tablosuna eklenmelidir.

• *[Alias]:
Dosya başlığı dosya imza tablosunda mevcuttur, ancak uzantı beklenen
biçime uygun değildir. Bu kasıtlı bir dosya uzantısı değişikliğine işaret eder!

• Match (uyuşma):
Dosya başlığı dosya uzantısına uygundur.

• Unknown (bilinmiyor):
Ne başlık satırı ne de dosya uzantısı imza kütüphanesinde mevcut değildir.

Şekil 184: İmza
sütunu




3.4.2.10. Hash analizi
EnCase’in Hash işlevi her dosya için bir Hash değeri – yani bir nevi sayısal parmak izi – üretilmesine
olanak sağlamaktadır. Bu parmak izi eşsiz sayılmaktadır ve yalnız o dosyanın kopyası aynı değeri
verir. Hash değeri dosya adını değil, yalnız dosya içeriğini esas almaktadır. Bu şekilde EnCase adı
değiştirilmiş olan dosyaları da şaşmaz şekilde teşhis edebilmektedir.
Hash değeri analizinin ana hedefi, bilinen ve soruşturmacı için önemli (ör. çocuk pornografisi) olan
ve olmayan dosyaların teşhis edilmesidir. Bunun için belli bir dosya dağarcığından bir Hash değeri
üretilir ve bu da yine Hash veri bankasındaki verilerle karşılaştırılır. Uyuşma halinde sekme
alanındaki “Hash Set” ve “Hash Category” sütunlarına ilgili kayıt düşülür. Ardından bir betik
yardımıyla ör. değerlendirme bakımından önem taşımayan dosyalar gizlenebilir, bu sayede görüş
hakimiyeti iyileşir ve diğer arama işleri için büyük ölçüde zamandan tasarruf edilir. Diğer durumda
ise çocuk pornografisi resimleri gibi özellikle dikkat çekici dosyalar, dosya adı veya uzantısı
değiştirilmiş olsa bile bulunabilmektedir.

Hash değerlerinin üretilmesi:
• Analizde dikkate alınacak dosyalar görünüm veya sekme alanında kutularına mavi kanca
konarak işaretlenir.
• “Search” düğmesine veya menü satırından “Tools / Search” seçeneğine tıklayarak arama
penceresi açılır.
• Hash değeri üretme işlemine dosyaların hepsinin mi, yoksa birinci adımda işaretlenen
dosyaların mı katılacağı seçilir.
• “Compute hash value” kutusu işaretlenir ve “Search each file for key words” veya “Verify file
signature” kutularındaki kancalar hala aktifse, kaldırılır.
• “Start” düğmesine tıklanarak parmak izleri üretilir ve kısa bir süre sonra sekme alanındaki “Hash
Value” sütununda okunabilir.



Şekil 185: İşaretli dosyaların Hash değerlerinin üretilmesi

Kişisel Hash setlerinin oluşturulması:
• Analizde dikkate alınacak dosyalar görünüm veya sekme alanında kutularına mavi kanca
konarak işaretlenir.
• Sekme alnında sağ tık yapılarak açılan menü penceresinde “Create Hash Set” seçeneğine
tıklanır.
• Ad (ör. Windows 2000) ve kategori (ör. “Known” veya “bilinen”) yazılır.

• “OK” düğmesine basılır ve işlem Hash kütüphanesine eklenir.



Şekil 186: Kişisel Hash setinin oluşturulması
• Hash kütüphanesine geçilir ve veri dağarcığı eklenen Hash seti ile yenilenir. Sekme alanında
sağ tık yapılır ve menü penceresinde “Update” (Hash kütüphanesinin güncellenmesi) seçeneği
sol tık ile seçilir. Bu komuta, eklenen Hash setinin onaylandığı bir durum mesajı ile cevap verilir.

Şekil 187: Eklenen Hash seti

Hash setlerinin ve kategorilerinin kullanımı:
• İstenen Hash set, kutusuna mavi kanca konarak işaretlenir.
• Sekme alanına sağ tıklanır ve “Rebuild Library” (kütüphaneyi yenile) komutu seçilir.



Şekil 188: Seçilen Hash setinin kullanılması

• “Case-View” (olay görünümü)’nde tablo göstergeleri kontrol edilir: Hem “Hash Set” hem de
“Hash Category” sütunlarına uygun kayıtlar yazılmıştır.

Şekil 189: Sekme alanında Hash değerleri, setleri ve kategorileri

• Şimdi önemli olan ya da olmayan dosyalar bu kayıtlar yardımıyla sıralanabilir, gizlenebilir veya
bunların incelenmesine devam edilir.

Menü çubuğu / View / Hash Sets



3.4.2.11. Initialize Case-Script (olayın başlatılması)
EnCase’in bu standart kurulumunda mevcut olan bu betik çok sayıda önemli rutin görevlerin
otomatikleştirilmesi için pratik bir yardımcıdır.
Betik aşağıdaki hususları kontrol eder:
• Dosya bütünlüğü
• Sürücü geometrisi
• Bölüntüler
• Veri ortamı hakkında bilgi
• Windows sürümü ve lisans bilgileri
• Windows içindeki zaman dilimi ayarları ve güncel zamana göre sapmalar
• Windows altında ağ ayarları
• Windows’un son kapatılışı
• Windows kullanıcı bilgileri
• Kurulu yazılımlar
• Windows donanım bilgileri (CPU dahil)
• Windows servisleri
• Paylaşılan klasörler
• Sabit bağlı sürücüler
• AIM kullanıcı adları ve kullanıcının arkadaş listesi
• AOL kullanıcı adları ve kullanıcının arkadaş listesi
• vs.
Sonuçlar yerimi görünümü üzerinden ve buradan ayarlanabilen rapor ile gösterilebilir.

Bulunduğu yer: Menü çubuğu / View / Scripts / Initialize Case

3.4.3. Arama
Anahtar kelime aranması EnCase’in ana unsurlarından biridir ve 3. sürümden 4. sürüme güncelleme
ile büyük ölçüde hızlandırılacaktır. Yine de çok sayıdaki anahtar kelime ile bağlantılı olarak büyük bir
veri dağarcığında sürenin epey uzun olması beklenmektedir.
EnCase’in arama fonksiyonu önceden tanımlanmış kavramları açılmış olan olayın hem fiziksel hem
de mantıksal ortamlarında bulabilmektedir. “Keywords” (anahtar kelimeler) global olarak EnCase’in
ana dizinindeki “keywords.ini” dosyasında saklanmaktadır.

Menü çubuğu / View / Search Hits

3.4.3.1. Keywords (anahtar kelimeler) organizasyonu
Anahtar kelimeler global olarak “keyword.ini” başlatma dosyasında saklandıklarından, sistem
üzerinde EnCase ile işlenen her “Case” (olay) için erişilebilirdirler. Bundan dolayı her zaman önemli
olabilecek kavramların (ör. uyuşturucu, çocuk pornografisi, kaçakçılık kavramları vs.) sistematik
olarak gruplandırılması tavsiye edilir.



Anahtar kelimelerin saklanması için yeni bir klasör, görünüm alanında “Keywords” üzerine sağ
tıklanarak ve “New Folder” seçeneğine tıklanarak yaratılır. Dizin ağacında ardışık sıra numaralı ve
adı istendiği gibi değiştirilebilen yeni klasör (“Klasör x”) yaratılır.
Bir veya daha fazla anahtar kelime bir klasöre konulacaksa, öncelikle içeriği sekme alanında
gösterilecek şekilde sol tıkla seçilmelidir (1). Sekme alanında sağ tık yapılarak ve “New” (2) komutu
seçilerek kavram girişi için pencere açılır (bkz. Şekil 191).

Şekil 190: Seçilen klasöre yeni anahtar kelime girilmesi

Eğer peş peşe çok sayıda giriş yapılacaksa, “Insert” tuşunun kullanılması önerilir.


3.4.3.1.1. Keywords (anahtar kelimeler) girişi
Keywords (anahtar kelimeler) giriş penceresi açıldıktan sonra her bir sözcük, rakam ya da dizi
yazılır. Bu işlem için maskede şu alanlar ve seçenekler mevcuttur:

Search Expression sekmesi
• Search Expression (arama kavramı) (1)
Adların, kavramların, rakamların, işaretlerin, dizilerin vs. girilmesi

• Name (2)
Arama kavramının tanımı. Özelikle yabancı dilde olan kavramlarda ya da kriptografik işaret
dizilerinde anlamın daha sonrası için kaydedilmesi bakımından iyi bir olanak.
• Case Sensitive (büyük-küçük harf ayrımı) (3)
Bu kutucuk işaretlenirse, EnCase girilen kavramın yazılış şeklinin tam karşılığını arar.



• GREP (Global Regular Expression Post) (4)
Bu kutucuk işaretlenmişse, EnCase arama sırasında çok daha etkin arama yapılabilen
genişletilmiş bir sözdizimi kullanır. GREP ör. aşağıdaki olanakları sunmaktadır:
"." herhangi bir karakter yerine kullanılır
"#" herhangi bir tek basamaklı sayı için kullanılır, vs.
Örnek: GREP arama kavramı “Ecstas|cy” hem “Ecstacy” hem de “Ecstasy” kavramlarını bulur”.
• RTL Reading (Right to Left Reading = sağdan sola okuma) (5)
Sağdan sola doğru okunan dilleri dikkate alır.
• Active Code Page (6)
Yabancı dildeki kavramlar aranacaksa, bu kutucuk işaretli olmalıdır, çünkü Orta Avrupa dilleri
için standart olarak kullanılan kod sayfası “Latince 1”dir.

• Unicode (7)
Unicode evrensel bir karakter setidir ve özellikle çok dilli ortamlarda çoğu yazılım ve işletim
sistemi ürünleri ile uyumlu olması nedeniyle büyük önem taşımaktadır. Bu seçenek aktifse,
EnCase yalnız bu karakter setinde arama yapar.
• Big-Endian Unicode (8)
• UTF7 ve UTF8 (9)

Şekil 191: Yeni bir anahtar kelime girişinde “Search Expression” sekmesi

Code Page sekmesi

• Uluslararası karakter setlerinin ayarlanması seçeneği; ör. Japonca veya Arapça anahtar kelime
aranabilmesi için.
Uyarı:
Arama sonuçlarının doğru gösterilmesi isteniyorsa, dosya görüntüleme için yazı türü EnCase’de
ayarlanmalıdır (Tools / Options / Fonts - çeşitli fontlardan Arial UNICODE’a dönüştürülür. Eğer yazı
türü yoksa: Kurun!).



Şekil 192: Karakter setinin seçilmesi için “Code Page” sekmesi

Bulunduğu yer: Keyword görünümü / sekme alanına sağ tık / New
Keyword görünümü / Insert tuşu
Menü çubuğu / Tools / Options / Fonts / ...

3.4.3.1.2. Keywords Import
Anahtar kelimeler hem içe hem de dışa aktarılabilirler. Özelikle ör. uzman memur tarafından normal
bir metin işlem programında yazılabilen bir listenin içe aktarılabilmesi uygulama açıcından çok
önemlidir:
Anahtar kelimeler her satırda bir tane olacak şekilde TXT belgesine yazılır ve belge kaydedilerek
uygun bir dosya adı verilir. İncelemeyi yürüten memur bu metin dosyasını kolaylıkla EnCase içine
aktarabilir ve dosya adı yardımıyla çeşitli Keyword klasörlerine göre sınıflandırabilir.
Alternatif olarak kopyala-yapıştır özelliği de “Add Keyword List” ile birlikte kullanılabilir. Bunun için
metin belgesi açılır, kavramlar seçilir, kopyalanır ve “Add Keyword List” penceresinde yapıştırılır.



Şekil 193: “Kopyala ve yapıştır” ile anahtar kelime listesi eklenmesi

Bulunduğu yer: Keyword görünümü / sekme alanına sağ tık / Export
Keyword görünümü / sekme alanına sağ tık / Import
Keyword görünümü / sekme alanına sağ tık / Add Keyword List

3.4.3.2. Aramayı başlat
“Keywords” görünüm alanından ilgili anahtar kelimeler girilip seçildikten sonra araç çubuğundaki
“Search” düğmesinden veya menü çubuğunda “Tools / Search” altından arama başlatılır.
Açılan pencerede aşağıdaki, arama için önemli olan özellikler seçilebilir:
• Selected Files Only (yalnız seçilen dosyalar) (1)
Aramanın dosyaların tümünde mi yoksa yalnız seçilen dosyalarda mı yapılacağı seçilir.
• Search each file for keywords (anahtar kelimeleri her dosyada ara) (2)
Anahtar kelimelerin aranması
• Search File Slack (boşluklarda arama) (3)
Mantıksal ve fiziksel dosya sonu arasındaki boş alanlarda arama yapılması
• Undelete files before searching (aramaya başlamadan önce silinmiş dosyaların
kurtarılması) (4)
Aramaya başlanmadan önce dosyaların mantıksal olarak kurtarılması.
• Search only slack area of files in Hash Library (Hash kütüphanesinde bulunan
dosyaların yalnız boşluklarında arama yap) (5)
Hash kütüphanesinde bulunan dosyaların yalnız boşluklarında arama yapılması.
• Selected keywords only (yalnız seçilen anahtar kelimeler) (6)
Aramanın tüm anahtar kelimelere göre mi yoksa yalnız seçilen anahtar kelimelere göre mi
yapılacağının seçilmesi
Diğer seçenekler bu bağlamda önemli bir rol oynamamaktadır.



Şekil 194: Arama penceresi ve seçenekler

“Start” üzerine tıklanarak arama başlatılır. Arama sonuçları “View / Search Hits” altında görülebilir ve
arama sonuçları listesi araç çubuğundaki “Refresh” düğmesine tıklanarak güncellenebilir. Bu şekilde
bulunan ilk arama sonuçları – bazen saatlerce hatta günlerce sürebilen – arama işlemi daha
tamamlanmadan gösterilebilir.


3.4.4. Bookmarks (yerimleri)
EnCase’de klasörler, dosyaların tamamı, dosyaların ve notların parçaları – kısaca: olayla ilişkili çok
sayıda bilgi yerimleri altına kaydedilebilir. Her olay, neredeyse her alanda ve görünümde
oluşturulabilen kendine ait yerimlerine sahiptir.
Yerimlerinin sayısı ve yapıları çok çabuk büyüyebileceğinden, EnCase içinde bunlara ayrı bir alan
ayrılmıştır. “View / Bookmarks” menüsü altından olayla ilişkili yerimlerine her zaman ulaşılabilir.
Yerimleri yalnız bir kez yapılan tespitlerin yeniden bulunmasına yaramazlar. Her yeriminde, bunun
raporda gösterilip gösterilmeyeceği belirtilebilir. Eğer yerimi yalnız bir resimle ilgiliyse, buna bir
önizleme bile eklenebilir. Her yerimine bireysel yorum ekleme olanağıyla beraber, soruşturma
dosyası için bir inceleme raporu hazırlanmasına yönelik etkin bir araç ortaya çıkar.
3.4.4.1. Yerimlerinin anlaşılması
İlke olarak EnCase’de her biri kendi simgesi ile gösterilen aşağıdaki yerimleri ayırt edilmektedir:

• Highlighted Data Bookmark (işaretli veriler için yerimi):
Alt sekme alanında veri alanı sol fare tuşu basılı tutularak işaretlenir ve ardından sağ tıklanarak
“Bookmark Data” komutu seçilir. Buna yorum eklenebilir.



Şekil 195: “Highlighted Data Bookmark” konması



• Notable File Bookmark (kayda değer veriler için yerimi):
Sekme alanında bir dosya üzerine sağ tıklanarak ve “Bookmark Files” komutu seçilerek
oluşturulur. Buna yorum eklenebilir.

Şekil 196: “Notable File Bookmark” konması



• Folder Information Bookmark (klasörler için yerimi):
Bir klasör yapısı veya sürücü bilgilerine yerimi konması olanağı verir. Bunun için Case
görünümünde klasör ya da sürücü üzerine sağ tıklanır ve menü penceresinden “Bookmark
Folder Structure” komutu seçilir. Buna yorum eklenemez.

Şekil 197: “Folder Information Bookmark” konması

• File Group Bookmark (dosya grupları için yerimi):
Yeriminin bir seçilen dosyalar grubunun parçası olduğunu gösterir. Case görünümündeyken,
sekme alanında birbiriyle ilişkili dosyaların, kutucuklarına kanca konularak işaretlenmesiyle ve
sağ tıklanarak menü penceresinden “Bookmark Files” komutu seçilerek oluşturulur. Bu yerimi ya
da yeni bir yerimi klasörü için yorum yazılabilir.

Şekil 198: File Group Bookmarks



• Notes Bookmark (notlar için yerimi):
Bu yerimi türü yardımıyla rapor için ilave notlar ve yorumlar eklenebilir. “Notes Bookmarks” veri
ile ilişkili olmayan tek yerimi türüdür.

Şekil 199: “Notes Bookmark” eklenmesi

3.4.4.2. Yerimi görünümü
Yerimlerine menü çubuğundan “View / Bookmarks” üzerinden ulaşılır.
Oluşturulan yerimi klasörleri görünüm alanında dizin ağacı yapısında gösterilir. Aynı zamanda birden
fazla olay açıksa, her olay adı altında birden fazla yerimi klasörü gösterilir.
Pencerenin sol tarafında bir klasör seçildiğinde, içerdiği yerimleri sekme alanında tablo şeklinde
gösterilir. Sütunlardaki bilgiler yerimi alanına uygun hale gelmiştir; buradaki en önemli bilgiler
şunlardır:
• Bookmark Type (yerimi türü) (1)
Yeriminin türünü simgesiyle birlikte gösterir (Highlighted Data vs.).
• Preview (önizleme) (2)
Yeriminin içeriği için önizleme (eğer görüntülenebilir metin ise).
• Comment (yorum) (3)
İnceleyenin yerimi oluştururken yazdığı yorum gösterilir.
• Page Break (sonraki sayfa) (4)
Rapor görüntülenmesinde ayrı bir sayfa açılmasını sağlar. Bunun için yeni sayfa açılması
istenen yeriminin “Page Break” hanesine sağ tıklanır ve açılan menü penceresinde farenin sol
tuşu ile “Page Break” komutu üzerine tıklanır (alternatif: kısa yol tuşu “Ctrl + B”). Etkinleştirmenin
denetlenmesi için seçeneklerden (Tools / Options / Global / “Show True” ya da “Show false”)
belirlenmiş olan onay işareti hane içinde gösterilir. Sonraki sayfa komutu aynı yoldan geri
alınabilir.
• Show Picture (resim göster) (5)



Yukarıda anlatılan işlemle aynı yoldan, yerimi konan bir resmin raporda gösterilip
gösterilmeyeceği belirlenebilir. “Show Picture” hanesine sağ tıklanır ve “Show Picture” komutu
ile resim gösterilir veya gizlenir.
• In Report (rapor içinde) (6)
“In Report” alanına sağ tıklanarak bir yeriminin raporda gösterilip gösterilmeyeceği belirlenebilir.

Şekil 200: Yerimi görünümündeki sütunlar
Sekme alanında bir yerimi basit sol tık ile seçilirse, bilinen EnCase davranışı olarak alt sekme
alanında gösterilir. Yerimi konan kısım – yapılan ayarlamaya göre – renkli fon önünde gösterilir.
Yerimine daha ayrıntılı bilgiler (dosya bilgileri) eklenecekse, yerimi klasörünün görüntüleme
özellikleri buna uygun hale getirilmelidir. Bunun için görünüm alanındaki bir klasöre sağ tıklanır ve
“Edit” komutu seçilir. Açılan pencerede, o klasör içindeki yerimlerinin hepsi için global görüntüleme
ayarlamaları yapılabilir (alan seçimi, tablolar, resim görüntüleme, vs.).

Şekil 201: Yerimleri klasörü için görüntüleme seçeneklerinin ayarlanması

Bunun ötesinde tablo bilgilerini dışarı aktarma fonksiyonu da vardır: Klasör veya dosyalar üzerine
sağ tıklandığında metin veya Excel dosyası (eğer dosya “.xls” olarak kaydedilecekse) olarak dışarı
aktarma işlemi yürütülür.



3.4.4.3. Ayrıntılar: Yerimi oluşturma

Highlighted Data Bookmark (işaretli veriler için yerimi)
Bu yerimi türüne bazen “”metin fragmanlı yerimi” de denir. Aşağıdaki şekilde oluşturulur:
• Olay görünümünde bulunulduğundan emin olunur.
• İstenen dosya sekme alanında basit sol tık ile işaretlenir.

• Dosya içeriği alt sekme alanında görüntülenir. (görünüm metin, Hex veya disk şeklinde olabilir)
• Farenin sol tuşu basılı tutularak ilgili bölüm işaretlenir.
• Mavi renkle işaretlenmiş alana sağ tıklanır ve menü penceresinde “Bookmark Data” komutu
seçilir.
• Açılan pencerede yorum yazılabilir ve görünüm dosya tipine uygun hale getirilebilir. “Destination
Folder” (hedef klasör) alanında ya mevcut bir klasör basit sol tık ile seçilir veya yeni bir klasör
yaratılır (ilgili yere sağ tık yapılarak “New Folder” komutu seçilir).

Notable File Bookmark (kayda değer veriler için yerimi)
Bu yerimi türü ile güncel olayla ilgili “şüpheli” bilgiler içeren ve daha sonra muhtemelen dışarı
aktarılacak olan tekil dosyalar işaretlenir. Ancak rapora dosya içeriği değil, yalnız sekme alanındaki
tekil sütunlardan tarih ve zaman mührü gibi dosya ayrıntıları aktarılır. Bir “Notable File Bookmark”
oluşturmak için aşağıdaki işlemler yapılır:
• Sekme alanında ilgili dosya üzerine sağ tık yapılır
• Açılan menü penceresinde “Bookmark Files” komutu seçilir.
• Gereği halinde takip eden pencerede bu yeriminin yeni bir klasörde mi yoksa mevcut olan bir
klasörde mi saklanacağı ve gereği halinde not yazılıp yazılmayacağı seçilebilir.

Folder Information Bookmark (klasörler için yerimi)
“Folder Information Bookmark” ile klasör ve sürücü yapılarına ait yerimleri oluşturulabilir ve buna her
seviyedeki alt klasörler de dahil edilebilir. Bunun ötesinde veri ortamlarında veya mantıksal
sürücülerde daha geniş bilgiler (dosya sistemi, boyut, boş alan, vs.) rapora aktarılabilir.
Böyle bir yerimi oluşturmak için aşağıdaki işlemler yapılır:
• İlgili veri ortamına, sürücüye veya klasöre sağ tıklanır.
• Açılan menü penceresinde “Bookmark Folder Structure” komutu seçilir.

• Açılan “Bookmark Folder Structure” penceresinden aşağıdaki olanaklar seçilebilir:
- Yerimine başka aygıt bilgileri eklenip eklenmeyeceği (“Include Device Information”)
- Raporda bir veya da fazla sütunda görüntülenip görüntülenmeyeceği
- Yeriminin mevcut bir klasör içinde mi yoksa yeni yaratılacak bir klasör içinde mi oluşturulacağı
(“Destination Folder”). Yeni bir yerimi klasörü yaratılmak isteniyorsa, “Destination Folder”
alanında istenen seviyede sağ tık yapılması ve menü penceresinden “New Folder” komutu
seçilmelidir.

File Group Bookmarks (dosya grupları için yerimleri)
“File Group Bookmarks”, “Notable File Bookmarks”a benzer şekilde kullanılırlar ve temelde yalnız
çok sayıda dosyayı kapsanması, dolayısıyla birbirine ait olan dosyaları gruplandırması ile
ayrılmaktadır.
Bir “File Group Bookmark” oluşturulması aynı “Notable File Bookmarks” gibidir, yalnız bunda bir
seferde çok sayıda dosya işaretlenir.



Notes Bookmark (notlar için yerimi)
Bu yerimi ile rapora yorumlar ve notlar eklenebilir. Her not için 1000 karakter kullanılabilir ve bunların
biçemi (yazı boyu, italik, kalın vs.) değiştirilebilir. Bir “Notable Bookmark” oluşturmak için aşağıdaki
işlemler yapılır:
• Yerimi görünümünde bulunulduğundan emin olunur.
• Not yazılacak olan klasör üzerine sağ tıklanır ve ardından menü penceresinde “Add Note”
komutu seçilir.

• Açılan “Add Note Bookmark” penceresinde not yazılır, gereği halinde metin düzenlemesi yapılır
ve not ayrıca raporda yer alacaksa, kutucuğa bir kanca konur.
• “OK” düğmesine tıklanarak not oluşturulur ve sekme görünümünde klasöre ait diğer yerimleri ile
birlikte görüntülenir.
• Eğer notun rapor içindeki yeri değiştirilecekse, yerimi (diğerleri gibi) “sürükle ve bırak”
yöntemiyle rapordaki istenen yere taşınabilir.

3.4.4.4. Rapor fonksiyonu
EnCase ile yapılan değerlendirme sırasında çok sayıda yerimi konmuşsa, adeta bir “yan ürün”
olarak soruşturma dosyasının önemli bir bölümünü kapsayacak ayrıntılı bir inceleme raporu
hazırlanabilir.
Eğer bir yerimi raporda dikkate alınacaksa, bu seçenek “In Report” sütununda işaretlenmiş olmalıdır.
Diğer bilgiler “Notes Bookmarks” ile eklenebilir, sıralamalar (tekil yerimleri veya komple klasörler)
“sürükle ve bırak” yöntemiyle yapılabilir.
Rapor EnCase kapsamında kısmen biçimlendirilebilir. Ancak RTF veya HTML biçimine
aktarıldığında, akla gelebilecek her türlü düzenleme yapılabilir. Rapor görünümünde sekme alanına
sağ tık yapıldığında ve “Export” komutu seçildiğinde dışarı aktarma diyalogu gösterilir. Bunun
ardından açılan pencerede çıktı biçimi (Output Format) seçilip kayıt yolu belirlenebilir.



Şekil 202: Bir rapordan alıntı ve seçenekler penceresi (sekme alanında sağ tık)

3.4.5. Dosyaların/klasörlerin dışarı aktarılması
Kural olarak inceleme memurunun ana hedefi, soruşturma yapan uzman memur için dava
bakımından önem taşıyan dosya ve bilgilerin hazırlanmasıdır. EnCase bu konuda dosyaların teker
teker veya klasör yapısı içinde, harici veri ortamları üzerinde ayrıntılı dizin tabloları ile birlikte üçüncü
şahısların kullanımına sunulması için çok elverişli olanaklar sunmaktadır.

Eğer yalnız bir dosya ya da seçilen dosyalar kopyalanacak ya da kurtarılacaksa, “Copy/Unerase”
komutu kullanılır.
Bunun için aşağıdaki işlemler yapılır:

• Dosya/dosyalar sekme alanında kutucukları işaretlenerek seçilir. Tek bir dosya alternatif olarak
dosya üzerine fare ile tıklanarak da işaretlenebilir (ilgili kayıt standart olarak mavi blok içinde
gösterilir).
• Sekme alanının herhangi bir yerinde sağ tıklanır – “Copy/Unerase” başlıklı yeni bir pencere
açılır.



Şekil 203: Dosyaları kopyala / geri al
Aşağıdaki ayarlar yapılabilir:
o From (nereden) (1)
Highlighted File (işaretli dosya): Fare ile tıklanarak tek bir dosya seçilmişse (mavi fon
üstünde gösterilir) bu seçenek işaretlenmelidir.
All selected files (seçilen dosyaların tümü): Bir veya daha fazla dosyanın kutucuğu kanca
ile işaretlenmişse, bu seçenek işaretlenmelidir.
o To (nereye) (2)
Seperate Files (ayrı dosyalar): Dosyalar teker teker yeniden oluşturulur.
Merge into one file (bir dosya halinde birleştir): Seçilen dosyaların hepsi tek bir büyük
dosya halinde birleştirilir.

Şekil 204: Kopyalanan dosyaların ve hedefin seçilmesi



• Sonraki pencerede aşağıdaki seçenekler seçilebilir:
o Copy (kopyala) (1)
- Logical File Only: Dosyanın yalnız mantıksal kısmı kopyalanır
- Entire Physical File: Fiziksel dosyanın tamamı, yani mantıksal kısım ve boşluk
kopyalanır
- RAM and Disk Slack
- RAM Slack Only: Sektör boşluğu – dosya boşluğunun mantıksal ve başlangıç alanı
arasındaki tampon – kopyalanır
o Charakter Mask (karakter maskesi) (2)
- None: Dosyayı anlık olarak görüntülendiği şekilde kopyalar
- Do not Write Non-ASCII Charakters: ASCII karakteri olmayanlar hariç bütün karakterleri
kopyalar
- Replace Non-ASCII Charakters With DOT: ASCII karakteri olmayanların hepsinin yerine
bir nokta koyar

Şekil 205: Kopyalama ya da geri alma seçenekleri

• Sonraki adımda kontrol amacıyla dosyaların sayısı ve boyutları tekrar gösterilir. Bunun ötesinde
hedef yol ve gereği halinde büyük dosyaların bölünmesi seçenekleri ayarlanabilir.



Şekil 206: Hedef yol bilgileri ve dosya bölme olanağı

• Son olarak “Finish” düğmesine tıklandığında kopyalama ya da kurtarma süreci başlar ve
dosyalar belirtilen dışarı aktarma dizininde istenen bir programla açılabilirler.

Şekil 207: Kopyalama ya da kurtarma bilgilerini gösteren durum ekranı

Uyarı:
Yerimleri de kopyalanıp kurtarılabilir; bu işlem için de yukarıda tarif edilen sıra takip edilir.

Püf Noktası:
“Copy/Unerase” komutu ile çok sayıda dosya kopyalanacak ya da kurtarılacaksa, aynı adlı dosya
olma olasılığından dolayı sorun çıkabilir, çünkü yalnız bir hedef dizin belirtilebilmektedir. Bu durumda
klasör yapısının da üstlenildiği “Copy Folders” yoluna başvurulması önerilir (bkz. Madde 3.4.5.2).

3.4.5.2. Copy Folders
Münferit dosyaların değerlendirme veri ortamına kopyalanması olanağının yanı sıra, EnCase tüm
klasör yapılarının alt klasörler dahil olmak üzere kopyalanması işlevini sunmaktadır.
Bunun için aşağıdaki işlemler yapılır:



• Klasör basit bir sol tıkla veya görünüm ya da sekme alanında kutucuğuna bir kanca konarak
işaretlenir.
• Ardından sağ tık ile açılan menü penceresinden “Copy Folders...” komutu seçilir.
• “Copy Folders” başlıklı bir pencere açılır; bunun içinde aşağıdaki bilgiler görülür ya da
ayarlanmalıdır:
o Source (kaynak) (1)
Doğru klasörün kopyalanıp kopyalanmadığı kontrol edilebilir.
o Copy... (... kopyalanıyor) (2)
Dosya sayısı ve dosya büyüklüğü yeniden gösterilir.
o Bunun altında hedef klasörünün yolu ayarlanabilir (ör. olaya ati “Export” klasörü) (3)
o Copy only selected files inside each folder (her klasörde yalnız seçilmiş dosyaları
kopyala) (4)
Tüm dosyalar bir tek klasör altına hiyerarşik yapıları olmadan kopyalanacaksa, bu kutucuk
işaretli olmalıdır.

Şekil 208: Klasörlerin kopyalanması için yol ayarları ve seçenekler

3.4.5.3. Export
Export komutu kopyalanan ya da kurtarılan dosyalar, ama ayrıca yerimleri, galerideki resimler vs.
hakkında bir genel tablo düzenleme olanağını verir.
Genel tablo hazırlanması için aşağıdaki işlemler yapılmalıdır:
• İstenen görünüm penceresinde olunduğundan emin olunmalıdır (olay görünümü, yerimi
görünümü, vs.).
• Görünüm veya sekme alanında klasör veya dosyalar üzerine sağ tıklanır ve menü
penceresinden “Export” komutu seçilir.
• Açılan Export penceresinde aşağıdaki ayarlamalar yapılabilir:
• Only Checked Rows (yalnız işaretli satırlar) (1)
Dosyalar, kutucuklarına mavi renkli kanca konarak işaretlenmişse, klasörün tamamından
yapılacak seçim bunlarla sınırlandırılabilir. Üç satır aşağıdaki “Active Rows” (aktif satırlar)



alanı bunun kontrol edilmesine olanak tanır; burada işaretli olan dosyaların (dolayısıyla
“satırların” – burada Excel ya da dışarı taşınan belgedeki satırlar kastedilmektedir) sayısı
gösterilir.
• Start / Stop (2)
“Start” ve “Stop” alanlarından düzenlenen raporun başlangıcı veya bitişi değiştirilebilir.
• Fields (alanlar) (3)
“Fields” üzerinden daha sonra dışarı aktarılmış olan belgede genişletilmiş bilgileri içerecek
olan sütunlar ve haneler seçilir. Kutucuklar sol tık ile işaretlenerek daha sonraki genel
tabloda her dosyaya ait ad, dosya uzantısı, erişim bilgileri, mantıksal boyut, vs. gösterilir.
• Output File (çıktı dosyası) (4)
Çıktı dosyası seçeneğinden hem dosya biçimi hem de dosya adı ve çıktı yolu ayarlanabilir.
Standart olarak metin dosyası üretilir. Ancak “.txt” uzantısı yerine Microsoft Excel (“.xls”)
uzantısı yazılırsa, bir tablo belgesi üretilir.

Şekil 209: Dosya bilgilerinin dışarı aktarılması için diyalog penceresi



Şekiller Dizini
Şekil 1: EnCase veri formatının görünüşü .............................................................................................................. 8
Şekil 2: Bir imgenin (Image) okunması sırasında doğrulama................................................................................. 9
Şekil 3: Bir EnCase olayına ait Case ve yedekleme dosyaları ................................................................................ 9
Şekil 4: Programlar klasöründe EnCase’in ayar dosyaları (C:ProgrammeEnCase4)....................................... 10
Şekil 5: Fastblock başka modellerle birlikte Tableau firmasının ürettiği operasyon çantası içinde .................... 11
Şekil 6: Windows için EnCase program penceresi görünüşü................................................................................ 13
Şekil 7: View görünümü ........................................................................................................................................ 14
Şekil 8: Tablo sütunları - 1. bölüm........................................................................................................................ 15
Şekil 9: Tablo sütunları - 2. bölüm........................................................................................................................ 15
Şekil 10: Tablo sütunları - 3. bölüm...................................................................................................................... 16
Şekil 11: Küçükten büyüğe doğru sıralama .......................................................................................................... 17
Şekil 12: Büyükten küçüğe doğru sıralama........................................................................................................... 17
Şekil 13: İkinci sıralama kriteri ile sıralama ........................................................................................................ 17
Şekil 14: Resim dosyasına ait ayrıntılı bilgileri içeren rapor ............................................................................... 18
Şekil 15: Ön izlemeli “Gallery” görünümü .......................................................................................................... 19
Şekil 16: “Gallery” görünümünde ayarlama olanakları ...................................................................................... 20
Şekil 17: “Timeline” (zaman doğrusu) görünümü................................................................................................ 20
Şekil 18: “Timeline”ın ayarlama olanakları ........................................................................................................ 21
Şekil 19: Sub-Tab alanının metin görünümü......................................................................................................... 21
Şekil 20: Olay görünümünde araç çubuğu............................................................................................................ 22
Şekil 21: Menü çubuğu.......................................................................................................................................... 24
Şekil 22: File / New............................................................................................................................................... 24
Şekil 23: File / Open ............................................................................................................................................. 24
Şekil 24: File / Save .............................................................................................................................................. 24
Şekil 25: File / Save As ......................................................................................................................................... 25
Şekil 26: File / Save All......................................................................................................................................... 25
Şekil 27: File / Add Device.................................................................................................................................... 25
Şekil 28: File / Add Raw Image............................................................................................................................. 26
Şekil 29: File / Exit EnCase .................................................................................................................................. 26
Şekil 30: Edit / Close............................................................................................................................................. 27
Şekil 31: Edit / Copy Folders ................................................................................................................................ 27
Şekil 32: Edit / Bookmark Files or Folder Structure ............................................................................................ 28
Şekil 33: Edit / Create Hash Set............................................................................................................................ 28
Şekil 34: Edit / Export… ....................................................................................................................................... 29
Şekil 35: Edit / Recover Folders…........................................................................................................................ 29
Şekil 36: Edit / Acquire…...................................................................................................................................... 30
Şekil 37: Edit / Restore… ...................................................................................................................................... 30
Şekil 38: Edit / Hash... .......................................................................................................................................... 31
Şekil 39: Edit / Scan Disk Configuration .............................................................................................................. 31
Şekil 40: Edit / Verify File Integrity ...................................................................................................................... 32
Şekil 41: Edit / Modify Time Zone Settings…........................................................................................................ 32
Şekil 42: Edit / Export Selected Files to i2… ........................................................................................................ 32
Şekil 43: Edit / Mount as Network Share .............................................................................................................. 33
Şekil 44: Edit / Mount as Emulated Disk .............................................................................................................. 33
Şekil 45: Edit / Send To......................................................................................................................................... 34
Şekil 46: Edit / Show Columns .............................................................................................................................. 34
Şekil 47: Column................................................................................................................................................... 35
Şekil 48: Edit / Sort ............................................................................................................................................... 35
Şekil 49: Select Item.............................................................................................................................................. 36
Şekil 50: View / Cases........................................................................................................................................... 36
Şekil 51: View / Bookmarks................................................................................................................................... 37
Şekil 52: View / Devices........................................................................................................................................ 37
Şekil 53: View / File Types.................................................................................................................................... 38
Şekil 54: View / File Signatures ............................................................................................................................ 38
Şekil 55: View / File Viewers ................................................................................................................................ 39
Şekil 56: View / Keywords..................................................................................................................................... 39



Şekil 57: View / Search Hits.................................................................................................................................. 40
Şekil 58: View / Security IDs................................................................................................................................. 40
Şekil 59: View / Text Styles ................................................................................................................................... 41
Şekil 60: View / Scripts ......................................................................................................................................... 41
Şekil 61: View / Hash Sets..................................................................................................................................... 42
Şekil 62: Tools / Search ........................................................................................................................................ 42
Şekil 63: Tools / Select all entries ......................................................................................................................... 42
Şekil 64: Tools / Wipe Drive ................................................................................................................................. 43
Şekil 65: Tools / Verify Evidence Files... .............................................................................................................. 43
Şekil 66: Tools / Create Boot Disk... ..................................................................................................................... 43
Şekil 67: Tools / Options... .................................................................................................................................... 44
Şekil 68: Tools / Refresh ....................................................................................................................................... 45
Şekil 69: Help / About EnCase.............................................................................................................................. 45
Şekil 70: Menü penceresi / Close .......................................................................................................................... 46
Şekil 71: Menü penceresi / Copy Folders ............................................................................................................. 46
Şekil 72: Menü penceresi / Bookmark Files.......................................................................................................... 47
Şekil 73: Menü penceresi / Bookmark Folder Structure ....................................................................................... 47
Şekil 74: Menü penceresi / Create Hash Set... ...................................................................................................... 48
Şekil 75: Menü penceresi / Export ........................................................................................................................ 48
Şekil 76: Menü penceresi / Recover Folders......................................................................................................... 49
Şekil 77: Menü penceresi / Acquire....................................................................................................................... 49
Şekil 78: Menü penceresi / Restore ....................................................................................................................... 50
Şekil 79: Menü penceresi / Hash........................................................................................................................... 50
Şekil 80: Menü penceresi / Scan Disk Configuration............................................................................................ 51
Şekil 81: Menü penceresi / Verify File Integrity ................................................................................................... 51
Şekil 82: Menü penceresi / Modify Time Zone Settings ........................................................................................ 52
Şekil 83: Menü penceresi / Export Selected Files to i2 ......................................................................................... 52
Şekil 84: Menü penceresi / Include (Sub) Folders ................................................................................................ 53
Şekil 85: Menü penceresi / Copy-Unerase... ......................................................................................................... 53
Şekil 86: Menü penceresi / View File Structure .................................................................................................... 54
Şekil 87: Menü penceresi / Send To ...................................................................................................................... 54
Şekil 88: Menü penceresi / Show Columns ........................................................................................................... 55
Şekil 89: Menü penceresi / Column....................................................................................................................... 55
Şekil 90: Menü penceresi / Sort ............................................................................................................................ 56
Şekil 91: Bookmark menüsü / Copy-Unerase........................................................................................................ 56
Şekil 92: Bookmark menüsü / Bookmark Files...................................................................................................... 57
Şekil 93: Bookmark menüsü / Create Hash Set..................................................................................................... 57
Şekil 94: Bookmark menüsü / View File Structure................................................................................................ 58
Şekil 95: Bookmark menüsü / Send To .................................................................................................................. 58
Şekil 96: Bookmark menüsü / Edit ........................................................................................................................ 59
Şekil 97: Bookmark menüsü / Add Note ................................................................................................................ 59
Şekil 98: Bookmark menüsü/ Show Excluded - Deleted........................................................................................ 60
Şekil 99: Bookmark menüsü / Delete..................................................................................................................... 60
Şekil 100: Bookmark menüsü / Delete All Selected............................................................................................... 61
Şekil 101: Bookmark menüsü / Exclude ................................................................................................................ 61
Şekil 102: Bookmark menüsü / Exclude All Selected ............................................................................................ 62
Şekil 103: Bookmark menüsü / Export .................................................................................................................. 62
Şekil 104: Bookmark menüsü / Export Selected Files to i2................................................................................... 63
Şekil 105: Bookmark menüsü / Summary Bookmark............................................................................................. 63
Şekil 106: Bookmark menüsü / Tag File ............................................................................................................... 63
Şekil 107: Bookmark menüsü / Tag Selected Files................................................................................................ 64
Şekil 108: Bookmark menüsü / Show Columns ..................................................................................................... 64
Şekil 109: Bookmark menüsü / Column ................................................................................................................ 65
Şekil 110: Bookmark menüsü / Sort ...................................................................................................................... 65
Şekil 111: Bookmark menüsü / Select Item ........................................................................................................... 66
Şekil 112: Keyword menüsü / Edit ........................................................................................................................ 66
Şekil 113: Keyword menüsü / New........................................................................................................................ 66
Şekil 114: Keyword menüsü/ Show Excluded - Deleted........................................................................................ 67
Şekil 115: Keyword menüsü / Bookmark Data...................................................................................................... 67
Şekil 116: Keyword menüsü / Delete..................................................................................................................... 67
Şekil 117: Keyword menüsü / Delete All Selected................................................................................................. 68
Şekil 118: Keyword menüsü / Exclude .................................................................................................................. 68



Şekil 119: Keyword menüsü / Exclude All Selected .............................................................................................. 68
Şekil 120: Keyword menüsü / Export .................................................................................................................... 69
Şekil 121: Keyword menüsü / Import .................................................................................................................... 69
Şekil 122: Keyword menüsü / Add Keyword List .................................................................................................. 70
Şekil 123: Keyword menüsü / Rename .................................................................................................................. 70
Şekil 124: Keyword menüsü / New Folder ............................................................................................................ 71
Şekil 125: Keyword menüsü / Expand - Contract ................................................................................................. 71
Şekil 126: Keyword menüsü / Set Included (Sub) Folders .................................................................................... 72
Şekil 127: Keyword menüsü / Show Columns ....................................................................................................... 72
Şekil 128: Keyword menüsü / Column .................................................................................................................. 73
Şekil 129: Keyword menüsü / Sort ........................................................................................................................ 73
Şekil 130: Keyword menüsü / Select Item ............................................................................................................. 73
Şekil 131: Search Hits / Copy-Unerase................................................................................................................. 74
Şekil 132: Search Hits / Bookmark Files .............................................................................................................. 74
Şekil 133: Search Hits / Create Hash Set.............................................................................................................. 75
Şekil 134: Search Hits / View File Structure......................................................................................................... 75
Şekil 135: Search Hits / Send To........................................................................................................................... 76
Şekil 136: Search Hits / Show Excluded - Deleted................................................................................................ 76
Şekil 137: Search Hits / Delete ............................................................................................................................. 77
Şekil 138: Search Hits / Delete All Selected.......................................................................................................... 77
Şekil 139: Search Hits / Exclude ........................................................................................................................... 78
Şekil 140: Search Hits / Exclude All Selected ....................................................................................................... 78
Şekil 141: Search Hits / Export............................................................................................................................. 79
Şekil 142: Search Hits / Export Selected Files to i2.............................................................................................. 79
Şekil 143: Search Hits / Tag File .......................................................................................................................... 79
Şekil 144: Search Hits / Tag Selected Files .......................................................................................................... 80
Şekil 145: Search Hits / View Search Hits ............................................................................................................ 80
Şekil 146: Search Hits / Bookmark Selected Items................................................................................................ 80
Şekil 147: Search Hits / Show Columns ................................................................................................................ 81
Şekil 148: Search Hits / Column ........................................................................................................................... 81
Şekil 149: Search Hits / Sort ................................................................................................................................. 82
Şekil 150: Search Hits / Select Item ...................................................................................................................... 82
Şekil 151: CD-Rom takıldıktan sonraki otomatik başlatma ekranı....................................................................... 83
Şekil 152: Guidance Software firmasının en son güncellemeleri sunduğu karşıdan yükleme sayfasından alıntı . 84
Şekil 153: Guidance firmasının boot disk görüntülerine ait linkleri içeren karşıdan yükleme sayfasından alıntı 86
Şekil 154: “File / New” ile yeni bir olay yaratılması ........................................................................................... 88
Şekil 155: Yeni olay hakkındaki bilgilerin girildiği pencere................................................................................. 88
Şekil 156:“Add Device” düğmesi ......................................................................................................................... 88
Şekil 157: Yerel veri ortamlarının seçilmesi ......................................................................................................... 89
Şekil 158: Veri ortamının/sürücünün seçilmesi..................................................................................................... 89
Şekil 159: Seçilen veri ortamının veya sürücünün ön izlemesi ............................................................................. 90
Şekil 160: Seçilen veri ortamına ait Preview (önizleme) ...................................................................................... 90
Şekil 161: Veri edinmeden sonra ne yapılacağının belirlenmesi .......................................................................... 91
Şekil 162: İmge oluşturma seçenekleri.................................................................................................................. 92
Şekil 163: Veri edinimi sona erdikten sonraki durum mesajları ........................................................................... 92
Şekil 164: Yeni olay yaratma ................................................................................................................................ 93
Şekil 165: Değerlendirme veri ortamında örnek olay organizasyonu................................................................... 93
Şekil 166: İnceleyen tarafından değiştirilen yol bilgileri...................................................................................... 94
Şekil 167: Veri ortamı ekleme ............................................................................................................................... 94
Şekil 168: Yeni imge klasörü ekleme..................................................................................................................... 95
Şekil 169: Yol ayarları .......................................................................................................................................... 95
Şekil 170: EnCase’e yüklenmek istenen veri ortamı kopyasının seçilmesi............................................................ 96
Şekil 171: “Weiter” (devam) düğmesine iki defa tıklandığında okuma işlemi başlar .......................................... 96
Şekil 172: “Menü çubuğu / Edit / Modify Time Zone settings” üzerinden saat diliminin ayarlanması................ 97
Şekil 173: Kurulu yazı tipi Arial Unicode’un kontrol edilmesi ............................................................................. 97
Şekil 174: İmgenin doğrulanması ......................................................................................................................... 98
Şekil 175: Veri edinme ve doğrulama Hash’lerinin karşılaştırılmasına olanak veren rapor görünümü .............. 99
Şekil 176: “Scan Disk Configuration” komutu uygulanmadan ÖNCE Win XP altında yazılım RAID............... 100
Şekil 177: Tarama yapıldıktan sonra algılanan Stripe setleri ............................................................................ 100
Şekil 178: Veri ortamının veri sistemi................................................................................................................. 100
Şekil 179: “Partition Finder” betiğinin başlatılması ......................................................................................... 101
Şekil 180: Arama yordamından sonra sonuçları içeren “Lost Files” klasörü ................................................... 102



Şekil 181: Zip dosyası üzerine “View File Structure” komutu uygulandıktan sonra Zip birimi......................... 102
Şekil 182: “File Mounter” betiği penceresi........................................................................................................ 103
Şekil 183: “Verify Signature” işleminin arama penceresinden başlatılması...................................................... 104
Şekil 184: İmza sütunu ........................................................................................................................................ 104
Şekil 185: İşaretli dosyaların Hash değerlerinin üretilmesi ............................................................................... 106
Şekil 186: Kişisel Hash setinin oluşturulması..................................................................................................... 107
Şekil 187: Eklenen Hash seti............................................................................................................................... 107
Şekil 188: Seçilen Hash setinin kullanılması ...................................................................................................... 108
Şekil 189: Sekme alanında Hash değerleri, setleri ve kategorileri ..................................................................... 108
Şekil 190: Seçilen klasöre yeni anahtar kelime girilmesi.................................................................................... 110
Şekil 191: Yeni bir anahtar kelime girişinde “Search Expression” sekmesi ...................................................... 111
Şekil 192: Karakter setinin seçilmesi için “Code Page” sekmesi....................................................................... 112
Şekil 193: “Kopyala ve yapıştır” ile anahtar kelime listesi eklenmesi ............................................................... 113
Şekil 194: Arama penceresi ve seçenekler .......................................................................................................... 114
Şekil 195: “Highlighted Data Bookmark” konması............................................................................................ 115
Şekil 196: “Notable File Bookmark” konması.................................................................................................... 116
Şekil 197: “Folder Information Bookmark” konması......................................................................................... 117
Şekil 198: File Group Bookmarks....................................................................................................................... 117
Şekil 199: “Notes Bookmark” eklenmesi ............................................................................................................ 118
Şekil 200: Yerimi görünümündeki sütunlar......................................................................................................... 119
Şekil 201: Yerimleri klasörü için görüntüleme seçeneklerinin ayarlanması....................................................... 119
Şekil 202: Bir rapordan alıntı ve seçenekler penceresi (sekme alanında sağ tık)............................................... 122
Şekil 203: Dosyaları kopyala / geri al ................................................................................................................ 123
Şekil 204: Kopyalanan dosyaların ve hedefin seçilmesi ..................................................................................... 123
Şekil 205: Kopyalama ya da geri alma seçenekleri ............................................................................................ 124
Şekil 206: Hedef yol bilgileri ve dosya bölme olanağı........................................................................................ 125
Şekil 207: Kopyalama ya da kurtarma bilgilerini gösteren durum ekranı.......................................................... 125
Şekil 208: Klasörlerin kopyalanması için yol ayarları ve seçenekler ................................................................. 126
Şekil 209: Dosya bilgilerinin dışarı aktarılması için diyalog penceresi ............................................................. 127


En Case SüRüM

More Related Content

What's hot

Similar to En Case SüRüM

More from Erol Dizdar

En Case SüRüM