The Sleuth Kit (TSK) DD ve Fdisk Araçları-1

Blog yazımda adli bilişim araçları olan DD ve Fdisk araçlarından bahsedeceğim. DD aracından bahsetmek gerekirse:

  • Disk imajı almamıza imkan veren bir araçtır.
  • İmaj içerisinde kopya bloklar almamıza olanak sağlayan bir araçtır.
  • İmaj içerisinden aldığımız kopya blokları birleştirmemize yarayan bir araçtır.
  • İmaj sıkıştırmamıza olanak sağlayan bir araçtır.
  • Disk içeriğini silmemize olanak sağlayan bir araçtır.

DD aracında işlemlere geçelim. Yapacağım işlemler imaj almak, imaj içinde bloklara ayırmak, ve ayrılan blokları birleştirmek olacaktır.

 

DD Aracı ile İmaj Alma

İlk olarak işlemlerimi kali linux işletim sisteminde gerçekleştirdiğimi belirtmek istiyorum. İmaj almadan önce diskimizin yolunu bulmamız gerekmektedir. Bu nedenle lsblk komutu ile kali linux işletim sistemine bağlı olan diskin yolunu buluyoruz. Aşağıda göstermiş olduğum görselde lsblk sonucunun çıktısıdır. Bu yapı Dosya sisteminde bulunan dev dizinin içerisindeki sistem hafızasını ve takılı olan sürücülerin konumlandırıldığı adları göstermeye yarayan bir komuttur.

 

Diskin konumlandırıldığını yeri öğrendikten sonra imaj alma işlemine geçebiliriz. dd if=/dev/sdb1 of=/root/Desktop/imaj.dd status=progress komutunu yazarak imaj alma işlemini başlatmış oluruz. İmaj işlem süresi imaj alınacak diskin boyutuna bağlı olarak değişmektedir.

 

 

DD Aracı ile Bloklara Ayırma

DD aracında blok ayırma işlemini almış olduğumuz imaj üzerinde yapıyoruz. dd if=/root/Desktop/imaj.dd of=/root/Desktop/imaj/imaj1.dd count=1  ile imaj içerisinde bir blok kopyasını almış oluyoruz. Almış olduğumuz blok boyutu 512 bayttır. Boyut değerini Default (varsayılan) olarak ayarlanmış şekilde alıyorum. İstediğiniz boyut değerinde almak istiyorsanız eğer bs=Boyutu Değeri yazarak alınacak blok boyutu değerini arttırabilirsiniz.

 

 

DD Aracı ile Blok Atlama

DD aracının başka özelliği ise imaj sonrası kopya alırken blok atlamamızı sağlayan seek parametresidir.  dd if=/root/Desktop/imaj.dd of=/root/Desktop/imaj/imaj2.dd count=1 seek=3 şeklinde kullanabiliriz. Bu işlemi birleştirme işlemi için kullanacağım.

 

 

DD Aracı ile Blok Ayırma işlemi

Yukarıda anlatmış olduğum işlemde sürekli aynı işlemleri yaparak imaj içerisinde farklı boyutlarla ayırmamıza olanak sağlıyor. Fakat buradaki işlem skip parametresi ile değişiklik gösteriyor. Skip işlemi blok atlayarak diğer bloktaki imajın kopyasını çekmeye yarayan bir parametredir. dd if=/root/Desktop/imaj.dd of=/root/Desktop/imaj/imaj-1-2-3.dd count=1 skip=0-1-2 şeklinde kullanıyoruz. Örnek olması için üç defa bu işlemi yapıyorum.  Gördüğünüz gibi skip değerleri farklı, işlemleri tamamladığımda üç tane blok kopya dosyası oluşmaktadır.

 

 

DD Aracı ile Blok Birleştirme

Ayırmış olduğum blok kopyalarını birleştirme işlemine geçiyorum. Bu işlemde dd if=/root/Desktop/imaj/imaj1-2-3.dd of=/root/Desktop/imaj/birlestirme.dd count=1 seek=0-1-2 şeklinde kullanıyoruz. Gereken işlemde üç tane ayırdığım blok dosyalarını başka dosya adı ile oraya aktararak birleştirme işlemi yapıyorum. seek parametresini değiştirmemizin sebebi blok atlaması yapmamız gerektiğindendir. Birleştirme işleminde üzerine yazmamak için kullanırız. Çünkü aynı seek değerini kullanırsak üzerine yazacak ve en son yazılan kopya işlem görecektir.

 

 

Fdisk Aracı

The Sleuth kit aracı olan fdisk aracı silme, biçimlendirme, bölümlendirme ve başlangıç-bitiş sektör boyutu ile ilgili işlemler yapmamıza olanak sağlayan bir araçtır. Fdisk ile işlem yapmak için yanına aldığımız imajı belirterek aracın içerisine girmiş oluyoruz. fdisk imaj.dd şeklinde kullanabiliriz. Bize burada verdiği bilgi ise disk tanımlayıcıdır.

 

 

Fdisk p Parametresi

Fdiskte kullandığımız p parametresi diskle ilgili boyutunu, sektör bilgisini, disk türünü ve disk tanımlayıcı ile ilgili bilgiler barındırmaktadır.

Fdisk l Parametresi

Fdisk aracının desteklediği disk türlerinin listesini göstermek amacıyla kullanılmaktadır.

Fdisk F Parametresi

F parametresi ise disk boyutunu başlangıç bitiş sektörünü öğrenmek için kullandığımız bir parametredir.

Fdisk n parametresi

n parametresi yeni bir bölüm eklemek için kullanılan bir parametredir. Yapılan işlemlere bakıldığında Default olarak işlemler yapılmıştır. Linux disk türünde yeni bir bölüm oluşturulmuştur.

DD ve Fdisk aracı ile ilgili bahsedeceklerim bu kadar umarım faydalı bir yazı olmuştur. Diğer blog yazımda fls ve mmls araçlarından bahsedeceğim. Görüşmek üzere…