Yeni bir olay oluşturduğumuzda “Profile” bölümünden daha önceden oluşturulmuş bir process profilini veya “Customize” butonuna basarak yeni oluşturacağımız process profilini veya “Forensic Processing” profilini seçebiliriz demiştik. Şimdi process menüsündeki seçenekleri ve yaptıkları işleri ve yeni bir profil oluşturmayı göreceğiz. Şunu unutmayınki adli incelemelerde en önemli olan hususların başında Process işlemleri gelmektedir. İnceleyeceğimiz konunun unsurlarına göre process seceneklerini ayarlamamız gerekmektedir. Process seçeneklerinin hepsinin işaretlenmesi durumunda zaman kaybının meydana geleceği ve analizlerin çok uzun bir zaman alacağı, eksik seçilmesi durumunda ise delillerin veya bulguların tespit edilememesine yol açacaktır.
“Customize” butonuna tıkladığımızda "Detailled Options" sekmesi açılacaktır ve incelediğimiz konunun türüne göre process seçenekleri işaretlenmelidir. Şimdi Process seçeneklerinin özelliklerini ve işlevlerini öğrenelim.
Generate File Hashes:
MD5 Hash: Dosyaların Hashlerini MD5 algoritmasına göre hesaplamasını yapar.
SHA-1 Hash: Dosyaların Hashlerini SHA-1 algoritmasına göre hesaplamasını yapar.
SHA-256 Hash: Dosyaların Hashlerini SHA-256 algoritmasına göre hesaplamasını yapar.
Flag Duplicate Files: Hash verileri aynı olan dosyaları işaretler.
KFF (Know File Finder): Hash kütüphanesinde bulunan dosyaları işaretleyerek ekleme veya çıkarma işlemi gerçekleştirir.
Evidence Processing:
Expand Compound Files: Sıkıştırılmış veya birleştirilmiş dosyaların genişletilmesini sağlamaktadır. “Expansion Options” butonundan açılmasını istediğimiz dosya çeşitlerini seçebiliyoruz. Bu pencerede bulunan “Only Expand Office Documents with embedded items” seçeneği işaretlendiğinde içerisinde ofis dosyalarının gömülü olduğu dosyaları da açmaktadır. (Powerpoint dosyası içerisinde gömülü olan Word, excell vb gibi) Programı kullanırken Select All seçeneğini seçeceğiz.
File Signature Analysis: Bu bölüm dosyaların imza analizini yapıyor.
Flag Bad Extension: Uzantısı değiştirilmiş dosyaları işaretliyor.
Entropy Test: Bir dosyanın içeriğine bakarak içeriğinde mantıklı bir veri veya data olup olmadığına bakıyor. Sıkıştırılmış veya şifrelenmiş dosyaları tespit etme işlemlerini gerçekleştirir.
Search Text Index: Metin indekslemesi işlemleri gerçekleştirir. dtSearch programı üzerinden text olarak okunan tüm verilerin metin bilgilerini çıkartır.
Create Thumbnails for Graphics: Grafik dosyalarını galeri olarak izleyebilmemiz için grafiklerin küçük resimlerini oluşturuyor.
Create Thumbnails for Videos: Video dosyalarının belirli kısımlarından resim alınmasını sağlıyor. Video dosyasının istediğimiz her bir yüzdelik diliminden veya belirlenen saniye aralıklarından resim alınmasını sağlıyor.
Generate Common Video File: FTK video dosyalarını Windows işletim sisteminde hangi program tanımlıysa onunla açmaya çalışıyor. Bu seçenek Windows’ un açamadığı video dosyalarını “.wmv” formatına çevirerek videoyu görmemizi sağlıyor.
HTML File Listing: İmaj içerisinde bulunan dosyaların listesini HTML dosyası olarak veriyor. Bu HTML dosyasında imaj içerisinde bulunan dosyaların yolu, adı, tipi, oluşturma tarih, erişim tarihi, silinme tarihi, değiştirme tarihi, logical size, kategori, KFF ve MD5 Hash bilgileri bulunuyor.
CSV File Listing: İmaj içerisinde bulunan tüm dosyaların listesini CSV formatında veriyor.
Data Carve: Veri kurtarma işlemlerini gerçekleştirir.
Meta Carve: Silinmiş dosyaları bulmamızı sağlayan, kayıp geçerli olmayan MFT kayıtlarını getirmeye yarayan, bir nevi MFT dosyasının carve edilmesini sağlayan seçenektir.
Optical Carakter Reconation: Grafik dosyalarını karaktere dönüştürerek metin haline getiriyor.
Explicit Image Detection: Müstehcen ve çıplaklık içeren verilerin analizini gerçekleştirir.
Regestry Report: Regestry Viewer içerisinde hazır rapor şablonları bulunmaktadır. Bu şablonları FTK ya bu sekme üzerinden eklememizi sağlamaktadır.
Include Deleted Files: Silinmiş dosyaların kurtarılması işlemlerini gerçekleştirir. Bu seçenek process çalıştırılırken mutlaka seçilmelidir.
Cerberus Analysis: FTK içerisindeki Malware analiz modülüdür. Exe ve dll dosyalarını inceleyerek zararlı yazılım tespit etme işlemini gerçekleştirir. Cerberus bu işlemleri iki aşamada yapıyor. İlk aşamada -20 ile 80 arasında değişebilen bizim belirleyeceğimiz (bu değer ön tanımlı olarak 20 oluyor) bir eşik değerini geçen dosyalar için ikinci aşamaya geçiliyor. Eşik değerini aşağı çektiğimizde daha fazla dosya gelir. Fakat bu dosyalar arasında malware olmayıp, malware gibi davranan dosyaları da getirecektir.
Send Email Alert on Job Complation: Process işlemleri hakkında bilgi verir ve analizler tamamlandığında e-posta yoluyla bildirim gönderir.
Decrypt Credant File: FTK içerisinde Credant isimli bir kriptolama yazılımı bulunmaktadır. Bu kriptolama algoritması ile şifrelenmiş bir dosyanın şifresini biliyorsak FTK şifreyi kaldırma işlemlerini gerçekleştirir.
Process Internet Browser History for Visulation: İnternet geçmişinin görsel olarak incelenmesini sağlıyor.
Perform Automatic Decrytion: Credant kriptolama algoritması dışında bir kriptolama algoritması ile kriptolanan dosyaların şifresini biliyorsak FTK bu şifreleri kaldırma işlemlerini gerçekleştirir.
Language Identification: Dil tanıma özelliğidir. Bir text, dokümanı veya e-posta’ daki dil bilgilerini tespit eder.
Document Content Analysis: İmaj içerisinde yer alan verileri analiz eder ve dosya türüne göre gruplandırır.
Entity Extraction: İmaj içerisinde yer alan veriler içeriğinde kredi kartı bilgisi, telefon numarası, e-mail adresleri ve sosyal güvenlik numaralarını tespit için kullanılır. İncelediğimiz olaylara göre bu seçenek büyük bir önem taşımaktadır.
Generate System Information: İşletim sistemine ve kullanıcının oluşturmuş veriler hakkında çok sayıda analiz yapmaktadır. İşletim sistemi verileri, tarayıcıda kayıt edilen kullanıcı hesapları ve şifre bilgileri, erişim gerçekleştirilen dosya bilgileri, Regedit ve users bilgileri, donanım bilgileri vb. gibi bilgileri analiz eder.
Persons of Interest: İmaj içerisinde yer alan kişi bilgilerini ve e-posta içeriğinde yer alan kimlik bilgilerini çıkarır.
Populate family for Quin-C: Quin-C uygulaması üzerinden oluşturduğumuz verileri kategorize eder, özellikle veri tabanı incelemelerinde analiz işlemleri gerçekleştirir.
Evidence Processing: Sekmesi içerisinde yer alan tüm işlemleri öğrendikten sonra inceleyeceğimiz olaya yönelik hangi processlerin çalıştırılacağını işaretlememiz gerekmektedir. Tüm sekmelerinin hepsini seçmemiz analizlerin çok uzun sürmesine sebebiyet vermekte ve zaman kaybına neden olmaktadır. Bu nedenle inceleyeceğimiz olaylara yönelik analizlerin ve suç unsuru olabileceği düşünülen verilerin neler olacağını belirledikten sonra gerekli işlemleri başlatmalıyız. Process ekranındaki seçenekler seçildikten sonra bu process seçenenekleri yeni bir profil olarak kaydedilebilir.