Giriş
Günlük hayatta bilinçli olarak verilerimizi silebiliyoruz veya dikkatsizlik, güvenlik zafiyetleri ve çeşitli nedenlerle veri kaybına uğrayabiliyoruz. Silmiş olduğumuz veya istemimiz dışında kaybettiğimiz verileri geri getirmemiz silme yöntemine bağlı olarak mümkündür. Bu yazımızda silinen verilerin geri getirilmesini sağlayan süreci işleyerek sonuçlarını inceleyeceğiz.
Diskin Mevcut Yapısının Korunması
Silinen verilerin kurtarılması için bir takım işlemlerin yapılması gerekmektedir. Bunların en başında ise veri kaybından sonra disk üzerine herhangi bir veri yazılmaması gerekmektedir. Verileri disk üzerinden sildiğimizde aslında tamamen silinmezler, silme işlemi gerçekleştirildiğinde verinin etiketi yani kimliği silinir ve o alana artık veri yazılabileceği hale getirilir. Veri yazılabilecek o eski verilerin olduğu alana tam olarak başka bir veri yazılana kadar silinen veri bulunduğu sektörde muhafaza edilmektedir. Bu yüzden silinen verilerin kurtarılması için diske başka veri yazılmaması çok büyük öneme sahiptir.
Diskin İmajının Alınması
Silinen verilerin bulunduğu disk üzerinde direkt olarak bir çalışma gerçekleştirmek disk içerisindeki verilere veya donanımın yapısının zarar görmesine neden olabilir. Zarar gören veri veya disk üzerinde tekrar bir çalışma gerçekleştirmek çok mümkün olmayabilir bu yüzden diskin adli kopyası yani imajı alınır.
Disk imajının alınması için Linux dd aracı kullanılmaktadır. Dd aracı ile imaj almak için ilk olarak diskin hangi isimle etiketlendiğini öğrenmemiz gerekmektedir.
Diskimizin hangi isimle etiketlendiğini görebilmek için “sudo fdisk –l” parametresini terminal de çağırmamız gerekmektedir.
Yukarıda ekran görüntüsünü incelediğimizde İmajını almak istediğimiz diskimizin sdb1 şeklinde isimlendirildiğini sudo fdisk –l parametresi sayesinde görmüş olduk. Diskin etiket yapısını öğrendiğimize göre imaj alma işlemine geçebiliriz.
DD aracının kullanımı çok kolaydır, dd aracı if ve of adında iki parametre ile birlikte kullanılmaktadır. İf parametresi ile imajı alınacak diskin yolunu of parametresi ile de imaj dosyasının çıkarılacağı yolu belirtmede kullanılır.
Diskimizin imajını almak için komut satırında “dd if=/dev/sdb of=~/Desktop/fordefence/test.img” parametresini yazıyoruz ve imaj alma işlemine başlıyoruz. Diskin boyutuna göre bu işlemin tamamlanması uzun sürebilmektedir.
Disk Dosya Yapısının İncelenmesi
Disk imajının alınmasının ardından imaj dosyası üzerinde çalışmalara başlayabiliriz. Veri kurtarma işlemini gerçekleştirebilmek için imaj dosyası üzerinde bir dizi işlemler gerçekleştirerek dosya sistem yapısını inceleyeceğiz. İncelemeler sırasında elde ettiğimiz bilgileri sonraki adımlarda kullanarak veri kurtarma sürecini tamamlayacağız.
İmaj dosyası üzerinde yapacağımız ilk çalışma diskin partition tablosunun görüntülenmesidir. İmaj üzerinde partition tablosunu görmek için mmls aracı kullanılmaktadır, komut satırında “mmls [imaj_dosya_adı]” parametresini gönderirsek imajın partition yapısını görmüş oluruz.
Yukarıda partition tablosunu incelediğimizde FAT32 dosya sisteminin 128. Bitten itibaren başladığını görmekteyiz.
Dosya sisteminin bulunduğu alanla ilgili olarak bilgi edinmek için fsstat aracı kullanılmaktadır. Disk imajımızda dosya sisteminin bulunduğu alan hakkında bilgi almak için fsstat –o 128 test.img parametresini terminalde girdi olarak giriyoruz.
İmaj disk içinde yer alan dosyaları görebilmek için fls aracı kullanılmaktadır. İmaj diskimizde yer alan dosyaları görebilmek için terminalde fls –o 128 test.img parametresini girdi olarak giriyoruz.
Yukarıda fls aracı ile imaj disk içeriğini incelediğimizde silinen dosyaların * işareti ile işaretlendiği görülmektedir. Diskimizden test amaçlı olarak sildiğimiz tuba.jpg, tuba_sengun.docx, tuba_sengun.txt dosyalarının da * ile etiketlendiği görülmüştür. Çıktı üzerinde yapılan incelemelerde tuba.jpg dosyasının 7 inode ile, tuba_sengun.docx dosyasının 22 inode ile, tuba_sengun.txt dosyasının ise 17 inode ile kimliklendirildiği tespit edilmiştir.
İmaj disk içerisinde yer alan dosyalar hakkında detaylı bilgi elde etmek için istat aracı kullanılmaktadır. Tuba.jpg isimli dosya hakkında detaylı bilgi almak için “istat –o 128 test.img 7” parametresini komut penceresinde girdi olarak giriyoruz. Bu kısımda 7 olarak belirttiğimiz değer tuba.jpg isimli dosyanın inode değeridir.
Yukarıda istat aracına ait ekran görüntüsü incelendiğinde tuba.jpg dosyası hakkında detaylı bilgi verildiği görülmüştür. İmaj içerisinde bulunan diğer dosyalar hakkında da aynı komutu kullanarak bilgi alabiliriz.
İmaj içerisindeki silinmiş dosyaların hangi inode ile kimliklendirildiğini öğrendiğimize göre son işlem olan veri kurtarma işlemini gerçekleştirelim. Bu işlem için icat aracı kullanılır icat komutu dosyaların birebir görüntüsünü göstermeye yarar. Disk içerisinde silinmiş halde bulunan tuba.jpg, tuba_sengun.txt ve tuba_sengun.docx dosyalarının inode değerleri icat komutu ile birlikte kullanılarak görüntüsü kayıt edilecektir. Yukarıda fls aracı ile tuba.jpg dosyasının inode değerinin 7, tuba_sengun.txt dosyasının inode değerinin 17, tuba_sengun.docx dosyasının inode değerinin 22 olduğunu tespit etmiştik. Tüm dosyalar için “icat –o 128 test.img [inode değeri] >
” parametresi komut satırında girdi olarak girilerek dosyaların görüntüsü bulunan dizinde kayıt edilecektir. İlgili ekran görüntüsü aşağıda sunulmuştur.
Dosyaların Hash Değerlerinin Karşılaştırılması
Yapılan çalışma kapsamında kurtarılan veriler üzerinde bir değişiklik olup olmadığı, dosyalarda veri kaybı yaşanıp yaşanmadığını anlamak için, orijinal dosyalar ile kurtarılan dosyaların hash değerlerini karşılaştıracağız.
Dosyaların orijinal haline ait hash değerleri hashmyfiles aracı ile hesaplanmış olup ekran görüntüsü aşağıda sunulmuştur.
Kurtarılan dosyaların hash değerleri Kali Linux MD5 ve SHA1 hash hesaplama araçları ile hesaplanmış olup değerler aşağıda ekran görüntüsü ile sunulmuştur.
Yukarıda verilen hash değerleri incelendiğinde “tuba.jpg” isimli dosyanın orijinal MD5 hash değeri “a6658c2cd6514970728382aabe4cf92f” SHA1 hash değeri “d3e8efd74d1d84cd688e913b02fe1b88d7a76dff” olduğu, kurtarılan veriye ait MD5 hash değeri “a6658c2cd6514970728382aabe4cf92f” SHA1 hash değeri “d3e8efd74d1d84cd688e913b02fe1b88d7a76dff” olduğu görülmüş olup, orijinal dosya ve kurtarılan dosyaya ait hash değerlerinin aynı olduğu, kurtarılan dosyanın orijinal dosya ile birebir aynı olduğu tespit edilmiştir. Hash değerleri üzerinde yapılan incelemelerde diğer iki dosyanın da orijinal ve kurtarılan dosyalara ait hash değerlerinin aynı olduğu dosyaların orijinal halleriyle birebir aynı olduğu tespit edilmiştir.
Sonuç
Gerçekleştirmiş olduğumuz çalışmanın sonuçları değerlendirildiğinde, veri kaybına uğramış ve üzerinde işlem yapılmamış diskler üzerinde açık kaynak kodlu The Sleuth Kit araçları ile yapılan teknik işlemler sonucunda silinen veya kaybedilen verinin birebir aynısı kurtarılabilmektedir.
Tuba ŞENGÜN
Stajyer
