NTFS (New Technologies File System) Dosya Sistem Analizi
NTFS (New Technologies File
System) Dosya Sistem Analizi
1. Dosya
Sistemleri Nedir?
2. Dosya
Sisteminin Görevleri Nelerdir?
3. Dosya
Sistemleri Nelerdir?
4. NTFS
Nedir?
5. NTFS
Analizi Nasıl Yapılır?
NTFS dosya sistem
analizi konusuna değinmeden önce temel dosya sistemi bilgisinden biraz
bahsetmemiz analiz anlamamız açısında daha faydalı olacaktır.
Dosya Sistemi Nedir?
Disk veya veri
depolama ünitelerinde bulunan verilerin bütününe dosya denilir. İşletim
sistemlerinde program dosyaları ve veri dosyaları olmak üzere 2 farklı dosya
türü vardır.
· İşletim
sisteminin görevi yerine getirirken ya da bir uygulama çalışırken bilgisayar
kontrol eden komutları içeren program
dosyalarıdır.
· Bir
program yardımıyla kullanıcılar tarafında oluşturulan veri dosyalarıdır.
Proses dosyayı
kullanıp bıraktıktan sonra dosya varlığına devam etmektedir. (Kullanıcı kendi
dosyalarını silebilir fakat işletim sistemine ait dosyaların bulması
gerekmektedir.) Bu dosyaların stabil bir şekilde çalışması için dosya sistemine
ihtiyaç vardır. Bu dosyalar disk veya diğer depolama ünitelerinde
saklanmaktadır.
Dosya sistemi, disk üzerinde bulunan dosyaları düzenlemek için kullandığı temel yapıdır.
Bir işletim sistemi, disk üzerinde bulunan dosyaları yerini bulmak için dosya
sisteminden yararlanır. Hepimiz bir
diski biçimlendirmek (format) istediğimiz güncel bir Windows sistemde diskin
üzerine sağ tıklayıp biçimlendir demişizdir. Biçimlendir dediğimiz zaman
Windows sistemde karşımıza NTFS, exFAT, FAT32 olmak üzere 3 farklı dosya yapısı
çıkmaktadır.
İşte bunların her
biri farklı dosya yapısıdır. İşletim
sistemlerinde farklı dosya sistemleri vardır bu blog yazımdaki konu Windows
forensics’te önemli bir yere sahip olan NTFS
ne olduğunu ve nasıl analiz edildiğinde bahsedeceğim.
Dosya Sistemin görevleri;
Dosya sistemi (file
system) sayesinde,
· Dosya
bir disk üzerinde nasıl saklandığı
· Bilgisayarın
dosyaları yönetebilmek için erişimi nasıl sağladığını kontrol edilmesi,
· Dosyalar
yer sağlanması yani mevcut ve boş alanların yönetimi,
· Boş
alanların izlenmesi,
· Dosyaların
ikincil bellek üzerinde yerleşimlerinin, her dosyanın disk üzerindeki fiziksel
adreslemesinin bilinmesi,
· Erişimin
en hızlı olacağı şekilde düzenlenmesi,
· Sistemde
saklanan dosyaların güvenliğinin gözetlenmesi yani dosyalara erişim ve paylaşım
haklarının belirlenmesi ile denetlenmesi de dosya sistemi tarafından
yapılmalıdır
Dosya sisteminin görevleridir.
Dosya Sistemleri nelerdir?
Farklı işletim
sistemleri farklı dosya sistemleri kullanmaktadır.
· Linux
işletim sisteminin kullanmış olduğu dosya sistemleri Ext2, Ext3 ve Swap
· MS-DOS
işletim sisteminin kullanmış olduğu dosya sistemleri FAT 16
· Windows
95/98 işletim sisteminin kullanmış olduğu dosya sistemleri FAT 32
· Windows
NT sisteminin kullanmış olduğu dosya sistemleri NTFS
· Macos
işletim sisteminin kullanmış olduğu dosya sistemleri APFS, HFS
NTFS (New Technology File System) Nedir?
Çok fazla dosya
sistemi türleri olduğundan bahsettim. Bu blog yazımda konu dağılmaması adına
tüm dosya sistemlerinden bahsetmeyeceğim analizini gerçekleştireceğimiz NTFS
dosya sisteminden bahsedeceğim.
NTFS (New Technology File System), Windows NT, Windows 2000, Windows XP ve Windows Vista
tarafından kullanılabilen bir dosya sistemidir. Önceki Windows sürümleri bu
dosya sistemine erişemez. NTFS dosya sisteminin merkezi yapısında MFT (Master
File Table) kullanılmaktadır. NTFS, dosya konumlarını bir ana dosya tablosuna
($MFT) saklamakla birlikte dosyanın yerleştiği konumları ve diğer bilgileri her
öbeğin içinde ayrıca saklayarak daha güvenli yapı sunar.
NTFS dosya sistemin
Windows sistemdeki diğer dosya sistemlerine daha özelliklidir ve günümüzde
Windows güncel sistemlerin tamamında kullanılmaktadır. NTFS genel özelliklerine
bakacak olursak;
· 256
TB’a kadar sabit diskleri biçimlendirebilir.
· Dosya
ve dizinlere kullanıcı hakları verilerek erişim denetlenebilir.
· Tüm
dizin ve dosyaları sıkıştırabilir,
· 4294967295
dosya içerebilir,
· Küçük
boyutlu dosyalara erişimi çok hızlıdır
· Dosya
ne kadar büyük olursa olsun performans kaybı yaşamaz
· Hatalı
blokları tespit edip burada bulunan başka yere taşıyabilir.
· Küçük
boyutlu disklerde performans sorunu oluşturması ise dezavantajıdır.
NTFS Dosya Sistem Analizi Nasıl Yapılır?
Dosya sistem analizi,
adli incelemelerde veya bir sistemin ele geçirilmesinde root cause elde etmek
için gerçekleştirilen analizlerin bütünü olarak değerlendirebiliriz. Dosya
sistem analizi sayesinde, oluşan silinen değiştirilen dosyaları tespit
edebiliriz. Modern Windows sistemlerin tamamının da kullanıldığından bahsettik
bunda dolayı Adli Bilişim incelemelerinde NTFS analizi önemli bir yer
tutmaktadır.
NTFS analizini
gerçekleştirmeden önce, bize 3 dosya gereklidir disk imajından veya canlı
sistemden $MFT, $Logfile, $USNJrnl
dosyalarını elde etmeliyiz.
Bu dosyaların konumu;
· Bilgisayardaki
Windows sisteminin kurulu olduğu kök dizin içerisinde MFT bulunur. C:\$MFT
· Bilgisayardaki
Windows sisteminin kurulu olduğu kök dizin içerisinde LOGFILE bulunur. C:\$LOGFILE
· Bilgisayardaki
Windows sisteminin kurulu olduğu kök dizin içerişinim $Extend içerisinde
$USNJRNL bulunur C:\$Extend\USNjrnl
$LOGFILE
$LOGFILE, NTFS dosya
sistemi dosya kaybı yaşamamak adına, olası bir çökme durumunda dosya sisteminin
bütünlüğünü korumak için NTFS tarafından kullanılan Transactional Logging –İşlem
günlüğü- bilgilerini içeren dosyadır. Bu işleme, özelliği destekleyen diğer
dosya sistemlerinde Joumaling adı verilir. Dosya ve dizinler ile ilgili bilgi
tutmasının yanı sıra sistem dosyalarının bozulmaması için kayıt tutan ve
herhangi bir çökme anında yapılan son işlemleri kayıtlar üzerinden tekrar
ederek bilgi kurtarmaya yarayan sistem dosyasıdır diyebiliriz. Bu dosya MFT’nin
anatomisinde bahsedeceğimiz 2 numaralı MFT girişinde saklanır analiz için neden
önemli diye soruyla karşılaşabiliriz, çünkü $LOGFILE, NTFS biriminde meydana
gelen dosya oluşturma, silme, yeniden adlandırma, kopyalama vb. tüm işlemlerin
kaydını tutmaktadır bundan dolayı bizler için root cause tespit etmemizde
önemli rol oynamaktadır.
$USNJRNL ($J)
Microsoft dosya
güvenirliği açısından NTFS içerisine journal(günlük) kayıt dosyası eklemiştir.
Yapılan tüm işlemlerin log kayıtlarının tutulduğu özel bir dosyadır. Herhangi
bir sistem çökmesi durumunda burada yer alan kayıtlar kullanılarak bilgilerin
kurtarılmasına olanak sağlamaktadır. Elektrik kesintisinde verilerin tutulduğu
günlük dosyası olarakta bilinmektedir yani NTFS, dosya sisteminin durumunu ve
bütünlüğünü her zaman izlemek ve sistem çökmelerine neden olduğu
tutarsızlıkları düzeltmek için meta verilerdeki değişiklikleri izlemek için bir
log dosyası olarak kullanır. Sistem güncellemesi gibi sistemde değişiklik
yapılırken Microsoft’un güvenilirliğini arttırmak maksadıyla dosya sisteminde
yapılan değişikliklerin kaydını tutar. Bir problem olması durumunda ise kendini
eski haline getirmesine olanak tanır. $LogFile'dan farklı olarak, alan tahsis
etmesi ve büyüdükçe yeniden tahsis etmesi ve kayıtların üzerine yazılmamasıdır.
Bu, bir NTFS birimindeki ayrılmamış alanda eski log kayıtlarını bulabileceğimiz
anlamına gelir.
$MFT (MFT (Master File Table))
NTFS dosya sisteminin
root dizininde bulunan özel bir sistem dosyasıdır. Bu dosyayı NTFS birimine
kaydedilecek tüm nesneleri izleyen çok yapılandırılmış bir veri tabanı olarak
düşünebiliriz. Her nesne MFT içinde bir dosya kaydı alınır. Her dosya kaydı o
dosyayla ilgili çeşitli verileri ve meta verileri içeren bir dizi nitelik
içerir. Bir dosya bir kayıt alır, bir dizin listesi bir kayıt alır ve hatta
birim adı bile kendi kaydını alır. Her kayıt 1024 bayt uzunluğundadır. Bir
dosya yeterince küçükse dosyanın içeriği meta verilerinin hemen yanındaki MFT
kaydında tutulacaktır bu duruma Forensics bakışı ile bakacak olursak kimi
silinmiş verilerin belirli bir kısmına MFT dosyasını analiz ettiğimiz zaman
ulaşacağımız anlamına gelmektedir.
İlk 24 MFT girişi,
NTFS birimi tarafından özel kullanım için ayrılmıştır. İlk 12 giriş, NTFS’nin
çalışmasını sağlayana sistem dosyaları tarafından kullanılır. Bu dosyaların
tümü $ ile başlayarak adlandırılır ve özel bir tool kullanılmadıkça görünümden
gizlenir. (Dolar işareti olan dosyalar geçici olarak saklanan dosyalardır
örneğin bir Word oluşturduğu zaman otomatik kaydetme, kurtarma vb özelliklerde
kullanılır. Word kapandığında bu dosyalar otomatik olarak silinir. Her durumda
Word çökerse bu dosyalar otomatik olarak silinmeyebilir ve sabit sürünüzde var
olmaya devam eder.)
Microsoft, MFT
girişleri oluşturulduktan sonra silmez bu durum forensics bakış açısı ile
baktığımız zaman kullanıcı anti-forensics tekniklerini bile uygulamış olsa MFT
kayıtlarında deliler ulaşabileceğimiz anlamına gelmektedir. MFT analizinde elde
edeceğimiz bilgiler; dosyanın nerede yer aldığı, içerisinde bulunan veriler,
metadata bilgisi (Metadata bilgisi dosyaların detaylı bilgilerini içerisinde
barındırmaktadır. İçeriğinde dosyanın oluşturulma tarihi, erişilme tarihi,
değiştirilme tarihleri, üzerinde oynama yapılma durumları gibi birçok bilgi MFT
tablosu içerisinde yer almaktadır.)
MFT boyutu oldukça
büyük olabilir. Üzerinden 400.00’den fazla dosya bulunan 1 TB’lık sürücü, 485
MB’ta yakın bir MFT boyutu oluşmaktadır. MFT parse edilirse sistem çeşitli
parçalarına ulaşmak için sürücünün her yerini aramak zorunda kalırsa, tüm
sistemin hızı belirgin şekilde düşer. Bunu önlemek için NTFS sürücüleri,
MFT’nin içinde yer alması için “MFT Zone” (bölgesi) oluşturacaktır. Bu,
sürücünün ilk %12,5’ini ayırır ve MFT’nin büyümesi için boş alana sahip olması
için kullanıcı dosyalarını bu bölgeden sonra yerleştirmeye başlar. Sürücünün
diğer %87,5’lik kısmındaki boş alanın geri kalanı dolarsa MFT bölgesi yarıya
bölünür ve bu diğer yarı olduğunda tekrar ve sürücü dolana kadar bu böyle devam
eder. MFT parçalandığında normal yollarla birleştirilmez.
$MFT nin Anatomisi:
$MFT dosyası üzerinde
yer alan ilk 16 tablo sistemin çalışması için daha önceden rezerve edilmiştir.
|
MFT Record # |
|
|
|
1 |
$MFT |
Master File Table- Bir veritabanı her dosya birimini
izler |
|
2 |
$MFTMIRR |
MFT’nin ilk dört kaydının yedek kopyası |
|
3 |
$LOGFILE |
Transctional logging file - İşlem günlüğü dosyası |
|
4 |
$Volume |
Birim adı, NTFS sürüm numarası, bayrakları içerir |
|
5 |
$ATTDEF |
NTFS öznitelik tanımları |
|
6 |
. |
diskin Root dizini |
|
7 |
$BITMAP |
Birimdeki her kümenin tahsisini (kullanımda ve
ücretsiz) izler |
|
8 |
$BOOT |
Birimin ön yükleme kaydı |
|
9 |
$BADCLUS |
NTFS'nin bunları kullanmaya çalışmaması için kusurlu
kümeleri işaretlemek için kullanılır |
|
10 |
$SECURE |
birim içindeki dosyalar için güvenlik bilgilerini izler |
|
11 |
$UPCASE |
dosya adının sıralanmasına yardımcı olmak için
kullanılan unicode büyük harfli karakter tablosu |
|
12 |
$EXTEND |
$Objld, $Quota, $Reparse, $UsnJrnl içeren bir dizin |
$MFT: dosyasından
bahsettik
$MFTMIRR: İkinci
kayıt olarak geçer, diskteki fiziksel hasar nedeniyle yukardaki kaydın
okunamaması durumunda yukardaki $MFT kaydının bir yedeğini içerir. Sistemin
$MFT dosyasının geri kalanında okunması gereken kayıttaki bilgiler, gerçekten
yedeklenmeye ihtiyaç duyduğumuz tek şeydir, ancak diskte bir kümenin tamamı
için yer ayırdığımız için tüm bir MFT kayıtları kümesi yedeklenecektir.
$LOGFILE dosyasından
bahsettik
$VOLUME: Bu dosya
bilgisayarımda ve diğer konumlarda görüntülenecek birimin kolay adının yanı
sıra NTFS sürüm numarasını ve birimin son kullanımda temiz bir şekilde
çıkarılıp çıkarılmadığını sisteme bildiren bir dizi işaret içerir
$ATTRDEF: Bu dosya,
bu birimde kullanılan NTFS sürümünün NTFS özniteliklerini tanımlar.
5 numaralı MFT kaydı
kök dizindir işlevsel olarak her zaman 5 numaralı kayıt olması ve adının tek
bir nokta olmasıdır (“.”)
$BITMAP: Bu dosya,
birim içindeki her küme için bir nite içeren uzun bir ikili veri dizisidir.
Birimdeki her küme için, karşılık gelen bir kümenin bir dosyaya tahsis edilip
edilmediğine bağlı olarak sırasıyla 1 veya 0 olarak ayarlanır.
$BOOT: Bu dosya
VBR’ye normal dosya 1/0 işlemleriyle erişilmesine izin verir.
$BADCLUS: Bu dosya,
dosya sistemine fiziksel hasar bulunan kümeleri işaretlemek ve dolayısıyla kullanmamak
için bir yol sağlar bu da onları orya veri kaybetmeleri için güvenilmez hale
getirir. $BadClus dosyası, dosya boyutu birim boyutuna eşit olan ve tüm
sıfırlarla doldurulmuş seyrek bir dosyadır. Seyrek dosya tümü sıfır olan
kümelerin diske yazılmadığı bir dosyadır. Dosyanın tamamı sıfır olduğundan,
dosya için diskte yer ayrılmamıştır. Bir kümenin bozuk olduğu belirlenirse, bu
dosyaya o kümenin konumuna karşılık gelen ofsette veriler yazılacaktır. Bu
sahte “veri” aslında diske yerleştirilmez ancak bu “verinin” varlığı, $Bitmap
dosyasının bu kümeyi kullanımda olarak işaretlemesine neden olur, bu nedenle
gelecekte başka hiçbir yeni dosya bu kümeyi kullanmaya çalışmayacaktır. Gerçek
dünyada, sabit disk denetleyicisi arızalı sektörleri yeniden eşler, bu nedenle
bu arıza güvenliği nadiren herhangi bir kullanım elde eder.
$SECURE: Bu dosya,
sistemdeki dosyaların güvenlik bilgilerini izlemek için kullanılan bir dizin
içerir. Her bir dosya, dosyanın sahibine ve onu açmasına izin verilen kişilere
ilişkin güvenlik bilgilerini içerecektir. Bu dizin, sisteme sahiptir hakkındaki
bilgileri tutmak için merkezi bir yer sağlar, böylece bilgi aramasının her
dosyada tekrarlanması gerekmez.
$UPCASE: Bu dosya,
sistemi içindeki dosya adları için kullanılan her Unicode kod sayfası için
büyük ve küçük Unicode harflerinin bir tablosunu içerir. Bu tablo, dosyaları
ada göre sıralamak için kullanılır, böylece alfabetik olarak sıralama
yapılırken “A” ve “a” yan yana gelir.
$EXTEND: Sistem
kullanımı için ayrılmış 24 kayıt olmasına rağmen yeni sistem dosyaları
tanıtıldığında, yeni sistem dosyalarını bu kayıtlara yerleştirmek yerine, yeni
sistem dosyalarını tutmak için 11 numaralı kayda bir dizin giriş yerleştirilmiş
ve bu yeni sistem dosyaları düzenli kullanımı için normal kayıtlara yerleştirildi.
$EXTEND\$ObJId: Bu
dosya, sürücüde bulunan ve kullanılan nesne kimliklerini içerir. Nesne
kimlikleri, dosya taşınsa, yeniden adlandırılsa veya bağlantı dosyası gibi bir
işaretçinin dosyayı bulabilmesine neden olacak şekilde değiştirilirse bile bir
dosyanın izlenmesine izin verir.
$EXTEND\$Quota: Bu
dosya, bir sistem yöneticisinin bir kullanıcının çok fazla disk alanı
kullanmasını teknik olarak engellemesi için her kullanıcının bu birimde ne
kadar tahsis edilmiş alana izin verildiği ve bu birimde tükettiği hakkında
bilgi içerir.
$EXTEND\$Resparse: Bu
dosya, mantıksal sürücüdeki –logical drive- yeniden ayrıştırma noktalarının bir
dizini ile doldurulur. Yeniden ayrıştırma noktalarının çok sayıda kullanımı
vardır, ancak en yaygın olanı bir dosyanın gerçekten yalnızca başka bir dosyayı
gerçekten değiştirdiği sembolik bağlantılar içindir. Yeniden ayrıştırma
noktaları, diğer birimleri bu birimde bir dizin olarak bağlamak için de
kullanılır.
$EXTEND\$UsnJrnl: Update Sequence Number -Güncel sıra numarası-
(USN); Journal veya Change Journal olarak bilinmektedir sistemde değişen tüm
dosyaları ve değişikliğin neden yapıldığını listeleyen bir dizindir.
NTFS Analizi
$MFT, $USNJRNL,
$LOGFILE dosyalarını analiz etmek için bu üç dosyayı elde etmemiz gerekmektedir. Bu 3 dosyada çalışır durumda olduğundan
sistemde direk kopyalamamız mümkün değildir, bu dosyaları FTK Imager Lite,
KAPE, CyLR toollarından herhangi birini kullanarak bu dosyaları export
edebiliriz. (Bir olay müdahalesine gidildiği zaman EDR kullanımız yok ise usb
bellek içerisinde FTK Imager Lite çalıştırmamız daha doğru olmaktadır normal
kullanıcı olarak FTK Imager pc kurulup işlem devam ettirilebilir.)
Elde etmiş olduğumuz
bu dosyaları parse etmemiz gerekmektedir. Parse etmek için MFTcmd, ANJP, NTFS
Log Tracker araçlarını kullanabiliriz. Bu araçlar parse ettikten sonra analiz
işlemlerini gerçekleştirebiliriz.
FTK Imager iler $MFT,
$USNJRNL, $LOGFILE dosyaların elde edilmesi;
1. FTK
Imager başlatılır
2. Canlı
sistem diski veya Imaj dosyası seçilir
3. C:\$MFT, C:\$LOGFILE, C:\$Extend\USNjrnl
dosya konumlarından dosyalar sağ tık yapılıp export edilir.
Elde etmiş olduğumuz
bu dosyaları analiz etmeden önce parse etmemiz gerekmektedir. Benim favori
araçlarımdan olan ANJP aracı ile nasıl parse edildiğinden bahsedeceğim.
Anjp toolunu
çalıştırdığımız zaman karşımıza
Ekran gelmektedir.
Case Name: Parse işlemi
bittikten sonra dosyaya vereceğimiz isim olay adını yazabiliriz
Case: Parse
edildikten sonra nereye kaydedileceği
MFT: Elde etmiş
olduğumuz $MFT dosyasının yolu
LOGFILE: Elde etmiş
olduğumuz $LOGFILE dosyasının yolu
USN: Elde etmiş
olduğumuz $J dosyasının yolu
İlgili dosyaların
konumlarını ve isimlerini belirledikten sonra parse butouna basıyoruz MFT dosya
içerisinde barındırmış olduğu bilgilerden dolayı parse işlemi uzun
sürebilmektedir.
Parse işlemi
tamamlandıktan sonra karşımıza şöyle bir ekran gelmektedir. burada elde etmiş
olduğumuz dosyaların parse işlemi gerçekleştirilmiştir. Sol üst sekmede reports
kısmında parse edilen dosyaların içeriğine ulaşabiliriz.
Görüldüğü gibi tüm
dosyaların parse işlemini gerçekleştirdik, bu sütunlarda dosyaya ait
oluşturulma, değiştirme, MFT kayıt ve son erişim tarihleri bulunmakta. (Burada dikkat etmemiz gereken durum options
kısmında eğer bir time zone belirtmemiş isek GMT saat diliminde sunmaktadır
eğer analizi gerçekleştirdiğimiz makinenin saat dilimini girerek tam saat elde
etmiş olacağız.) İlgili dosyaları export alabilir yaşamış olduğumuz case’in
kriterlerine göre filtreler uygulayabiliriz.
NTFS dosya sisteminde
analiz bu şekilde gerçekleştirilmektedir. NTFS dosyalar sistem üzerinde
herhangi bir değişikliğe uğradığı zaman ne tür değişiklikler yapılır diye çeşitli
testler gerçekleştirilmiştir. Anti-forensic tekniklerinden olan time stomping
(https://www.muhammedaygun.com/2021/06/time-stomping-ile-anti-forensics.html) tekniğine karşı yani bir dosya sisteme
eklendiğine nelerin değiştirildiği nelerin değiştirilemediği hakkında testler
yapılmıştır.
MFT analizinde;
$STANDAR_INFORMATION ve $FILENAME dosyaları gözünüze takılmıştır.
$STANDAR_INFORMATION:
Bir dosyadaki standart bilgileri, sahiplik bilgileri, metadata bilgileri,
dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi, MFT de
son değiştirilme tarihi olmak üzere toplam 4
zaman damgası vardır.
$FILENAME: Dosya ve dizinlerin adlarını saklamaktadır. Ayrıca bir dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi ve MFT deki son değişim tarihi olmak üzere toplam 4 adet zaman damgası bulunur.
Kısaca anlatmak
istediğim MFT de toplam 8 adet zaman damgası bulunmaktadır. STANDARD_INFORMATION
ve FILENAME arasındaki temel fark ise, STANDARD_INFORMATION kullanıcı
tarafından değiştirilebilir zaman damgalarını barındırmaktadır. FILENAME zaman
damgası ise ancak sistem çekirdeği tarafından değiştirilebilmektedir. Aşağıda ekran görüntüsünde
Cyberforensicator.com ve SANS Enstitüsü tarafından yapılan testler sonucunda
bir dosyada neler yapıldığında hangi time ler değiştiği hakkında bilgi
verilmiştir.
Örnek olması açısında
Cyberforensicator.com Windows 10 için yapmış olduğu testin tablosunu
yorulmayalım bir dosyanın adı değiştiğinde $ STANDARD_INFORMATION tarafından
sadece metadata tarafında bulunan zaman değişmektedir. Modified, Access ve
Creation timelar’da bir değişiklik olmaktadır. $FILE_NAME kısmına baktığımız
zaman Modified, Acces, Creation ve Metadata timelarının hiç birinde değişiklik
olmadığını görüyoruz.
Bu şekilde aşağıdaki
tabloların neye ve nasıl zamanı değiştiği hakkında bilgi sahibi olabiliriz.
https://www.reddit.com/r/computerforensics/comments/87171h/windows_10_time_rules/
ref: (Windows 7 & 8 ) https://www.sans.org/posters/windows-forensic-analysis/
Kaynak
[1]- SANS FOR 500
[2]-
https://countuponsecurity.com/tag/ntfs-logfile/#:~:text=Description%3A%20The%20Master%20File%20Table,the%20disk%20e.g%2C%20forensic%20image.
