Adli İncelemelerde araştırmacının işini kolaylaştıracak ve birçok yarar sağlayacak olan dosya ve disk bölümlerinden birkaçına kısaca değinmek istiyorum.
Bu dosyalar ve disk bölümleri adli incelemelerde işimize yaramalarının yanısıra veri kurtarma ve nomal kullanıcılarında bilmesi durumunda birçok yarar sağlayacaklardır.
Pagefile.sys Dosyası
Pagefile.sys dosyası işletim sisteminin sanal bellek dosyasıdır.Sanal bellek dosyası,bilgisayar sisteminin sahip olduğu bellek miktarının yetersiz kaldığı durumlarda sabit diskin bir bölümünün bellek (RAM) olarak kullanılmasını sağlamaktadır.Swap alanı olarakta bilinir.
Böylece minumum bellek gereksinimi sahip olunan Ram belleğinin boyutundan fazla olan programları çalıştırmamıza olanak sağlar.
LOGFILE Dosyası
$Logfile NTFS dosya sistemi yapısının Journaling File System olarak journallerini kaydettiği bir sistem dosyasıdır.
Yapılan tüm işlemlerin log kayıtlarının da tutulduğu bu özel dosya sayesinde herhangi bir nedene bağlı olarak sistem çökmesi yaşanması durumunda yapılan son işlemleri kayıtlar üzerinden tekrarlayarak bilgi kurtarılabilmesine olanak sağlamaktadır.
MFT Nedir ?
MFT aslında Master File Table ‘ın kısaltmasıdır.Master File Table, Ana Dosya Tablosu anlamına gelmektedir.Disk içerisinde bulunan tüm dosyaların kayıtları ve hangi alanlarda (nerede) tutulduğunun bilgilerini barındırır.Kısaca bir kitabın fihristi (İçindekiler.) niteliğindedir.
NTFS dosya sisteminde kullanılan en önemli dosyalardan birtanesidir ki hatta en önemli dosyadır diyebiliriz.
Diskteki tüm dosyaları izler ve dosyalara ait mantıksal ve fiziksel konum bilgilerini,dizin bilgilerini ve dosyalara ait metadata verilerini içermektedir.
HiberFile.sys
Windows işletim sistemlerinde windowsun uyku modundan normal çalışma moduna dönebilmesi için o anki hafızanın dökümünü kaydettiği ana sistem dizininde (C:\\) bulunan dosyadır.
Bu dosyanın boyutu belleğin (RAM) boyutuna yakındır.
Aslında burada yapılan kayıt işlemi Ram’in o anki imajının hiberfile.sys dosyasına kayıt edilmesidir.
File Slack Space
Disk üzerine bir dosya yazılırken yazılan dosyanın boyutu bazen sektörün tamamını doldurmaya yetmez.Bu durumda işletim sistemi sektörün geri kalan kısmını NULL değeriyle doldurur.
Eski işletim sistemlerinde ise Null değeri yerine sektörün boş kalan kısımları hafızadan alınan rastgele (random) verilerle dolduruluyordu.Bu yüzden Ram Slack olarak adlandırılan alanlar meydana geliyordu.
Eğer ilgili Cluster daha önceden kullanılmış veya doldurulmuşsa ve eskiden var olan dosyanın boyutu yeni yazılacak olan dosyanın boyutundan büyükse bu durumda eski dosyalara ait kalıntılar ilgili sektörde kalacaktır.Bu kalıntıların bulunduğu kısımlar Slack Space Olarak adlandırılmaktadır.
Not: Slack Space alanlarında dosya sisteminden bağımsız olarak veri gizleme yapılabilmektedir.
Unallocated Clusters
Kısaca herhangi bir dosyaya tahsis edilmemiş olan disk alanıdır.
Silinen dosyalarda bu alana dahildirler.
Volume Shadow Copy Dosyası
Volume Shadow copy servisi, açık olan paylaşımları yedekler,client ( istemci) tarafında alınan tüm yedek versiyonlarının kullanıcıların görebilmesini sağlayan bir servistir.
Kısmen veri kurtarma işlevi görmektedir.
Shadow Copy içerikleri düzenlenemez yani salt okunur dosyalardır. (Read Only / Sadece Okunabilir)