Dosya kopyalamada “Teracopy” nin zaman damgasına etkisi

Özet

Adli incelemelerde zaman damgası çok önemlidir. Bir dosyanın incelenmekte olan diske ya da söz konusu diskin o bölümüne hangi tarihte kopyalanmış olduğu da önemli olabilmektedir. Bir dosya kopyalama aracı olan TeraCopy yazılımı Windows’un kendi kopyalama aracının aksine kopyalama işleminin sonunda dosyaların oluşturma tarihlerini değiştirmemektedir. Bu sebeple oluşturulan dosyaların söz konusu disk bölümüne hangi tarihte kopyalandığına dair bilgi eksikliği oluşmaktadır. Ancak Windows normal bir kullanıcının gördüğünden daha fazla sayıda tarih bilgisi tutmaktadır. Bu bilgiler NTFS dosya sisteminde $MFT (Master File Table) adlı bir dosya içerisinde tutulmaktadır. MFT içerisindeki kayıtlar bir görüntüleyici araç yardımıyla incelenerek gerçek tarih saat bilgisine ulaşılabilir. Bu sayede, kopyalama aracı kullanılarak toplu olarak bir diske kopyalanan dosyaların gerçek oluşturma tarihlerini öğrenmek mümkün olmaktadır.

Anahtar Kelimeler: Zaman damgası, MFT, Master File Table, NTFS, kopyalama araçları, oluşturma tarihi

Giriş

NTFS dosya sistemi bağıntısal veritabanına dayalı bir sistemdir. Bu veritabanına MFT ya da Master File Table adı verilir. Bölüm içerisinde önyükleme kaydı hariç saklanan bütün “nesneler” dosya olarak kabul edilir. MFT içerisinde dosyalama sistemi için kullanılan yönetim dosyaları dahil bölümde bulunan bütün dosyaların detayları tutulur. [1] Var olan bir dosya kopyalandığında, kopyalanan dosyanın oluşturulma tarihine kopyalandığı tarih yazılır, ancak değiştirme ve erişim tarihilerinde bir değişiklik olmaz. [2] Windows dosya özellikleri kısmında yalnızca üç adet tarih bilgisi göstermektedir. Ancak MFT içerisinde söz konusu bu tarihlerden başka beş tarih bilgisi daha tutulmaktadır.

Kopyalama amacıyla geliştirilmiş bazı üçüncü parti yazılımlar kopyalanan dosyaların oluşturma tarihlerini değiştirmemektedir. Dolayısıyla yeni kopyalanan bir dosyanın oluşturulma tarihi orijinal dosyanın oluşturulma tarihi ile aynı kalmaktadır. Adli incelemelerde dosya oluşturma tarihi, inceleme sürecinin hangi yöne doğru gideceğine karar verilmesinde etkin bir rol oynadığı için tarihleri doğru bir biçimde tespit etmek son derece önemlidir.

Bu çalışmanın amacı kopyalama araçları kullanılarak yapılan bir kopyalama işleminin hangi tarihte gerçekleştiğini tespit edebilmek amacıyla MFT kayıtlarını incelemektir.

Metot

Çalışmada öncelikle bir NTFS disk bölümü üzerinde bir dosya oluşturuldu. 10 dakika sonra oluşturulan bu dosya aynı bölüm ve dizin içerisine, ayrıca bir başka NTFS bölümü içerisine hem Windows’un kendi kopyalama aracı ile hem de TeraCopy adlı kopyalama aracı ile kopyalandı. Daha sonra disk bölümlerinin MFT dosyaları EnCase ile çıkarıldı ve MFT içerisindeki kayıtlar Mftdump yazılımı ile dışa aktarıldı. Daha sonra ise MFT kayıtları içerisinde, oluşturulan test dosyasına ait tarihler tespit edildi ve karşılaştırıldı.

Analiz

Analiz için masaüstünde Calisma.docx isimli bir Microsoft Office Word belgesi ve Calisma isimli bir adet klasör oluşturuldu. Klasörün içine ayrıca Windows ve TeraCopy isimli iki klasör daha oluşturuldu. Aynı klasörler diskin diğer NTFS bölümünde de oluşturuldu. Tarih bilgisinin değişmesi için 10 dakika beklendikten sonra Calisma.docx dosyası masaüstünde bulunan Calisma klasörü içindeki Windows klasörüne Windows’un kendi kopyalama aracı kullanılarak (Sağ tuşa basılı halde sürükledikten sonra “Buraya Kopyala” komutu ile) kopyalandı. Hemen ardından Calisma.docx dosyası TeraCopy uygulaması kullanılarak Calisma klasörü içerisindeki TeraCopy klasörü içerisine kopyalandı. Dosya diğer disk bölümündeki klasör içerisine de aynı yöntemler kullanılarak kopyalandı.

Windows ara yüzünde bir dosyanın “Oluşturma”, “Değiştirme” ve “Erişim” tarihleri görüntülenebilmektedir. Oluşturulan ve kopyalanan dosyaların tarih bilgileri şu görülmüştür:

Dosya’nın Konumu Oluşturma Tarihi Erişim Tarihi Değiştirme Tarihi
C:\Desktop\Calisma.docx 31.05.2015 15.33.43 31.05.2015 15.33.52 31.05.2015 15.33.52
C:\Desktop\Calisma\Windows\Calisma.docx 31.05.2015 15.43.11 31.05.2015 15.43.11 31.05.2015 15.33.52
C:\Desktop\Calisma\TeraCopy\Calisma.docx 31.05.2015 15.33.43 31.05.2015 15.33.52 31.05.2015 15.33.52
D:\Calisma\Windows\Calisma.docx 31.05.2015 15.43.23 31.05.2015 15.43.23 31.05.2015 15.33.52
D:\Calisma\TeraCopy\Calisma.docx 31.05.2015 15.33.43 31.05.2015 15.33.52 31.05.2015 15.33.52

31.05.2015 15.33.43 tarihinde oluşturulan Calisma.docx dosyası içerisine birkaç kelimelik metin yazılarak kaydedilip kapatıldı. Dolayısıyla değiştirme ve erişim tarihleri oluşturma tarihinden 9 saniye farklı. Bu dosya aynı NTFS bölümü içine Windows aracı kullanılarak kopyalandığında Oluşturma ve Erişim tarihlerinin de değiştiği görülüyor. Ancak TeraCopy ile yapılan kopyalama sonucunda tarihlerin hiç biri değişmemiş olarak görülüyor. Aynı durum bir NTFS bölümünden bir başka NTFS bölümüne kopyalanan dosyanın tarih bilgilerinde de görülüyor.

Encase kullanılarak C: ve D: bölümerine ait $MFT kayıtları çıkarıldı. Ardından $MFT içerisindeki bilgiler Mftdump ile CSV formatında dışa aktarıldı. MFT içindeki dosya girdisini dosyaya verilen kayıt numarası kullanılarak MFT içerisindeki konumları tespit edildi.

MFT içerisinde zaman damgaları ile ilgili olarak iki farklı öznitelik bulunmaktadır. Bunlardan ilki Standart Bilgi Özniteliği (Standard Information Attribute -SIA) ve diğeri de Dosya Adı Özniteliği (File Name Attribute) dir. Her iki öznitelik içerisinde Oluşturma, Değiştirme, Erişim ve MFT kaydı güncelleme tarihi olmak üzere toplam 8 adet tarih bilgisi mevcuttur. Standart Bilgi Özniteliği içindeki tarih bilgisi, bir kullanıcının dosyaya erişmesiyle ya da dosyayı düzenlemesiyle güncellenirken Dosya Adı Özniteliği içerisindeki tarihler dosya bölüm içerisinde ilk defa oluşturulduğunda kaydedilir ve genellikle normal sistem kullanımı yoluyla güncellenmez [3].

Standart Bilgi Öznitelikleri (sb)

Dosya’nın Konumu sbOluşturma Tarihi sbErişim Tarihi sbDeğiştirme Tarihi sbMFT Değiştirme Tarihi
C:\Desktop\Calisma.docx 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33
C:\Desktop\Calisma\Windows\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:33 31.05.2015 15:43
C:\Desktop\Calisma\TeraCopy\Calisma.docx 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:43
D:\Calisma\Windows\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:33 31.05.2015 15:43
D:\Calisma\TeraCopy\Calisma.docx 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:43

Dosya Adı Öznitelikleri (da)

Dosya’nın Konumu daOluşturma Tarihi daErişim Tarihi daDeğiştirme Tarihi daMFT Değiştirme Tarihi
C:\Desktop\Calisma.docx 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33 31.05.2015 15:33
C:\Desktop\Calisma\Windows\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43
C:\Desktop\Calisma\TeraCopy\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43
D:\Calisma\Windows\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43
D:\Calisma\TeraCopy\Calisma.docx 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43 31.05.2015 15:43

Bulgular

Masaüstünde oluşturulan Calisma.docx dosyası hem C: hem de D: bölümlerine TeraCopy yazılımı kullanılarak kopyalandığında sbOluşturma, sbErişim ve sbDeğiştirme tarihleri kopyalama tarihini değil de kopyalanan dosyanın orijinal tarihini muhafaza etmiştir. Ancak sbMFTDeğiştirme tarihi kopyalama tarihini almıştır. Bununla birlikte Dosya Adı Öznitelikleri kısmında kaydedilen tarihlere bakıldığında daOluşturma, daErişim, daDeğiştirme ve daMFT Değiştirme tarihlerinin tamamı TeraCopy ile kopyalama yapılmış olmasına rağmen kopyalama tarihini aldığı görülmüştür.

Sonuç

TeraCopy dosya kopyalama aracı Windows’un kendi kopyalama aracının aksine kopyalama işleminin sonunda dosyaların oluşturma tarihlerini değiştirmemektedir. Bu sebeple oluşturulan dosyaların söz konusu disk bölümüne hangi tarihte kopyalandığına dair bilgi eksikliği oluşmaktadır. Ancak MFT kayıtları içerisindeki tarihler incelendiğinde Dosya Adı Öznitelikleri altında tutulan tarih bilgileri kontrol edilerek gerçek tarih saat bilgisine ulaşılabilir. Bu sayede, kopyalama aracı kullanılarak toplu olarak bir diske kopyalanan dosyaların gerçek oluşturma tarihlerini öğrenmek mümkün olmaktadır.

Kaynakça

  1. Sammes, T., & Jenkinson, B. (2007). Forensic computing (pp. 217). Springer London.
  2. Casey, E. (2009). Handbook of digital forensics and investigation (pp. 231). Academic Press.
  3. Casey, E. (2009). Handbook of digital forensics and investigation (pp. 225). Academic Press.