Kullanıcı bilgisayarlarının incelendiği bir çok durumda bu kullanıcıya ait elektronik postaların da incelenmesi ve incelenen olay ile ilgisinin olduğu düşünülen elektronik postaların ortaya çıkartılması beklenir. Bu bağlamda özellikle son kullanıcıların bilgisayarlarında rastlanan ve elektronik postaların yerel kopyalarının saklandığı dosyaların analizi devreye girer. Bu makalemizde işte bu dosya türlerinden olan PST, OST ve PAB dosyalarının analizini ele alacağız. Bu türdeki dosyaların formatı Personal Folder File (PFF)’dir ve bu format açık bir format olmadığı için üzerinde ancak tersine mühendislik yapılarak özellikleri elde edilebilmiştir. bu bağlamda yapılan çalışmalara örnek olarak Joachim Metz tarafından yapılan araştırma gösterilebilir. Bu çalışmanın raporuna ve Personal Folder File (PFF) detaylarına buradan  ulaşabilirsiniz.

PST, OST ve PAB formatındaki dosyaların adli analizinde kullanılabilecek bir çok ücretli yazılım mevcut. Bunların en çok bilinenlerinden birisi Paraben firmasının Email Examiner uygulamasıdır. Bununla birlikte EnCase, FTK gibi adli bilişim yazılımlarının da bu dosya formatlarına desteğinin olduğunu söyleyebiliriz. Bu makalemizde biz biraz daha hem esnek bir çalışma imkanı bulabileceğimiz ücretsiz açık kaynak kodlu uygulamalar ile bu analizleri nasıl gerçekleştirebileceğimize değineceğiz. Yukarıda  Joachim Metz tarafından gerçekleştirilen incelemeden bahsetmiştik. Sağolsun Joachim Metz sadece bu dosya formatlarını analiz etmekle kalmamış, bu dosya türleri üzerinde işlem yapabileceğimiz (örneğin PST dosyasında yer alan ama kullanıcı tarafından silinmiş elektronik postaları kurtarmaya yarayan) yardımcı uygulamalar da geliştirmiş. Bu uygulamaları buradan indirebilirsiniz. Bu makalede ben en son sürüm olan libpff-experimental-20131028.tar.gz sürümü üzerinden anlatacağım. Bu uygulamalara SIFT Workstation üzerinden de ulaşabilirsiniz. Varsayılan olarak bu araçlar SIFT Workstation içinde yüklü şekilde gelir.

Bu araç seti içinde kullanacağımız ilk uygulama pffinfo uygulaması. Bu uygulama ile kendisine girdi olarak verilen PFF formatındaki dosya hakkında temel manada bilgi sahibi oluyoruz. Bu uygulamanın aldığı parametreler aşağıdaki tabloda gösterilmiştir. En basit kullanımı ile girdi olarak sadece ilgili PFF dosyasını göstermeniz yeterli olacaktır.

Bu uygulamanın örnek bir PST üzerinde çalıştırılması sonucunda elde edilen çıktıya ilişkin ekran görüntüsü aşağıda gösterilmiştir. Ekran görüntüsündeki çıktıları yorumladığımızda bu dosyanın PST formatında bir dosya olduğunu, herhangi bir şifre ile korunmadığını ve Folders kısmında yer alan dizinlerin ilgili PST dosyasında yer aldığını öğreniyoruz.

Bir sonraki aşamada bu PST dosyası içinde yer alan elektronik postaların analiz için export edilmesi aşamasına geliyoruz. Bu aşamada kullanacağımız uygulama pffexport uygulaması ve bu uygulamanın yardım menüsüne baktığımızda karşımıza aşağıdaki tabloda yer alan seçeneklerin çıktığını görüyoruz.

Bu uygulama aksini belirtmedikçe silinmiş elektronik postaları kurtarmaz, sadece normal yollarla okunabilen elektronik postaları PST içerisinden çıkartır. Kullanıcı tarafından silinmiş elektronik postaların kurtarılmasını istiyorsak bu durumda -m parametresi ile birlikte (export mode) ya all ya da recovered seçeneğini kullanmamız gerekiyor. pffexport uygulaması varsayılan olarak export ettiği elektronik postalara ilişkin dosyaları txt formatında yazar (mailini içeriği, internet başlık bilgisi, Outlook başlık bilgisi vb). Bu dokümanları farklı formatlarda isterseniz eğer -f parametresi ile ilgili dosya formatını belirtmeniz yeterli olacaktır (html, rtf, text). Export edilen elektronik postaların nerede saklanacağını siz kendiniz belirtmek istiyorsanız bu durumda -t parametresini kullanmanız gerekiyor. Eğer herhangi bir şey belirtmezseniz bu durumda uygulama kendisi kaynak olarak verilen PPF dosyasının ismini ön ek yaparak bir dizin oluşturuyor ve çıkartılan elektronik postalar bu dizin altına kaydediliyor. Bu uygulamanın export modunu all olarak belirtip çalıştırırsanız bu durumda iki farklı dizin oluşturuluyor. Bu dizinlerden sonu .export ile biten dizinin altında normal elektronik postalar yer alırken, .recovered ile biten dizinde ise kullanıcının sildiği ama uygulamanın kurtardığı elektronik postalar yer alıyor. Uygulamanın örnek kullanımına ilişkin ekran görüntüsü aşağıda gösterilmiştir.

Export işleminden sonra export ile biten dizinin hiyerarşisinin bir örneğini aşağıda yer alan ekran görüntüsünde bulabilirsiniz.

Burada MessageXXXXX ile başlayan her bir dizinde export edilen bir elektronik postaya ait dosyalar yer almaktadır. Bu dosyaların neler olduğu ve bu dosyaların içeriğinde nelerin olduğunun bir örneğini aşağıdaki ekran görüntüsünde bulabilirsiniz.

Export işlemi bittikten sonra oluşturulan bu dosyalar üzerinde kendi ihtiyacınız doğrultusunda arama kriterlerini belirleyerek aramalar yapabilir ve belirli kriterlere uyan elektronik postaları elde edebilirsiniz. Örneğin aşağıdaki ekran görüntüsünde görülebileceği üzere grep kullanılarak kullanıcıya ait elektronik postalar içinde password ifadesi geçen postalar aranmış ve elde edilmiştir.

Related Posts