Dosya imzaları, veri kurtarma işlemlerinde oldukça önemli bir rol oynar. Bir dosya imzası, belirli dosya türlerini tanımlayan benzersiz bir dizidir. Dosya imzası, dosyanın içeriğini açmadan veya okumadan önce dosya türünü ve formatını belirlemek için kullanılır. İlk görselde Linux altyapısı kullanan Esxi altında çalışan bir sanal diski inceliyor olacağız. Bu işlemleri siber güvenlik, adli bilişim ve veri kurtarma çalışmalarındaki en büyük yardımcımız olan hex editör üzerinden gerçekleştireceğiz.
Hex editörün faydalarından kısaca bahsedecek olursak:
1. **Düzenli Yapıyı Gösterme**: Hex Editör, verilerin daha düzenli ve yapısal bir şekilde görüntülenmesini sağlar. Her bir karakter veya bayt ikili olarak temsil edilirken, bu temsil yöntemi verinin yapısını daha açık bir şekilde ortaya koyar.
2. **Veri Analizi**: Onaltılık görünüm, verilerin içeriğini daha derinlemesine analiz etmeyi kolaylaştırır. Özellikle dosya formatları, protokoller veya veri yapısı hakkında bilgi edinmek için kullanışlıdır. Belirli veri parçalarını tanımlamak, işaretçileri belirlemek veya veri yapılarını anlamak için kullanılabilir.
3. **Hata Tespiti**: Onaltılık görünüm, veri kaybı veya bozulma durumlarında hataları tespit etmeye yardımcı olabilir. Veri bölümleri veya baytlar arasında anormal davranışlar veya örüntüler fark edilerek, veri bozulmaları veya hatalar daha kolay tespit edilebilir.
4. **ASCII Dışı Veri Gösterimi**: Onaltılık sistem, ASCII karakter setinin dışındaki verilerin de temsil edilmesine olanak tanır. Özellikle görsel olmayan veriler (örneğin, ses dosyaları, şifrelenmiş veriler) için bu yöntem kullanışlıdır.
5. **Kodlama ve Şifreleme Analizi**: Kodlamalar veya şifreleme yöntemlerini anlamak için onaltılık temsili kullanmak sıkça tercih edilir. Özellikle şifrelenmiş verilerin desifre edilmesi veya belirli kodlama formatlarının anlaşılması için bu yaklaşım kullanılır.
6. **Veri Kurtarma**: Zarar görmüş veya silinmiş dosyaların onaltılık görünümü, veri kurtarma uzmanlarının dosya başlıklarını veya belirli karakteristik imzaları tanımlayarak kayıp dosyaları kurtarmalarına yardımcı olur. Hex editör, verileri daha anlaşılır bir şekilde incelemek, analiz etmek ve hataları tespit etmek için sıkça kullanılan bir yöntemdir.
Konumuza tekrar dönelim;
- **Dosya Tanıma**: Veri kaybı durumlarında, dosyaların isimleri veya uzantıları değişebilir. Bu nedenle, dosya imzaları dosyanın gerçek türünü belirlemek için güvenilir bir yol sağlar. Bu sayede, disk yapısı, dosya isimleri ve uzantıları bozulmuş olsa bile doğru dosyaları kurtarmak mümkündür.Bu örneğimizde PDF uzantılı bir dosyayı inceleyip kurtarmayı deneyeceğiz. Bir PDF dosyasının sahip olduğu başlangıç ve bitiş dizelerini bildiğimiz için hex editör üzerinde bu dizeleri aratarak çalışmamıza başlıyoruz. Klavye üzerinen “CTRL+F” tuş kombinasyonuna basarak arama çubuğunu açıyoruz ve “25 50 44 46 2D” hexadecimal karakterleri taratıyoruz.
İşlemlerin uzun sürmemesi adına taramayı başlattıktan kısa bir süre sonra durduruyorum ve aradığım imzaların listelendiğini gözlemliyorum.
Örnek bir çalışma olduğu için aradığımız imzaların belli bir kısmı listelendikten sonra taramayı durduruyoruz ve tespit ettiğimiz imzalara sahip veri bloklarının bütünlüğünü kontrol etmek amacıyla dosyaya ait “FOOTER” bilgisini inceliyoruz.
2.**Veri Bütünlüğü**: Veri kurtarma süreçlerinde, kurtarılan dosyanın bütünlüğü önemlidir. Yanlışlıkla bozulmuş veya zarar görmüş dosyaların kurtarılması sırasında dosya imzaları, dosyanın tam olarak geri yüklenip yüklenmediğini doğrulamak için kullanılabilir. Bir PDF dosyasına ait footer bilgisini incelerken kontrol etmemiz gereken dosya imzası “25 25 45 4F 46 0A”dır. Yeni bir arama penceresi açarak “25 50 44 46 2D” değerinden sonra gelen ilk “25 25 45 4F 46 0A” değerini bulmak için bulunduğum noktadan bir adım ileri gidiyorum. Footer bilgisi kontrol edildikten sonra dosyaya ait veri bütünlüğünün sağlandığını ve içerisinde veri barındırdığını kabul edebiliriz.
3.**Dosya Kurtarma Doğruluğu**: Dosya imzaları, veri kurtarma yazılımlarının doğru dosyaları kurtarmasına yardımcı olur. Eğer doğru dosya imzasıyla eşleşen dosyalar kurtarılırsa, bu dosyaların içeriği daha güvenilir olur. Tespit ettiğimiz header ve footer imzaları arasındaki veri bloğunu seçerek yeni bir hex dosyası oluşturarak bunu doğrulamaya çalışıyoruz.
Seçtiğimiz veri bloğunu klavyemizin “CTRL+C” kombinasyonlarını kullanarak veya mouse ile sağ tıkladıktan sonra seçtiğimiz veri bloğunu kopyalıyoruz ve ardından yeni bir hexadecimal sekme açarak işlemlerimize devam ediyoruz.
Açılan yeni sekmeye kopyalamış olduğumuz hex kodlarını kopyalarak ilerliyoruz.
Yeni sekmeye geçtikten sonra kopyaladığımız veri bloğunu yapıştırıyoruz.
Bu aşamaya kadar yaptığımız çalışma, dosya yapısı bozulmuş veya formatlanmış bir disk üzerinde spesifik olarak aradığımız bir dosyanın dijital imzalarını takip ederek tespit etmek ve bu tespit ettiğimiz veriyi disk alanı üzerinden raw olarak kopyalayıp yeni bir raw dosya oluşturmaktan ibarettir. Örnek olarak verdiğim dosya imzasını baz alarak kendi çalışmalarınızda örnek olarak kullanabilir ve testler yapabilirsiniz. Hangi dosyaların ne tür dijital imzaya sahip olduğunu tespit etmek ve çalışmalarınızda kullanmak için geliştirmiş olduğum Signature Catcher toolunu kullanabilirsiniz.
4. **Dosya Filtreleme**: Büyük veri kurtarma işlemlerinde, sadece belirli türdeki dosyaların kurtarılması gerekebilir. Dosya imzaları, istenmeyen dosyaları filtrelemek ve sadece belirli türdeki
dosyaları kurtarmak için kullanılır. Bu yazımda da belirtmiş olduğum gibi anlaşılır olması ve yaygın olarak kullanılmasından dolayı bir PDF dosyası üzerinde göstermiş olduğum örnekte buna değindim.
Bu aşamadan sonra oluşturduğumuz yeni hexademical dosyayı “CTRL+S” veya menü aracılığıyla kaydediyoruz. Açılan pencerede dosya ismini “test.pdf” olarak belirleyip “kaydet” butonuna basıp işlemi sonlandırıyoruz.
Yaptığımız işlemi doğrulamak adına kaydettiğimiz dosyanın bulunduğu dizine gidip çalıştırmayı deniyoruz.
Görüldüğü üzere işlemimiz başarılı!
Dosyanın düzgün bir şekilde görüntülendiğini ve bir problem oluşmadığını gözlemliyoruz.
Örnek çalışmamızı pekiştirmek amacıyla yine aynı yöntemle bir “JPEG” dosyasını kurtarmayı deneyeceğiz.
JPEG dosyasına ait header imzası “FF D8 FF E0” karakterlerinden oluşur. Yukarıda linkini vermiş olduğum tool aracılığıyla bunu kolaylıkla tespit edebilirsiniz.
JPEG uzantılı dosyalara ait bitiş imzasını yine aynı yöntemle tespit ederek “FFD9” olduğunu gözlemliyoruz ve bulunduğumuz noktadan sonraki ilk değere ilerliyoruz.
Daha önce gerçekleştirdiğimiz adımları sırasıyla uygulayıp veri bloğunu kopyalıyoruz ve boş bir hexadecimal sayfası açıyoruz. Açtığımız boş sayfaya kopyalamış olduğumuz ham veriyi yapıştırıp kaydetme işlemini gerçekleştiriyoruz.
“CTRL+S” veya menü yardımıyla kaydetme işlemini başlatıp yeni oluşturacağımız JPEG formatındaki dosyayı kaydedeceğimiz dizini seçiyoruz. Dosya ismini “test.jpeg” olarak kaydedip işlemin başarılı olup olmadığını kontrol ediyoruz.
JPEG dosyası üzerinde gerçekleştirdiğimiz çalışmanın da başarılı olduğunu gözlemliyoruz. Farklı dosya türleri üzerinde kendi çalışmalarınızı yapıp deneyimlerinizi paylaşabilirsiniz.
5.**Veri Kurtarma Hızı**: Dosya imzaları, kurtarılacak dosyaları daha hızlı ve etkili bir şekilde tanımlamayı sağlar. Bu da veri kurtarma sürecinin daha verimli olmasına yardımcı olabilir.
6**Dosya Onarımları**: Zarar görmüş dosyaların onarılması sırasında da dosya imzaları kullanılabilir. Eğer dosyanın imzası sağlam ise, dosyanın içeriğindeki belirli hatalar düzeltilebilir.
Dosya imzaları veri kurtarma süreçlerinde dosya türünü tanımlamak, veri bütünlüğünü sağlamak ve doğru dosyaları kurtarmak için kritik bir role sahiptir. Bu imzalar, veri kurtarma yazılımlarının ve uzmanlarının kaybolmuş veya zarar görmüş verileri doğru ve güvenilir bir şekilde kurtarmalarına yardımcı olur.
Bir sonraki yazıda görüşmek dileğiyle…
Okuduğunuz için teşekkürler…