AccessData FTK Imager, adli bilişim alanında yaygın olarak kullanılan, dijital delil toplama (acquisition) ve ön inceleme (preview/triage) amaçlı bir yazılımdır. AccessData (güncel adıyla Exterro bünyesinde) tarafından geliştirilmiştir.Adli bilişim için temel ve güvenilir bir araçtır

FTK Imager nedir?

FTK Imager; disk, bölüm, klasör veya tekil dosyaların adli kopyasını (forensic image) almak, hash doğrulaması yapmak ve delili değiştirmeden görüntülemek için kullanılır. Ücretsiz bir araçtır ve mahkemede kabul gören standartlara uygun çalışır.

Temel amaçları

  • Delil bütünlüğünü bozmadan veri toplamak
  • Adli imaj (image) üretmek
  • İmaj veya canlı sistem üzerinde ön inceleme yapmak
  • Hash değerleri ile doğrulama sağlamak

Başlıca özellikleri

1. Adli imaj alma (Forensic Imaging)

Aşağıdaki kaynaklardan imaj alabilir:

  • Fiziksel disk (HDD, SSD)
  • Mantıksal sürücü (C:, D:)
  • USB bellek, harici disk
  • CD/DVD
  • Seçili klasör veya dosyalar (Logical Image)

Desteklenen imaj formatları:

  • E01 (EnCase)
  • RAW / DD
  • SMART
  • AFF (sınırlı)

2. Hash alma ve doğrulama

  • MD5
  • SHA-1
  • SHA-256

İmaj alma sırasında:

  • Kaynak
  • Oluşturulan imaj

arasında hash karşılaştırması yaparak delilin birebir kopya olduğunu ispatlar.

AccessData FTK Imager - Adli Bilişim Programları Seri-2.(Disk Oluşturma Görseli )

3. Canlı sistemde ön inceleme (Live Preview)

  • Sistemi kapatmadan:
  • Dosya yapısını görüntüleme
  • Silinmiş dosyaları görme
  • Registry, log, e-posta, resim ön izlemesi
Not: Canlı sistem kullanımı kontrollü yapılmalıdır; write-blocker tercih edilir.

4. Delil bütünlüğü ve hukuki uygunluk

  • Salt okunur (read-only) erişim
  • Chain of Custody için uygun metadata
  • Mahkeme ve bilirkişilik süreçlerinde yüksek kabul edilebilirlik

5. Ek yetenekler

  • Zaman damgalarını (MAC times) görüntüleme
  • Hex görüntüleme
  • Dosya imzalarına bakma
  • Parola korumalı imaj desteği
  • Bookmark / işaretleme

Seri-3 ile İlerliyoruz