incelemelerinin en önemli adımlardan birisi de incelenecek disklerin sorguya mahal vermeyecek şekilde, disk üzerinde herhangi bir değişiklik yapmadan imajlarını almaktır. İşte FTK Imager bu gereksinimleri karşılayan ve dijital delil dosyaları üzerinde ön inceleme yapıp bu dosyaların forensically sound imajını almaya imkan tanıyan, AccessData firması tarafından geliştirilip ücretsiz şekilde kullanıma sunulan bir yazılımdır. Bu yazılım ile lokal sabit sürücülerin, USB hafıza kartlarının, Zip sürücülerin, CD ve DVD’lerin, dizinleri yada tek bir dosyanın imajını alabilir. Aynı zamanda FTK Imager bu ortamlardaki dijital delillerin imajını almadan önizlenmesine de imkan tanır.
FTK Imager’ın bir özelliği de başka bir adli bilişim yazılımı kullanılarak alınan disk imajları üzerinde temel manada analiz yapılmasına imkan tanımasıdır. Aynı zamanda ilgili disk imaj dosyalarını Read-only olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine de ortam hazırlar ve imaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olmasa da silinerek çöp kutusuna gönderilmiş fakat üzerine henüz başka dosya tarafından yazılmamış dosyaları da kurtarabilir.
FTK Imager analiz edilecek dosyaların Message Digest 5 (MD5) ve Secure Hash Algorithm (SHA-1) hashleri oluşturma yeteneğine de sahiptir.Bununla birlikte normal dosyalar ve disk imajları için hash raporları çıkartabilir ve daha sonrasında bu hash değerleri bütünlük doğrulamasında kullanılabilir. FTK Imager’ın son sürümünü http://www.accessdata.com/downloads.html adresinden indirebilirisiniz. Windows ortamında kullanılmak üzere “FTK Imager” ve “FTK Imager Lite” olmak üzere iki versiyonu vardır. FTK Imager için kurulum gerekliyken, FTK Imager Lite herhangi bir kuruluma ihtiyaç duymaz ve direkt olarak harici bir disk içine kopyalanarak, bu disk üzerinden çalıştırılabilir. Ayrıca Ubuntu, Fedora ve Mac üzerinde çalışacak versiyonları da mevcuttur.
Uygulamayı indirip çalıştırdıktan sonra karşınıza çıkan ekrandaki File menüsünden Create Disk Image seçeneğini seçip disk imajı oluşturma aşamasına geçiyoruz.
Bir sonraki aşamada karşımıza imaj alınacak diskin seçileceği Select Source başlıklı aşağıda gösterilen pencere çıkar. Buradaki seçenekler yardımıyla fiziksel disk imajı mı alınacak yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alınacak o belirlenir. Bir çok durumda sabit diskin fiziksel imajını almak en doğru yaklaşımdır.Bunun için ilk seçenek olan Physical Drive seçeneğini seçip ilerlemeniz yeterli olacaktır.
Bir sonraki aşamada aşağıda örneği gösterilen ve hangi diskin imajı alınacaksa onun seçildiği Source Drive Selection penceresi çıkar karşımıza. Eğer imaj alınacak sabit disk Windows tarafından sorunsuz tanınmışsa bu listede o diski görmeniz gerekir. Eğer imaj alacağınız disk bu listede yer almıyorsa Windows tarafından tanınmamış demektir.
Uygun disk seçilip bir sonraki aşamaya geçildiğinde ise bu kez karşımıza çıkan pencere oluşturulacak imajın nereye kaydedileceğinin belirlendiği aşağıdaki pencere olacaktır. Bu penceredeki Verify images after they are created seçeneğinin seçilmesi durumunda imaj oluşturma işleminden sonra bir doğrulama işlemi gerçekleştirilir ve bu işlem imaj alma süresini iki katına çıkartacak bir işlemdir. Precalculate Progress Statistics seçeneğinin seçilmesi durumunda imaj alma işleminin yaklaşık olarak ne kadar süreceği hesaplanır ve kullanıcıya gösterilir. Create directory listings of all files in the image after they are createdseçeneğinin seçilmesi durumunda da imaj alınacak diskin içinde yer alan dosyaların detayları csv formatında çıkartılır ve imajın saklandığı dizinle aynı dizine yazılır.
Yukarıdaki pencerede Add butonuna basarak oluşturacağımız imaj dosyasının formatını belirteceğimiz ve örneği aşağıda gösterilen bir sonraki pencereyi açıyoruz. FTK Imager dört farklı formatta disk imajı oluşturmaya imkan tanır. Bunlar raw (dd) formatı, SMART formatı, E01 formatı ve AFF formatıdır.
Uygun formatı seçip ilerlediğimizde bir sonraki pencerede ise oluşturduğumuz imaj dosyası ile ilgili olarak dava numarası, delil numarası, açıklama vs gibi bilgileri girmemizi isteyen aşağıdaki pencere ile karşılaşırız. Bu bilgiler imaj dosyasının oluşturulduğu dizinde yer alan ve imaj alma işlemi hakkında özet bilginin yer aldığı text dosyasında yer alacaktır.
Sonraki aşamada imaj dosyasının nereye yazılacağını belirleyeceğimiz aşağıdaki pencere çıkar karşımıza. Eğer oluşturulacak dosya tek dosya halinde oluşturulsun isteniyorsa bu durumda Image Fragment Size(MB) kısmına 0(sıfır) yazılmalıdır. Compression seçeneği sadece imaj sıkıştırma desteği sunan formatlardan birisinin seçilmesi durumunda aktif olur ve sıkıştırma oranını belirler. Eğer alınacak imajın şifrelenmesi isteniyorsa bu durumda Use AD Encryptionseçeneği seçilmelidir.
Finish butonuna basıp ilgili adımlar bitirildikten sonra imaj alma işlemi başlar ve bittiğinde aşağıdaki ekranda gösterildiği gibi bir ekranla karşılaşılır. Bu ekranda imaj alma işleminin ne kadar sürdüğü bilgisinin yanında ortalama olarak ne kadarlık bir hızla imaj alındığı bilgisi de yer alır.
Image Summary butonuna basıldığında ise ilgili imaj alma işlemi hakkında özet bilgilerin yer aldığı ve örneği aşağıda gösterilen bir pencere çıkar karşımıza. İmajın hash değerlerinin de yer aldığı bu pencerede varsa bozuk sektör bilgisi de yer alır.