Adli Bilişim İnceleme Donanımı TABLEAU TD3

Merhaba değerli okurum,bu yazımda Adli Bilişim İnceleme Donanımı olan TABLEAU TD3 cihazını yakından inceleyip uygulamalar gerçekleştireceğiz.Yapacağımız uygulamaları sıralayacak olursak;

Çalışma esnasında gerçekleştirilen adımlar:

1.      Farklı bir veri depolama cihazına Fiziksel ve Lojik(mantıksal) imajlar alma.

2.     İlk depolama cihazındaki klasör Normal Silme işlemi ile silindikten sonra, Dublicator ile tekrar kopyalanacak ve klasör kurtarılmaya çalışılacaktır.

  

3.      Aynı depolama cihazı son olarak Secure Erase veya Wipe işlemi yapıldıktan sonra, Dublicator ile yine kopyalanarak kurtarılmaya çalışılacaktır.

Öncelikle biraz TABLEAU TD3 tanıyalım. TABLEAU TD3 Guidance Software şirketine ait bir cihazdır.

• Tableau TD3 modüler, kolay kullanılabilir, kullanıcı ara yüzü olarak dokunmatik bir ekran kullanan bir imaj alma sistemidir. 

• TD3 genel amaçlı disk çoğaltma gibi bir çok fonksiyon sağlamakla birlikte, adli bilişim incelemelerinde kullanılmak üzere özel hizmet ve fonksiyonları da sağlamaktadır.
• SHA1 ve MD5 hash değeri oluşturma sırasında dakikada 7.2 GB’a kadar veri işleme gücüne sahiptir. 

• Üzerinde bulunan USB 3.0, firewire ve SATA girişleri sayesinde kaynak disk olarak bu girişlere sahip diskleri kullanabilir. 

• Genişletme modülleri kullanarak ayriyeten SAS ve IDE hard diskleri de desteklemektedir. 

• CIFS ve ISCSI sistemlerine bağlanabilmektedir. 

• Açık veri depolama aygıtlarına salt okunur şekilde bağlanabilir. 

• İşlem giriş kayıtlarını (log registers) detaylı bir şekilde takılan bir hafıza kartına kaydeder. 

• Kaynak ve hedef diskler için otomatik olarak boşluk taraması yapar. 

• Web tabanlı kullanıcı ara yüzü ile uzaktan erişim sağlar.
• TD3 modüller arasında geçiş yapılabilme ve seçme veya ayarları değiştirme seçenekleri sunan bir dokunmatik ekrana sahiptir. Yazı veya sayı girişi yapılmak istendiğinde de dokunmatik klavyesi kullanılabileceği gibi bir USB klavye de kullanılabilmektedir.

Tableau Td3-Arayüz

TABLEAU TD3 Yetenekleri Nelerdir ?

• Duplicate (İmaj Alma)
• Hash 
• Verify(Doğrulama)
• HPA/DCO Disable (Host Protected Area-Device Configuration Overlay)
• Blank check(Boş Alan Kontrolü)
• Format(Biçimlendirme)
• Wipe(Kalıcı Olarak Silme)
• Logs(Yapılan İşlemleri Kayıt Altında Tutma)

Gelelim şimdi uygulamamıza, uygulamaya başlamak için yapılacak hazırlık aşamalarını şöyle sıralayabiliriz;

TABLEAU TD3 cihazı ile farklı durumlarda imaj alıp bu imajlar üzerinden veri kurtarma ve inceleme işlemlerini yapmak üzerek tableau cihazımız kullanıma hazır hale getirildi.

Kullanım kolaylığı olması için Ethernet kablosu ise bilgisayarımızın Ethernet girişine tableau cihazı bağlandım.

Asıl işlemlere başlamadan önce cihaz ayarları menüsüne giriş yaparak web arayüzüne bilgisayara üzerinden bağlana bilmemiz için gerekli olan IP yapılanlandırma ayarlarları yapıldı.

Tableau cihazının Ethernet portuna statik olarak bir IP adresi (kimliği) belirledikten sonra aynı IP adresi kullanılarak cihazı bağladığımız bilgisayarın Ağ ayarlarından statik olarak gerekli ayarlamalar yapıldı.

Herhangi bir tarayıcı kullanılarak (Projede İnternet Explorer kullanıldı) statik olarak belirlenen IP arama çubuğuna yazılarak Tableau cihazının web arayüzüne giriş yapıldı.

Tableau TD3 cihazının dokunmatik ekranı kullanılarak kendi arayüzünden ayarlar menüsünden seçilen profil bilgileri (kullanıcı adı ve parola bilgisi) web arayüzünde gerekli alanlara girilerek Tableau TD3 cihazının web arayüzüne giriş yaptıktan sonra işlemlere başlamış oldum.

1.FİZİKSEL VE MANTIKSAL İMAJ ALMA İŞLEMİ

1.Tableau TD3 Web Arayüzü 

Daha önceden hazırlamış olduğum USB Belleğe resim,müzik,video,doküman atıp işlemlere hazır hale getirdim.

2. Duplicaton Ayarları

Lojik imaj alabilmek için öncellikle Duplicator ayarlarına girip incelemeyi yapacak kişinin ismini ve duplication tipini disk-to-file yani mantıksal imaj olarak ayarlayıp kayıt ediyoruz.

3.Duplication Lojik(Mantıksal) İmaj

Lojik(mantıksal) imajımız başarılı bir şekilde alınmıştır. Log kayıtlarını inceleyecek olursak yapılan işlem ile ilgili detaylı bilgilere erişebiliriz.

4.Lojik(Mantıksal) İmaj Log Bilgisi

Log Bilgisini incelediğimiz vakit disklerimiz ile ilgili bilgileri ,zaman,hash değerlerini bize vermektedir.

5.Alınan Lojik(Mantıksal) imaj

Diskimizde alınan lojik imajı görüntüleyebiliriz.

6.Dublication Fiziksel İmaj Ayarları

Bir sonraki işlemimiz ise diskimizin fiziksel imajı almak olacaktır. Bunun için dublication settings kısmından dublication type disk-to-disk yani fiziksel imaj olarak seçmek olacaktır. 

7.Fiziksel imaj alma
Gerekli ayarları yaptıktan sonra fiziksel imajımızı başlattık ve 7 dakika bekledikten sonra işlemimiz başarılı bir şekilde sonlandı.

8.Disk İçeriği

Fiziksel imajdan sonra diskimize baktığımız zaman başarılı bir şekilde alındını gözlemleyebiliyoruz.

9.Fiziksel İmajın Log Kayıtı

2.NORMAL SİLME İŞLEMİ YAPILMIŞ DİSKTEN DOSYA KURTARMA İŞLEMİ

2.İşlemimiz ,diskimizdeki dosyaları silip tekrar dublicator ile verileri kurtarmaya çalışacağız.     

10.Diski biçimlendirme

İçinde verilerimiz olan diskimizi biçimlendirip içini boşaltıyoruz.

11.Tekrar Duplication Uygulama

Verileri silinen diskimizdeki verileri kurtarmak için tekrardan dublication uygulamasını yapıyoruz.

12.Diski görüntüleme

İşlem bittikten sonra diskimizi gözlemlediğimiz vakit başarılı bir şekilde imajımız alınmış bunu çeşitli imaj inceleyen yazılımlar yardımıyla açıp içeresindeki verilerimizi kurtarabiliriz.

13. Silinen Verileri Kurtarma İşlemindeki Log Kayıtları

Kurtarma işlemi yaptığımız vakit oluşan log kayıtlarını incelediğimiz zaman hash değerlerindeki değişimi gözlemleyebiliyoruz.

14.Autopsy Yazılımı ile Verileri Kurtarma İşlemi

Ücretsiz yazılım olan Autopsy kullanılarak imajımızı inceleyebiliriz. Görüldüğü üzere verilerimiz başarılı bir şekilde kurtarılmış oldu.

3.WİPE İŞLEMİ YAPILMIŞ DİSKTEN VERİLERİ KURTARMA İŞLEMİ

3.işlemimiz ise diskimizi wipe ile sildikten sonra tekrar dublicator işlemi gerçekleştirerek verilerimizi kurtarmaya çalışacağız.

15.Wipe Setting(Ayarlamalar)

Tableau web arayüzünden wipe ayarları kısmından gerekli ayarlamalarımızı yapıp kayıt ediyoruz.

16.Wipe İşlemi

17.Duplication Status

Wipe ettiğimizi diski tekrar duplicator işlemi uygulayıp verilerimizi kurtarabilecek miyiz ona bakalım.

18. Duplicator Log

Wipe işlemi için yaptığımız duplicator işleminin log kayıtları.

19. Wipe Edilmiş Diskten Veri Kurtarma

Wipe edilen diskimize duplicator uyguladık ve işlem bittikten sonra diskimizi bilgisayar bağladık.Görüldüğü gibi disk içerisindeki verilere hiçbir şekilde erişilememektedir.

Evet sevgili okurum bir eğitimin daha sonuna geldik,bir sonraki eğitimlerde görüşmek dileğiyle :)