- 30 Eyl 2017
- 1,532
- 5
Konu fikri için DeneyimsizDenek Komutanıma Teşekkürler. Bir önceki konumu tamamen kendim hazırladım fakat ilgi görmediği için sizleri bu konuda daha yalın bilgilendirdim. İlgi gelirse videolu anlatımda yapacağım. Yönlendirmeniz için tekrar teşekkürler DeneyimsizDenek komutanım.
Mount Image Pro, Recover MyFiles gibi başarılı yazılımları ile tanınan GETDATA firması ürettiği Forensic Explorer yazılımı ile Adli Bilişim sektörüne hızlı bir giriş yaptı. Biz de sizler için yazılımı test ettik ve denedik. İşte sonuçları:
1. Kurulumu çok kolay ve basit, kurtarken sadece next-ileri demeniz yeterli ve kurulum esnasında herhangi bir özel ayara ihtiyaç duymamaktadır. 30 sn içerisinde kurduk ve hemen kullanmaya başladık. Yazılım Codemeter USB yazılım lisansı bilgisayara taklılı olarak kuruluyor. 30 günlük deneme sürümü için herhangi bir USB lisansa gerek duymadan Download Forensic Explorer adresinden indirilip kullanılabiliyor. Forensic Explorer 1.5 sürümünün ana giriş ekranı aşağıdaki gibi görünmektedir:
2. Yazılım kurulduktan sonra ilk önce temel ayarlar Sol üst köşedeki turuncu renkli Forensic Explorer yazısına tıklanıp Options bölümü açılarak yapılmaktadır.
3. Ayarlar tamamlandıktan sonra, yazılımımızda bir vaka (case) oluşturarak bir adli kopya (imaj) dosyası yüklenebilir hale gelmektedir.
4. Forensic Explorer, sadece imaj dosyası değil, fiziksel ya da mantıksal bir disk, birden fazla adli kopya (imaj) dosyası aynı anda, tek bir özel dosya ya da adli kopya (imaj) grupları seçilerek inceleme yapılabilmektedir. (Diğer adli bilişim yazılımlarından en büyük farkı ise, farklı olaylara ait adli kopyaları gruplar halinde belirleyip bu gruplara ait tüm adli kopyaları aynı anda vakaya ekleyip birbiri üzerinde karşılaştırma ya da toplu inceleme yapmak mümkün olmaktadır.)
5. Forensic Explorer ile Windows yüklü bilgisayarımızın ilk bölümünü (C:\) açtık ve bir fotoğraf dosyasını görüntüledik:
6. Forensics Explorer diğer Adli Bilişim yazılımlarında bulunan pek çok özelliği standart olarak sunuyor. Bunlar sırası ile:
Sayısal imza hesaplama (hashing) ve sayısal imza karşılaştırma (Hash Match)
Tekil ve çoğul anahtar kelime arama (Keyword Search)
İndeksleme yapma (Index Search)
Sık kullanılanlara ekleme (Bookmarks)
Özel şablonla raporlama (Reporting)
Yardımcı yazılım desteği (Scripting) (Not: EnCasede kullanılan onlarca script standart olarak bir butona tıklamak kadar kolay kullanılabiliyor)
Windows Registry Analizi (Registry)
E-posta analizi (Email)
Disk shadow kopyası incelme (Volume Shadow Copy)
Veri kazıma (Data carving)
Hardware ve Software RAID sistem kopyaları (JBOD, RAID 0, RAID 5)
7. Forensic Explorerın ara yüzü diğer adli bilişim yazılımlarına kıyasla çok daha kullanıcı dostu, özellikle TAB şeklinde bölünmüş menüler kullanıcıya inceleme yaparken güven veriyor ve yazılım çakılmadan kararlı bir şekilde çalışıyor. Testimizi Intel i3-M380 işlemci ve 4GB DDR3 1600 Mhz bellek ve 1 GB Intel ekran kartı ve 128 GB SSD bulunan bir dizüstü bilgisayar ile yaptık ve yazılımla ilgili herhangi bir soruna rastlamadık.
8. Forensic Explorer tarafından desteklenen adli kopya (imaj) formatları:
DD or RAW;
EnCase® (.E01, .L01, Ex01);
FTK® (.E01, .AD1 formats);
Forensic File Format .AFF
SMART®
ISO (CD and DVD image files);
VMWare®
ProDiscover®
Microsoft VHD
Apple DMG
9. Forensic Explorer tarafından desteklenen dosya sistemleri (file systems):
Windows FAT12/16/32, exFAT, NTFS,
Macintosh HFS, HFS+
EXT 2/3/4
Hardware and Software RAID: JBOD, RAID 0, RAID 5
10. Forensic Explorer Adli Bilişim Yazılımı hakkında daha detaylı bilgilere ulaşmak için lütfen aşağıdaki adresleri kullanınız:
30 günlük deneme sürümünü indirmek için:
Download Forensic Explorer ya da
http://download.getdata.com/support/fex/ForensicExplorer-Evaluation(v1.5.0.2490).en.exe
Yazılımın kurulum ve kullanım kılavuzunu indirmek için:
http://www.forensicexplorer.com/forensic-explorer-user-guide.en.pdf#page=1
Yazılımın tanıtım ve bazı özelliklerinin videolarını izlemek için:
Video Tutorials
Konu alıntıdır.Yakın zamanda ilgi görmesi halinde örneklerle anlatılacaktır.
