imaj nedir tableau td3 ile nasıl imaj alınır

İmaj Nedir ? Tableau TD3 İle Nasıl İmaj Alınır ?

Merhaba sevgili kernelblog takipçileri. Bu yazımda sizlere İmaj almanın önemini ve İmaj alma donanımı olan Tableau TD3’ü ele alacağım.

İmaj almak bilişim suçlarının incelenmesinde ve çözümünde olmazsa olmazlardandır. Bir bilişim suçu işlendiğinde suçun işlendiği cihaz üzerinde genelde canlı inceleme yapma imkanımız bulunmaz. İnceleme yapılacak cihazın birebir kopyaları oluşturulur ve bu kopyalar üzerinden inceleme işlemi yapılır. Oluşturulan bu kopyalara imaj denir. İnceleme yapılacak cihazın  fiziksel veya mantıksal imajı alınır. Cihazın çalıştırılabilir bir kopyasını oluşturmak için fiziksel imaj, disk bölümleri üzerinde inceleme yapmak için mantıksal imaj alınır. İmaj alınırken dikkat edilmesi gereken en önemli özellik HASH’dir. Hash imajı alan kişinin inceleme yapılacak cihaz üzerinde değişiklik yapmadığının ispatıdır.

Hash dediğimiz kavram bir veri bütününe benzersiz bir sayısal değer oluşturmaktır. Bir nevi insanlardaki T.C. kimlik numarası gibidir. İki farklı dosyanın aynı hash’e sahip olması çok çok düşük bir ihtimaldir. Bu yüzden yok sayılır. İnceleme açısından hash değerinin değişmemiş olması önemlidir. Zira cihaz üzerinde en ufak bir klavye tuş basışı bile hash değerini tamamen değiştirir ki bu da hiç istemediğimiz durumlar arasındadır. Değişen hash değerleri delil karartmaya girer ve inceleme için dikkate alınmaz.

İmaj almak için birçok Adli Bilişim Yazılımı mevcuttur. Sabit bir yerde imaj alma işlemi yapıyorsak yazılımlar çok işe yarar. Ama olay yerinde imaj almanız gereken durumlarda olabilir. Bu durumlar için de birçok Adli Bilişim Donanımı vardır.

Bu Adli Bilişim Donanımlarından birisi de Tableau TD3’dür. Tableau TD3 imaj alma, hash değeri hesaplatma, oluşturulan hash değerlerini doğrulatma, format atma, silme gibi işlemleri yapan bir donanımdır. Bu donanımın oldukça kolay ve kullanışlı bir yapısı vardır. Dokunmatik bir ekrana sahiptir. Tableau TD3’e yalın haldeyken 3 tip kaynak giriş mevcuttur. Firewire, USB 3.0 ve SATA girişleridir. Tabi ki elimizdeki incelenecek cihaz bunlar olmak zorunda değil genişletme modülleri sayesinde farklı kaynak girişlerde kullanabiliyoruz. Kaynak girişlerin en önemli özelliği ise write-blocked olmalarıdır. Yani yazmaya karşı korumalı girişlerdir. Hash değerimizin değişmemesi için imajın write-blocked kaynak girişiyle alınmış olması gerekir. İnceleme yapacak uzmana her zaman incelenecek cihaz gitmez bu cihazın bir imaj da gönderilebilir bu tür durumlarda ise uzmanın yapması gereken ilk şey hash doğrulaması yapmaktır. Doğrulama sonrasında bulunan hash ile ilk hash aynı değilse uzman incelemeyi yapmaz yeni bir imaj ister veya kendi bulduğu hash değerini doğru kabul edip bunun üzerinden incelemesini yürütür.

Tableau TD3’ün üzerinde hedef yani çıkış birimi olarak USB 2.0 girişi vardır. Ve tabiki genişletme modülleri sayesinde farklı depolama birimlerine de imajımızı kaydedebiliriz. Çıkış birimleri read-write özelliktedir. Bu yüzden alınan kopyalar çıkış birimlerine takılı olan depolama ünitelerine kaydedilir. Tableau TD3’ün bir başka özelliği ise format ve wipe yani kalıcı olarak silme işlemidir. Bu işlemler sadece çıkış birimlerine takılı olan depolama birimlerine uygulanabilir. Format atılan bir depolama birimi üzerinden veri kazımayla silinen veriler geri getirilebilir. Lakin wipe edilen bir depolama birimi üzerinden günümüz şartlarında veriler geri getirilemiyor bu yüzden kalıcı olarak silinmiş deniyor.

Tableau TD3’ün kendine has başka bir özelliği ise kaynak ve hedef girişe bağlı olan cihazlar üzerinde boşluk taraması yapmasıdır. Böylelikle incelemeci zaman ve hatta maliyetten tasarruf etmiş olur. Tableau TD3 ile kullanıcının erişemediği, göremediği kısımları da ihmal edebiliriz bu özellik hem avantaj hem de dezavantajdır. Çünkü basit bir vakada bu alanları ihmal etmek inceleme sırasında bize zaman kazandırır fakat vakamız daha derinse suçu işleyen kişinin bilgi seviyesiyle orantılı olarak bu alanlara da veriler gizlenebilir. Bu verileri ihmal etmemiz demek davanın gidişatını tamamen değiştirmek demektir. Benim tavsiyem zamanı biraz uzatıp bu alanları da incelemektir. Tableau TD3’te bulunan Ethernet girişi sayesinde bu işlemlerin hepsini web ara yüzü üzerinden de yapabiliriz. Yaptığımız işlemleri görüntülemek için donanıma ait bir hafıza kartı vardır. İçinde yapılan tüm işlemlerin log kayıtları tutulur.

Tableau TD3’ ü kullanmak istiyorsanız sizde, oluşturduğum Türkçe kullanım kılavuzuna KernelBlog arşivden ulaşabilirsiniz.

Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir