Adli Bilişim dünyasında az bilinen sıra dışı bir yazılım: ProDiscover IR
Türkiye’de adli bilişim alanında ismi pek duyulmayan ve bilinmeyen bir yazılım olan ProDiscover, Tech Pathways firması tarafından 2001 yılında üretilmiş olup şuan da 8.2.0.2 sürümü duyurulmuştur. ProDiscover yazılımının pek bilinmemesinin altında pek çok neden olsa da, belli başlı nedenlerini sayabiliriz.
Birincisi diğer adli bilişim yazılımları EnCase, FTK, X-Ways Forensics ve Forensics Explorer’a oranla en az 3-4 katı daha pahalı olması, tanıtım ve pazarlama hususunda çok aktif olmamaları ve diğer adli bilişim yazılımları ile rekabete girmek yerine, bazı alanlarda konsantre çalışarak diğerlerinin yapamadığı hususlarda çözüm üretmeye çalışmalarıdır.
Peki, diğer yazılımlara göre ProDiscover’ı farklı kılan ne idi diye soracak olursak? Bunlardan ilki ve en önemlisi adli incelemelerde bazen çok önemli bir ihtiyaç olan sabit disklerin Volume Shadow kopyalarını tespit edip bu kopyaların inceleme ve analizi için çözüm sunmasıdır. Günümüzde artık FTK 5, EnCase 7 ve Forensic Explorer 1.5’te de olan bu özellik, ProDiscover tarafından yaklaşık 5 yıldır sunulan bir hizmettir.
ProDiscover’ı diğerlerinden ayıran bir diğer özelliği ise; bir ağa bağlı bilgisayarın sabit diskinin adli kopyasını (imaj) alabilmesidir. Bu işlem için ProDiscover tarafından üretilen PDServer isimli yazılımın CD-R ya da USB bellek içerisinde karşı taraftaki bilgisayarda (şüpheliye ait bilgisayar) çalıştırılması ve ProDiscover yazılımının bu yazılımla el sıkışarak şüpheli bilgisayarın sabit diskinin sektör sektör kopyasının kriptolu olarak alınmasını sağlamasıdır. Tabi, bu özelliğin kullanılması şüpheliye ait bilgisayara müdahaleyi gerektirdiğinden delilin kirletilmesi gibi bir riski beraberinde getirmiş olsa da, bu imkanı sağlıyor olması özel ve acil durumlar için önemli bir özelliktir. Zira, iyi bir ağ hızı ya da internet hızınız var ise kilometrelerce uzaklıktaki, hatta kıtalararası mesafedeki bir bilgisayarın sabit diskinin adli kopyasını almak mümkün olmaktadır. Bu özellik de EnCase ve F-Response tarafından artık sunulan bir özellik halini almıştır.
Ancak, ProDiscover’ı halen diğer yazılımlardan farklı kılan en büyük özelliği Incident Response (Olaya müdahale) esnasında şüpheli bilgisayardan uçucu delilleri hızlı bir şekilde toplayıp raporlamasıdır. Tech Pathways ekibi tarafından üretilen PDServer isimli yazılımın şüpheli bilgisayarda CD-R ya da USB bellek içerisine kopyalanarak çalıştırılması sonucunda, şüpheli bilgisayarındaki çalışan tüm işlemlerin (Working Processes) anlık bilgisi, işletim sisteminde çalışan tüm açık portların (Open Ports-açık kapıların) listesi ve işletim sisteminin durum raporu (System State Report) alınıp kaydedilebilmektedir. Ayrıca, bilgisayarın RAM’inin de kopyası da uzak erişim ile alınmaktadır.
ProDiscover, diğer adli bilişim yazılımlarının sunduğu imkanlara paralel olarak Registry analizi, dosya sistemi analizi, veri kurtarma, internet izleri, e-posta analizi ve yardımcı yazılım (script-PERL) kullanma özelliği sunmaktadır.
ProDiscover yazılımının resmi web sitesi http://www.techpathways.com adresinde belirtilen özellikleri aşağıda sunulmuştur:
- Sabit disk görüntüleme ve adli kopya alma
- Adli kopya dosyalarını bölme ya da bir araya getirme
- Detaylı arama işlemi yapabilme (silinmiş alanlar dahil)
- Tam indeksleme yapabilme
- Grafik öngörünüm (thumbnails) dosyalarını tespit ve görüntüleme
- MS Outlook dosyalarını görüntüleme
- Internet geçmişini (browser history) görüntüleme
- Registry analizi yapabilme
- Olay günlüğü (eventlog) analizi yapabilme
- E-posta görüntüleme ve süzme
- Diskteki korunmuş alanlara (HPA) erişme ve analiz etme
- MD5, SHA1 ve SHA256 sayısal imza (hash value) hesaplama, veri tabanı oluşturma ve karşılaştırma
- Klasör ve dosyaları adli kopyanın dışarına kopyalama
- E01, DD, RAW ve 001 adli kopya formatlarını destekleme
- VMware desteği ile adli kopyaları çalıştırma ve ön izleme yapma
- Fotoğraf dosyalarından EXIF bilgilerini ayıklama ve raporlama
- Raporlama
- Geri getirilemeyecek şekilde disk temizleme (Wipe)
- FAT12-FAT16-FAT32-NTFS-RAID-UFS-EXT2-EXT3-EXT4 dosya sistemi desteği
- Perl Script desteği
- Ağ üzerinde adli kopya alma ve görüntüleme
- Ağ üzerinden disk volume shadow kopyası alma ve görüntüleme
- Encryption / GUID / password koruması
- Canlı sistemin RAM kopyasını alma
- Anakartın BIOS/CMOS kopyasını alma
- Şüpheli bilgisayarında herhangi bir değişikliğe neden olmadan (delile zarar vermeden) çalışma
- Sistemin çalışan işlemlerini raporlama
- Sistemdeki açık kapıları raporlama
- Sistem durum raporu çıkarma
- Görünmez dosya ve işlemleri listeleme
Yazılımın imaj alma ve wipe etme özelliği bulunan sürümü ücretsiz olup aşağıdaki adresten indirip kullanılabilmektedir. Ancak, inceleme ve analiz özelliği bulunan sürümü ancak lisans alındığı takdirde kullanılmaktadır.
İndirme adresi: http://www.techpathways.com/demo.htm
ProDiscover hakkında herhangi bir soru ya da talep için lütfen DIFOSE ile iletişim kurunuz. Güvenli günler dileriz.