Zaman zaman DIFOSE Blog ziyaretçilerinden ücretsiz ve herkesin kullanımına açık adli bilişim yazılımları olup olmadığı, var ise bu yazılımların nereden ve ne şekilde temin edilebileceğine dair soruları e-posta ile alıyoruz.

Bu yazımızda siz DIFOSE Blog ziyaretçileri için bir kaynak derlemesi yaptık, eksik ya da fark edemediğimiz, ya da yeni yayınlanan yazılım ve çözümler olabilir. Bu konuda sizlerin de tespit ettiğiniz hususlar olursa paylaşırsanız DIFOSE Blog’da yayınlamaktan mutluluk duyarız. 

1. Adli Kopya (imaj) Alma Çözümleri:

Accessdata FTK Imager: Tüm dünyada en çok tanınan ve bilinen adli kopya alma yazılımıdır. Çeşitli yapıda bulunan dijital delilleri yine çeşitli formatlarda en seri ve hızlı şekilde kopyalamanıza imkan verir. Ayrıca, alınan bir adli kopyayı mevcut işletim sistemine disk olarak bağlamanıza imkan sağlar. Kullanımı kolay ve kullanıcı dostu bir yazılımdır.

İndirme Adres:  http://www.accessdata.com/support/product-downloads

Guidance Software EnCase Forensic Imager: Accessdata firması ile rekabet içerisinde bulunan Guidance Software tarafından üretilen ücretsiz bir yazılımdır. FTK Imager’dan farklı olarak mobil cihazların adli kopyasını da alabilmektedir. Ancak mobil cihaz adli kopyalarını incelemek için lisanslı EnCase yazılımı gerekmektedir.

İndirme Adres:  http://www1.guidancesoftware.com/Order-Forensic-Imager.aspx

GETDATA Forensic Imager: GETDATA firması tarafından geliştirilen yazılım adli kopya alma ve farklı adli kopyaları birbirine çevirmek için kullanılabiliyor.

İndirme Adres:  http://www.forensicimager.com

ProDiscover Standart: TechPathways firması tarafından geliştirilen yazılımın adli kopya alma ve farklı adli kopyaları birbirine çevirme sürümü (standart sürüm) ücretsiz olarak indirilip kullanılabilmektedir.

İndirme Adres:  http://www.techpathways.com/Demo.htm

2. Çalıştırılabilir CD/DVD-R/USB Çözümleri:

RAPTOR: Alvarez&Marsal tarafından geliştirilen ve içerisinde pek çok özel yazılımı barındıran bir çalıştırılabilir Linux DVD’sidir.

 İndirme Adres:

 https://www.forensicsandediscovery.com/Training/InformationProtection/Raptor.aspx

 DEFT (DART) Linux: Bir bilişim suçu vakasında delilleri toplayıp, toplanan deliller üzerinde hızlı bir şekilde incelemeye imkan sağlayan yazılımların bir arada bulunduğu güzel bir açık kaynak Linux DVD’si. Hem bilgisayarı Linux işletim sistemi ile boot ederek çalıştırmakta, hem de Windows işletim sistemi üzerinde çalışmaktadır.

İndirme Adres:  http://www.deftlinux.net/download

CAINE (Computer Aided INvestigative Environment) Linux: Adli bilişimde olaya müdahale için gerekli olan temel yazılımların bulunduğu güzel bir uygulama DVD’si.

İndirme Adres:  http://www.caine-live.net/page5/page5.html

Sleuthkit (Autopsy): Temel adli bilişim olay müdahalesi ve temel inceleme yapmak için ihtiyaç duyulan yazılımların bulunduğu çalıştırılabilir bir Windows yazılımıdır.

İndirme Adres:  http://www.sleuthkit.org/autopsy/download.php

WinFE: Bir başka Windows platformunda çalışan ücretsiz adli bilişim çözümüdür. İçeriğinde, ücretsiz olarak tek tek kullanılan pek çok yazılım bir araya getirilerek sunulmuştur.

İndirme Adres:  http://reboot.pro/files/file/375-mini-winfe

SUMURI (Paladin 4) Linux: Adli bilişimde delil toplamak, canlı inceleme yapmak, analiz ve raporlama yapabilmek için temel bir program setinin sunulduğu çözümdür. Çalıştırılabilir DVD ve USB sürümleri bulunmaktadır.

İndirme Adres:  http://www.sumuri.com

SANS Investigate Forensic Toolkit (SIFT): SANS tarafından geliştirilen ve eğitimi verilen çalıştırılabilir bir DVD çözümüdür.

İndirme Adres:  http://computer-forensics.sans.org/community/downloads

Matriux: Bir grup Linux gönüllüsü tarafından geliştirilen ve adli bilişimde kullanılan pek çok açık kaynaklı yazılımın yer aldığı bir sürümdür.

İndirme Adres:  http://www.matriux.com/index.php?page=download

MASTERKEY: Adli bilişimde olaya müdahale ve temel inceleme için geliştirilen, CD ve USB sürümü olan bir Linux çözümüdür.

İndirme Adres:  http://masterkeylinux.com/index.php/lft/lftdownloads?layout=default

Grml Live Linux: Adli bilişimde olaya müdahale ve temel inceleme için geliştirilen, CD ve USB sürümü olan bir Linux çözümüdür.

İndirme Adres:  http://grml.org/download

Forensic Hard Copy: Adli bilişimde olaya müdahale, temel incelemeyi esas alan bir Linux sürümü.

İndirme Adres:  http://sourceforge.net/projects/fhclive

 3. Çeşitli Bilgi Kaynakları:

Nirsoft: Windows tabanlı pek çok adli bilişim yazılımının bulunduğu büyük bir paylaşım web sitesidir. Yazılımların tamamı ücretsiz olup zaman zaman yeni sürüm yazılımlarla her geçen gün ünü artan bir web sitesidir.

Erişim adresi:  http://www.nirsoft.net

Mitec: Windows tabanlı pek çok adli bilişim yazılımının bulunduğu büyük bir paylaşım web sitesidir. Yazılımların tamamı ilk zamanlar ücretsiz iken, son zamanlarda bazı yazılımlar için ücret talep edilmeye başlanılmıştır.

Erişim adresi:  http://www.mitec.cz

Forensic CTRL: Pek çok ücretsiz adli bilişim yazılımını indeksleyen bir web sitesidir. Tasnifin konulara göre yapılmış olması, kullanıcı için büyük avantajlar sağlamaktadır.

Erişim adresi:  http://forensiccontrol.com/resources/free-software

RedWolf: Pek çok ücretsiz adli bilişim yazılımını sunan bir başka adli bilişim web sitesi.

Erişim adresi:  http://www.redwolfcomputerforensics.com

 3. Türkçe Adli Bilişim Kaynakları:

 http://www.sayisaldelil.net ( http://sayisaldelil.blogspot.com)

 http://www.dijitaldeliller.com

 http://www.birbitbilgi.com

 Lütfen, ilave ya da değişikliklerle ilgili görüş, öneri ve teklifinizi bize iletiniz.  info@difose.com

Türkiye’de adli bilişim alanında ismi pek duyulmayan ve bilinmeyen bir yazılım olan ProDiscover, Tech Pathways firması tarafından 2001 yılında üretilmiş olup şuan da 8.2.0.2 sürümü duyurulmuştur. ProDiscover yazılımının pek bilinmemesinin altında pek çok neden olsa da, belli başlı nedenlerini sayabiliriz.

Birincisi diğer adli bilişim yazılımları EnCase, FTK, X-Ways Forensics ve Forensics Explorer’a oranla en az 3-4 katı daha pahalı olması, tanıtım ve pazarlama hususunda çok aktif olmamaları ve diğer adli bilişim yazılımları ile rekabete girmek yerine, bazı alanlarda konsantre çalışarak diğerlerinin yapamadığı hususlarda çözüm üretmeye çalışmalarıdır.

Peki, diğer yazılımlara göre ProDiscover’ı farklı kılan ne idi diye soracak olursak? Bunlardan ilki ve en önemlisi adli incelemelerde bazen çok önemli bir ihtiyaç olan sabit disklerin Volume Shadow kopyalarını tespit edip bu kopyaların inceleme ve analizi için çözüm sunmasıdır. Günümüzde artık FTK 5, EnCase 7 ve Forensic Explorer 1.5’te de olan bu özellik, ProDiscover tarafından yaklaşık 5 yıldır sunulan bir hizmettir.

ProDiscover’ı diğerlerinden ayıran bir diğer özelliği ise; bir ağa bağlı bilgisayarın sabit diskinin adli kopyasını (imaj) alabilmesidir. Bu işlem için ProDiscover tarafından üretilen PDServer isimli yazılımın CD-R ya da USB bellek içerisinde karşı taraftaki bilgisayarda (şüpheliye ait bilgisayar) çalıştırılması ve ProDiscover yazılımının bu yazılımla el sıkışarak şüpheli bilgisayarın sabit diskinin sektör sektör kopyasının kriptolu olarak alınmasını sağlamasıdır. Tabi, bu özelliğin kullanılması şüpheliye ait bilgisayara müdahaleyi gerektirdiğinden delilin kirletilmesi gibi bir riski beraberinde getirmiş olsa da, bu imkanı sağlıyor olması özel ve acil durumlar için önemli bir özelliktir. Zira, iyi bir ağ hızı ya da internet hızınız var ise kilometrelerce uzaklıktaki, hatta kıtalararası mesafedeki bir bilgisayarın sabit diskinin adli kopyasını almak mümkün olmaktadır. Bu özellik de EnCase ve F-Response tarafından artık sunulan bir özellik halini almıştır.

Ancak, ProDiscover’ı halen diğer yazılımlardan farklı kılan en büyük özelliği Incident Response (Olaya müdahale) esnasında şüpheli bilgisayardan uçucu delilleri hızlı bir şekilde toplayıp raporlamasıdır. Tech Pathways ekibi tarafından üretilen PDServer isimli yazılımın şüpheli bilgisayarda CD-R ya da USB bellek içerisine kopyalanarak çalıştırılması sonucunda, şüpheli bilgisayarındaki çalışan tüm işlemlerin (Working Processes) anlık bilgisi, işletim sisteminde çalışan tüm açık portların (Open Ports-açık kapıların) listesi ve işletim sisteminin durum raporu (System State Report) alınıp kaydedilebilmektedir. Ayrıca, bilgisayarın RAM’inin de kopyası da uzak erişim ile alınmaktadır.

ProDiscover, diğer adli bilişim yazılımlarının sunduğu imkanlara paralel olarak Registry analizi, dosya sistemi analizi, veri kurtarma, internet izleri, e-posta analizi ve yardımcı yazılım (script-PERL) kullanma özelliği sunmaktadır.

ProDiscover yazılımının resmi web sitesi  http://www.techpathways.com adresinde belirtilen özellikleri aşağıda sunulmuştur:

• Sabit disk görüntüleme ve adli kopya alma
• Adli kopya dosyalarını bölme ya da bir araya getirme
• Detaylı arama işlemi yapabilme (silinmiş alanlar dahil)
• Tam indeksleme yapabilme
• Grafik öngörünüm (thumbnails) dosyalarını tespit ve görüntüleme
• MS Outlook dosyalarını görüntüleme
• Internet geçmişini (browser history) görüntüleme
• Registry analizi yapabilme
• Olay günlüğü (eventlog) analizi yapabilme
• E-posta görüntüleme ve süzme
• Diskteki korunmuş alanlara (HPA) erişme ve analiz etme
• MD5, SHA1 ve SHA256 sayısal imza (hash value) hesaplama, veri tabanı oluşturma ve karşılaştırma
• Klasör ve dosyaları adli kopyanın dışarına kopyalama
• E01, DD, RAW ve 001 adli kopya formatlarını destekleme
• VMware desteği ile adli kopyaları çalıştırma ve ön izleme yapma
• Fotoğraf dosyalarından EXIF bilgilerini ayıklama ve raporlama
• Raporlama
• Geri getirilemeyecek şekilde disk temizleme (Wipe)
• FAT12-FAT16-FAT32-NTFS-RAID-UFS-EXT2-EXT3-EXT4 dosya sistemi desteği
• Perl Script desteği
• Ağ üzerinde adli kopya alma ve görüntüleme
• Ağ üzerinden disk volume shadow kopyası alma ve görüntüleme
• Encryption / GUID / password koruması
• Canlı sistemin RAM kopyasını alma
• Anakartın BIOS/CMOS kopyasını alma
• Şüpheli bilgisayarında herhangi bir değişikliğe neden olmadan (delile zarar vermeden) çalışma
• Sistemin çalışan işlemlerini raporlama
• Sistemdeki açık kapıları raporlama
• Sistem durum raporu çıkarma
• Görünmez dosya ve işlemleri listeleme

Yazılımın imaj alma ve wipe etme özelliği bulunan sürümü ücretsiz olup aşağıdaki adresten indirip kullanılabilmektedir. Ancak, inceleme ve analiz özelliği bulunan sürümü ancak lisans alındığı takdirde kullanılmaktadır.

İndirme adresi:  http://www.techpathways.com/demo.htm

ProDiscover hakkında herhangi bir soru ya da talep için lütfen DIFOSE ile iletişim kurunuz. Güvenli günler dileriz.

info@difose.com