X-Ways Forensics Adli Bilişim Yazılımı Kurulum ve Konfigürasyonu

X-Ways Forensics Adli Bilişim Yazılımı Kurulum ve Konfigürasyonu

Bölümdeki Konuların Ana Başlıkları

  • Giriş
  • Sistem Gerekleri ve Kurulum
  • XWF Donanım Kilidi (Dongle)
  • XWF Kullanıcı Ara Yüzü
  • XWF Konfigürasyonu  

GİRİŞ

XWF kullanmaya başlamadan önce, XWF’nin kurulumu, kullanıcı ara yüzü ve konfigürasyonu hakkında bilmeniz gereken temel birkaç husus bulunmaktadır. Basit ya da temel kelimesini kullanma hususunda çokta istekli değiliz, çünkü çoğumuz genellikle temel konuları atlayıp, hazır olmasak dahi direk ileri seviye kullanıma geçmek isteriz. Bununla birlikte, XWF’yi kullanmaya başlamadan önce öğrenmenizin gerçekten fayda sağlayacağı birkaç küçük bilgi bulunmaktadır ve ileri seviye kullanıma bu bilgileri aldıktan sonra geçmeniz daha faydalı olacaktır.

Sistem Gerekleri Ve Kurulum

Bu bölüm XWF’nin inanılması güç bir özelliği olan, yazılımın çalışması için bilgisayarınızın sistem gerekleriyle başlamaktadır. Çok işlemcili, 4GB RAM’i olan, 64-bit bir donanıma sahip bir bilgisayara kurulduğu zaman, XWF ile hızlı ve etkili bir şekilde birçok dosyayı inceleyebilirsiniz. Bununla birlikte, 32-bit bir donanıma sahip, üzerinde Windows XP çalışan, 256MB RAM kapasitesi bulunan eski bir bilgisayarda da XWF çalışır. XWF’nin çalışması için çok büyük bilgisayar gücüne ihtiyaç yoktur. Bu aynı zamanda şu anlama da gelmektedir. XWF çalışırken, bilgisayarınızda diğer programlar da çalışabilir. Diğer birçok adli bilişim yazılımı, bilgisayarınızın bütün kaynaklarını kullanarak, o yazılımlar çalışırken bilgisayarınızda başka programların çalışmasını sıkıntıya sokarlar. Basitçe söylemek gerekirse, XWF şu anda mevcut olan her türlü bilgisayarda çalışır. Bu durum hedef bilgisayarın eski nesil bir bilgisayar olması ya da elinizde mevcut eski nesil bir bilgisayarın kullanılabilmesi durumlarında önem arz eder.

İlave olarak, XWF önizleme yapmak veya tam anlamıyla analiz etmek maksatlarıyla hedef bilgisayarda çalışabilir ve bu işlem sırasında sadece 100MB’lık bir RAM kapasitesini kullanır. Tabi ki, incelemeyi yapan adli bilişim uzmanının, hedef bilgisayarda XWF’yi çalıştırmanın bilgisayarın kapanamaması gibi durumlarda geçerli olduğunu bilmesi gerekmektedir.

Son olarak, XWF’nin bilgisayara kurulum yerine CD/DVD ya da USB bellek içerisinden portable olarak çalışabilmesi diğer adli bilişim yazılımlarına oranla bir farklılık yaratmaktadır.

XWF Kurulumu

XWF’yi kurmanın farklı yöntemleri vardır. Anlatacağımız ilk metot geleneksel setup.exe yöntemidir. Aşağıda sıralanan adımlar bu yöntemle XWF kurulumunu anlatmaktadır.

  1. Sıkıştırılmış XWF yazılım dosyasını indirin. Lisanslı kullanıcılar XWF’yi  http://www.xways.net adresinden indirebilir. Sıkıştırılmış dosya ismi genellikle xw_forensics.zip şeklindedir.
  2. Sıkıştırılmış xw_forensics.zip dosyasını açın ve ardından setup.exe dosyasını çalıştırın. Kurulum Şekil 1.1’deki gibi herhangi bir yazılım kurulumundan farklı değildir.
  3. Kurulum işlemini yaptıktan sonra, XWF’yi kullanırken ihtiyaç duyacağımız ilave programları ekleriz. İlave programcıklar M Player, WinHex ve X-Ways Viewer programlarıdır ve bu programcıkları indirildikten sonra XWF program klasörüne kopyalarız. Bu programcıklar için linkler lisans durumunuz kontrol edildikten sonra X-Ways Web sayfasında size sunulur.

Şekil 1.1 (Setup.exe ile XWF kurulumu)

Alternatif Kurulum Metotları

XWF’yi kurulumunun ikinci yolu, bütün “zip” dosyalarını bir klasöre açıp, o klasörü kurulum klasörü olarak kullanmaktır. Tavsiyemiz “C:\” birimi altında “xwf” (C:\XWF) isimli bir klasör oluşturarak bütün sıkıştırılmış dosyaları (xw_forensics.zip ve diğer ilave programcıklar) buraya açmaktır. Programları buraya açtıktan sonra, sadece “xwforensics.exe” dosyası çalıştırılarak yazılım kullanılabilir. Bu metotla XWF kullanıldığında, masa üstünde ya da başlat menüsünde herhangi bir kısayol oluşmayacağından, kısayolları kullanıcının kendisinin oluşturması gerekecektir.

XWF geleneksel “setup.exe” çalıştırılmadan da kullanılabildiğinden, “xw_forensics.zip” dosyasını USB belleğiniz gibi herhangi bir medya üzerine de açabilirsiniz ve yazılım USB bellek üzerinden de çalıştırılabilir. Benzer şekilde, XWF yazılımını kaldırmak için herhangi bir program kaldırma (uninstall) işlemine de gerek kalmaz. Yapmanız gereken tek şey, program dosyalarının bulunduğu klasörü silmektir. Bu şekilde kuruluma gerek duymadan “exe” uzantılı XWF ve diğer ilave programcıkları (M Player, WinHex ve X-Ways Viewer) kullanmak, adli bilişim yazılımları taşınabilir olarak kullanabilmenize imkân sağlar. Böylece XWF ve diğer ilave programcıkları bir USB bellek ya da CD/DVD üzerinden çalıştırma imkânına sahip olursunuz.

XWF ve WinHex kullanıcı ara yüzleri Şekil 1.2’de gösterildiği gibidir. Her iki program da görünürde birbirinin aynısı gibi olsa da aralarında önemli bir fark bulunmaktadır. XWF ile imaj dosyaları, diskler ve RAM’ler üzerinde sadece okuma (read-only) modda çalışırken, WinHex ile okuma ve yazma (read-write) modunda çalışılabilir. O nedenle deliller üzerinde çalışmadan önce hangi programı kullandığınızdan emin olun. WinHex kullanımı esnasında yanlışlıkla olsa delil üzerinde değişiklik yapabilme ihtimaliniz olduğunu göz önünde bulundurun.

Şekil 1.2 X-Ways Forensic ve WinHex Menü Görünümleri

Son olarak XWF kurulumu için kullanabileceğiniz yöntem, ki biz bunu tavsiye ediyoruz, Eric Zimmerman tarafından geliştirilen XWF Kurulum Yöneticisini (XWFIM) kullanmaktır. XWFIM programını XWF forumlarından indirebilirsiniz. XWFIM programının bilgisayarınızda çalışması için gerekli tek şart bilgisayarınızda büyük ihtimalle zaten kurulu olan Microsoft .NET 4.0’ın bulunmasıdır. Bu bilgisayarınızda yoksa bile Microsoft Web sayfasından kolaylıkla indirebilirsiniz. XWFIM programını çalıştırdığınızda ilk olarak yükleme işlemi için yetki bilgilerinizi isteyecektir. Bu bilgiler lisansınızı girerek  http://www.x-ways.net/winhex/license.html adresinden alınabilir. Yetki bilgilerinizi girdikten sonra XWFIM gerekli olan programları (XWF’nin son versiyonu, XWF Viewer) indirmeye başlayacaktır. Şekil 1.3’te görüldüğü gibi gerekli düzenlemeleri yapıp ”install” ikonu tıkladıktan sonra XWFIM sizin için her yönüyle programı kuracaktır.

İlave olarak XWFIM yüklenen her bir program için doğrulama değeri (SHA1 hash) oluşturacaktır. Bu veriler daha sonra kurulumun bütünlüğünü kontrol etmek için kullanılabilecektir.

Şekil 1.3 XWF Kurulum Yöneticisi

Hem XWF’nin istenilen şekilde çalışabilmesi için gerekli tüm programları otomatik olarak kurması, hem de kurulumun bütünlüğünün kontrol edilebilmesine olanak sağlaması nedeniyle kurulum için bu yöntemi kullanmanızı tavsiye ediyoruz.

 

XWF DONANIM KİLİDİ (DONGLE)

XWF 13.2 sürümünden bu yana yazılım koruma cihazı olarak USB kilit kullanımına başlanmıştır. Programın çalışabilmesi için USB kilidin kesinlikle takılı olması gerekmektedir. Diğer USB kilit kullanan yazılımlardan farklı olarak, Şekil 1.4’te gösterilen XWF USB kilidi kullanım için sürücü kurulumu ya da bilgisayarın açılıp-kapanmasını (reboot) ihtiyaç duymamaktadır. Klavye veya mouse gibi davranır, böylece sistem yöneticisi tarafından USB portları kapatılmış olsa dahi dangılın kullanımı mümkün olur.

Şekil 1.4 XWF Dangılı

Bu özelliğinin sağladığı daha önemli bir avantaj ise, çalışır vaziyetteki delil niteliğindeki bir cihazı “xwforensics.exe” programı kullanarak incelemek istediğinizde, cihaza taktığınız USB kilidin kurulum gerektirmediğinden hedef bilgisayarın “registry” ayarlarında minimal değişikliklere neden olmasıdır. Çalışması için USB kilit gereken diğer yazılımlarda olduğu gibi, yazılımın en önemli parçasıdır. Onu kaybettiğinizde lisansınızı kaybetmiş olursunuz. USB kilit kullanmanın diğer bir avantajı ise, birden çok bilgisayara XWF kurduktan sonra her birinde farklı konuları inceleyebilmenizdir. USB kilidinizi XWF kurulu bilgisayarlar arasında kullanım esnasında gezdirmek suretiyle birden çok bilgisayarda kullanmanıza olanak sağlanmış olur.

USB kilidinizi kaybettiğinizde kullanımla ilgili herşeyi kaybetmemek için USB kilidinizi ücretsiz olarak sunulan sigorta modunda kullanabilirsiniz. Bu mod USB kilidin kaç defa kullanılacağı konusunda bir değer atar ve kullanım süresince bu değer 13’ün altına indiğinde, manuel veya otomatik olarak (bu internete bağlı olup olmama durumunuza göre değişir) değeri tekrar belirlenen en üst değere çıkarabilirsiniz. Bu şekilde dangılınız kaybolsa dahi belirlenen bir kullanma sayısı olduğundan, bu sayı bittiğinde programı kullanma imkanı ortadan kalkacaktır. Sigorta modunda kullandığınız USB kilidinizi kaybettiğinizde, programı en baştan lisanslarıyla satın almak yerine $120 ödeyerek, yeni USB lisansınıza sahip olabilirsiniz. İlave olarak, USB kilidinizi kaybettiğinizde X-Ways’e bilgi verirseniz, o USB kilit kayıtlara kayıp olarak geçer ve sigorta modunda belirlenen rakam sıfıra ulaştıktan sonra bir daha kullanımı mümkün olmaz.

Sigorta modu internete bağlı iseniz X-Ways web sitesi vasıtasıyla veya programdaki “Help” menüsü altında “Dongle” sekmesiyle yönetilir. Sigorta modunda kullanılamayan USB kilitler “X-Ways Imager” USB kilidi ve son kullanım tarihi belirlenmiş olan USB kilitlerdir.Diğerlerinin bu özelliği kullanmasına gerek yoktur.

Versiyon 17’den itibaren ağ tabanlı USB kilitlerin kullanımına başlanmıştır. Detayları  http://www.x-ways.net/forensics/dongle.html adresinde bulabilirsiniz. Bu imkanla USB kilitleri cihazdan cihaza gezdirmek yerine ağınızda kullanabilir ve lisanslarınızın yönetimini sağlayabilirsiniz.

USB Kilitlerin Güncellenmesi

USB kilidinizle birlikte satın aldığınız lisansların herhangi bir süre sınırı yoktur. USB kilidinizi kaybetmediğiniz sürece satın aldığınız XWF sürümüyle istediğiniz kadar kullanabilirsiniz, ancak sürekli güncellenen XWF’nin en son sürümünü kullanabilmek için idame üyeliğinizin olması ve zamanı dolduğunda yenilenmesi gerekmektedir. Devem eden üyeliğinizle XWF’nin en son sürümünü yükleyebilmek için aldığınız aktivasyon koduyla USB kilidinizi güncelleyebilirsiniz.

Aktivasyon kodunu girmek için Şekil 1.5’te gösterildiği gibi programdaki “Help” menüsü altında “Dongle” sekmesini seçmesiniz gerekmektedir. Bu seçimden sonra Şekil 1.6’daki dongle penceresi açılır. Sol altta yer alan “Activation Code from X-Ways” kutucuğuna aktivasyon kodunuzu girip, “enter” ikonuna tıklamanız gerekmektedir. Aktivasyon kodunu girdiğiniz dognle penceresinin sağ tarafında yer alan kutucuğa ilave bilgiler (örneğin USB kilit sahibi sahibi vs) girip kaydedebilirsiniz.

Şekil 1.5

Şekil 1.6 Dongle (USB Kilit) Penceresi

 

XWF KULLANICI ARA YÜZÜ

Potansiyel kullanıcıları XWF’yi kullanıp kullanmama konusunda tereddüte düşüren ilk konu, XWF’nin ilk olarak HEX EDITOR olarak ortaya çıkmış olmasıdır. Bu düşünce kullanıcılarda XWF’nin de mevcut ara yüzüyle kullanımının zor olabileceği şeklinde yanlış tahminlere neden olmaktadır. Aslına bakılırsa durum bunun tam tersidir. Karşılaştırmak gerekirse Şekil 1.7’de de görüldüğü gibi XWF Windows Explorer’ın üzerinde daha çok seçenek ve butonları olan gelişmiş bir versiyonudur.

Programı kullandıkça, arayüzün yapısı ve sunduğu bilgiler nedeniyle kullanıcı farkında olmadan dosya sistemleri, dosyalar ve adli işlemler hakkında da bilgilenecektir. Programla veriyi analiz etme için gereken süre azalırken ve analizin verdiği bilgilerin bütünlük içinde görülebilmesi nedeniyle, XWF’nin kullanıcı ara yüzünün dizaynı vakanızı daha iyi anlamanızı sağlayacaktır.

Şekil 1.7 XWF Kullanıcı Ara yüzü

XWF ara yüzünün inceleme esnasında en çok kullanacağınız bölümleri “Klasör Gösterici-Directory Browser”, “Klasör Ağacı Görünümüyle Vaka Veri Penceresi-Case Data Window With Directory Trees) “Mod butonlarıyla kullanılan, offset/hex/text sütunlarıdır”.

Klasör ağacı görünümüyle Vaka Veri Penceresinde seçilen klasörün içeriği Klasör Göstericide görünür. Klasör Göstericide seçilen bir dosyanın içeriği ise offset/hex/text sütünlarında görünür. Geri kalan butonların ve menülerin ana görevi incelemekte olduğunuz verinin detay bilgilerine ulaşmak ve veriyi analiz etmek görevini yerine getirir.

 

XWF KONFİGÜRASYONU

XWF’yi zaman içinde kullandıkça fark edeceğiniz önemli hususlardan birisi varsayılan ayarların hemen hemen yaptığınız incelemelerin tamamında işini görecek nitelikte olmasıdır. Varsayılan ayarlar çok ayrıntılı bir çalışmadan sonra ve kullanıcı isteklerine göre belirlenmiştir. Seçeneklerin tamamı hakkında bilgi tabi ki verilecektir, ancak az önce de belirttiğimiz gibi varsayılan ayarlar büyük oranda işinizi görecektir.

Bununla birlikte bazı özel vakalar ve özel durumlar için varsayılan ayarlardan değiştirmenizi tavsiye edeceklerimiz olacaktır. Bunları ilerleyen günlerde yine DIFOSE Blog üzerinden yayınlamaya devam edeceğiz. Ayarları isteklerinize göre değiştirmeniz mümkün olmasına rağmen, şu an için varsayılan ayarları kullanmanızı tavsiye ediyoruz.

Bu noktada, şu ana kadar anlatılan kurulum ve varsayılan ayarları kabul ettiğiniz varsayımından hareketle, XWF program klasörünüz Şekil 1.8’de gösterildiği gibi olacaktır. Program klasörünün ismini tabi ki istediğiniz gibi belirleyebilirsiniz, biz şimdilik “xwf” olarak belirledik.

Şekil 1.8 XWF Klasör Görünümü

XWF ilk çalıştırıldığında “Hakkında-About” penceresi Şekil 1,9’daki gibi görünecektir. “OK” tuşuna bastıktan sonra XWF temel bazı ayarlamaları yapabileceğiniz Şekil 1.10’da gösterilen “Genel Opsiyonlar-General Options” penceresini getirecektir.

Şekil 1.9 X-Ways Forensics Hakkında Penceresi

Şekil 1.10 Genel Opsiyonlar Penceresi

XWF’de çalışırken Genel Opsiyonlar penceresinde değiştirmenizi istediğimiz birkaç küçük husus bulunmaktadır. Orta sütunda “temp dosyaları, imaj ve backup dosyaları, vaka ve proje dosyaları, template ve script dosyları ile hash veribankası” dosylarının klasörlerinin tanımlandığı bölümler vardır. Bu klasörler için en çabuk ulaşabileceğiniz ve en hızlı çalışan diskin bulunduğu alanları tavsiye ediyoruz. İsimlerini ise kendi anlayacağınız şekilde “C:\XWTemp, C:\XWBackup, C:\XWCases, C:\XWScript ve C:\XWHash” isimleriyle isimlendirmenizi tavsiye ediyoruz.

Son olarak, “Display Time Zone” butonuna tıklayarak bulunduğunuz saat diliminizi seçmeniz gerekmektedir.

Daha önce de belirttiğimiz gibi varsayılan ayarların incelemenizi yapmak için en uygun ayarlardır. Yukarıda sıraladığımız değişiklikleri tamamladıktan sonra “OK” butonuna yaptığınız değişiklikleri kaydedin.

“OK” butonuna basıp genel ayarları tamamladıktan sonra ayarların son basamağına geçeceğiz. Bunun için “Options” menüsü altında “Viewer Programs” sekmesini seçin, ekrana Şekil 1.11’deki pencere gelecektir.

Şekil 1.11 Gösterim Programları

Burada XWF programında dosyaları incelerken her bir dosyayı hangi programla görüntülemek istediğinizi belirten ayarlar yaparsınız. Örneğin, video dosyalarını görüntülemek için varsayılan olarak ayarlı olan MPlayer yerine VLC Player, BS Player yada GOM Player gibi başka bir video oynatma programını “exe” uzantılı dosyasının yolunu klasörler vasıtasıyla bularak tanımlayabilirsiniz. Resim, mp3, text ya da HMTL dosyalarını hangi programlarla açmak istiyorsanız o programı bu pencerede tanımlamanız iyi olacaktır.

Bin sonraki bölümde görüşmek dileğiyle hoşçakalınız….DIFOSE ekibi.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir