Adli Bilişimde İmaj Alma İşleminde Kullanılan Cihazlar
TABLEAU TD1 Cihazı Hakkında
TABLEAU TD1, Adli makamlara sunulmak üzere, Adli Bilişim Standartlarına uygun olarak, Sabit Disk İmajlarının (adli kopya) alınmasında en fazla kullanılan temel araçlardan biridir. Özel Yeteneklere sahip imaj alma seti ve Delil Sabit Diski yazmaya karşı koruma özelliği vardır. Ortalama 6 GB/Dakika boyutuna kadar çıkabilen imaj alma hızı vardır. İmaj bütünlüğünü doğrulayan, uluslararası geçerliliğe sahip MD5 ve SHA-1 HASH değerlerini hesaplama ve sunma özelliği mevcuttur.
Piyasada en çok kullanılan donanım cihazı olduğundan, cihazı ayrıntılı olarak aşağıda inceleyeceğiz. [33]
1. Cihaz Bilgileri:
Birçok kullanıcı tarafından sorulan ilk soru “kaynak hangi tarafa takılır ” dır ? Önden TD1 cihazına bakarken, kaynak sürücü her zaman sol tarafına bağlı olmalı ve hedef sürücü sağ tarafına takılmalıdır.
Örnek bağlantı görünümü:
TD1 cihazının önünde yedi tane ışık yayan diyotlar ( LED’ler) vardır. Sekizinci LED güç konektörü yanında TD1 cihazının arka kenarında yer almaktadır.
Soldaki LED’lerin ikisi ” SATA Kaynak ” ve ” IDE Kaynak ” olarak işaretlenen ve sağdaki LED’lerin ikisi ” SATA hedef” ve ” IDE hedef” i işaret eder. Bu işaretler sayesinde kaynak sürücü her zaman cihazın sağ tarafına bağlanır ve hedef sürücünün sol tarafına bağlı olduğunu hatırlamanıza yardımcı olacaktır.
Not: Bağlantıları ve sabit diskleri sökerken Tableau TD1 cihazı “KAPALI” olmalıdır. Fakat imaj alma işlemi yapılır iken bu kuralın bir istisnası vardır, hedef disk imaj alma işleminde dolduğu zaman TD1 cihazı hedef diski otomatik kapatır ve bize yeni/farklı bir hedef diski bağlamamız için sorar. Bu işlem sırasında Tableau TD1 cihazı “KAPALI” olmamalıdır.
2. Menüler ve Seçenekler:
Tableau TD1 cihazının menüleri bir ağaç yapısı içinde düzenlenmiştir. Ana menü altında ağacın her dalı numaralandırılmıştır. Bu numaralar sayesinde cihazın yönetimi daha kolay hale getirilmiştir. Ana menü altında bulunan her menünün ayrıntıları aşağıda gösterilmektedir.
1. Duplicate Disk Disk çoğaltma
1.1 Disk-to-Disk Bire bir kopyalama (klonlama)
1.2 Disk-to-File İmaj dosyası olarak kopyalama
2. Format Formatlama
2.1 Format Dest Hedef disk formatlama
2.1.1 Quick FAT32 FAT32 dosya sistemi hızlı format
2.2 Format USB USB aygıt formatlama
2.2.1 Quick FAT32 FAT32 dosya sistemi hızlı format
3. Wipe Disk Disk Wipe’lama
3.1 One Pass Write Bir geçiş yazma
3.2 Multi Pass Write Çoklu geçiş yazma (3 kez)
4. Hash Utilities Hash hizmetleri
4.1 Hash Source Kaynak disk hash hesaplaması
5. Blank Check Boş alan kontrolü
5.1 Source Disk Kaynak disk
5.1.1 Quick Check Hızlı kontrol
5.2 Dest Disk Hedef disk
5.2.1 Quick Check Hızlı kontrol
6. Disk Information Disk bilgileri
6.1 Source Disk Kaynak disk
6.2 Dest Disk Hedef disk
7. Disk Utilities Disk hizmetleri
7.1 Remove DCO & HPA Disk DCO ve HPA alanı kaldırma
7.1.1 Source Disk Kaynak disk
7.1.2 Dest Disk Hedef disk
7.2 Remove HPA Disk HPA alanı kaldırma
7.2.1 Source Disk Kaynak disk
7.2.2 Dest Disk Hedef disk
7.3 Dest Free Space Hedef kullanılabilir alan
8. Logs İşlem Log kayıtları
8.1 View Logs Log kayıtlarını görme
8.2 Save All Logs Tüm Log kayıtlarını kaydetme (USB)
8.3 Print All Logs Tüm Log kayıtlarını yazdırma (USB)
8.3.1 Newest to Oldest Yeni kayıttan eski kayda doğru
8.3.2 Oldest to Newest Eski kayıttan yeni kayda doğru
8.4 Erase Logs Log kayıtlarını silme
9. Setup Cihaz ayarları
9.1 System Options Sistem seçenekleri
9.1.1 Start Up: File (Disk-to-File) Başlangıçta hangisi seçileceği
Disk (Disk-to-Disk) buradan seçilir
9.1.2 Examiner Name Görevli adı
9.1.3 Date and Time (Yıl/Ay/Gün) Tarih ve saat
(Saat:Dakika)
9.1.4 Language English Dil
9.1.5 Finished Alert: On (önerilen) İşlem bitiş alarmı
Off
9.1.6 Backlight: Off Ekran ışığı
1 min (önerilen)
3 min
9.1.7 Bcklight Alert: On Ekran ışığı alarmı
Off (önerilen)
9.2 Imaging Options İmaj seçenekleri
9.2.1 ImgType: EnCase .e01 İmaj tipi
Raw/DD (önerilen)
Prompt
9.2.2 Show ImgType: On (önerilen) İmaj tipini göster
Off
9.2.3 Chunk Size: 4 GB Dosya boyutu
2 GB (önerilen)
1 GB, 700 MB
9.2.4 Dir Prompt: Yes (önerilen) Klasör yolu göster
No
9.2.5 Dir Name: Model+S/N (önerilen) Klasör adı
Serial Number
Date+Time
9.2.6 File Prompt: Yes (önerilen) Dosya adı istemi
No
9.2 Imaging Options İmaj seçenekleri
9.2.7 File Ext: Default (önerilen) Dosya uzantısı
DMG
9.2.8 Case ID: Prompt (önerilen) Olay ID istemi
Skip
9.2.9 Case Note: Prompt (önerilen) Olay notu istemi
Skip
9.2.10 Err Recov: Fast (önerilen) Hata kurtarma
Complete
9.2.11 Err Limit: No Limit (önerilen) Hata limiti
1000 ,100, One, Zero
9.2.12 Verify Hash: Off (önerilen) Hash doğrulama
On
9.2.13 Restore Defaults Varsayılanları geri yükle
9.3 TD1 Info Cihaz bilgileri
S/N: 01d1000c
FWVersion: 2.37
FWDate: Oct 10 2008
FWTime: 13:30:41
9.4 Power Info Güç bilgileri
–Src Power–
5V: 5.20V 12mA 12: 12.7V 12mA
–Dest Power–
5V: 5.20V 12mA 12V: 12.7V 12mA
–Src Peak-
5V: 5.20V 12mA 12: 12.7V 12mA
–Dest Peak-
5V: 5.20V 12mA 12V: 12.7V 12mA
9.5 Factory Reset Fabrika Ayarlarına Dönüş
Aşağıda menü seçeneklerini ayrıntılı olarak ele alınmıştır.
3. Bağlantıların Yapılması:
- Bağlantıların yapılmasına başlamadan önce, cihazın güç bağlantısının yapılmadığından ve kapalı olduğundan emin olunuz.
- Sabit disklerinize uygun güç ve sinyal bağlantı kablolarını ve adaptörlerini belirleyiniz.
- IDE sabit disklerin bağlantılarında sinyal kablolarının mavi renkli soketlerinin cihaza, siyah renkli soketlerin sabit disklere takılmasına dikkat ediniz.
- IDE sabit disklerin jumper ayarının «MASTER» olmasını sağlayınız.
- Sabit disklerin cihazla bağlantısını tamamladıktan sonra cihazın güç bağlantısını yaparak, güç gösterge led’inin yandığından emin olunuz.
- Açma/Kapama butonu ile cihazı açınız.
Not: Hedef diskin FAT32 dosya sistemiyle biçimlendirilmiş olması gerekir.
4. Disk Çoğaltma (Duplicate Disk): Veri depolama (sabit disk, flash bellek, hafıza kartı vb.) ve geçici barındırma (RAM bellek vb.) özelliğine sahip dijital materyallerin, başka bir veri depolama dijital materyaline bire bir (bit to bit) kopyalarının alınması işlemine denir.
5. Fiziksel İmaj: İmaj alma işleminde fiziksel sürücünün (PhysicalDrive0, PhysicalDrive1 vb.) seçildiği, sıfırıncı sektörden sonuncu sektöre kadar tüm sektörlerin kopyasının çıkarıldığı imaj türüdür.
6. Mantıksal İmaj: İmaj alma işleminde mantıksal sürücünün (C:\, D:\, E:\ vb.) seçildiği, yalnızca seçilen mantıksal sürücüdeki verilerin kopyasının çıkarıldığı imaj türüdür.
Not: TD1 imaj alma kiti «Fiziksel İmaj» alır.
7. Disk-to-Disk (Klonlama): Kaynak tarafına bağlanan sabit diskin, Hedef tarafına bağlanan sabit diske sektör sektör birebir kopyasını (klonunu) oluşturur. Hedef sabit disk kaynak sabit diskten küçük olmamalıdır. Disk-to-Disk (Klonlama) ile HASH değeri hesaplanır. Hedef Sabit Diske «LOG» dosyası kaydı yapılmaz. Adli İmaj Kopyası Değildir.
8. Disk-to-File: Kaynak tarafına bağlanan sabit diskin, Hedef tarafına bağlanan sabit diske sektör sektör birebir kopyasını, görevlinin önceden belirlediği imaj dosyası formatında (.e01, Raw/DD) oluşturur.
- Sabit Diskin HASH değeri hesaplanır.
- Adli İmaj Kopyasıdır.
- İmaj alma işlemine başlamadan önce dikkat edilmesi gereken ilk adım, cihazın «Tarih ve Saat» ayarının doğruluğunu kontrol etmektir.
- Yüksek kapasiteli (Örn. 2 TB) İMAJ sabit diskine, düşük kapasiteli birden fazla DELİL sabit diskinin imajı alınabilir.
- Yüksek kapasiteli (Örn. 2 TB) DELİL sabit diskinin imajı, düşük kapasiteli (Örn. 1 TB) birden fazla İMAJ sabit diskine alınabilir. (İlk İMAJ sabit diski dolduğunda cihaz Alarm Led’ini yakıp söndürerek ekranda HEDEF diskin dolduğu uyarısını verir ve HEDEF sabit diskin gücünü otomatik keser, ikinci bir sabit disk HEDEF tarafına takılıp cihaza onay verilerek imaj alma işlemine kalınan yerden devam edilir.
9. Disk Biçimlendirme (Format): Biçimlendirme menüsünden manuel olarak hedef diski (SATA veya IDE) ye bağlayarak biçimlendirebilirsiniz ya da USB bağlantı noktalarından birine bağlı bir USB yığın depolama aygıtını biçimlendirebilirsiniz.
10. Normal Format: Sıfırıncı sektörden itibaren son sektöre kadar tüm sektörlerin biçimlendirildiği ve NTFS dosya sistemi için MFT’nin, FAT dosya sistemi için MBR’nin oluşturulduğu biçimlendirme şeklidir. Her sektördeki veriler tek tek silinir.
11. Hızlı Format: Disk üzerinde sıfırıncı sektörden itibaren mevcut olan, NTFS dosya sistemi için MFT’nin, FAT dosya sistemi için MBR’nin silinerek yeniden oluşturulduğu biçimlen- dirme şeklidir. Diğer sektörlerdeki veriler tek tek silinmez.
12. Hedef Disk Formatlama (Format Dest): Cihazın HEDEF tarafına takılı sabit diske, FAT32 dosya sisteminde hızlı format atılmasını sağlar.
13. USB Aygıt Formatlama (Format USB): Cihazın ön bölümüne takılı USB aygıta, FAT32 dosya sisteminde hızlı format atılmasını sağlar.
14. Disk Wipe’lama (Wipe Disk): Hedef diski (SATA veya IDE) silmek için iki seçenek vardır. Bunlar, Bir Geçiş Yazma (One Pass Write) ve Çoklu Geçiş Yazma (Multi Pass Write) dır. Format işleminden farklı olarak Wipe işleminde, biçimlendirilen (verileri silinen) her sektöre ayrıca bir harf, rakam veya karakter yazılır. TD1 cihazının Wipe işleminde «F» harfini yazdığı bilinmektedir.
15. Bir Geçiş Yazma (One Pass Write): Cihazın HEDEF tarafına takılı sabit diske, bir defa geçişle yazma yaparak WIPE işlemi gerçekleşir.
16. Çoklu Geçiş Yazma (Multi Pass Write): Cihazın HEDEF tarafına takılı sabit diske, üç defa geçişle yazma yaparak WIPE işlemi gerçekleşir.
18. FIRMWARE Güncelleme: Cihazın Firmware güncellemesinde uygulanacak adımlar:
İmaj alma seti içerisinde bulunan TC7-6-6 kodlu 6 pin FireWire/1394 sinyal kablosunu kullanarak cihazın bilgisayarınızla bağlantısını sağlayınız. Bilgisayarınızda kurulu «Tableau Firmware Update» programını çalıştırınız.
Cihazınızın program tarafından algılandığını gördükten sonra «UPDATE» sekmesini tıklayınız.
Güncelleme işlemi süresince cihazın bilgisayarınızla bağlantısının kesilmemesi ve kapatılıp açılmaması yönünde, gelen uyarı mesajı penceresinde «Tamam» sekmesini tıklayınız.
Güncelleme işleminin tamamlandığını belirten uyarı penceresi gelinceye kadar bekleyiniz.
19. Protokol Modülleri: TD1 ve TD2 ile birlikte kullanılabilen, SCSI sabit disklerden imaj alınmasında kullanılan cihazlardır.
TDP4 SCSI Protokol ModülüTDP6 SAS Protokol Modülü
TDP8 USB Protokol Modülü
Kaynak : Tableau_TD1_Users_Guide, https://www.guidancesoftware.com/products/Pages/ tableau/products/forensic-duplicators/TD2.aspx, Erişim Tarihi: 24 Aralık 2014
Paylaşımınız için teşekkür ederim.benim sorunum 3tb hd imajını alıp right blocker la pc ye bagladığımda “diski bicimlendirin” uyarısı alıyorum. Bu sorunu nasıl düzeltebilirim
e-posta olarak adresinize cevap gönderdim.
Fatih Berber kardeşim elimde imajı alınmı 1 tblık harddisk mevcut uzantılar imaaj01.001,002,003 vs. dıye gıdıyor hangi program kullanarak bu dosyaları bırlestırebılır ve harddıskın ıcınde neler olduguna bakabılırım.
e-posta adresinize dönüş yaptım.
kolay gelsin bu sorundan bende muzdarip im windows tan nasıl açabilirim şimdiden teşekkürler
Sayın Hüseyin bey, bu makalemdeki yönergeleri uygulayarak windows üzerinden imajları açabilirsiniz. http://fatihberber.com/ftk-imager-ile-adli-imaj-goruntuleme/
bu aletle silinen dosyaları geri getirme imkanı varmı
e-posta adresinize dönüş yaptım.
her hangi bir bildirim gelmedi tekrar dener misiniz
Fatih Berber kardeşim elimde imaaj 01.001,002,003 vs. dıye gıdıyor hangi program kullanarak bu dosyaları bırlestırebılır ve harddıskın ıcınde neler olduguna bakabılırım yardımcı olurmusun
eposta adresninize dönüş yapılmıştır
Ben bu aleti dosya geri getirmesi için sipariş vereceğim de bana dosya geri getirmedigi ni söylediler doğrumu acaba
eposta adresninize dönüş yapılmıştır.
imaj dosyaları 001,002,003 olarak gidiyor, ilgili dosyaları hangi program ile açabilirim bilgi verir misiniz?
eposta adresinize dönüş yapılmıştır
Fatih Bey merhaba. benim harddiskimin aşağıdaki şekilde imajı alınmış. image.001 den .161 e kadar gidiyor. bunları nasıl açabilirim ve içindekilerin ne olduğunu nasıl görebilirim? Yardımcı olursanız memnun olurum. Şimdiden teşekkürler
Imager App: TD2u
Imager Ver: 1.2.1 (build 5241-814712f)
E-Posta Adresinize dönüş yaptım.
Mrb fatih bey 2. El veya hesapli bir imaj alma cihazina ihtiyacim var. Ayrica encase veya ftk veya onerebileceginiz lisans sorunu olmayan bir forensic programi da lazim. Cevap verirseniz sevinirim
E-Posta Adresinize dönüş yaptım.
Ürünün güç sağlama adoptörüne nasıl ve nerden ulaşabilirim? Farklı bir güç girişi var. Bir türlü internette de bulamadım?
e-posta adresinize dönüş yapılmıştır.
Tableau_TD1 adlı programdan imajı alınan harddiskimin kopyası tarafıma verildi ama içindeki dosya uzantıları .e01 tarzında çikıyor ve ben bu dosyaları açamıyorum. resimlerimi , belgelerimi göremiyorum. yardımcı olurmusunuz
e-posta adresinize dönüş yapılmıştır.
Tableau_TD1 adlı programdan imajı alınan harddiskimin kopyası tarafıma verildi ama içindeki dosya uzantıları .e01 tarzında çikıyor ve ben bu dosyaları açamıyorum. resimlerimi , belgelerimi göremiyorum. yardımcı olur musunuz? Teşekkürler.
E01 uzantılı dosyaları aşağıda verdiğim yazılımlar ile açarak içeriğini görebilirsiniz.
1) 3. part ücretsiz yazılımlar olan “https://www.sleuthkit.org/autopsy/” programı ile imaj dosyasını ekleyerek inceleme yapabilirsiniz.
2) FTK IMAGER (http://fatihberber.com/adli-bilisim-incelemelerinde-birebir-kopya-alma/) programından FTK Imager Araç Çubuğu Bileşenleri arasında olan “Add Avidence item” üzerinden delil dosyasını ekleyerek içeriğini görebilirsiniz. (indirme adresi: http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2)
3) Forensic Explorer (http://www.forensicexplorer.com/download.php) adresinden 30 günlük full demo indirerek (sadece çalışılan delil dosyasını kaydetme özelliği kapalı) canlı inceleme yaparak içeriğini daha kapsamlı görebilirsiniz.
4) EnCase Forensic Imager ücretsiz sürümü ile Klasör yapıları ve dosya meta verileri de dahil olmak üzere olası kanıt dosyalarının kolay görüntülenmesini ve taranmasını sağlar.
Takıldığınız yer olur ise dönüş yapabilirsiniz.
selam fatih bey bununla veri kurtarma yapılıyormu ayrıca cihazı nerden alabiliriz tşklr.
Tableau_TD1 cihazı adli incelemelerde kullanılmak üzere birebir kopyalama yapmak için kullanılan cihazıdır. Veri kurtarma yapma cihazı değildir. Veri kurtarmalar yazılımsal ve donanımsal olarak başka cihazlar tarafından yapılmaktadır. eğer diskinizde silinmiş ve üzerine başka veri yazılmamış alan var ise orada bulunan veri de birebir kopyalandığından adli incelemelerde bu silinmiş veriler çıkmaktadır. cihaz sadece diskin tüm alanlarının kopyasını alan cihazdır.
Imager App: TD2u
Imager Ver: 1.2.1 (build 5241-814712f)
Dosyaları açamıyorum. Mail adresime bilgi verirseniz memnuniyet duyarım.
Mesajınız spam klasörüne düştüğünden yeni gördüm. http://fatihberber.com/ftk-imager-ile-adli-imaj-goruntuleme/ yazdığım makaleden yararlanarak açabilirsiniz.
TD 2U nun da tanımı işlevini bugün yaparmısın abi çok ihtiyacım var teşekkür ederim şimdiden.
Genel Olarak TD1 Cihazı ile aynı sayılır. Ayrıntıları https://www.guidancesoftware.com/tableau/hardware/td2u adresinden inceleye bilirsiniz.
merhaba Fatih bey, bu cihazlar kaynak diskten okuma hedefe yazma işlemi yaparken, yazılanları verify da ediyor mu? yoksa tüm imaj alma işlemi bitince mi baştan sona verify ediyor??
İmaj oluşturma işleminden sonra doğrulama işlemi gerçekleştirilmektedir.
merhaba Fatih bey, datalar, cihaz tarafından ,imaj alma sırasında mı yoksa imaj alma işlemi bittikten sonra mı verify ediliyor ?
İmaj oluşturma işleminden sonra doğrulama işlemi gerçekleştirilir.
Bu cihazın menüleri arasında bulunan “9.2.12 Verify Hash: Off (önerilen) Hash doğrulama
On” seçeneği ile doğrulama kapalı gelmektedir. eğer seçeneğinin “on” seçilmesi durumunda imaj oluşturma işleminden sonra bir doğrulama işlemi gerçekleştirilir ve bu işlem imaj alma süresini iki katına çıkartacak bir işlemdir.
1 tblık harddisk mevcut uzantılar imaaj01.001,002,003 vs. dıye gıdıyor hangi program kullanarak bu dosyaları bırlestırebılır ve harddıskın ıcınde neler olduguna bakabılırım.
Sayın Yavuz bey;
ilgili makalamedeki aşamaları takip ederek disk içeriğini görüntüleyebilir ve istediğiniz verileri dışarı çıkarabilirsiniz.
http://fatihberber.com/ftk-imager-ile-adli-imaj-goruntuleme/
Fatih Berber kardeşim elimde imajı alınmı 1 tblık harddisk mevcut uzantılar imaaj01.001,002,003 vs. dıye gıdıyor hangi program kullanarak bu dosyaları bırlestırebılır ve harddıskın ıcınde neler olduguna bakabılırım.bu cevaben gönderdiğiniz mesaja bende mailime cevap alabilirmiyim çok acil lazım teşekkurler
e-adresinize dönüş yapılmıştır.