Yeni ama iddialı bir Adli Bilişim Yazılımı: “Forensic Explorer”
Mount Image Pro, Recover MyFiles gibi başarılı yazılımları ile tanınan GETDATA firması ürettiği “Forensic Explorer” yazılımı ile Adli Bilişim sektörüne hızlı bir giriş yaptı. Biz de sizler için yazılımı test ettik ve denedik. İşte sonuçları:
1. Kurulumu çok kolay ve basit, kurtarken sadece “next-ileri” demeniz yeterli ve kurulum esnasında herhangi bir özel ayara ihtiyaç duymamaktadır. 30 sn içerisinde kurduk ve hemen kullanmaya başladık. Yazılım Codemeter USB yazılım lisansı bilgisayara taklılı olarak kuruluyor. 30 günlük deneme sürümü için herhangi bir USB lisansa gerek duymadan http://www.forensicexplorer.com/download.php adresinden indirilip kullanılabiliyor. Forensic Explorer 1.5 sürümünün ana giriş ekranı aşağıdaki gibi görünmektedir:
2. Yazılım kurulduktan sonra ilk önce temel ayarlar Sol üst köşedeki turuncu renkli “Forensic Explorer” yazısına tıklanıp “Options” bölümü açılarak yapılmaktadır.
3. Ayarlar tamamlandıktan sonra, yazılımımızda bir vaka (case) oluşturarak bir adli kopya (imaj) dosyası yüklenebilir hale gelmektedir.
4. Forensic Explorer, sadece imaj dosyası değil, fiziksel ya da mantıksal bir disk, birden fazla adli kopya (imaj) dosyası aynı anda, tek bir özel dosya ya da adli kopya (imaj) grupları seçilerek inceleme yapılabilmektedir. (Diğer adli bilişim yazılımlarından en büyük farkı ise, farklı olaylara ait adli kopyaları gruplar halinde belirleyip bu gruplara ait tüm adli kopyaları aynı anda vakaya ekleyip birbiri üzerinde karşılaştırma ya da toplu inceleme yapmak mümkün olmaktadır.)
5. Forensic Explorer ile Windows yüklü bilgisayarımızın ilk bölümünü (C:\) açtık ve bir fotoğraf dosyasını görüntüledik:
6. Forensics Explorer diğer Adli Bilişim yazılımlarında bulunan pek çok özelliği standart olarak sunuyor. Bunlar sırası ile:
- Sayısal imza hesaplama (hashing) ve sayısal imza karşılaştırma (Hash Match)
- Tekil ve çoğul anahtar kelime arama (Keyword Search)
- İndeksleme yapma (Index Search)
- Sık kullanılanlara ekleme (Bookmarks)
- Özel şablonla raporlama (Reporting)
- Yardımcı yazılım desteği (Scripting) (Not: EnCase’de kullanılan onlarca script standart olarak bir butona tıklamak kadar kolay kullanılabiliyor)
- Windows Registry Analizi (Registry)
- E-posta analizi (Email)
- Disk shadow kopyası incelme (Volume Shadow Copy)
- Veri kazıma (Data carving)
- Hardware ve Software RAID sistem kopyaları (JBOD, RAID 0, RAID 5)
7. Forensic Explorer’ın ara yüzü diğer adli bilişim yazılımlarına kıyasla çok daha kullanıcı dostu, özellikle TAB şeklinde bölünmüş menüler kullanıcıya inceleme yaparken güven veriyor ve yazılım çakılmadan kararlı bir şekilde çalışıyor. Testimizi Intel i3-M380 işlemci ve 4GB DDR3 1600 Mhz bellek ve 1 GB Intel ekran kartı ve 128 GB SSD bulunan bir dizüstü bilgisayar ile yaptık ve yazılımla ilgili herhangi bir soruna rastlamadık.
8. Forensic Explorer tarafından desteklenen adli kopya (imaj) formatları:
•DD or RAW;
•EnCase® (.E01, .L01, Ex01);
•FTK® (.E01, .AD1 formats);
•Forensic File Format .AFF
•SMART®
•ISO (CD and DVD image files);
•VMWare®
•ProDiscover®
•Microsoft VHD
•Apple DMG
9. Forensic Explorer tarafından desteklenen dosya sistemleri (file systems):
•Windows FAT12/16/32, exFAT, NTFS,
•Macintosh HFS, HFS+
•EXT 2/3/4
•Hardware and Software RAID: JBOD, RAID 0, RAID 5
10. Forensic Explorer Adli Bilişim Yazılımı hakkında daha detaylı bilgilere ulaşmak için lütfen aşağıdaki adresleri kullanınız:
- 30 günlük deneme sürümünü indirmek için:
http://www.forensicexplorer.com/download.php ya da
http://download.getdata.com/support/fex/ForensicExplorer-Evaluation(v1.5.0.2490).en.exe
- Yazılımın kurulum ve kullanım kılavuzunu indirmek için:
http://www.forensicexplorer.com/forensic-explorer-user-guide.en.pdf#page=1
- Yazılımın tanıtım ve bazı özelliklerinin videolarını izlemek için:
http://www.forensicexplorer.com/video.php
Forensic Explorer Türkiye temsilcisi olarak, Forensic Explorer ile ilgili eğitim ve yayınlarımız devam edecek. Takipte olalım.
DIFOSE ekibi olarak güvenli günler diler, her türlü soru ve talepleriniz için e-posta adresimiz: [email protected]