Getdata Forensic Imager

Adli Bilişim incelemelerinde orjinal delille çalışılmaz, tüm çalışmalar orjinalden bire-bir kopyalanarak oluşturulan adli imaj üzerinde gerçekleştirilir. Bu nedenle delilin imajının alınması, Adli Bilişim sürecinin ilk ve en önemli adımlarından biridir.

Adli imaj çeşitli yazılım ve donanım kullanarak oluşturulur. Bugün 1.1.0 sürümünü inceleyeceğim Avusturalya’lı Getdata firmasına ait Forensic Imager adlı yazılım da adli imaj alabileceğiniz onlarca yazılımdan bir tanesi fakat FTK Imager, Guymager ve EnCase Forensic Imager gibi diğer rakiplerinden ayrılan önemli özellikleri var.

Kurulum ve Kullanım Kolaylığı

Getdata’nın resmi sitesinde belirtilmemiş olsa da, kurulumda kopyalanan 12MB’lık ForensicImager.Exe isimli uygulama dosyası herhangi bir kütüphane veya ek dosyaya ihtiyaç duymadan kendi başına çalışabiliyor. Uygulama dosyasını bir USB diske kopyalayıp tüm Windows sistemlerde kullanmak mümkün. Adım adım ilerleyen menü sihirbazları, büyük düğmeler ve simgeler kullanım kolaylığı sağlarken hata yapma şansını azaltıyor.

İmajlar Arası Dönüşüm

Yazılım; E01, AFF ve DD (RAW) formatındaki imajları birbirleri arasında kolayca dönüştürme özelliğine sahip. Örneğin EnCase imajlarını LiveView/VMware kullanarak canlandırmak istediğinizde RAW formatına dönüştürmeniz gerekecektir. Bu noktada Getdata Forensic Imager’ı kullanabilirsiniz.

Sektör Aralığı Belirtme

Getdata Forensic Imager, orjinal medyanın tümü yerine istediğiniz aralıktaki sektörlerin imajını almayı olası kılıyor. Örneğin ilk 100 sektörü bozuk olan ve kopyalanamayan bir medyayı 101. sektörden başlatarak imajını almak mümkün.

Türkiye’de Emniyet 2011 yılına kadar imaj almak için EnCase’in 4.x sürümlerini sıklıkla kullandı. Bu sürümde alınan imajlarda son sektör gözardı edildiğinden diğer programlar ile alınan HASH değerleri aynı olmuyor ve delil bütünlüğünün korunup korunmadığı kesin olarak ifade edilemiyordu. Getdata Forensic Imager ile son sektör gözardı edilerek imaj alınabilir ve imajın HASH değeri EnCase 4’te alınan imajdaki değerle doğruluğu karşılaştırılabilir.

Diğer Özellikler

Yeni çıkan sürümleri otomatik olarak güncelleme, MD5, SHA1 ve SHA256 HASH değeri hesaplama ve her sektör için SHA256 HASH değeri hesaplama, imaj dosya büyüklüğü belirtme, imaj sırasında transfer hızı ve süre bilgisi gösterebilme, ayrıntılı kayıt (log) tutabilme, EnCase imajları için sıkıştırma ve vaka detayları girebilme. Program ayrıca her sektörün ayrı ayrı HASH değerini hesaplatabiliyor ve bu özelliği ile kısmen bozuk disklerdeki veri bütünlüğü kontrol edilebiliyor.

Yaptığım testlerde imaj alma hızını rakipleri (AccessData FTK Imager, EnCase Imager, Guymager) ile aynı seviyelerde tespit ettiğim program Getdata’nın web sitesinden ücretsiz olarak indirilebilir. http://www.forensicimager.com