Tableau TX1 Cihaz İncelemesi

Giriş

Dijital adli bilişim süreçlerinde, verilerin güvenli ve bütünlüğü bozulmadan kopyalanması kritik bir öneme sahiptir. Bu yazımızda inceleyeceğimiz Tableau TX1, bu ihtiyaca yönelik olarak hızlı, güvenilir ve geniş kapsamlı medya desteği sunan bir adli kopyalama cihazıdır.

Tableau TX1 Nedir?

Tableau TX1, SAS/SATA sabit diskler, USB 3.0 harici sürücüler, flash bellekler, PCIe ve FireWire arayüzüne sahip medyalardan yazma korumalı olarak adli imaj almak, disk klonlamak ve güvenli veri silme (wipe) işlemleri yapmak için kullanılan bir adli bilişim cihazıdır.

Desteklenen İmaj Formatları

• .ex01, .e01 (Gelişmiş adli imaj formatları)
• Raw/DD (Ham disk imajı)
• .DMG (Mac uyumlu imaj formatı)

Öne Çıkan Özellikler

• Geniş Bağlantı Desteği: SATA, SAS, PCIe, USB 3.0 ve FireWire desteği
• Ek Modül Gerektirmez: IDE diskler için adaptör desteği mevcuttur
• Birden fazla kaynak veya hedef desteği: TX1, aynı anda birden fazla kaynaktan veya hedefe işlem yapabilirsiniz.
• Paralel İmaj Alma: Tek seferde dört farklı hedefe imaj alabilirsiniz.
• Ağ Depolama Desteği: NAS ve diğer ağ depolama çözümlerine doğrudan kopyalama yapabilirsiniz.
• Yazma Koruma: Kaynak diskte değişiklik yapılmasını engelleyerek veri bütünlüğünü korur.
• Güvenli Veri Silme: Sektör bazlı wipe işlemiyle hassas verileri kalıcı olarak silebilirsiniz.
• Hash Doğrulama: MD5, SHA-1 ve SHA-256 hash desteğiyle imajların bütünlüğü kontrol edebilirsiniz.
• Dokunmatik Ekran ve Türkçe Arayüz: Kullanıcı dostu bir deneyim sunar.

Kimler İçin Uygundur?

• Adli bilişim uzmanları (Dijital delil toplama ve inceleme)
• Siber güvenlik ekipleri (Veri analizi ve olay müdahalesi)
• Kurumsal BT yöneticileri (Hassas veri yedekleme ve kurtarma)

Cihaz Tanıtımı

Cihazın sol tarafı source (kaynak) yazma korumalıdır. Sol taraf incelendiğinde FireWire, 2 adet SATA/SAS,  USB 3.0 ve PCle kaynak girişleri bulunmaktadır. Cihazın sağ tarafı ise destination (hedef) tarafıdır.

Sağ tarafında 2 adet SATA/SAS, ve bir adet USB 3.0 girişi bulunmaktadır. Bu girişlere çoklayıcı kullanılarak daha fazla sürücü takılabilmektedir.

Cihazın ön tarafı ise Accessory kısmı yani takılan sürücülerin biçimlendirme, format gibi işlemleri yapmanızı sağlar. Burada 2 adet USB 3.0 girişi vardır. Son olarak cihazın arka kısmında güç girişi ve Ethernet girişi vardır.

Ana Menü

Cihaz açıldığında ilk olarak ana menü karşımıza çıkmaktadır. Ana menüde şu seçenekler bulunmaktadır: Duplicate, Logical, Verify, Hash, Browse, Restore, Mobile.

Duplicate (Çoğaltma)

Disk imajı (adli kopya) alma ve klonlama (disk çoğaltma) işlemlerinin gerçekleştirildiği bölümdür. Aynı anda iki imaj alma işlemi yapılabilirsiniz.

• Job Notes kısmında examiner name (inceleyen kişi), case ID (vaka kimliği) ve notes kısımları bulunmaktadır.
  • Source kısmında imajını almak istediğimiz kaynağı seçiyoruz. Buradan kaynak sürücüsünü değiştirilebilirsiniz ya da 2 kaynak ekleyebilirsiniz.
    • TX1’in Shelve DCO/AMA özelliği, kaynak diskteki DCO/AMA’yı geçici olarak devre dışı bırakır, tüm verileri alır ve işlem sonunda eski ayarları geri yükler. Bu, eksiksiz veri edinimi sağlar ve diski orijinal durumuna döndürür.

Not: DCO (Device Configuration Overlay): Üreticinin disk kapasitesini kısıtlamak için kullandığı bir özelliktir. Gizlenmiş veriler içerebilir.

AMA (Accessible Max Address): Sistemin erişebileceği en yüksek disk sektörünü belirler. Veri saklama veya gizleme amacıyla değiştirilebilir.

• Hash değeri için MD5, SHA-1, SHA-256 türlerinden en fazla 2 tür seçebiliriz.
• Destination kısmında seçilen her hedef sürücü için, sürücü kutucuğunun altında bir iş türü paneli genişler. Hedefe klonlamak için Clone düğmesini seçin veya hedefe imaj almak için Image (Görüntü) düğmesini seçiniz.
  • İşlemin başlatılabilmesi için hedef sürücüsünün boyutu kaynak sürücüsünün boyutundan büyük veya eşit olmalıdır.
• Common Settings kısmını ortak ayarları değiştirmek için kullanıyoruz. Burada alınmasını istediğimiz hash türünü, verify ( doğrulama) işleminin yapılmasını isteyip istemediğimizi, error retry ile bozuk bir sektör varsa sektörü atlamadan ya da sıfır yazmadan önce hatalı sektörleri okumayı kaç kere deneyeceğini seçebiliyoruz.
• İmage Settings ise imaj formatı ( Ex01, E01, DD, DMG) ve seçilen formata göre eğer sıkıştırma işlemi varsa dosya boyutu seçilmektedir.
• Tüm ayarlamaları yaptıktan sonra START DUPLICATION butonuna tıklayarak çoğaltmayı başlatabilirsiniz.
• Eğer başka bir işlem sıraya koymak istiyorsanız otomatik al seçeneği ile işleri kuyruğa alabilirsiniz.

Not: Ex01 en yaygın adli kopya formatıdır ve verilerin ile metadata’nın bütünlüğünü sağlar. E01 de sık kullanılan bir adli disk görüntüleme formatıdır, ayrıca sıkıştırma ve şifreleme desteği sunar.

DD ise Unix/Linux sistemlerinde disk yedekleme için kullanılan bir formattır ve byte-level kopyalar alır. DMG ise Mac OS X için kullanılan bir disk görüntüleme formatıdır, sıkıştırma ve şifreleme seçenekleri de vardır.

Logical (Mantıksal)

TX1, yerel olarak bağlı ve ağ tabanlı kaynak dosya sistemlerinden dosya tabanlı kanıt toplamaya izin veren güçlü bir mantıksal görüntüleme işlevi sağlar. Bu araç, tüm fiziksel sürücüyü almak yerine belirli ilgili dosyalara odaklanarak zamandan tasarruf etmenizi sağlar. TX1 mantıksal görüntüleme, tanınan dosya sisteminin yapısını anlar ve istenen kaynak dosya verilerini ve/veya meta verileri alır.

Mantıksal imaj içerisinde yine Duplicate bölümünde olduğu gibi examiner name (inceleyen kişi), case ID (vaka kimliği) ve notes kısımları bulunmaktadır. Bu kısımlar haricinde ek olarak imajını alınmasını istediğiniz dosyayı seçebileceğiniz “Files To Acquire (Alınacak Dosyalar)” kısmı bulunmaktadır. Burada All files and folders (tüm dosyalar ve klasörler), Define what to include (hangi dosyalar dahil edilecek), Define what to exclude (hangi dosyalar dışlanacak) olmak üzere 3 seçenek bulunmaktadır.

Verify (Doğrulama)

Tek başına doğrulama işlemi imaj dosyasındaki verileri okuyarak hash değeri hesaplar ardından hesaplanan hash değeri ile imaj dosyasındaki hash değeri ile karşılaştırılarak imaj dosyasının bütünlüğünü doğrular. Bu işlem hedef sürücüsünde gerçekleşmektedir.

Browse (Tarama)

Cihaza takılı herhangi bir sürücünün içeriğini görüntülenmesini sağlar. Burada herhangi bir dosyanın boyutunu, dosya adını sonunda görebilirsiniz.

Ayrıca TX1, belirli bir metin veya görüntü dosyası türlerini ekran üzerinde görüntüleyebilmenizi sağlar. Yine cihaz tarafından oluşturulan log dosyalarını doğrudan görüntüler. 256 KB’tan büyük metin dosyaları görüntülenirken sadece 256 KB’lık veri gösterili, dosyanın geri kalanı kesme işlemini belirten bir iletiyle kesilir. Dosyanın tamamını görüntüleyebilmek için uzak web arayüzü kullanarak veya imajını alarak adli analiz araçlarında inceleyebilirsiniz.

Restore (Geri Yükleme)

Geri yükleme işlemi cihaz aracılığıyla önceden alınmış bir imaj dosyasından orijinal sürücü biçiminin yeniden oluşturulmasıdır. Bunun için imaj dosyasının içerisinde bulunan paketlenmiş log dosyası ile yapar. Bu işlem mantıksal imajlarda işe yaramaz.

Bir Geri Yükleme (Restore) işlemi başlatıldığında, TX1, hedef diski hazırlamak için sektör 0, sektör 1 ve diskin sonundan bir önceki sektörü siler. Bu işlem, diskte eski bölümleme tablosu verilerinin kalmasını önleyerek, geri yükleme işlemi tamamlandığında disk algılama sorunlarının oluşma ihtimalini azaltır.

Not: Sektör 0 → MBR (Master Boot Record) veya GPT (GUID Partition Table) içeren bölümdür. Bu bölüm, disk üzerindeki bölümlerin (partitions) tanımlandığı yerdir.

Sektör 1 → Dosya sistemi ile ilgili metadata veya ek yönetim bilgilerini içerebilir.

Son sektör (End-of-drive – 1) → Diskin en son bölümü, bazı disk yapılandırmalarında yedek GPT tablosu veya diğer kritik verileri içerebilir.

Eğer bu tür cihazlara ilginiz varsa, “TABLEAU TD3 Cihaz Seti İncelemesi” ve “TABLEAU TD3 arayüz incelemesi” adlı yazılarımızı da inceleyebilirsiniz.