DITTO DX Forensic ile Dijital Veri Analizi

Günümüzde dijital veri kurtarma ve adli analiz işlemleri, dijital cihazların hızla artması ve veri miktarının büyümesi nedeniyle giderek karmaşık ve zorlu bir süreç haline gelmiştir. Dijital veri kurtarma uzmanları ve adli analistler, her türlü dijital cihazdan veri toplamak, analiz etmek ve adli süreçlerde kullanılabilir hale getirmek için güvenilir ve verimli araçlara ihtiyaç duymaktadır. İşte bu noktada, DITTO DX Forensic cihazı, dijital veri kurtarma ve analizinde önemli bir rol oynamaktadır.

DITTO DX Forensic Nedir?

DITTO DX Forensic, dijital veri kurtarma ve analiz işlemlerini kolaylaştırmak amacıyla tasarlanmış bir taşınabilir cihazdır. Bu cihaz, veri kurtarma uzmanları, siber güvenlik uzmanları ve adli analistler tarafından dijital delillerin güvenli ve etkili bir şekilde toplanması ve analiz edilmesi için kullanılır. DITTO DX Forensic, dijital veri analiz süreçlerini hızlandırırken, verilerin bütünlüğünü koruyarak adli süreçlerde kullanılabilir kanıtların elde edilmesine olanak tanır.

DITTO DX Forensic Kutu İçeriği

Ditto DX Forensic FieldStation Cihazı1
SAS -> eSATA + MiniFit Güç kablosu dönüştürücü3
IDE Kablosu1
12V Güç Kaynağı1
Güç Kablosu1
Legacy güç -> MiniFit Güç dönüştürücü1
Ethernet Kablosu (RJ45)1
Velcro Kablo Sargısı1
eSATA Kablosu2
SD Kart1
Ditto DX Harici Fan1

DITTO DX Forensic’in Özellikleri ve Avantajları

  1. Taşınabilirlik: DITTO DX Forensic, taşınabilir bir cihaz olduğundan sahada veya olay yerinde hızlı müdahaleleri mümkün kılar.
  2. Çoklu Ortam Desteği: Cihaz, bilgisayarlar, mobil cihazlar, hafıza kartları, USB sürücüler ve daha fazlası dahil olmak üzere çeşitli dijital depolama ortamlarından veri toplamak için uygundur.
  3. Veri Bütünlüğü: DITTO DX Forensic, veri toplama ve analiz işlemlerini bütünlük açısından korur ve orijinal verilerin değiştirilmesini önler.
  4. Cihaz, kullanıcı dostu arayüzü sayesinde veri kurtarma ve analiz süreçlerini daha verimli hale getirir.
  5. DITTO DX Forensic, bilgisayarlar, mobil cihazlar, hafıza kartları, USB sürücüler, sabit diskler ve diğer dijital depolama ortamlarından veri toplamak için geniş bir veri depolama desteği sunar. Bu sayede, çeşitli dijital cihazlardan veri toplamak ve analiz etmek kolaylaşır.
  6. Cihazın güçlü donanımı, yüksek hızda veri kopyalama ve imaj alma işlemleri yapar. Bu da dijital veri kurtarma süreçlerinin verimli bir şekilde tamamlanmasına katkı sağlar.
  7. DITTO DX Forensic, dijital cihazlarda yapılan veri silme işlemlerini tespit edebilir. Bu özellik, suç delillerinin yok edilip yok edilmediğini belirlemede önemli bir rol oynar.
  8. Cihaz, farklı dosya sistemlerini analiz ederek verilerin yapılandırılmasını ve dosya ilişkilerini anlamada yardımcı olur.
  9. DITTO DX Forensic, büyük miktardaki veriler içinde metin tabanlı aramalar yaparak belirli anahtar kelimeleri veya ifadeleri bulmayı kolaylaştırır.

LightBar Rengine Göre Durum Bilgisi:

RENKDURUMAÇIKLAMA
MaviSabitBoşta.
MagentaSabitBir işlem yapılıyor.
YeşilSabitBir işlem başarıyla tamamlandı
KırmızıSabitBir hata algılandı ya da çalışan eylem kullanıcı tarafından iptal edildi.
  Sarı  Sabit Yanıp Sönüyorİşlemci, önerilen max sıcaklığa ulaşmak üzere. CRU, Ditto DX harici fan kullanmanızı önerir. Çalışmakta olan eylem Ditto DX tarafından sıcaklık sorunu yüzünden askıya alındı ve sıcaklık önerilen değere inince işlem kaldığı yerden devam edecek

KURULUM

Dittto DX Forensic FieldStation makinesinin kontrol arayüz (control interface) kısmında güç tuşu, 12V güç kaynağı için güç girişi, klavye ya da wifi adaptörü kullanımı için iki adet SD kart slotu, Ditto DX tarayıcı arayüzü (3. bölüm) erişimi için RJ45 Ethernet portu ve tüm ışıkları kapatıp gece görüş moduna alan stealth tuşu bulunmaktadır (10. bölüm).

Şüpheli disk veya cihazlar Ditto DX’in kaynak giriş kısmına (source inputs) bağlanır. Tüm kaynak girişleri değişiklikleri engellemek için yazma korumalıdır. Kaynak giriş kısmında USB 3.0 portu, bir adet RJ45 Ethernet portu, IDE/PATA disk portu, SATA diskleri ya da eSATA cihazı için bir adet eSATA portu, Ditto DX adaptör takımı için ya da SAS veya FireWire genişletme modülünü kullanmak için PCIe x4 portu bulunur.

Elde edilen veriler için Ditto DX’in hedef çıkış (destination outputs) kısmı kullanılır. Hedef çıkış bağlantıları arasında iki adet USB 3.0 portu, RJ45 Ethernet portu, SATA diskleri için ya da eSATA cihazları için iki adet eSATA portu, yukarıda bahsedilen PCIe adaptör takımını ve genişletme modüllerini kullanmak için bir adet PCIe x4 portu vardır.

NOT: Ditto DX forensic fieldstation cihazına başka bir cihazı bağlarken gücün kapatılması önerilir. Aksi taktirde Ditto DX cihazında hasar ya da disklerde veri kaybı ve hasar oluşabilir.

TARAYICI ARAYÜZÜ

Ditto DX ön panelden ya da tarayıcı arayüzünden kullanılabilir.

Ağ üzerinden erişme: 

a. Ditto DX Control Interface tarafındaki RJ45 portuna ethernet kablosu bağlanır.
b. Kablonun diğer ucunu router ya da hub’a bağlayın.
c. Güç kablosunu bağlayın.
d. Ditto DX’i arkadaki güç tuşunu kullanarak açın (0 = off, 1 = on)
e. Ditto DX’i daha önce konfigüre ettiyeseniz ve kullandığı IP adresini biliyorsanız, bu bölümün son kısmına gidin. Ditto DX’i konfigüre etmediyseniz, aşağıdaki iki yöntemden birini kullanın.  

DHCP kullanarak konfigüre etme

a. Aşağı yön tuşunu kullanarak Settings bölümünü bulun, daha sonra sağa basarak devam edin.
b. “Ctl Network Settings” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın. 
c. “Ctl Network” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın.
d. “Disabled” görüyorsanız, sağa basarak bu ayarı değiştirin. Yukarı daha sonra sağa basarak ayarı değiştirin. “Enabled” görünce diğer adıma geçin.
e. “Ctl Network Mode” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın.
f. İkinci Satırda “Client (DHCP)” den farklı birşey yazıyorsa, ayarı “Client (DHCP)”, olarak değiştirin.
g. “Ctl IP Address” bölümüne gidin.
h. Verilen IP adresi ile bilgisayarda statik IP kurduktan sonra tarayıcıya verilen IP adresini girin.

Static IP kullanarak konfigüre etme

a. Aşağı yön tuşunu kullanarak Settings bölümünü bulun, daha sonra sağa basarak devam edin.
b. “Ctl Network Settings” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın. 
c. “Ctl Network” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın.
d. “Disabled” görüyorsanız, sağa basarak bu ayarı değiştirin. Yukarı daha sonra sağa basarak ayarı değiştirin. “Enabled” görünce diğer adıma geçin.
e. “Ctl Network Mode” kısmını bulana kadar aşağı ya da yukarı tuşunu kullanın.
f. İkinci Satırda “Client (Static IP)” den başka bir şey yazıyorsa ayarı değiştirin. Ayarı kaydedip diğer adıma geçin.
g. “Ctl IP Address” bölümüne gidin.
h. IP adresi bu ekrandan değiştirebilirsiniz. Control interface tarafındaki USB 2.0 portlarından klavye bağlayarak IP adresi girebilirsiniz. Klavyeniz yoksa sağ ve sol yön tuşlarını kullanarak numara seçip IP adresi girebilirsiniz. İşlem bitince sağ yön tuşuna basıp ayarı kaydedin.
i. Verilen IP adresi ile bilgisayarda statik IP kurduktan sonra tarayıcıya verilen IP adresini girin.

ANA EKRAN

Ana ekran giriş yapıldında ilk gelen ekrandır ve çoğu işlem bu ekrandan yapılır.

ACTION

“Action” paneli klonlamayı başlatma ya da iptal etme gibi tüm işlemlerin yapıldığı bölümdür. “Comment” butonuna tıklayarak log’a eklenecek bir not alınabilir. “Configure” [0] butonu ise her bir işlem için varsayılan ayarları değiştirmek içindir. Aynı işlem üst paneldeki “CONFIGURE” [1] kısmından da yapılabilir.

Clone Source Disk

Ditto DX kaynak diskin birebir kopyasını bir ya da iki diske yazabilir. Ayrıca Ditto DX kaynak diski klonlama işleminde kaynak diskin MD5, SHA-1, SHA-256, MD5 & SHA-256 algoritmalarını kullanarak hash’ini alabilir.

Klonlamak için aşağıdaki işlemleri takip edin.

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Clone Source Disk” seçin.
  2. Kaynak ve hedef diski seçin.

Kaynak ve hedef diskler aynı türde olmak zorunda değildir ama hedef disk, kaynak diskten daha fazla kapasiteye sahip olmalıdır. Klonlama işleminin sonuçlarını ana ekranın alt kısmında bulunan “System Log” kısmında ya da üst paneldeki “LOGS” butonu ile görülebilir.

Physical Image Source Disk

Ditto DX Forensic FieldStation kaynak diskin E01 ya da DD formatındaki imajını bir ya da iki hedef diske yazabilir. [0]NOT: Ayrıca Ditto DX imaj alırken kaynak diskin MD5, SHA-1, SHA-256, MD5 & SHA-256 algoritmalarını kullanarak hash’ini alabilir

En iyi performansı almak içim Windows için NTFS dosya sistemi, Mac için HFS+, Linux için XFS önerilmektedir.

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Physical Image Source Disk” seçin.
  2. “Physical Image Type” açılır menüsünden hangi tipte imaj alınacağını seçin. Mevcut imaj tipleri E01 ve DD olmak üzere iki tanedir. Varsayılan olarak gelen imaj tipi ana ekran altında System Settings Configure butonu [0] ile değiştirilebilir. Aynı işlem üst paneldeki CONFIGURE butonu altında System sayfasında da değiştirilebilir
  3. Kaynak diski seçin.
  4. Partition açılır menüsünden hangi disk bölümlerinin (Disk partition) imajının alınacağını seçin. “All” seçeneği ile kaynak diskin tümü imajlanabilir.
  5. Hedef diski seçin.Hedef diski seçin.
    İki hedefe aynı anda imajlamak için “Dual Destiantions” seçeneği aktif olmak zorundadır. Aktif etmek için “Configure” paneli “System” bölümü “Advanced Settings” . Bu özellik aktifleştirildikten sonra 1. Hedef diske yapılacak işlem Destination ve Partition açılır menüleri ile ayarlanır, 2. Hedef disk için de Destination 2 ve Partition 2 kullanılır.
  6. Start butonu ile işlemi başlatın. İşlem bitince “Completed” mesajı veren açılır pencere belirecek.
    Kaynak ve hedef diskler aynı türde olmak zorunda değildir ama hedef disk, kaynak diskten daha fazla kapasiteye sahip olmalıdır. Ayrıca E01 Compression kullanmak bu konuda yardımcı olabilir. İmaj alma işleminin sonuçlarını ana ekranın alt kısmında bulunan “System Log” kısmında ya da üst paneldeki “LOGS” butonu ile görülebilir.

Logical Image Source Disk

Mantıksal imaj araştırmacının sabit diskin içeriğini hızlı bir şekilde incelemesini ve L01, ZIP, TAR, ya da LIST gibi sadece soruşturmayla ilgili dosyalara erişmesini sağlar. Mantıksal imaj almak için aşağıdaki adımları takip edin.

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Logical Image Source Disk” seçin.
  2. Logical Image Type açılır menüsünden hangi tipte logical image alınacağını seçin. Mevcut imaj tipleri L01, TAR, ZIP ve LIST olamk üzere 4 tanedir. Varsayılan olarak gelen imaj tipi Configure ekranındaki System sekmesinden değiştirilebilir.

“Logical Image Source Disk” işlemi kaynak diskten seçilmiş klasör ve dosyaların raporunu oluşturur, bununla birlikte dosya boyutları ve işlem sırasında karşılaşılan hatalar da rapora eklenir.

  1. Logical Image Mod’unu açılır menüden seçin. Bu bölümün sonunda mevcut modlar ekenlenmiştir.
  2. İmajı alınacak kaynak diski “Source” açılır menüsünden seçin. Daha sonra hangi disk bölümlerinin imajlanacağını “Source” menüsü altındaki “Partition” açılır menüsünden seçin. “All” seçeneği işaretliyse diskin tümü imajlanır.
  3. Hedef diski “Destination” açılır menüsünden seçin. Daha sonra kullanılacak hedef disk bölümünü “Partition” açılır menüsünden seçin.
  4. Logical Image Mode varsayılan olarak “Manual Select” gelir. Bu değeri değiştirdikten sonra Start butonu aktif hale gelir. İşlem tamamlanınca “Completed” mesajı verilen bir açılır pencere belirir.

“Manual Select” seçildiyse bu adımları takip edin:

  • “Select Files & Dirs” butonuna tıklayın, bir diyalog ekranı görünecek.
  • Gelen ekrandan imajlamak istediğiniz dosya ve klasörleri seçin [0].
  • Start butonuna tıklayın. İşlem tamamlanınca “Completed” mesajı verilen bir açılır pencere belirir.

İmaj alma işleminin sonuçlarını ana ekranın alt kısmında bulunan “System Log” kısmında ya da üst paneldeki “LOGS” butonu ile görülebilir.

Logical Image Modları:

Manual Select: “Select Files & Dirs” butonunu aktif hale getirir böylece logical imaj alınacak dosyalar manuel olarak seçilebilir.

All Files and Dirs: Tüm dosya ve kalsörlerin imajını alır.

All Except Windows: Windows klasörü hariç tüm dosya ve klasörlerin imajını alır.

All Except Windows and Programs: Windows, Program Files, Program Files (x86), and ProgramData klasörleri hariç tüm dosya ve klasörlerin imajını alır.

All Users Windows: Tüm Windows “Users” klasörlerinin imajını alır.

All Temporary Windows: Windows/Temp and Temp klasörlerinin imajını alır.

All Except Swap and Hibernate: hiberfil.sys, pagefile.sys, Win386.swp, and 386part.par ismindeki dosyalar hariç tüm dosya ve klasörlerin imajını alır.

All Media Files: Tüm .avi, .jpeg, .jpg, .wav, and .mov dosyalarını, ayrıca uzantısı “.mp” ile başlayan tüm dosyaları (.mpeg, .mp4, .mp3, vb.) ve uzantısı “.m4” ile başlayan tüm dosyaların (.m4a, .m4v, vb.) imajını alır.

All Office Files: Tüm .txt and .pdf dosyaları, uzantısı “.doc”, “.xls”, “.ppt” ile başlayan tüm dosyaların (.doc, .docx, .xlsx, .pptx, etc.) imajını alır.

All Financial Files: Tüm .ifx, .ofx, .qfx, .qif, ve .tax dosyalarının imajını alır.

NOT: Kişiselleştirilmiş Logical Image Modu profilini açılır menüye ekleyebilirsiniz.

Physical Image Logical Image Farkı

Fiziksel İmaj cihazın tam kopyasıdır. Alınabilecek en kapsamlı imajdır. Fiziksel adli imajlar (Physical forensic images) silinmiş disk bölümünü ve dosyal parçalarını (file fragments [0]) da yakalar, şifrelenmiş (encrypted) ve silinmiş verilere erişim sağlar. Avantajı cihaz dosyalarına, loglara tam erişim iken dezavantajı daha fazla maliyet gerektirmesidir.

Mantıksal imaj ise bir diskte kullanıcıya görünen tüm dosyaların imajının alınabildiği yöntemdir. Silinen dosyaları geri getirmez ve cihazın silinmiş bölümündeki veriyi elde edemez. Ayrıca dosya parçalarını (File Fragments) da toplamaz. Avantajı daha az maliyet gerektirmesi iken dezavantajı da silinen dosyalar hakkında bilgi sağlamamasıdır.

File Fragmentation, sabit bir konum yerine dosyanın sabit sürücüde dağılmasını tanımlayan terimdir. Parçalanma, bir sabit sürücüden bilgi silindiğinde ve yeni verilerle doldurulmak üzere geride küçük boşluklar kaldığında ortaya çıkar. Yeni veriler bilgisayara kaydedilirken bu boşluklara yerleştirilir. Boşluklar çok küçükse, kalan kısım diğer mevcut boşluklarda depolanır.

Clone and Image Source Disk

Bu işlem eşzamanlı olarak kaynak diski 1. Hedef diske klonlar ve 2. Hedef diske disk imajını yazar. (Bu işlem için 2 tane hedef disk gerekir.) Ayrıca Ditto DX bu işlem sırasında kaynak diskin MD5, SHA-1, SHA-256, MD5 & SHA-256 algoritmalarını kullanarak hash’ini alabilir. Hash tipi ana ekranda “System Settings” panelinden seçilebilir.

Eşzamanlı olarak klonlama ve fiziksel imaj almak için bu adımları takip edin:

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Clone & Image Source Disk” seçin.
  2. Kaynak diski seçin.
  3. Klonlama yapılacak hedef için “Clone Destination” kısmından disk seçin. Daha sonra imaj işlemi için kullanılacak diski de “Image Destination” kısmından seçin.
  4. “Image Partition” ile alınan imaj dosyasının kaydedileceği hedef disk bölümünü “Destination Disk Partition” bölümünden seçin.
  5. “Physical Image Type” açılır menüsünden hangi tipte imaj alınacağını seçin. Mevcut imaj tipleri E01 ve DD olmak üzere iki tanedir. Varsayılan olarak gelen imaj tipi ana ekran altında System Settings’de Configure butonu ile değiştirilebilir.
  6. Start butonu ile işlemi başlatın. İşlem bitince “Completed” mesajı veren açılır pencere belirecek.

Klon ve İmaj alma işleminin sonuçlarını ana ekranın alt kısmında bulunan “System Log” kısmında ya da üst paneldeki “LOGS” butonu ile görülebilir.

Restore Physical Image

Bir diskten alınan imaj başka bir diske geri yüklenebilir. İmal dosyası DD ya da E01 formatında olmalıdır. Hedef disk kaynak diskle aynı boyutta ya da kaynak diskten daha geniş olmalıdır.

Diski geri yüklemek için bu adımları takip edin:

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Restore Physical Image” seçin.
  2. Source açılır menüsünden fiziksel imajın bulunduğu kaynak diski seçin.
  3. Partition açılır menüsünden kaynak diskin içinde fiziksel imajın olduğu bölümü(partition) seçin.
  4. Destination açılır menüsünden hedef diski seçin.

Hedef disk, kaynak diskten büyük olmalıdır.

  • Select Image To Restore butonuna tıklayın. Geri yükleme(restore) yapılacak imaj dosyasını seçin. İmaj bir grup dosyadan oluşuyorsa, gruptaki ilk dosyayı seçin.
  • Start butonuna basın. Ditto DX imajı geri yükleme işlemini başlatacak.

Erase Destination Image

Ditto DX Forensic Fieldstation seçtiğiniz silme moduna göre hedef disk kısmına takılan diski silebilir. Silme modları aşağıdaki gibidir.

  1. Clear Partition Table
  2. Quick Erase
  3. LBA/Offset Pattern
  4. Custom Erase
  5. Secure Erase Normal
  6. Secure Erase Enhanced
  7. DOD Clear
  8. DOD Sanitize
  9. NIST800-88 Clear
  10. NIST800-88 Purge

Bir diski silmek için aşağıdaki adımları takip edin:

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Erase Destination Disk” seçin.
  2. Erase Mode açılır menüsünden silme modunu seçin. Varsayılan silme modunu System sekmesindeki Configure ekranından değiştirebilirsiniz.
  3. Target açılır menüsünden hedef diski seçin.
  4. Start butonuna basın. İşlem bitince “Completed” mesajı veren açılır pencere belirecek.
  5. Anaekrandaki System Log panelinden silme işleminin sonucuna bakabilirsiniz.

Format After Erase

Ditto DX silme (erase) işleminden sonra format işlemi yapacak şekilde ayarlanabilir. Configure ekranındaki Erase sekmesine gidin. Her silme modu için format after erase seçeneğinin işaretleyin.

Hash Disk

Ditto DX Forensic Fieldstation kaynak disk ya da hedef disk bölümüne takılmış herhangi bir diskin hash’ini alabilir. Hash değerleri Sistem loguna kaydedilir. Mevcut hash formatları MD5, SHA-1, SHA-256, MD5&SHA-1 ve MD5&SHA-256 dir.

Bir diskin hash’ini almak için aşağıdaki adımları takip edin:

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Hash Disk” seçin.
  2. İstediğiniz hash algoritmasını “Hash Type” açılır menüsünden seçin. Varsayılan olarak gelen hash algoritmasını System sekmesindeki Configure ekranından değiştirebilirsiniz.
  3. Hash’i alınacak diski Target açılır menüsünden seçin.
  4. Hash’i alınacak disk bölümünü Partition açılır menüsünden seçebilirsiniz. Diskin tamamını seçmek için All seçeneğini kullanın.
  5. Start butonuna basın. İşlem bitince “Completed” mesajı veren açılır pencere belirecek.

İşlem bitince anaekrandaki System Log panelinden hash değerine bakabilirsiniz.                                 

Snapshot Disk

Ditto DX Forensic Fieldstation kaynak disk ya da hedef disk bölümüne takılmış herhangi bir disk hakkında S.M.A.R.T. ve hdparm bilgilerini verir. Klonlama ya da İmaj alma işlemi yapmaya gerek olmadan bu özellikten yararlanılabilir.

Bir diskten snapshot almak için bu adımları takip edin:

  1. Tarayıcı arayüzünde Action The Perform yanındaki açılır menüden “Snapshot Disk” seçin.
  2. Snapshot alınacak diski Target açılır menüsünden seçin.
  3. Start butonuna basın. İşlem bitince “Completed” mesajı veren açılır pencere belirecek.

Ana ekrandaki System Log panelinden işlemin sonucuna bakabilirsiniz

NetView Taraması

NetView bir ağdaki makineleri keşfetmek ve bu makinelerde çalışan belli servisler için tarama yapan nir ağ aracıdır. Bu özellik araştırmacının fiziksel olarak gizlenmiş bilgisayarların bulunmasına ya da herhangi bir makinenin Ditto DX’in imaj alabileceği bir şekilde veri depolama cihazı olarak kullanılıp kullanılmadığını öğrenmesine yardımcı olur.

Investigation Info

Investigation Info paneli özel dizinler ya da dosyalar oluşturmak için kullanılabilecek birbiri ile ilişkili bilgilerin gruplandığı alandır. Edit butonuna tıklayarak Araştırmacı, dava no, kanıt no, açıklama, notlar, EO1 ya da DD imajlarına ait temel dizin adı, temel dosya adı gibi bilgiler değiştirilebilir. Geçersiz karakterler filtrelenir.

User Defined Fields

Yeşil artı butonuna tıklayarak “Add User Defined Field” (kullanıcıdan tanımlanan alan) penceresini açın. İstediğiniz kadar çok alan ekleyebilirsiniz. Eklenen her alan için başlık, XML etiketi ve değer girilmesi gerekir. Başlık Ditto DX Forensic Fieldstation’ın tarayıcı arayüzünde görünen ismi tanımlar. XML etiketi sadece konfigürasyon ve log dosyalarında görünür. Kullanıcı tanımlı alanları silmek için yeşil eksi butonuna tıklayın.

System Settings

En çok kullanılan konfigürasyon ayarları burada görüntülenir. Bu ayarlar “Action” penceresinde yapılan işlemler için kullanılan varsayılan ayarlardır. Configure butonuna tıklayarak bu ayarları değiştirebilirsiniz.

Current Status

Mevcut işlemin ilerleme yüzdesini ya da müsait olma durumunu gösterir.

Disks

Bağlı olan diskleri gösterir. Yeşil butona tıklayarak disklerin kullanım oranlarını görüntüleyebilirsiniz. Target mode butonu Ditto DX’e bağlı cihazları bir ağ üzerinde iSCSI diski olarak sunmanızı sağlar. iSCSI (Internet Small Computer System Interface), Network (ağ) üzerindeki veri depolama aygıtlarını (Storage) TCP/IP protokolü üzerinden birbirleri arasında bağlama yöntemidir. Örneğin, mevcut yapınızda bir Storage var ve bu Storage’deki Disk’leri Network (ağ) ortamındaki bir tüm bilgisayarlarda Virtual Disks sanal Diskler oluşturarak Storage’daki Disk’ler sanki bilgisayardaymış gibi kullanmanıza imkan veren bir sistemdir.

 “Source Network” ve “Destination Network” butonları iSCSI cihazlarını bağlamada ve ayrıca NFS ve SMB share’larını bağlamada kullanılır.  Daha fazla bilgi içim 11. Bölüme gidin.

Previewing and Browsing Disks

Disk içeriğini görüntülemek ve indirmek için ya da logical imaj için dosya ve klasör seçmek için disk bölümünün (partition) numarasının yazdığı yere tıklayın. Gelen pencereden dosya ve klasörleri inceleyebilirsiniz.

View Hexadecimal Data

Bir diskin verilerini hex formatta görüntülemek için Port sütünunun altında disk ismine tıklayın, daha sonra HexView’i seçin. Bir disk bölümünün hex verilerini görmek için disk bölümü numarasının üzerine tıklayıp HexView’i seçin.

View Snapshot Data

Bir diskin snapshot bilgilerini görmek için Port sütununun altında disk ismine tıklayın ve Snapshot’ı seçin.

SYSTEM LOG

Ditto DX’in yapmış olduğu işlemleri görüntüler. Comment butonuna tıklayarak System loguna ekleme yapabilirsiniz. Cihaza takılı bir SD kart yoksa cihazın en son açılmasından beri geçici hafızasına alınan tüm loglar listelenir. Ditto DX kapatılınca bu loglar silinir. Eğer takılı bir SD kart varsa, bu panel SD karta kayıtlı

tüm işlemleri listeler. Belirli bir işlemin log ayrıntılarına bakmak istiyorsanız, Message sütununun altındaki linklere tıklayın. Linkler şu formatta olacaktır.

“S_yyyymmddhhmmss”. Örnek à S_20140819145247

CONFIGURE SCREEN

Configure ekranı Ditto DX fonksiyonlarının kendi ihtiyaçlarınıza uyacak şekilde ayarlamanızı sağlar. Home butonunun yanındaki Configure butonuna basarak bu ekrana gelebilirsiniz.

System

System sekmesi aşağıdak listelenmiş ayarları değiştirmenize olanak sağlar. Bu bilgiler ayrıca ana ekrandaki System Settings panelinde de gösterilir.

Typical Settings

  • Default Format:  Hedef disk format işlemi bittiği zaman biçimlendirme için kullanılan disk formatı.
  • Physical Image Type: Fiziksel imaj oluşturan tüm işlemler için varsayılan fiziksel imaj tipi.
  • Logical Image Type: “Logical Image Source Disk” işlemi için varsayılan logical imaj tipi.
  • Verify Single: Hedef diskten hash alınması ve daha kaynak diskten alınan hash ile karşılaştırılması özelliğini kapatıp açmaya yarar.
  • Verify Dual: “Dual Destinations” özelliğinin aktif olması gerekmektedir.  İki hedef diskten alınan hash değerleri ile kaynak diskten alınan hash değerinin karşılaştırılması özelliğini kapatıp açmaya yarar. Sadece hedef disk 1, sadece hedef 2, tüm diskler ya da kapalı şeklinde 4 seçenek vardır. Sadece hedef disk 1 seçiliyse, kaynak disk ile hedef disk 1’in hash değerlerine bakılır.
  • Verify Clone & Image: “Clone & Image Source Disk” işleminde hedef ile kaynak diskin hash değerlerini karşılaştırma özelliğini kapatıp açmaya yarar. Klonu doğrula(verify the clone), İmajı doğrula(verify the image), her ikisini de doğrula(verify both), hiçbiri(none) şeklinde 4 seçenek vardır.
  • Hash Type: Disk doğrulamaları ve “Hash Disk” işlemi için varsayılan hash algoritmasını seçmenizi sağlar.
  • Erase Mode: Sets the default erase mode that will be used for all actions that require erasing disks.
  • Logical Image Mode: “Logical Image Source Disk” işlemi için varsayılan logical imaj modunu seçmenizi sağlar
  • Stealth Mode: Ditto DX’ın LEDlerini ve LCD’sini kapatır. Kontrol arayüzündeki (Control Interface) “Stealth” isimli tuş aynı işlem için kullanılabilir.
  • LCD/LED Brightness: Ditto DX’in LCD ve LEDlerinin parlaklığını 0-6 skalasında ayarlamak için kullanılır. Bu ayarı 0 yapmak tüm ışıkları kapatır.
  • Audible Buzzer: Ditto DX Forensic FieldStation’ı kullanırken kullanıcıyı gerçekleşen olaylara göre uyarır.

Advanced Settings

  • CPU Speed: Ditto DX’in CPU hızını ayarlar. Mevcut ayarlar hızlıdan yavaşa doğru şu şekilde sıralanır: Turbo, Default, Economy, ve Power Saver.
  • Dual Destinations: Aynı verileri aynı anda iki hedefe yazmak için yazılım yansıtma modunu etkinleştirir.
  • Log Disk Info: S.M.A.R.T. ve hdparm disk bilgilerinin loglanma durumunu seçin. Seçenekler şu şekildedir: İşlem başlamadan önce, işlemden sonra, Her ikisi de, hiçbiri.  CRU hem işlemden önce hem de işlemden sonra log almanızı tavsiye eder.
  • HTML Logging: Loglar her zaman XML formatında kaydedilir. Bu seçenek logların HTML formatında da tutulmasını sağlar.
  • DiskView Logging: Bir diski önizlemek için yapılan herhangi bir eylemi veya bir diski önizlerken gerçekleştirilen eylemleri (yani bir diskin önizlemesini başlatma veya bitirme, bir HexView eylemi başlatma veya bitirme) loglara kaydeder.
  • Lightbar Mode: Ditto DX Forensic FieldStation’ın ön yüzündeki ışık çubuğunu etkinleştirir veya devre dışı bırakır. Kullanılabilir ayarlar Kapalı ve Renkli’dir.
  • Quick Start: Ditto DX Forensic FieldStation’ı başlattıktan sonra LCD’de görünen “Hızlı Başlangıç” ekranını etkinleştirir. Bu modun ayarları “Hızlı Başlangıç” sekmesinde değiştirilebilir. Bölüm 5.10’a bakın.
  • Prompt Invest. Info: Kullanıcı ana ekranda “Action” bölümündeki “Start” düğmesine bastıktan sonra “Configure Investigation Info” penceresi açar. Bu, kullanıcının istenen eylemi gerçekleştirmeden önce Araştırmacı, Vaka Numarası, Kanıt Numarası, Açıklama, Notlar, Temel Dizin Adı ve Temel Dosya Adı bilgilerini özelleştirmesine olanak tanır.
  • LCD Prompt Case: Ana ekranın “Invsetigation Info” bölümünde belirtilen vaka numarasını değiştirmek için beş seçenek seçilebilir. Vaka numarası, istenen eylemin günlüğüne dahil edilir. “Disabled”, vaka numarasını olduğu gibi bırakır. “Inc/Dec”, Ditto DX Forensic Field¬Station’ın ön yüzündeki gezinme düğmelerini kullanarak vaka numarasını manuel olarak artırmanıza olanak tanır. “AutoInc” vaka numarasını otomatik olarak artırır ve “AutoInc/Pause” da vaka numarasını otomatik olarak artırır, ancak istenen eyleme başlamadan önce LCD ekranda bir onay istemi görüntüler. Bu seçenekler, “Investigation Info” bölümünde belirtilen Vaka Numarasının sonunda bir numara bulunmasını gerektirir.
  • LCD Prompt Evidence: Anaekrandaki“Investigation Info” bölümündeki kanıt numarasının değiştirilmesi için 5 seçenek kullanılabilir. Kanıt numarası, istenen işlemde loglara kaydedilir. “Disabled”, kanıt numarasını olduğu gibi bırakır. “Inc/Dec”, manuel olarak Ditto’nun ön yüzündeki düğmeleri kullanarak kanıt numarasını değiştirin. “AutoInc”, kanıt numarasını otomatik olarak artırır ve “AutoInc/ Pause”, kanıt numarasını otomatik olarak artırır, ancak LCD ekranda istenen eyleme başlamadan önce bir onay istemi görüntüler.

Network

“Network” sekmesi, aşağıdaki ayarları görüntülemenizi ve özelleştirmenizi sağlar. Emin değilseniz veya sorularınız varsa ağ ayarlarınızı değiştirme hakkında ağ yöneticinize başvurun. Bitirdiğinizde, değişiklikleri kaydetmek için Commit Changes düğmesine basın.

Host Name

Bir ağda Ditto DX Forensic FieldStation için hangi adın görüntüleneceğini değiştirmenizi sağlar. Ana bilgisayar adları büyük/küçük harfe duyarlı değildir, ancak büyük harfle başlamalıdır.  

Source Network

“Source Network” bölümü kaynak ethernet portunun MAC adresini ve network modunu görüntüler. Network modunu ayarlamak için DHCP ya da Static IP seçeneklerinden birini seçin. “Remote Accesibility” açılır menüsü, Ditto DX’in ethernet portu üzerinden herhangi bir ağ trafiğine cevap verme durumunu ayarlamanızı sağlar.

Destination Network

“Destination Network” bölümü hedef ethernet portunun MAC adresini ve network modunu görüntüler. Network modunu ayarlamak için “Server”, “Client DHCP” ya da “Client Staric IP” seçeneklerinden birini seçin.

Server

“Server”, Ditto DX Forensic FieldStation’ı sunucu olarak kullanmak üzere yapılandırmanıza izin verir. Bu, hedef ethernet portuna iSCSI cihazı bağlıyorsanız (11.3.2 ye gidin) ya da Ditto DX’i ofis network’ü yerine doğrudan bilgisayarınıza bağlıyorsanız çok faydalı bir özelliktir.

Ditto DX Forensic FieldStation’ı sunucu olarak yapılandırılmışken başka bir ağa bağlamayın. Bunu yapmak ağ çakışmalarına neden olur ve ağ trafiğini bozabilir.

Client DHCP

Bu seçenek takılı ağa bağlanmak için hedef ethernet portunu otomatik olarak konfigüre eder.

Client Static IP

Bu seçenek takılı ağa bağlanmak için hedef ethernet portunu manuel olarak konfigüre etmenize olanak sağlar.

Control Network

“Control Network” bölümü kontrol ethernet portunun MAC adresini ve network modunu görüntüler. Network modunu ayarlamak için “Server”, “Client DHCP” ya da “Client Staric IP” seçeneklerinden birini seçin.

Server

“Server”, Ditto DX Forensic FieldStation’ı sunucu olarak kullanmak üzere yapılandırmanıza izin verir. Bu, hedef ethernet portuna iSCSI cihazı bağlıyorsanız ya da Ditto DX’i ofis network’ü yerine doğrudan bilgisayarınıza bağlıyorsanız çok faydalı bir özelliktir.

 Ditto DX Forensic FieldStation’ı sunucu olarak yapılandırılmışken başka bir ağa bağlamayın. Bunu yapmak ağ çakışmalarına neden olur ve ağ trafiğini bozabilir.

Client DHCP

Bu seçenek takılı ağa bağlanmak için kontrol ethernet portunu otomatik olarak konfigüre eder.

Client Static IP

Bu seçenek takılı ağa bağlanmak için kontrol ethernet portunu manuel olarak konfigüre etmenize olanak sağlar.

Wifi Network

“Wifi Network” bölümü kontrol arayüzündeki herhangi bir USB portuna takılan wifi adaptörünü yapılandırmanıza olanak sağlar. Bu bölüm ayrıca portun MAC adresini görüntüler. Atheros ve bazı Realtek Chipsetlerine sahip wifi adaptörleri uyumludur. “Wifi Mode” Ditto DX’in bir wifi ağına bağlanma ya da hotspot olarak davranması arasında seçim yapmanıza olanak sağlar. Hotspot modu, eğer Ditto DX bir kablosuz ağın menzilinde ise fakat Ditto DX’ten ayrı bir yerde çalışıyorsanız yardımcı olur. Hotspot özelliği herhangi kablolu bir ağ olmadığı zaman da yardımcı olur.

Mevcut bir ağa bağlanmak için “Client Mode” ya da Ditto DX’i hotspot yapmak için “Hot Spot Mode”u seçin.

Client Mode

Tanımlanan kablosuz ağa otomatik olarak bağlanmak için “Status: Auto Check” seçeneğini kontrol edin.

Daha sonra USB ağ adaptörünün wifi ağına konfigürasyonunu otomatik olarak yapmak için Client DHCP seçin. Bağlantıyı manuel olarak konfigüre etmek için Client Static IP seçebilirsiniz.

Hot Spot Mode

Wifi adaptörü takıldığı anda hotspot olarak çalışmasını istiyorsanız “Status: Auto Check” seçeneğini kontrol edin. Aşağıdaki varsayılan ayarlar bazı istisnalar hariç çoğu ortamda çalışacaktır.

NOT: Ülkenizin kablosuz radyo frekans kullanımı ile ilgili yasa ve yönetmeliklere uymanız gerekebilir. ”Regulatory Domain” açılır menüsünden  2 haneli ülke kodunu seçin. Bu sayede Ditto DX yayın yapacağı frekans aralığını izin verilen aralığa sınırlayacaktır. Ditto DX hotspot olarak çalışırken onu kablolu bir ağa bağlamayın, bunu yapmak ağ çakışmalarına neden olacaktır.

Clone

Clone sekmesi “Clone & Image Source Disk” işlemi de dahil olmak üzere disk klonlama işlemleri için aşağıdaki ayarları değiştirmenize olanak sağlar. İşiniz bittiğinde Commit Changes butonuna basın.

Typical Settings

Source HPA/DCO: Klonlama işlemininloglarda HPA (Host Protected Area) ya da DCO (Device Configuration Overlay) bulunma durumunu belirtmesidir. Geçici olarak HPA’yı baypaslama, HPA’yı gösterme, ya da HPA ve DCO’yu gösterme gibi seçenekler arasından seçim yapabilirsiniz.

Fill to End of Disk: Bu Checbox işaretlenince diskin sonuna 0 yazılıp doldurulmasını sağlar.

Reset After Fill: Hedef diskte bir HPA veya DCO’nun ayarlanıp ayarlanmadığını seçin, böylece hedef diskin kapasitesi, kaynak diskin kapasiteyle aynı olur.

Advanced Settings

Advanced Settings gizli olabilir. Ortaya çıkarmak için Show butonuna basın.

            Buffer Size: Klonlama işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.

            Exit when a bad sector is encountered: Kaynak diskte bozuk bir sektör varsa Ditto DX klonlama işlemini durdurur.

Physical Image

Physical Image sekmesi “Clone & Image Source Disk” işlemi de dahil olmak üzere fiziksel imaj alma işlemleri için aşağıdaki ayarları değiştirmenizi sağlar. İşleminiz bitince ayarları kaydetmek için Commit Changes butonuna basın.

E01

E01 imaj ayarlarını görüntülemek için E01 sekmesine tıklayın.

Typical Settings:

  • Image File Segment Size: İmaj dosyasının segmentlerinin boyutunu byte şeklinde belirlemenize yardımcı olur. Minimum boyut 1 MB’dir. Maskimum boyut hedef dosya sistemi tarafından sınırlanır. Bu alan boş bırakılırsa maksimum boyut kullanılır. “I” yazan yere tıklayarak daha fazla bilgi alabilirsiniz.
  • Source HPA/DCO:Fiziksel imaj işlemininloglarda HPA (Host Protected Area) ya da DCO (Device Configuration Overlay) bulunma durumunu belirtmesidir. Geçici olarak HPA’yı baypaslama, HPA’yı gösterme, ya da HPA ve DCO’yu gösterme gibi seçenekler arasından seçim yapabilirsiniz.
  • Compression Type: İşlemde boş alan sıkıştırma özelliğini açma ya da kapamaya yarar.
  • EWF File Format: E01 fiziksel imaj işlemi için kullanılacak EnCase formatını seçmenizi sağlar. CRU “encase6” yı önerir.

Advanced Settings:

Advanced Settings gizli olabilir. Ortaya çıkarmak için Show butonuna basın.

  • Buffer Size: Fiziksel imaj işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.
  • Error Granularity: Bir okuma hatasında kaç sektörün yoksayılacağını belirler. Minimum boyut 512byte şeklinde ayarlanmıştır. Varsayılan boyut Buffer boyutu ile aynıdır. Maksimum boyut hedef dosya sistemi tarafından sınırlanır.
  • Swap Byte Pairs of the Media Data (endian conversion): Bu kutuyu big-endian / little-endian dönüşümü yapmanız gerektiği zaman işaretleyin. Bu eski x86 ya da PowerPC tabanlı sistemlerde kullanılan disklerde gerekli olabilir. (Little-endian: Depolamada LSB’den (least significant bit) MSB’ye doğru sıralamadır.)
  • Wipe Sectors on Read Error (mimic EnCase-like behavior): E01 Fiziksel imaj alma sırasında bir okuma hatasu gerçekleşirse Ditto DX sektörün kalan kısmını 0 yazarak doldurur.
  • Read Error Retries: Ditto DX bir sonraki sektöre geçmeden önce mevcut sektörü okumak için kaç deneme yapılacağını seçmenizi sağlar. 

DD

DD imaj ayarlarını değiştirmek için DD sekmesine tıklayın.

Typical Settings:

  • Image File Segment Size: İmaj dosyasının segmentlerinin boyutunu byte şeklinde belirlemenize yardımcı olur. Minimum boyut 1 MB’dir. Maskimum boyut hedef dosya sistemi tarafından sınırlanır. Bu alan boş bırakılırsa maksimum boyut kullanılır. “I” yazan yere tıklayarak daha fazla

bilgi alabilirsiniz.

  • Source HPA/DCO: Fiziksel imaj işlemininloglarda HPA (Host Protected Area) ya da DCO (Device Configuration Overlay) bulunma durumunu belirtmesidir. Geçici olarak HPA’yı baypaslama, HPA’yı gösterme, ya da HPA ve DCO’yu gösterme gibi seçenekler arasından seçim yapabilirsiniz

Advanced Settings:

Advanced Settings gizli olabilir. Ortaya çıkarmak için Show butonuna basın.

  • Buffer Size: Fiziksel imaj işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.
  • Exit when a bad sector is encountered: Kaynak diskte bozuk bir sektör varsa Ditto DX DD imaj alma işlemini durdurur.

Logical Image

Logical Image sekmesi “Logical Image Source Disk” işlemi için aşağıdaki ayarları değiştirmenizi sağlar. İşleminiz bitince ayarları kaydetmek için Commit Changes butonuna basın.

L01

L01 imaj ayarlarını değiştirmek için L01 sekmesine tıklayın.

Typical Settings:

  • Image File Segment Size: İmaj dosyasının segmentlerinin boyutunu byte şeklinde belirlemenize yardımcı olur. Minimum boyut 1 MB’dir. Maskimum boyut hedef dosya sistemi tarafından sınırlanır. Bu alan boş bırakılırsa maksimum boyut kullanılır. “I” yazan yere tıklayarak daha fazla bilgi alabilirsiniz.
  • Log File Access/Modify/Change Times: Bu kutuyu L01 imaj işleminde dosya ve klasörlerin erişim, değişim gibi zaman damgalarını loglamak için kullanın. (Zaman damgası (timestamp) dosyaların üzerindeki hangi zamanda hangi değişim veya erişimlerin yapıldığına dair kayıtlardır.)
  • Compression Type: İşlemde boş alan sıkıştırma özelliğini açma ya da kapamaya yarar.
  • Per File Hash Type: Spesifik dosya doğrulama işlemleri için varsayılan hash algoritmasını seçmenizi sağlar. Mevcut formatlar MD5 ve SHA-1 dir. Varsayılan ayar none olarak bırakılmıştır.

Advanced Settings:

Advanced Settings gizli olabilir. Ortaya çıkarmak için Show butonuna basın.

  • Buffer Size: L01 logical imaj işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.
  • Read Error Entries: Ditto DX bir sonraki sektöre geçmeden önce mevcut sektörü okumak için kaç deneme yapılacağını seçmenizi sağlar. 

ZIP and TAR settings

 ZIP veya TAR mantıksal görüntü türlerinden herhangi birinin ayarlarını yapılandırmak için ZIP or TAR sekmesine tıklayın.

  • Log File Access/Modify/Change Times: Bu kutuyu logical imaj işleminde dosya ve klasörlerin erişim, değişim gibi zaman damgalarını loglamak için kullanın. (Zaman damgası / timestamp dosyaların üzerindeki hangi zamanda hangi değişim veya erişimlerin yapıldığına dair kayıtlardır.)

RESTORE

Restore sekmesi Restore Physical Image işlemi için aşağıdaki ayarları görüntülemenize ve değiştirmenize olanak sağlar.

Typical Settings

Fill to End of Disk: Bu Checbox işaretlenince diskin sonuna 0 yazılıp doldurulmasını sağlar.
Reset After Fill: Hedef diskte bir HPA veya DCO’nun ayarlanıp ayarlanmadığını seçin, böylece hedef diskin kapasitesi, kaynak diskin kapasiteyle aynı olur.

Advanced Settings

Buffer Size: Restore işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.

ERASE

Ditto DX disklerin nasıl silindiğine dair ayarları görüntülemenize ve değiştirmenize olanak sağlar

ERASE MODE

Silme modları hakkında daha fazla bilgi için aşağıdaki tabloyu inceleyin.

ERASE MODEAÇIKLAMA
Clear Partiton TableDiskteki partition table verileri silinir. (Diskin ilk 16 KB’lık kısmına 0 yazılır)
 KBQuick EraseTamamen 0 yazarak hızlı bir işlem sağlar.
LBA/Offset PatternHer sektöre byte/LBA bilgisini yazar.
Custom EraseDiski 0 ile ya da kullanıcının verdiği desenle doldurur.
Secure Erase NormalDiskin kendi normal güvenli silme fonksiyonunu çalıştırır.
Secure Erase EnhancedDiskin kendi gelişmiş güvenli silme fonksiyonunu çalıştırır.
DOD ClearABD savunma bakanlığının silme standartını uygular. Diske tek işlemde tamamen 0 yazar.
DOD SanitizeABD savunma bakanlığının sanitize standartını uygular. İlk önce 0xAAAAAAA desenini, daha sonra bunun hex tamamlayıcısını kullanır (0xAAAAAAA hex complement àFF5555556). Daha sonra başka sınıflandırılmamış desen uygular.
NIST800-88 ClearNIST 800-88 clear standartını diske tamamen 0 yazarak uygular.
NIST800-88 PurgeNIST 800-88 purge standartını diskin dahili secure erase normal fonksiyonunu çalıştırarak uygular.

HASH

Hash sekmesini kullanarak tüm hash işlemleri için ayarları görüntülemenize ve değiştirmenize olanak sağlar.

Buffer Size: Restore işlemi esnasında Ditto DX’in buffer genişliğini ayarlamanızı sağlar. Minimum boyut 512Kb’dir. Varsayılan boyut olan 1 MB çoğu işlem için yeterlidir.
Exit when a bad sector is encountered: Kaynak diskte bozuk bir sektör varsa Ditto DX klonlama işlemini durdurur.

NAMING

Naming sekmesi imaj işlemleri için dosya ve klasörleri isimlendirme ayarlarını düzenlemenizi sağlar.

QUICK START

Quick Start sekmesi System sekmesinde quick start modu aktif ise Ditto DX’in ekranında görünen işlemlerin varsayılan ayarlarını değiştirmenizi sağlar. Örneğin imaj alma işlemleri için izin verilen kaynak türlerini, varsayılan kaynak bölümlerini seçebilirsiniz.

ADMIN SCREEN

Kullanıcı hesaplarını ve hangi kullanıcının hangi yetkiye sahip olacağını ayarlamak iiçin bu ekranı kullanabilirsiniz. Kullanıcı ekleme, silme, varolan kullanıcıya ait yetkileri güncelleme gibi işlemler yapılabilir. Kullanıcı eklemek için Add User butonuna basın, daha sonra kullanıcı adı, tam ad, şifre gibi bilgileri girin. Yetki listesinden gerekli olanları seçip Commit Add butonuna tıklayarak işlemi onaylayın.

LOGS

Logs ekranı Ditto DX’in yaptığı işlemler hakkında bilgi verir. Action Logs kısmında yapılan işlemin zaman damgası (timestamp), yapılan işlemin türü, bu işlemin kim tarafından gerçeliştirldiği ve bu işleme dair detaylı bilgilerin olduğu ekrana götüren bir link yer alır. Linke tıklayarak detaylı rapora gidebilirsiniz. Bu raporda diskin işlemden önce ve sonraki bilgileri de dahil olmak üzere birçok detay yer alır.

UTILITES

Utilities ekranında firmware upgrade, kişiselleştirilmiş konfigürasyon dosyası import etme, Ditto DX’i uzaktan reboot etme, factory reset, tarih güncelleme gibi çeşitli işlemleri gerçekleştirebilirsiniz.

FIRMWARE UPGRADE

Firmware yükseltmeleri CRU’nun web sitesinde paylaşılır. (https://wiebetech.com/software/ditto-family-firmware/downloads-for-ditto-dx/) Firmware upgrade 3 farklı şekilde yapılabilir.

Birinci metod: link yapıştırma

  1. Ditto DX’in internet erişimi olan bir ağa bağlı olduğundan emin olun.
  2. Yukarıdaki linkten güncel firmware indirme linkini kopyalayın.
  3. Ditto DX tarayıcı arayüzünden Utilities ekranına gelin ve Url adresini input alanına yapıştırın.
  4. Firmware Upgrade butonuna basın. Firmware dosyasını indirme işlemini onaylamanız için bir pencere belirecek. Continue butonuna basıp devam edin.
  5. Dosya indirildiğinde upgrade işlemini onaylamanız için bir pencere belirecek. Continue butonuna basıp onaylayın. İşlem bitince OK butonuna basın. Daha sonra Ditto DX’i yeniden başlatın.

İkinci metod: bilgisayara indirme

  1. Güncel firmware dosyasını indirin.
  2. Tarayıcıda Utilites ekranına gelip Upload butonuna tıklayın.
  3. Dosyayı seçip Firmware Upgrade butonuna basın.
  4. Dosya yüklenince upgrade işleminin yapılması için onay ekranı gelecek. Continue butonuna basıp onaylayın. İşlem bitince OK butonuna basın. Daha sonra Ditto DX’i yeniden başlatın.

Üçüncü metod: USB bellekten yükleme

  1. Güncel firmware dosyasını indirin, daha sonra bu dosyayı USB belleğe kaydedin.
  2. İçinde firmware dosyası bulunan USB belleği Ditto DX’in kaynak bölümündeki USB portuna takın.
  3. Ditto DX USB bellekteki tüm firmware dosyalarını otomatik olarak tarayacak. Mevcut firmware dosyaları Ditto DX’in ekranında görüntülenecek. Yön tuşlarını kullanarak firmware dosyasını seçip onaylayın.
  4. İşlem bitince Ditto DX’i yeniden başlatın.

Configuration

Save Config: Bu butona basarak mevcut konfigürasyonu kaydedebilirsiniz. Butona basınca aşağıdaki gibi bir ekran gelecek, buradan config dosyasının ismini ayarlayabilirsiniz.
Load Config: Load Config butonuna bastıktan sonra import edilecek .xml uzantılı dosyayı seçin. İşlemi onayladıktan sonra import edilen ayarlar mevcut ayarların üstüne yazılacak.

Diğer Ayarlar

  • Reboot: Ditto DX’i yeniden başlatır.
  • Date & Time: Tarih ve zaman ayarlamak için yapılır. Synchronize butonuna tıklayarak tarayıcının ayarları senkronize edebilirsiniz.
  • Factory Reset: Fabrikaya ayarlarına geri dönmek için kullanılır. Ayrıca Ditto DX’in ön panelini kullanarak da aynı işlemi yapabilirsiniz. Daha fazla için 9.3’e gidin.
  • System Verify: Ditto DX’in işletim sistemi dosyalarının değişip değişmediğini kontrol eder ve system loguna bununa ilgili bir bilgi ekler. Doğrulama işleminde bir hata olursa ayrıntılar için diagnostic loguna bakabilirsiniz.
  • Diagnostics: Diagnostic log dosyasını HTML formatında dışa aktarmak için kullanılır. Diagnostics logları Ditto DX Forensic FieldStation’ın mevcut konfigürasyonu, kullanıcı hesapları, kernel mesajları, loglar, işlem bilgileri, diskleri, PHP hataları, and system doğrulama sonucu gibi verileri içerir.

DOĞRUDAN ÖN PANELİ KULLANMA

Ditto DX harici bilgisayar olmadan da sadece ön panel ve yön tuşları ile kullanılabilir. Ön panelden klonlama, fiziksel (physical) imaj, mantıksal (logical) imaj, eşzamanlı olarak klonlama ve imaj alma, silme, diskten hash alma, bağlı diskler hakkında bilgi görüntüleme, snapshot alma gibi işlemleri gerçekleştirebilirsiniz. Admin hesabı tarayıcı arayüzünden ön paneldeki işlemlere erişim izinlerini değiştirebilir.

Yön tuşları ile ön paneli kullanabilirsiniz. Alternatif olarak control interface kısmındaki USB portuna klavye bağlayabilirsiniz. Klavyede ok tuşları ile aynı işlemler yapılabilir. Enter ile mevcut işlem onaylanır.

Aşağıdaki tablodan diğer klavye komutlatını inceleyebilirsiniz.

TUŞKOMUT
EscapeEdit işlemini iptal eder.
EnterBir string editleme işlemini başlatır veya bitirir. Eğer bir fonksiyon üzerindeyse işlemi onaylar veya başlatır.
Home/EndString editleme işleminde bu tuşlar ile stringin başına ya da sonuna gidebilirsiniz.
Up/DownMenüdeki seçenekler arasında geçiş yapar. String editleme işleminde başa ya da sona gitmenizi sağlar.
Deleteİmlecin üzerinde olduğu karakteri siler.
Backspaceİmlecin gerisindeki karakteri siler.
NumLockStandart NumLock fonksiyonu.
CapsLockStandart Caps Lock fonksiyonu.

GÖRÜNMEZ MOD

Görünmez mod Ditto DX Forensic FieldStation’un tüm ışıklarını kapatır. Görünmez modu açmak için control interface yüzündeki stealth anahtarını kullanabilirsiniz. Alternatif olarak tarayıcı arayüzünde Configure sekmesi altındaki System bölümünde stealth mode kısmından aynı işlemi yapabilirsiniz.

GELİŞMİŞ ÖZELLİKLER

NETVIEW SCAN Bu tarz bir ağ taraması çok gürültüldür ve herhangi bir IDR’ı (Intrusion Detection System) tetikleyebilir. Bu eylemi çok kontrollü olarak yaptığınızdan emin olun.  

Netview taraması için şu adımları takip edin:

  1. Action To Perform menüsünden NetView Scan seçin. Hangi input alanındaki ethernet portunun kullanılacağını seçin. Control, Source ya da Destination.
  2. Konfigürasyon ayarlarını yapın, aşağıda bununla ilgili ayrıntılar yer alacak.
  3. Start butonuna basın. Ekranda gerçekleştirilen scan işlemi, bulunan hostlar, scan işleminin ilerleme durumu sürekli güncellenerek görüntülenecek.

System logunda scan işleminin sonucuna bakabilirsiniz. Aşağıdaki örnek bir tarama işlemine ait ekran görüntüsü yer alıyor.

Konfigürasyon ayarları

      IP Scan Range: Taranacak IP aralığını buraya yazın. Varsayılan olarak seçilen interface’in son okteti seçili olacak. Bunu istediğiniz şekilde değiştirebilirsiniz. Aşağıda tarama yapılacak IP aralığını nasıl yazacağınız ile ilgili bazı örnekler bulunuyor.

10.10.10.0-255: 10.10.10.0 ile 10.10.10.255 arasındaki tüm adresleri tarar.

10.10.10-12.0-255: 10.10.10.0-255, 10.10.11.0-255, 10.10.12.0-255 aralığındaki tüm adresleri tarar.

10.10.10.1, 10.10.10.2, 10.10.10.10.50-100: 10.10.10.1 ve 10.10.10.2 adreslerini ve 10.10.10.50 ile 10.10.10.100 arasındaki adresleri tarar.

Discovery Options:

Host keşfi için kullanılabilecek 3 opsiyonel tarama seçeneği ve No Ping seçeneği mevcuttur. Varsayılan olarak Ping Echo işaretlidir ve çoğu durumda yeterlidir. Bazı makineler gelen pingi görmezden gelebilir ve yanıt vermeyecek şekilde konfigürasyonu yapılabilir. Bu durumda diğer seçenekleri seçip daha iyi sonuçlar alabilirsiniz.

Tcp Options:

NetView opsiyonel olarak tarama yapılacak hostlarda bazı TCP portlarının açık olup olmadığını tarayabilir. Bu özellik varsayılan olarak kapalıdır. Açmak için kutunun yanındaki checkbox’ı işaretleyin.

Ports: Ports alanında bazı yaygın servislerin kullandığı portlar ve Ditto DX’in bağlantı kurabileceği portlar (NFS, iSCSI ve Samba) varsayılan olarak gelir. Sadece bu alana girilen portlar taranır. Doğrudan bir port numarası yazılabileceği gibi port aralığı (21-25 gibi) da girilebilir.

Syn Scan: Varsayılan olarak işaretlidir ve çoğu durumda kullanımı uygundur.Ditto DX raw IP paketleri üretip gelen cevapları görüntüler. Bu tarama half-open tarama olarak da bilinir çünkü tam TCP bağlantısı kurmaz.

Connect Scan: Bu ayar kullanıldığında Ditto DX tam TCP bağlantısı kurarak portun durumunu kontrol eder.

Udp Options:

NetView opsiyonel olarak tarama yapılacak hostlarda bazı UDP portlarının açık olup olmadığını tarayabilir. Bu özellik varsayılan olarak kapalıdır. Açmak için kutunun yanındaki checkbox’ı işaretleyin.

Ports: Ports alanında bazı yaygın servislerin kullandığı portlar ve Ditto DX’in bağlantı kurabileceği portlar (NFS, iSCSI ve Samba) varsayılan olarak gelir. Sadece bu alana girilen portlar taranır. Doğrudan bir port numarası yazılabileceği gibi port aralığı (21-25 gibi) da girilebilir.

TARGET MODU: ÜÇÜNCÜ PARTİ YAZILIM İLE DİTTO DX’E BAĞLANAN DİSKLERE UZAKTAN ERİŞMEK

Üçüncü parti veri toplama araçları ile kullanmak için Ditto DX’e bağlı diskler bilgisayarınıza iSCSI cihazı olarak mount edilebilir. Veri toplama aracının yüklü olduğu bilgisayarın fiziksel olarak Ditto DX’e bağlı olmasına gerek yoktur. Bu özelliği kullanmak için Ditto DX’i Target moda alın.

  • Ana ekranda Disk panelinin altındaki butonlardan Target Mode butonuna tıklayın.
  • iSCSI cihazı olarak mount edilecek diskleri iSCSI sütunundan seçin.
  • iSCSI initiator yazılımının seçilen disklere bağlanmak için yetkilendirme gerekmesini istiyorsanız Enable iSCSI and SMB authentication kutusunu işaretleyin.
  • OK butonuna basın.

Şimdi yukarıdaki adımlar ile seçtiğiniz diskleri mount edebilirsiniz. Bunun için iSCSI initiator yazılımınızda Ditto DX’in IP adresini girmeniz gerekir. Initiator yazılımları farklılık gösterir, genel olarak Discovery kısmına IP adresini eklemeniz gerekir.

ISCSI CİHAZINA UZAKTAN ERİŞME

Aynı ağdaki iSCSI cihazına uzaktan bağlanmak için bu adımları takip edin:

  • Ditto DX’in ağa bağlı olan ethernet portu ile ilgili konfigürasyonun tam yapıldığından emin olun. Daha önce manuel olarak Ditto DX’in ağ ayarlarını değiştirmediyseniz muhtemelen birşey yapmanıza gerek yoktur. iSCSI cihazını doğrudan Dittto DX’e bağladıysanız ayrıntılar için 11.3.2 ye gidin.
  • Ana ekranda Disks paneline gelin.
  • Eğer iSCSI cihazını Ditto DX’e okuma/yazma korumalı olarak bağlamak istiyorsanız Source Network butonuna basın. Okuma/yazma izinli olarak bağlamak isterseniz Destination Network butonuna basın.
  • Zaten seçili değilse iSCSI sekmesine gelin.
  • Target Host alanına iSCSI cihazının IP adesini girin.
  • Port text alanına hedef iSCSI biriminin port numarası varsayılan değer olan 3260’dan farklı ise mevcut port numarasını yazın.
  • Discover butonuna basın. Ditto DX tüm IQN’leri (iSCSI Qualified Names) bulacak.
  • Açılır menüden Ditto DX’e bağlamak istediğiniz IQN’yi seçin. Doğrulama gerekirse giriş bilgilerini girin (username, password, domain).
  • Add butonuna basın. Seçtiğiniz IQN listede belirecek.

Artık seçtiğiniz iSCSI diskleri Disks panelindeki listeye eklendi ve bu diskler üzerinde istedğiniz işlemleri gerçekleştirebilirsiniz.

ISCSI CİHAZINI DOĞRUDAN BAĞLAMA

iSCSI cihazını ağınıza bağlama istemiyorsanız (örneğin bilinmeyen özelliklere sahip şüpheli bir cihaz olabilir), cihazı doğrudan Ditto DX’e bağlayabilirsiniz. Bunun için 2 farklı yol vardır.

Source ethernet portundan bağlama: Bağlayacağınız iSCSI cihazı şüpheli ise kaynak portunu kullanın. Daha sonra hem Ditto DX hem de iSCSI cihazı için IP adreslerini manuel olarak ayarlamanız gerekecek.

  • Sayfanın üst kısmındaki Configure sekmesine gelin. Buradan Network sekmesini seçin.
  • Source Network kısmında MAC adresinin altıdaki açılır menüden Static IP seçin.
  • İstediğiniz şekilde IP ve subnet alanlarını doldurun. Kalan kısımları (Gateway, DNS server alanları) ağ yöneticiniz (network administrator) bunu yapmanız gerektiğini söylerse doldurun. Aksi takdirde boş bırakın.
  • Commit Changes butonuna basın.                           

iSCSI cihazının IP adresini, subnet maskını ve gateway adreslerini manuel olarak ayarlayın. IP adresinin ilk 3 okteti Ditto DX’in IP adresinin ilk 3 okteti ile birebir aynı olmalıdır. Son oktet 1-255 arasında Ditto DX’iinkinden farklı olacak şekilde ayarlanmalıdır. iSCSI cihazının subnet maskı ile Ditto DX’in subnet maskı aynı olmalıdır. Gateway adresi ise Ditto DX’in IP adresi olacak şekilde ayarlanmalıdır. Aşağıda iSCSI cihazı için örnek bir konfigürasyon yer almaktadır.

Bu ayarlar yapıldıktan sonra aşağıdaki iSCSI cihazını Disks paneline ekleme bölümüne geçin.

Destination ethernet portundan bağlama: iSCSI cihazına kanıt veya başka veriler aktaracaksanız bu talimatları uygulayın. İlk önce Destination ethernet portunun server olarak konfigüre edildiğinden emin olun.

  • Ekranın üst kısmındaki Configure sekmesine gelin. Buradan Network sekmesini seçin.
  • Destination Network kısmında açılır menünden Server seçin. Varsayılan server konfigürasyonunu gerekmedikçe değiştirmeyin.
  • Commit Changes butonuna basın.

Şimdi iSCSI cihazını Ditto DX’in destination ethernet portuna bağlayın. ISCSI cihazına DHCP’den yeni bir IP adresi atanacak. Eğer IP adresi atanmazsa iSCSI cihazında DHCPyi aktif etmeniz gerekir. iSCSI cihazına IP atandıktan sonra aşağıdaki iSCSI cihazını Disks paneline ekleme bölümüne geçin.

iSCSI cihazını Disks paneline ekleme: Ana ekranda Disks paneline gelin.

  • iSCSI cihazını Ditto DX’e okuma/yazma korumalı olarak bağlamak istiyorsanız Source Network butonuna basın, aksi okuma/yazma izinli olması için Destination Network butonuna basın.
  • iSCSI sekmesine gelin.
  • Target host alanına iSCSI cihazının IP adresini girin.
  • Port numarası varsayılan port olan 3260dan farklı ise Port text alanına girin.
  • Discover butonuna basın. Ditto DX bağlı IQN’ler (iSCSI Qualified Names) için tarama yapacak.
  • İstediğiniz IQN’yi seçin.
  • Doğrulama gerekirse giriş bilgilerini girin.
  • Add butonuna basın. Aşağıdaki listede IQN görünecek.

iSCSI cihazını kaldırma: Bu işlem daha önce eklenmiş iSCSI cihazlarına bağlanıp zaman aşımı sorunu yaşamamak için yapılmalıdır. Daha önce eklediğiniz iSCSI cihazını kaldırmak için şu adımları takip edin:

  • Ana ekrandaki Disks paneline gelin. iSCSI cihazı hangi porttan bağlı ise (Source/Destination) ilgili butona basın. (Source Network ya da Destination Network)
  • iSCSI sekmesine gelin.
  • iSCSI Source Connections ya da iSCSI Destination Connections kısmında gördüğünüz IQN isimlerinin yanındaki kutuya tıklayın ve Remove butonuna tıklayın.
  • iSCSI cihazının fiziksel olarak bağlantısını kesin.

Nfs ve Smb share bağlama

  1. Ana ekranda Disks paneline gelin.
  2. Ditto DX ağınıza source ethernet portundan bağlı ise Source Network butonuna, destination ethernet portundan bağlı ise Destination Network butonuna tıklayın.
  3. Hangi share tipine bağlanıyorsanız ona ait sekmeye tıklayın. (NFS ya da SMB)
  4. Server text alanına server adını girin.
  5. SMB share bağlanmak için uygun SMB sürümünü seçin. Bilmiyorsanız varsayılan değer olan SMBv1 olarak bırakın.
  6. Show Shares butonuna basın. Ditto DX serverdaki mevcut share’ların listesini çıkaracak.
  7. Açılır menüden istediğiniz share adını seçerek devam edin.
  8. Bağlandığınız share doğrulama gerektiriyorsa Advanced… butonuna tıklayarak giriş bilgilerini girin.
  9. Add butonuna basın. Share ismi listede görünecek.

Nfs ve Smb share kaldırma

  1. Ana ekranda Disks paneline gelin.
  2. Ditto DX ağınıza source ethernet portundan bağlı ise Source Network butonuna, destination ethernet portundan bağlı ise Destination Network butonuna tıklayın.
  3. Hangi share tipini kaldıracaksanız ona ait sekmeye tıklayın. (NFS ya da SMB)
  4. iSCSI Source Connections ya da iSCSI Destination Connections bölümünün altında kaldırmak istedğiniz share isminin yanındaki kutuya tıklayın ve Remove butonuna tıklayarak işlemi tamamlayın.

Sonuç

Dijital veri kurtarma ve adli analiz süreçleri giderek önem kazanan alanlar haline gelmektedir. DITTO DX Forensic, bu süreçleri kolaylaştıran ve veri analizini daha etkili hale getiren kullanışlı bir cihazdır. Veri kurtarma uzmanları ve adli analistler, DITTO DX Forensic’in sunduğu özellikler sayesinde dijital delilleri güvenli ve etkili bir şekilde toplayabilir, analiz edebilir ve adli süreçlerde kullanıma uygun hale getirebilirler. DITTO DX Forensic, dijital veri kurtarma ve analizinde önemli bir adım olmakla birlikte, sürekli gelişen dijital dünyada dijital güvenlik uzmanları için vazgeçilmez bir araç olma potansiyeline sahiptir.

DITTO DX Forensic, dijital veri kurtarma ve analiz alanında önemli bir araç olarak karşımıza çıkıyor. İleri düzey özellikleri ve kullanıcı dostu tasarımı sayesinde, dijital inceleme profesyonellerine güvenilir ve etkin bir çözüm sunuyor. DITTO DX Forensic, adli soruşturma ve siber güvenlik alanlarında çalışan uzmanlar için vazgeçilmez bir yardımcıdır. Bu tür cihazlar, dijital veri analiz süreçlerindeki hız ve doğruluk açısından önemli bir rol oynamakta ve ilerleyen teknoloji ile birlikte dijital dünyada adaletin sağlanmasına katkıda bulunmaktadır.

Yazar: Serhat Kılbaş