İnternet Evidence Finder 6.3 Sürümü

10 Şubat 2014 Pazartesi

Adlibilişim sektöründe çalışanlar bilirler. Magnet Forensics firmasına ait İnternet Evidence Finder (İEF) isimli program en büyük yardımcılarıdır. Son dönemde gelen yeni güncellemelerle program adli bilişimciler için  daha da hatırı sayılır bir önem arz edeceğini gösterdi. Programın son yayınlanan sürümünde özellikle akıllı cep telefonları incelemelerinde büyük kolaylık sağlayacak. Yeni sürüme eklenen bazı sosyal medya ve mesajlaşma programları; 

• Wechat
• HATTI
• BlackBerry Messenger (BBM)
• Viber
• textPlus
• Growlr
• Grindr
• QQ Sohbet
• IOS için AIM
• Dokunma
• WhatsApp destek WhatsApp şifreli yedeklerden kurtarma kapsayacak şekilde genişletildi
• Kik Messenger destek ekleri kurtarma kapsayacak şekilde genişletildi.   

olarak tanıtıldı.

Ayrı yapılan açıklamada resimlerle ilgili de birçok yenilik olduğu söyleniyor.

6.3sürümünde başka ne değişiklikler var bir göz atalım;

• Çocuk pornografisi ile ilgili olarak bir hash kütüphanesi oluşturulmuş ve program vasıtası ile bu hashler aracılığı ile karşılaştırma yaparak kolayca suç unsurunu tespit edebilirsiniz.(Bu özellik için ek ücret ödemesi gerekmektedir.)
• Zip arşivleri analizi.
• ExFat dosya sistemi desteği. Windows Phone ve Xbox360 da dahil olmak üzere ExFat dosya sistemi kullanan cihazlardan veri alabilme.
• Arama profilleri oluşturarak kolayca kendi profilinizi oluşturabilir ve kolayca arama yapabilirsiniz.
• Bilinen pornografik web sitelerinin bulunması ve analizi.
• Bilinen kötü amaçlı yazılım ve phishing sitelerinin tespiti ve analizi.
• Önceden tanımlanmış web sayfalarının analizi ve otomatik kategorize edilmesi.
• Android Ice Cream Sandwich ve fire kindle tablet analizi desteği.
• Droopbox şifre çözme desteği.
• İp bazlı skype görüşmelerini kurtarma ve analiz etme.(Yani yapılan görüşmelerin ip kayıtlarını bulma)

Ayrıca 6.3 sürümünde güncelleme yapılan diğer programlar aşağıdaki gibidir.

• iChat güncellemeleri
• Safari güncellemeleri
• Facebook güncellemeleri
• Chrome güncellemeleri
• Firefox güncellemeleri
• Resim güncellemeleri 
• SkyDrive güncellemeleri
• Dahili regex güncellemeleri
• IE10 yeniden web sayfalarını güncellemeleri
• MSN sohbet protokolü güncellemeleri
• eMule güncellemeleri
• Flaş çerez destek güncelleştirmeleri
• 360 Güvenli tarayıcı güncellemeleri
• AIM Güncellemeleri 

 İEF programını test etmek için demoya aşağıdaki bağlantıdan ulaşabilirsiniz.
www.magnetforensics.com/trial

Devamı »

Encase 7.08 Sürümü Çıktı.

23 Ağustos 2013 Cuma

Şuanda hala Encase 6 Sürümü daha çok kullanımda olsa da Guidance Software Türkiye saati ile 23.08.2013 tarihinde sabaha karşı saat 4'de Encase 7.08 sürümünü kullanıcıları ile paylaştı. 6 Sürümüne göre biraz daha karışık görünen ama aslında daha basit olan 7 sürümünde firma her geçen gün yeni sürümleri ile update yaparak eksiklikleri gidermeye çalışıyor.
Firmanın yapmış olduğu açıklamaya göre yeni sürümde bizleri bekleyen yenilikler şu şekilde;
(Şimdilik İngilizce olarak paylaşıyorum Türkçe'sini de yakın zamanda paylaşırım.)






Encase V 7.08 Demo 64 Bit


What’s New in Version 7.08

• Evidence Processor Manager
• Evidence Processor Enhancements
  • Augmented File Carving for Images
  • New Evidence Processor Lock/Unlock Flexibility
• Encryption Support Updates
• Windows Resilient File System (ReFS) Support
• Solaris Volume Manager Support
• Improved Hash Library Management
• Macintosh OS X Disk Image Support
• Safari Internet Artifact Updates
• Smartphone OS Application Support
• Usability Enhancements
  • Create Tags Using Keyboard Shortcuts
  • Create Logical Evidence Files from Search Results
  • Improved Email Alternate Body Handling

Evidence Processor Manager
The new Evidence Processor Manager allows for distribution and control of evidence processing for one or more EnCase Examiners or EnCase Processors.

With the Evidence Processor Manager, you can simplify evidence processing and acquisition by:

• Queuing evidence in the jobs list to be processed.
• Prioritizing the execution of evidence to be processed.
• Distributing the processing workload across multiple processing nodes. Any available node picks up the next job in the queue for the rapid processing of evidence.

Evidence Processor Enhancements
File Carver
The File Carver augments existing file carving capabilities by using Windows Graphics Device Interface (GDI) libraries to accurately carve images according to their sizes and file types. GDI libraries identify the actual length of the file to be carved, resulting in increased probability of carving high fidelity images.

To review the new File Carving process, please see the Release Notes

New Evidence Processor Lock/Unlock Flexibility
Evidence Processor now gives you the following options so you can designate only the evidence that you want specifically processed:

• During initial processing, File Signature Analysis can be turned On or Off. The default is On.
• While running Evidence Processor with an existing evidence cache
  • Keyword Search can be turned On or Off
  • Recover Folders can be turned On if it was previously turned Off

Encryption Support Updates
EnCase Version 7.08 provides the following support for encryption products:

• Sophos SafeGuard Easy and Enterprise 6 (32-bit only)
• McAfee Endpoint Encryption 7.0 (32-bit only)
• Check Point Full Disk Encryption 8 (OS X and Windows)

Windows Resilient File System (ReFS) Support
EnCase supports the investigation of machines running the Windows 8 operating system. This includes the ability to acquire and parse allocated files and folders from the ReFS file system.

Solaris Volume Manager
EnCase now supports Solaris Volume Manager (SVM), to parse and investigate logical volumes on Solaris 9 and 10 computers.

Improved Hash Library Management
The Manage Hash Library function now allows you to:

• Select a hash set to work with
• View the contents of a hash set
• Delete individual items from a hash set

Macintosh OS X Disk Image Support
The following Macintosh OS X media types are now supported by EnCase:

• DMG format
• Sparse image format
• Sparse bundle format

Macintosh File Value is a wrapper on top of DMG or sparse image files. All three types of media can be encrypted via either AES-128 or AES-256. EnCase currently supports images encrypted with AES-128, only.

EnCase now supports the following DMG formats:

• UDZO (zip compression algorithm)
• UDBZ (BZip2 compression algorithm)
• UDCO (Apple-proprietary ADC compression algorithm)

Safari Internet Artifact Updates
EnCase supports Safari Versions 5 and 6 including cookie and cache artifacts.

Smartphone OS Application Support 
The following list shows software applications supported by EnCase, arranged by operating system.

Android

• Gmail
• Yahoo mail
• GTalk
• Facebook
• Twitter
• Google+
• Google Now
• Google Docs
• Dropbox
• Chrome Browser

iPhone

• Google Maps
• Apple Maps
• Google Plus

Usability Enhancements
Create Tags Using Keyboard Shortcuts
You can now create tags using keyboard shortcuts. Hot keys are assigned to the first ten tags (Alt-0 to Alt-9)

Search Results Exported to Logical Evidence Files
You can now export items in a set of search results to a logical evidence file (LEF). Search results may contain both entries and records. When you export search results containing only entries or containing only records, EnCase generates a single LEF. When you export search results containing both entries and records, EnCase generates two LEFs.

Improved Email Alternate Body Handling
When email systems append a plain text version of the email together with the HTML/rich text version, this text is called an "alternate body." Formerly, EnCase treated this as an attachment to the message, and displayed an attachment paper clip icon. Now, when an alternate body is the only attachment to an email message, EnCase displays a standard email icon, rather than the paperclip icon.

Devamı »

Belkasoft Forensic Studio Ultimate Resimli Anlatım

22 Eylül 2012 Cumartesi

Sizlere bugün Belkasoft Forensic Studio Ultimate programından bahsedeceğim. Açıkçası programı çok uzun süre kullanmadım. Ancak programın demosu ile siteden indirdiğim örnek delil dosyaları üzerinde yaptığım incelemelerde benden yüksek not aldığını söyleyebilirim. Programın arayüzü ve menüleri çok sade açıkçası ilk kurduğumda bu kadar sadelik kafamda soru işareti bıraktı. Belkasoft'un internet sayfasından indirdiğim örnek delil dosyalarını indirip incelemeye başlayınca fikrim tamamen değişti. Programda beni en çok etkileyen bölümlerin başında normal fotoğraflarla pornografik içerikli fotoğrafların ve videoların ayrıştırılıyor olması. Bu da çocuk pornografisi yada şantaj dosyasını incelerken size vakit kazandırır. Düşünsenize binlerce fotoğraflık bir hard disk incelemesi yapıyorsunuz içerisinden çocuk pornosu yada çıplak şantaj görüntüsü arıyorsunuz. Programda case'in üzerine sağ tıklayıp ne tür fotoğraf bulmasını istediğinizi tıklıyorsunuz ve sadece o fotolar geliyor. normal fotoları manzara fotolarını kontrol etmek zorunda kalmıyorsunuz. Ayrıca aynı seçenekte yüz tanıma sistemi de var. Sadece insan yüzü olan fotoları bulup getiriyor. Deneme fırsatı bulamadım ama bizim vermiş olduğumuz yüz profilini arayıp bulma ihtimali bile var bunu deneyip yine sizlerle paylaşabilirim.

         Programda videolarda resim olarak incelenebilir. Video kare kare resim olarak geliyor. Bu özellik de hem videoları daha kısa sürede bitirme hemde resimlerde az önce bahsettiğim ayrıştırmalardan faydalanmayı sağlıyor. Adli Bilişimciler için bu özellik de çok kullanışlı ve önemli bence. 

         İsterseniz RAM imajınızı da inceleyebilirisiniz böylece RAM'da bulunan Skype, Yahoo messenger, Facebook chat, MSN, Gmail... vb. birçok bilgiyi inceleyebilirsiniz. Kişiler arasındaki anlık yazışmaları okuyabilirisiniz.

         Program dosyaların hash değerlerini, oluşturma tarihlerini, değiştirilme tarihi gibi birçok bilgiyi veriyor. Malumunuz akıllı telefonlar ile çekilen fotoların bazılarında GPS bilgileri de mevcut. Bu program fotolardaki ve videolardaki GPS bilgilerini de vermekte. Böylece foto nerede çekilmiş rahatlıkla öğrenebiliriz. Bu özelliğin Encase de olduğunu görmemiştim ama Cellebrite cihazından bu tür GPS verisi almıştım. Kısacası program hoşuma gitti bence kullanışlı bir program ama herşeyin bir fiyatı var benim demosunu test ettiğim Forensic Studio Ultimate'in fiyatı 1100 Dolar civarında. Bu parayı verebilecek varsa güzel bir program. Sizde programın demosunu indirip inceleyebilirisniz. İşte sizler için 

indirme linki: http://forensic.belkasoft.com/en/home/en/purchase.asp

Programı kullanırken sizler için hazırladığım bir kaç ekran görüntüsünü aşağıda paylaşacağım. Eğer takıldığınız yada merak ettiğiniz bir kısım olursa yorum kısmından bana ulaşabilirsiniz. Resimleri büyütmek için üzerine tıklayınız.

 İşte ekran görüntüleri;

Devamı »

Çin Malı Telefonlar İçin PC Sync Manager

4 Mayıs 2012 Cuma

Cep telefonları için bir çok PC Suit programı mevcut.  Ancak piyasaya Çin malı telefonların girmesi ile bir çok kişi pc suit programı kullanamamakta. Özellikle Adlibilişim işi ile uğraşan arkadaşlar bu konuda zorluk çekmektedirler. Sizlere yardımcı olması açısından bulduğum PC Sync Manager isimli programdan bahsetmek istiyorum. Program çin malı telefonlar için yapılmış telefon içeriğini almak için kullanılmaktadır. Küçük bir hatırlatma program Windows XP üzerinde çalışmaktadır. Win7 32 Bit ile denemedim ama o da olabilir.

Öncelikle programı kurup USB ile telefonu bilgisayara bağlıyoruz. Sonrasında Settings sekmesinden COM portu kaç ise onu seçmemiz gerekir. Hangi COM portunda olduğunu da aygıt yöneticisinden bakabilirsiniz. COM portu 1,2 veya 3 hangisiyse onu seçiyoruz. Memory kısmından Sim Kart mı yoksa Telefon hafızasına mı bakacağız onu seçiyoruz. Daha sonra menülerden Telefon Rehberi SMS kayıtları melodi ve MMS kayıtlarını sekmelerinden hangi işlemi yapmak istiyorsak onu seçiyoruz. 3 Nolu resimde işaretlediğim sekmeden de Export(Dışa Aktarma) yada İmport(İçe Aktarma) yapabilirsiniz. Rehberi almak için Export seçeneğine tıklamanız ve hangi formatta almak istiyorsanız rehberi onun uzantısını ekleyerek rehber.doc veya rehber.xls gibi kaydediyoruz. Adlibilişim işi ile uğraşanlar için hatırlatmam gereken bir diğer husus da WRİTE BLOCK cihazı ile bağlıyken bu işlemi yapamayabilirsiniz. Eğer write block ile olmaz sa write block cihazını aradan çıkartarak USB den bağlamayı deneyin.

Bu konu ile ilgili aklınıza takılan soru olursa yorum kısmına yazabilirsiniz. En kısa sürede cevap verebilirim.

Not: Resimlerin büyütmek için üzerine tıklayın... Kolay Gelsin...

İstek üzerine Programı indirme linki aşağıdadır. (Link Düzeltildi...06.01.2014)

TIKLAYIN...

Devamı »