Write Blockers Türkçe ifadesi ile yazma engelleyiciler olarak adlandırılır. Günümüzdeki dijital delillerin birçoğu delil kategorisine girmektedir. Adli Bilişim Uzmanları delilleri incelerken hiçbir değişiklik yapmamaları gerekmektedir. Ayrıca mahkemede kabul edilmesi için hash kontrolleri yapılarak karşılaştırılır. Bir değişiklik olmadığını göz önünde bulundurarak yapılan inceleme sonucu oluşturulan raporlar mahkemeye sunulur. Bu nedenle yazma engelleyicilerin önemi büyüktür. Yazma engelleyiciler imaj(kopya) alarak inceleme yapmamızı sağlayan yazılımsal araçlardır.

 

Yazılımsal Write Blockers

Yazılımsal write blockers’lar Alet çantası tarzında olarak birçok bellek hafızasını kopyalaması için gerekli envantere sahip araçlardır. Model ve üretici farklılığına göre içeriğinin ve yazılımsal olarak değişiklikler göstermektedir. İmaj alırken yazılımsal araçların veri aktarımı hızlı bir şekilde oluşmaktadır. Cihaza göre giriş sayısında farklılıklar oluşabilir. Ayriyetten web arayüzü sayesinde işlemleri kolaylıkla yapılmasını sağlar. Örnek vermek gerekirse;

 

Tableau TD3

  • SHA1 ve MD5 hash değeri oluşturma sırasında dakikada 7.2 GB’a kadar veri işleme gücüne sahiptir.
  • Üzerinde bulunan USB 3.0, firewire ve SATA girişleri sayesinde kaynak disk olarak bu girişlere sahip diskleri kullanabilir.
  • Genişletme modülleri kullanarak ayriyeten SAS ve IDE hard diskleri de desteklemektedir.
  • CIFS ve ISCSI sistemlerine bağlanabilmektedir.
  • Açık veri depolama aygıtlarına salt okunur şekilde bağlanabilir.
  • İşlem giriş kayıtlarını (log registers) detaylı bir şekilde takılan bir hafıza kartına kaydeder.
  • Kaynak ve hedef diskler için otomatik olarak boşluk taraması yapar.
  • Web tabanlı kullanıcı ara yüzü ile uzaktan erişim sağlar.

 

 

Tableau TD3 Kit İçeriği

  • TD3 imaj alma, çoğullayıcı (dublicater)
  • TP5, TP3 ve kaynak/hedef hard disklere güç sağlamaktadır. TP5 çeşitli Tableau ürünlerine uyacak şekilde birden fazla çıkış adaptörleri ile birlikte gelmektedir.
  • TDS2 çıkarılabilir hedef hard disk depolama modülüdür. İki hard diski birbirine bağlayarak mirror (kopya) disklerin oluşturulabilmesini sağlamaktadır.
  • TDPX5 IDE kaynak disklerin okunabilmesini sağlayan Forensic IDE genişletme modülüdür.
  • TDPX8-RW: yazma/okuma özellikli genişletme modülü, USB 3.0 disklerin kaynak disk olarak kullanılabilmesini sağlamaktadır.
  • TC2-8-R2: IDE ve bazı eski tip SATA hard disklerin TD3’e bağlanabilmesini sağlamaktadır.
  • TD3-8: SATA hard diskleri TD3’e bağlamak için kullanılan SATA sinyal kablosudur.
  • TC4-8-R2: SATA/SAS güç/sinyal kablosudur. Bu tümleşik kablo daha yeni SATA disklerin bağlanmasını sağlamaktadır.
  • TC5-8-R2: 15 pin güç konektörlerinin TD3’e bağlanmasını sağlamaktadır.(SATA’dan 3M’e)
  • TC3-22-18: Bir hedef SATA diski bağlamak için kullanılan SATA kablosudur( 22 pin dişi, 22 pin erkek). TDS1/TDS2 kullanılmadan yalın bir hard diske imaj alınırken kullanılır.
  • TDA Multipack Notebook hard diskleri için adaptör paketidir.

 

Registry Write Blocker

Registry denildiğinde Windows kayıt defteri olarak birçoğunun aklına geliyor. Registry Write Blocker ise kayıt defteri üzerinde Write Blocker oluşturarak, sistem üzerindeki verilerin başka bir disk, USB bellek gibi hafıza birimlerine yazdırılmamasıdır. Bu işlemler aşağıdaki gibi uygulanmaktadır;

1- Kayıt defterine girerek HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control dizinine gidiyoruz.

2- Control dizinine yeni bir dizin oluşturuyoruz. Adına StorageDevicePolicies veriyoruz.

 

3- StorageDevicePolicies dizininin içerisine DWORD(32-bit) Value türünde ve adına WriteProtect ekliyoruz.

4- WriteProtect Değerini 1 yapıyoruz.

Sonrasında kayıt defterini kapatarak sistem üzerindeki verileri başka bir yere yazdırılmasını engellemektedir.

, , ,