Türkiye’de adli bilişim alanında ismi pek duyulmayan ve bilinmeyen bir yazılım olan ProDiscover, Tech Pathways firması tarafından 2001 yılında üretilmiş olup şuan da 8.2.0.2 sürümü duyurulmuştur. ProDiscover yazılımının pek bilinmemesinin altında pek çok neden olsa da, belli başlı nedenlerini sayabiliriz.
Birincisi diğer adli bilişim yazılımları EnCase, FTK, X-Ways Forensics ve Forensics Explorer’a oranla en az 3-4 katı daha pahalı olması, tanıtım ve pazarlama hususunda çok aktif olmamaları ve diğer adli bilişim yazılımları ile rekabete girmek yerine, bazı alanlarda konsantre çalışarak diğerlerinin yapamadığı hususlarda çözüm üretmeye çalışmalarıdır.
Peki, diğer yazılımlara göre ProDiscover’ı farklı kılan ne idi diye soracak olursak? Bunlardan ilki ve en önemlisi adli incelemelerde bazen çok önemli bir ihtiyaç olan sabit disklerin Volume Shadow kopyalarını tespit edip bu kopyaların inceleme ve analizi için çözüm sunmasıdır. Günümüzde artık FTK 5, EnCase 7 ve Forensic Explorer 1.5’te de olan bu özellik, ProDiscover tarafından yaklaşık 5 yıldır sunulan bir hizmettir.
ProDiscover’ı diğerlerinden ayıran bir diğer özelliği ise; bir ağa bağlı bilgisayarın sabit diskinin adli kopyasını (imaj) alabilmesidir. Bu işlem için ProDiscover tarafından üretilen PDServer isimli yazılımın CD-R ya da USB bellek içerisinde karşı taraftaki bilgisayarda (şüpheliye ait bilgisayar) çalıştırılması ve ProDiscover yazılımının bu yazılımla el sıkışarak şüpheli bilgisayarın sabit diskinin sektör sektör kopyasının kriptolu olarak alınmasını sağlamasıdır. Tabi, bu özelliğin kullanılması şüpheliye ait bilgisayara müdahaleyi gerektirdiğinden delilin kirletilmesi gibi bir riski beraberinde getirmiş olsa da, bu imkanı sağlıyor olması özel ve acil durumlar için önemli bir özelliktir. Zira, iyi bir ağ hızı ya da internet hızınız var ise kilometrelerce uzaklıktaki, hatta kıtalararası mesafedeki bir bilgisayarın sabit diskinin adli kopyasını almak mümkün olmaktadır. Bu özellik de EnCase ve F-Response tarafından artık sunulan bir özellik halini almıştır.
Ancak, ProDiscover’ı halen diğer yazılımlardan farklı kılan en büyük özelliği Incident Response (Olaya müdahale) esnasında şüpheli bilgisayardan uçucu delilleri hızlı bir şekilde toplayıp raporlamasıdır. Tech Pathways ekibi tarafından üretilen PDServer isimli yazılımın şüpheli bilgisayarda CD-R ya da USB bellek içerisine kopyalanarak çalıştırılması sonucunda, şüpheli bilgisayarındaki çalışan tüm işlemlerin (Working Processes) anlık bilgisi, işletim sisteminde çalışan tüm açık portların (Open Ports-açık kapıların) listesi ve işletim sisteminin durum raporu (System State Report) alınıp kaydedilebilmektedir. Ayrıca, bilgisayarın RAM’inin de kopyası da uzak erişim ile alınmaktadır.
ProDiscover, diğer adli bilişim yazılımlarının sunduğu imkanlara paralel olarak Registry analizi, dosya sistemi analizi, veri kurtarma, internet izleri, e-posta analizi ve yardımcı yazılım (script-PERL) kullanma özelliği sunmaktadır.
ProDiscover yazılımının resmi web sitesi http://www.techpathways.com adresinde belirtilen özellikleri aşağıda sunulmuştur:
Yazılımın imaj alma ve wipe etme özelliği bulunan sürümü ücretsiz olup aşağıdaki adresten indirip kullanılabilmektedir. Ancak, inceleme ve analiz özelliği bulunan sürümü ancak lisans alındığı takdirde kullanılmaktadır.
İndirme adresi: http://www.techpathways.com/demo.htm
ProDiscover hakkında herhangi bir soru ya da talep için lütfen DIFOSE ile iletişim kurunuz. Güvenli günler dileriz.