Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Tableau Forensic TK35u Write Blocker

Tableau Forensic TK35u Write Blocker


Op deze blog hebben we het al eens over een “write blocker” gehad. In deze post wil ik het niet zo zeer over de “write blocker” an-sich hebben maar over een specifieke write blocker. Ik ben recentelijk aan de slag gegaan met een echte forensische write blocker, de Tableau Forensic TK35u. Deze Tableau is een SATA / IDE bridge en dus speciaal geschikt voor SATA en IDE schijven. Deze Tableau serie kent voor verschillende modellen voor verschillende connecties. Zo is de Tableau TK8u speciaal ontwikkeld voor USB devices. We sluiten de kabels aan en gaan aan de slag.

Een write blocker is een speciaal apparaat waarmee een forensische kopie van een mediadrager kan worden verkregen. Bij een forensische kopie is het belangrijk dat deze kopie identiek is aan de data op de originele mediadrager. Een write blocker voorkomt dat het host OS metadata op de schijf veranderd waardoor de data is originele toestand overgenomen kan worden in een kopie.

De Tableau TK35u is een forensische write blocker speciaal voor SATA en IDE schijven. Deze Tableau komt in verschillende kleuren en is niet zwaar (168 gram) en dus gemakkelijk mee te nemen. Hij kan dus in een lab omgeving als in het veld gebruikt worden. Deze TK35u wordt aangesloten met een USB3 kabel en dat is meteen zijn grootste zwaktepunt. Er kunnen dus geen snelheden gehaald worden boven de 625 MB/s. De Tableau TK35u is een zogenaamde “Tailgate” write blocker. Dit betekend dat we data van een specifieke interface (in ons geval IDE of SATA) kunnen kopiëren naar een andere interface (in ons geval USB3). Een write blocker waarbij alleen van interface A naar interface A geschreven kan worden noemen we een “Native” write blocker.

De Tableau TK35u wordt gevoed door een 5-pin DIN connector en vereist een 5V, 2A stroomtoevoer. De write blocker heeft een formaat van 14.2 x 8,2 x 2,8 cm en kan opereren binnen temperaturen van -40 tot +70 graden. Wat opvalt aan de Tableau TK35u zijn de 7 LED’s die aangeven hoe de write blocker is ingesteld en opereert.

  • DC IN – De powerconnector is aangesloten en de writeblocker wordt voorzien van stroom
  • Power – De TK35u is ingeschakeld en actief
  • IDE Detect – De write blocker heeft een aangesloten IDE schijf gedetecteerd
  • SATA Detect – De write blocker heeft een aangesloten SATA schijf gedetecteerd
  • Host Detect – De write blocker heeft gedetecteerd dat deze is aangesloten op een computer
  • Write Block – Als deze LED brand (default operation) is het onmogelijk om aanpassingen te maken op de schijf
  • Activity – Deze LED brand rood al er leesactiviteit plaatsvindt op de bronschijf (SATA/ IDE)

Vervolgens kent de Tableau TK35u nog een update pushbutton en 4 verborgen DIP switches. Met deze DIP switches kun je de de default mode van het apparaat aanpassen. Deze DIP switches zitten verborgen achter een plastic uitdruk afdekplaatje. Als je dit uitdruk afdekplaatje aan de zijkant wegdrukt zie je een 4-tal dipswitches.

Dip switch nummer 4 (meest rechter) heeft op dit apparaat geen functie. De eerste 3 dipswitches hebben de volgende functies:

  • DIP 1 = Read-Write – Zonder DIP is read-only mode en met DIP is read/write modus
  • DIP 2 = Write errors – Vermeld schrijfproblemen en zodner DIP worden schrijfproblemen niet gemeld
  • DIP 3 = Read Errors – Vermeld leesproblemen en zonder DIP worden leesproblemen niet gemeld

Standaard ontbreekt op elke DIP switch de jumper behalve op DIP 1 (dus aan-uit-uit-uit).

De volgorde van aansluiten is:

  • Sluit IDE / SATA disk aan (incl. power cable)
  • Sluit write blocker aan op host computer
  • Sluit de adapterkabel aan
  • Zet de write blocker aan

Als alles succesvol aangesloten is zal de aangesloten schijf zichtbaar worden op de hostcomputer en kunnen er files vanaf gehaald worden zonder dat er op de doelschijf geschreven wordt. V.a. dit moment kan er een forensische image gemaakt worden.

Let erop dat je deze schijf eerst veilig verwijderd van je PC alvorens je de write blocker uitschakelt en de schijf loskoppelt. Koppel de schijf pas los als de write blocker aanstaat.

Omdat ook write blockers aan updates onderhevig zijn heeft Tableau hier een handige tool voor ontwikkeld. Firmware updates worden toegepast met de TFU (Tableau Firmware Utility). De TFU Utility werkt intuïtief en herkent na installatie automatisch het juiste model write blocker (bridge, imager of duplicator).

De utility upload automatisch de nieuwste firmware naar het device. Het is dus niet nodig om zelf de juiste firmware te zoeken. Het enige dat moet gebeuren is het plaatsen van de Tableau TK35u in “Update Mode”. Dit doe je door “Update Mode” button in te drukken tijdens het inschakelen van het apparaat. Nu het apparaat in update mode staat brand alleen de “power” LED. De update applicatie herkent het apparaat en zal aangeven of er een update nodig is. Onderstaande T35u heeft geen update nodig en is up-to-date. Als er wel een update nodig was had deze met 1 druk op de knop geïnstalleerd kunnen worden.

Tot zover deze korte review van de Tableau TK35u. Voor IDE en SATA devices is de TK35u een fantastisch apparaat welke zowel snel performt en zeer gebruiksvriendelijk is. Zeker een aanrader (maar wat wil je ook anders met een Tableau)!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top