Adli bilişim imaj alma neden önemlidir? İmaj alırken ve sonrasında nelere dikkat edilmelidir? Bu yazıda, adli bilişimin temel konularından olan ve delilin hukuken geçerli kopyasını oluşturmayı amaçlayan İMAJ ALMA’yı ele alıyoruz.
Adli imaj, dijital bir kanıtın bire bir kopyasıdır. Harddisk, telefon ve daha birçok cihazın imajı alınabilir. Bir harddisk imajı, cihazda fiziksel olarak başlangıçtan sona kadar olan tüm veriyi içerir. İşletim sistemi üzerinden bir “kopyala ve yapıştır” işlemi yapmak, adli imaj almakla aynı değildir. Gerçek bir adli imaj hem aktif hem de dosya sistemi üzerinden ulaşılamayan verileri yakalar.
İmaj Alma ve Dosya Kopyalama Farkı
Neden imaj almak için uğraşıyoruz? Neden sadece dosyaları kopyalayıp yapıştırmıyoruz? İlk olarak, kopyalamak ve yapıştırmak sadece aktif verileri, yani kullanıcının erişebileceği verileri alır. Bunlar, kullanıcıların Microsoft Word belgesi gibi etkileşime girdiği dosya ve klasörlerdir. Silinmiş ve kısmen üzerine yazılmış dosyalar dahil tüm diski görüntüleyebilmek için imaj almak şarttır. Tüm bunlar eksik bir adli kopya almak için yapılmaktadır.
Dijital kanıtların son derece değişken olduğunu biliyoruz. Bu nedenle, zorunlu olmadıkça orijinal kanıtlar üzerinde ilgili inceleme yapılmamalıdır.
Harddisk İmaj Alma
Bir harddiskin imajını almak, en azından teoride oldukça basit bir işlemdir. Genellikle, bir sabit sürücüyü diğerine klonlarsınız. Şüphelinin diski kaynak sürücü olarak bilinir ve verileri taşıdığınız sürücüye hedef sürücü adı verilir.
Bir bilgisayarın adli olayla ilgili muhtemel bir dijital kanıt içerdiği tespit edildiğinde, söz konusu bilgisayarda bulunabilecek herhangi bir kanıtın uygun (kabul edilebilir) bir şekilde çıkarılmasını sağlamak için sıkı bir prosedürler dizisinin uygulanması zorunludur. Hatırlanması gereken ilk şey, “adli bilişiimin altın kuralı” dır – asla orijinal medya üzerinde değişiklik yapmayın. Bu nedenle, herhangi bir veri analizi yapılmadan önce, söz konusu bilgisayarda bulunan orijinal depolama ortamının tam bir kopyasını oluşturmak genellikle mantıklı olur.
Adli imaj, bazen disk kopyalama veya ghost imajı almak olarak da adlandırılır. Disk klonlamak veya ghost imajı her zaman gerçek bir adli imaj olarak kabul edilmez. Aynısı harddiski klonlamak için de geçerlidir. Adli imaj tekli veya çoklu sabit sürücüler, CD (ler), DVD (ler), akıllı telefonlar ve şu anda var olan diğer birçok depolama ortamını içerebilir. Depolama birimindeki tüm sektörlerin bit bit kopyası oluşturularak alınan imaj genellikle harddiskler için söz konusudur. Bu nedenle genellikle imaj alma denilince akla harddisk adli kopyasının alınması akla gelmektedir.
Gerçek durumda, bir harddiskin adli bilişim imajının oluşturulması oldukça ayrıntılı bir işlemdir. Eğitimli bir profesyonel tarafından yapılmaması durumunda, kabul edilebilir kanıtlar elde etme şansınızı ciddi şekilde tehlikeye atabilirsiniz. Ayrıca, delillerin tahrifat veya yayılma suçlamalarından kaçınmak için, imaj almanın objektif bir üçüncü tarafça yapılması tavsiye edilen en iyi uygulamadır. Hukuki geçerliliği olan bir harddisk imajı almak, standartlaştırılmış kurallar içeren protokollere uyulmasını gerektirir.
İmaj Alma Yazılımları
Adli bilişim uzmanları adli imaj elde etmek için çok sayıda yazılım ve donanım arasından seçim yapmaktadırlar. En İyi Sayısal Adli Bilişim Programları başlıklı yazımızda bahsi geçen tüm yazılımların imaj alma kabiliyeti vardır. Önemli olan, kullanılan yazılım ve donanımda ziyade işlem süresince katı bir sürecin sağlanmasıdır. Her zaman tüm kanıtların bütünlüğünün korunduğundan, gözetim zincirinin oluşturulduğundan ve tüm ilgili hash değerlerinin belgelendiğinden emin olmak iyi bir başlangıçtır.
İmaj alma tamamlandıktan sonra, elde edilen medyanın dijital bir parmak izi oluşturulmalıdır. Hash değeri olarak da bilinen özet değeri, disk sektörlerinde var olan 0’ların ve 1’lerin hepsinin incelenmesini içerir. Tek bir 0’ı 1’e değiştirmek, elde edilen hash değerinin farklı olmasına neden olur. Hem orijinal medya hem de alınan imaj kopyasının hash değerleri bire bir aynı olmalıdır. İkisinin de eşleştiğini gördüğümüzde, kopyalanan harddiskin veya diğer ortamların orijinalliğinden emin olabiliriz.
İmajın özet değerinin hesaplanması için endüstri standardı şu anda MD5 algoritmasıdır. MD5’in yaratıcısı, Ronald L. Rivest, algoritmayı şu şekilde tarif etmektedir:
[MD5 algoritması] girdi olarak isteğe bağlı uzunlukta bir mesaj alır ve 128 bitlik bir “parmak izi” veya “ileti özeti” çıkarır. . . MD5 algoritması, büyük bir dosyanın özel bir (gizli) anahtarla şifrelenmeden önce güvenli bir şekilde “sıkıştırılması” gereken dijital imza uygulamaları için tasarlanmıştır.
Matematiksel jargonu bir kenara bırakacak olursak, yukarıdaki ifade basitçe verilerin bütünlüğünü doğrulamak için MD5’in mükemmel bir yöntem olduğunu söylemektedir. Harddisk imajından elde edilen bir MD5 değeri, orijinal harddiskin değeriyle aynı olmalıdır. Sabit sürücüdeki en küçük değişiklikler bile, örneğin MS Word belgesine virgül eklemek, sonuçta elde edilen MD5 karma değerini büyük ölçüde değiştirir.
Şüpheli durumdaki bir harddiskin imajını almak için kurum/şirket içindeki BT personelini kullanmak makul görünebilir olsa da, olası sonuçları aklınızda bulundurun. Bu işlemin sertifikalı Adli Bilişim Uzmanları tarafından yapılması, kanıtların güvenli bir şekilde kullanılmasını sağlayacaktır. Nitelikli bir uzman, hukuken geçerli bir delil elde etmek için hukuksal mevzuata uygun davranacak ve ayrıca gözetim zinciri oluşturulmasını sağlayarak delil geçersizliğinin önüne geçecektir.
İmaj Alma Donanımları
Adli bilişimde, harddiskten imaj alma işini gerçekleştirebilecek bir dizi donanım bulunmaktadır. En bilinenleri arasında Tableau TX1 ve Cellebrite UFED Touch bulunmaktadır. Bu tür bir donanım tercih etmenin asıl nedeni harddisk, cep telefonu, tablet gibi cihazlarda mevcut verileri kurcalamak veya değiştirmeksizin bir kopyasını oluşturabilmeleridir. İmaj alma donanımları, sabit diskte bulunan datanın sektör bazında kopyasını oluşturur ve verilerin bütünlüğünü sağlar.
Tableau TX1
TX1 imaj alma cihazı, hard disk klonlama için en ünlü ve en iyi çözümdür. TX1 ile SATA, IDE, USB 3.0 / 2.0 / 1.1, SAS ve FireWire bağlantılarından veri toplanabilmektedir. TX1 tamamen adli bilişime özel imaj alma yazılımları içermektedir. Sabit sürücüler veya flash disklerle birlikte, iSCSI ağ paylaşımları da imajlanabilmektedir. Kullanıcının yapması gereken, yazma işleminden önce imajı alınacak cihazın güç ve data bağlantısını yapmaktır.
Cellebrite UFED Touch
Cellebrite UFED Touch, verilerin çıkartılması, kod çözülmesi, analizi ve raporlanması konularında üstünlüklere sahiptir. Bu donanım, akıllı telefon ve taşınabilir GPS cihazları gibi mobil cihazlarda depolanan verilerin imajının alınmasında uzmandır. En iyi özelliklerinden bazıları desen kilitlerini, PIN’leri ve şifreleri atlamayı içermektedir.
Adli İmaj Formatları
İmaj işleminin sonucunda, kaynak harddiskin adli bir kopyasını elde etmiş oluruz. Kopya birkaç farklı formatta olabilir. Dosya uzantısı, dosya biçiminin en görünür göstergesidir. En yaygın adli imaj formatlarından bazıları şunlardır:
- EnCase (.E01 uzantısı)
- Raw dd (.001 uzantısı)
- AccessData Özel İçerik Görüntüsü (.AD1 uzantısı)
Formatlarda farklılıklar olsa da hepsi adli olarak geçerli ve sağlamdır. DD gibi bazı formatlar açık kaynaklı, bazıları ise AD1 gibi tescillidir. Belirli bir formatın seçilmesi adli bilişim uzmanına kalan bir tercihtir. Çoğu adli bilişim programı birden fazla imaj formatını okuyabilmekte ve yazabilmektedir.
Bilgisayarınızdan silinen bilgilere ulaşmak mı istiyorsunuz? Açtığınız/açacağınz davada ya da size açılan karşı davada kullanmak üzere cihazınızın imajını almayı mı düşünüyorsunuz?
Best Veri Kurtarma, uzman kadrosuyla usullere uygun olarak imaj alır. Alınan imajı inceler, kolay anlaşılır şekilde, görsellerle desteklenmiş olarak raporlar. Sorularınız ve Adli Bilişim başvurularınız için lütfen bizimle iletişime geçiniz.
Best Veri Kurtarma Merkezi
Biz “Kurtarılamaz” Demedikçe Hiçbir Veri Kurtarılamaz Değildir..
