Adli Bilişim Tanımları

İmaj Alma 

Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar. Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. Birebir kopyalama (imaj alma) işlemleri, çeşitli cihazlar veya yazılımlar marifetiyle gerçekleştirilmektedir.

 

Dijital Delil

Bilişim sistemlerinin veya bilgileri otomatik olarak işleme tabi tutma yetisine sahip elektronik cihazların veri depolama medyaları üzerinde bulunan yahut bu medyalar üzerinden geçen, suç ile ilgili delil niteliği taşıyabilecek ve suçun aydınlatılmasını sağlayacak verilerdir.

 

Şüpheli

Bir suç işlediği kuşkusuyla Cumhuriyet Savcılığı ve onun emri altında kolluk güçleri (polis, jandarma) tarafından soruşturulan kişiye şüpheli denir.

 

Sanık

Suç işlediği düşünülerek mahkemeye sevk edilen kişiye sanık denir. Sanık suçlu değildir. Suç şüphesi altındaki kişidir. Hakkında açılan ceza davası ve mahkemesi sonuçlanana kadar birey sanık durumundadır.

 

Mount

Bir dosyayı bilgisayarda takılı bulunan bir disk veya mantıksal bir sürücü gibi görünmesini sağlar. Mount edilen imaj dosyası sanki bilgisayara takılı bir disk gibi görünür. Mount edilmiş dosyanın (sanal diskin) içerisine girip dosyalar incelenebilir, kopyalanabilir ancak sanal disk içerisine veri atılıp silinemez.

 

Hash Değeri

MD5 veya SHA1 olarak sıklıkla gördüğümüz hash değeri, dosyaların parmak izi gibidir. Dosyalar, MD5 ve SHA gibi karmaşık algoritmalarla taranır ve dosyanın benzersiz bir parmak izi, yığını çıkartılır. Hash sayesinde dosyaların internetten düzgün indirilip indirilmediği veya üzerinde verilerin değişiklik yapılıp yapılmadığı öğrenilebilir.

 

Export

Kelime olarak ihraç etmek anlamına gelmektedir. Bilgisayar ortamında dışarıya aktarma anlamında kullanılır. Bilgisayar ortamında export edilen dosyalar bir yerden bir yere taşımak veya kopyalamak da denilebilir. Sıkıştırılmış Winrar dosyasının içerisindeki dosyaları dışarıya çıkartmak bir export işlemidir. Winrar dosyası değişmez fakat içerisindeki dosyaların bir kopyası dışarıya aktarılmıştır.

 

Evidence

Kanıt- Delil

 

Source

Kaynak (Şüpheliye ait disk-imajı alınacak disk)

 

Destination

Hedef (İmaj alınacak disk)

 

Wipe

Disk üzerine anlamsız veriler yazarak diskin sıfırlanması anlamına gelmektedir. Wipe işlemi formatlama işlemi işle karıştırılmamalıdır.

 

Verify

Kelime olarak doğrulama anlamına gelmektedir. İmaj alma işlemi sonucunda ortaya çıkan hash değerinin doğrulamasının yapılmasıdır.

 

Dosya Uzantısı

Kullanılan dosyaları birbirinden ayırmak ve hangi programla çalışacağını veya hangi işletim sistemi ile çalıştığını gösteren takılardır. Örneğin; Windows üzerinden kaydedilen bir Excel dosyasının adının sonunda ".xls" takısı olur. Bu sayede işletim sistemi, bu dosyanın bir sonraki çalıştırılmasında Microsoft Excel programını kullanacağını tespit eder.

 

Log

Meydana gelen olayların ve hareketlerin kayıt altına alındığı dosyalardır. Log kaydı; tüm hareketlerin birer birer kayıt altına alınmış olduğu dosyalardır.

 

Write Block

Yazmaya karşı koruma sağlayan özelliktir. TD cihazının sol tarafı (kaynak/delil diskinin bağlandığı taraf) bu özelliğe sahiptir. Delil diski bu kısım haricinde bir yere bağlanmaz. Bu tarafa takılan diskler sadece kopyalama ve okuma işlevinde kullanılabilir. Diskte herhangi bir veri kaybı olmaması ve diske zarar gelmemesi için bu özellik kullanılır.

 

HPA / DCO

Her iki metot da sabit disk üzerindeki verinin bir kısmını işletim sisteminden gizlemektir. Bilgisayar üreticilerinin işletim sistemi için kurtarma dosyalarını tuttukları kısımdır. İşletim sistemi ve kullanıcı tarafından bu kısımlara doğrudan erişilememektedir. HPA ve DCO ile ilgili kısımlardaki verilere yazılım kullanılarak erişilebilir.

 

Bridge

Kelime olarak Köprü anlamına gelmektedir. Adli bilişim sistemlerinde tableau imaj alma cihazlarında yazma koruma sağlayan aracı (köprü) olarak kullanılır. Bilgisayar ile kullanılır.

 

Protocol

Tableau imaj alma kitlerinde bulunan mevcut bağlantı türünü farklı bir bağlantı türüne çeviren dönüştürücülerin adıdır.

 

Target Mode

(Hedef Mod) Hedef disk modu FireWire, Thunderbolt 2, USB-C veya Thunderbolt 3 (USB-C) bağlantı noktaları ile bağlanmış iki Mac bilgisayar arasında dosya paylaşmanızı sağlar. Hedef disk moduyla bir Mac diğer Mac'te harici disk olarak görünür, böylece dosyalara göz atabilir ve kopyalayabilirsiniz. Bu, yüksek aktarım hızlarına ihtiyaç duyduğunuzda veya bilgisayarlarınızdan birinin ekranı çalışmadığında ve bilgisayardan bazı dosyaları almanız gerektiğinde faydalıdır.

 

Bit-for-bit copy

Mantıksal bir birimden veya fiziksel bir sürücüdeki bitlerin tam bir kopyasıdır.

 

Bitlocker

Microsoft'un full disk şifreleme çözümüdür. Mantıksal Hacimleri Şifreler.

 

Block Device

Verilerin rastgele yerlerde veri bloklarına yazılmasını veya bu bloklardan okunmasını sağlayan bir cihazdır.

 

Clone

Bir diskin başka bir diske tam kopyası veya bit-for-bit kopyasıdır.

 

Dead Imaging

Bir disk bir bilgisayar sisteminden çıkarıldığında ve bir yazma engelleyicisi aracılığıyla diskin içeriğini alabilen başka bir sisteme yeniden bağlandığında kapalı olarak imaj alma olarak adlandırılır. Diske güç uygulansa bile, yazma engelleyicisi diskteki tüm verilerin değişmesini önleyecek "ölü" kabul edilir. Buna ek olarak, bu şekilde bağlanmış bir diske erişen görüntü yakalama yazılımı, tahsis edilmemiş alan da dahil olmak üzere sürücünün tüm alanlarına erişebilir. Bu, adli olarak sağlam bir disk edinme yöntemi sağlar.

 

Disk Image File

Fiziksel disk veya mantıksal birimin tam bir kopyasını içeren bir dosyadır. Dd, dcfldd ve FTK Imager gibi araçlar, disk imaj dosyaları oluşturabilir. ISO görüntüleri, veri CD'lerinin veya DVD'lerin disk imajlarıdır.

 

Embedded (Gömülü) Image

İmaj oluşturulduğunda bir zaman damgası ve bir şifreleme karması gibi imajla ilgili meta verileri içeren disk görüntüleridir. E01 (Expert Witness) imajları, bir veri toplama karması, her veri bloğundan sonra CRC hesaplamaları ve vaka bilgisi içeren gömülü imajlardır.

 

File System

Bir dosya sistemi, dosyaların organizasyonunu ve dosyalardaki verileri açıklamak için kullanılan dosyalar ve meta verileri içerir. Meta veriler, dosya adı, dizin yapısı, zaman damgaları, dosya uzunluğu, kullanıcı adı, izinler ve diğer özellikler gibi öğeleri içerebilir. Genel dosya sistemleri ReFS, NTFS, FAT32, exFAT, HFS +, ext2, ext3'tür.

 

Forensic image

Kopyalanan mantıksal bir birimin veya fiziksel diskin bir kopyası, tüm verileri ve meta veriyi içermesi için bit-for-bit'dir. Bir adli imaj normal olarak, elde edildiğinde, imajın doğrulanması için hangi aracın ve şifreleme karmasının kullanıldığı gibi imaj hakkında meta verileri (genellikle ayrı bir dosyada) içerecektir.

 

Formatting

Sabit diski biçimlendirme, onu belirli bir dosya sistemi için hazırlamak anlamına gelir. Bir sabit sürücünün bölümlenmesi için önce biçimlendirilebilmesi gerekir.

 

Live Imaging

Çalışan bir sistemden bir disk çıkarılamadığında ve içeriği normal işletim sırasında edindiğinde, disk büyük olasılıkla salt okunur olarak monte edilemez, çünkü canlı imaj işlemi sırasında veya sonrasında disk içeriği değişebilir. Canlı imaj alma bir Windows sisteminde gerçekleşirse, edinilen imaj, ayrılmamış alan içermez. Bir Linux sisteminden gerçekleştirilen canlı imaj alma, ayrılmamış alana erişime izin verir.

 

Logical Volume

Bir dosya sistemi ile biçimlendirilmiş bir bölüm mantıksal birimi oluşturur.

 

Raw Image

Ham imaj, bir dosyanın bir bitinin bit-bit kopyasını bir dosyaya koyar. Ham imaj meta verileri içermez ve sıkıştırılmamıştır. Ham imaj oluşturan bazı araçlar, imaj hakkında elde edilen meta verileri, imaj dosyasını oluşturan aracın adını ve daha sonraki doğrulama için parmak izi yazmak için kullanılan şifreleme karmasını içeren ayrı bir dosya oluşturacaktır.

 

MBR (Master Boot Record)

Bir fiziksel diskin ilk sektörü MBR'yi içerir. MBR, başlangıç konumunu, bölümün uzunluğunu ve içerdiği dosya sistemi türünü vererek bir disk üzerindeki dört parçayı tanımlar.

 

Memory Image File

Bilgisayarın fiziksel belleğinin tam kopyasını içeren bir dosyadır. Bellek içeriği durgun değil geçici olduğu için bellek imajı, belirli bir noktadan alınan anlık görüntü gibidir.

 

Metadata

Meta veriler, diğer verileri açıklayan verilerdir. Örneğin, bir Microsoft Word belgesindeki meta veriler, dosya adı, dosyanın boyutu, dosya ile ilişkili izinler vb. içerir.

 

Partition

Bir dosya sistemi ile biçimlendirilebilen bir fiziksel disk bölümüne verilen isimdir.

 

Physical disk

Fiziksel disk, dijital verileri depolayan sabit disk veya sabit disk sürücüsü (HDD) için başka bir addır. Fiziksel diskler normal olarak bölünür ve daha sonra veri depolamak için dosya sistemleri ile biçimlendirilir.

 

Raw device

Unix ve Linux işletim sistemlerinde, disk sürücülerine, bir ham aygıt adı verilen bir yazılım yapısı aracılığıyla erişilebilir. Bu, disk sürücüsüne doğrudan erişim sağlar ve herhangi bir işletim öngörülen ön bellekleme veya arabelleğe alma işlemini atlar. Ham aygıtlar, adli bilimler alanında kullanışlıdır çünkü belli miktardaki parçaların okunması ve yazılması için hassas veri miktarlarına izin verir.

 

MD5 Değeri Nedir?

MD5 herhangi bir dosyanın bütünlüğünün tam olup olmadığını kontrol etmek için kullanılan bir dizi harf ve sayı kombinasyonudur. Elinizdeki orijinal dosyanın bir MD5 değeri vardır. Bu değer çeşitli üçüncü parti yazılımlarla hesaplanır. Her dosyanın farklı Hash değerleri olduğu gibi bunlar dosyanın birnevi DNA sı gibidir.

 

Elinizdeki dosyanın kopyalarının orijinali ile aynı olup olmadığını, bozulmaya uğrayıp uğramadığını ya da taşıma esnasında herhangi bir kayıp olup olmadığını kontrol etmek için hem orijinal hem de kopya dosyanın MD5 değerleri hesaplatılarak karşılaştırılır. Birebir aynı ise sorunsuz kopyalanmış, taşınmış ya da indirilmiştir. MD5 değerlerinde farklılık varsa dosya bütünlüğü bozulduğu için çalışmama ya da veri eksikliği oluşmuş sonucuna varılır.

 

SHA1 Şifreleme Metodu

Secure Hashing Algorithm olarak adlandırılan, şifreleme algoritmaları içerisinde en yaygın olarak kullanılan algoritma olduğu kabul gören SHA1, United States National Security Agency tarafından tasarlanmıştır. “Hash” fonksiyonlarına dayalı veritabanı yönetimine (database management) imkan sağlar.

 

HASH ÖZELLİKLERİ

■ SHA1 algoritması ile sadece şifreleme işlemi yapılır, şifre çözümleme işlemi yapılamaz.

■ Diğer SHA algoritmaları içerisinde en yaygın olarak kullanılan SHA1 algoritmasıdır.

■ SHA1 algoritması ile 160 bitlik özetler oluşturulur. MD5 ve SHA1 arasındaki temel fark oluşturdukları özetlerdeki boyut farkıdır.

■ SHA1 algoritması, e-posta şifreleme uygulamaları, güvenli uzaktan erişim uygulamaları, özel bilgisayar ağları ve daha bir çok alanda kullanılabilir.

■ Günümüzde güvenliği arttırmak amacıyla SHA1 ve MD5 algoritmaları birbiri ardına kullanılarak veriler şifrelenir.

 

İmaj alma (adli kopya) işleminde MD5 ve SHA1 değerlerinin elde edilmesi önemlidir. İmaj kopyasında herhangi bir değişiklik yapılıp yapılmadığı bu değerlerin kontrolü ile anlaşılır. Disk üzerindeki en ufak değişiklikte (yazma-kopyalama gibi) bu değerler otomatik olarak değişir. İmaj alma tutanaklarında hash değerlerine mutlaka yer verilmelidir. Bu değerlerin temel dayanak olduğu unutulmamalıdır.

 

Yazar: Öğr.Gör. Dr. Baki NAKKAŞ

Paylaş: