Adli İmaj Çeşitleri ve Yapıları

İmaj alma kavramı bilişim sistemleriyle uğraşan herkesin az çok duyduğu, karşılaştığı bir olgudur. Bir hard diskin imajını almak o hard disk içerisindeki silinmiş alanlar dahil tüm bilgilerin bire bir kopyalanmasıdır. Kavram olarak kaynak disk; imajı alınması gereken delil niteliğindeki şüpheli/müştekinin bilgisayarının diski veya buna benzer dijital materyallerdir.

 

Hedef disk ise kaynak diskteki bilgilerin imajının atıldığı disktir. İmaj formatları iki ye ayrılır.

 

Compressed İmajlar: Sıkıştırılmış imaj anlamına gelmektedir. Kaynak hard diskteki boş olan kısımları almadan yani sıkıştırmak suretiyle imajı alınması olayıdır. Bu işleme “Disk to file” da denir. «E01, S01, AFF» formatında olabilirler. EnCase programında imajlar E01 formatında alınır.

 

 

Raw İmajlar: Ham imaj anlamına gelmektedir. Kaynak disk verilerinin hedef diske aynı şekilde, aynı sektörlerin karşıdaki aynı sektöre bire bir klonlanması olayıdır.

 

Örneğin; 80GB’lık bir diskin RAW uzantılı imajını alırsak yine 80 GB’lık bir imaj disk elde etmiş oluruz.

 

Burada şunu da ifade etmek gerekir ki hedef disk 1 TB bile olsa RAW formatında bir imaj yapısına sahip olması nedeniyle bilgisayarda 80 GB gözükecektir. Disk yönetiminden o kullanılmayan kısmı partition olarak set edebiliriz. Bu işleme “Disk to disk” de denir. Raw imajlar «001, img, dd, mng, bin» formatında olabilirler. FTK programı bu şekilde imaj almaktadır.

 

 

RAW formatta imaj alırken hedef diskin kaynak diskten büyük olması gerekir. Aksi halde imaj alma işlemleri tam anlamıyla tamamlanmaz.

Paylaş: