VK Durum Takip
VK Talep Formu

Mobil Cihazlarda İnceleme Süreci

Mobil Cihazlarda İnceleme Süreci

Mobil cihazlar, bireylerin günlük yaşamlarının ayrılmaz bir parçası haline gelmiş olup; iletişim, sosyal medya, internet erişimi, fotoğraf ve video kaydı, konum paylaşımı gibi pek çok dijital faaliyetin merkezi haline gelmiştir. Dolayısıyla, adli soruşturmalarda ve hukuki incelemelerde mobil cihazların veri içeriği büyük önem taşır. Özellikle cep telefonları, tabletler ve diğer taşınabilir akıllı cihazlar; olayların aydınlatılması, kullanıcı davranışlarının ortaya çıkarılması ve dijital delillerin elde edilmesinde birincil kaynak olarak kabul edilmektedir.Bilgikoru kirik telefon

1. İnceleme Süreci Öncesi Hazırlık

Mobil cihazlarda inceleme süreci, öncelikle cihazın fiziksel ve teknik özelliklerinin kayıt altına alınmasıyla başlar. Bu kapsamda cihazın markası, modeli, IMEI numarası, mevcut batarya durumu, ekran hasarları, varsa şifreleme durumu gibi tüm ayrıntılar belgelenir. Cihazın çalışır halde olup olmadığı, ekran kilidinin açık mı kapalı mı olduğu gibi bilgiler de bu aşamada not edilir.Özellikle teknolojinin gelişmesiyle cep telefonları üzerinde ek güvenlik yazılımları bulunmaktadır. iPhone cep telefonlarında IOS 18 versiyonu sonrası "Çalınan Aygıt Koruması" veya "iTunnes Yedekleme Şifresi" gibi ek güvenlik önlemleri yer almaktadır. Android telefonlarda ise Uygulama kilidi, Face ID veya 3. parti güvenlik uygulama yazılımları ile şifreleme işlemleri yapılmış olabilir. Adli imaj alma işlemine geçilmeden önce mutlaka gerekli bilgiler temin edilmesi gerekmekte hatta olay yerine bu şifreler telefon kullanıcısı huzurunda kapatılması gerekmektedir.Cihazın ilk temas anından itibaren her işlem, adli geçerliliğe uygun olarak belgelenmeli ve müdahale edilmeyen orijinal yapısı korunmalıdır. Bu hazırlık süreci, sonrasında yapılacak analizlerin hukuki geçerliliği açısından kritik önemdedir.

2. Veri Kopyalama (Adli İmaj Alma)

Mobil cihazlardan veri elde etme süreci, cihazın doğrudan incelenmesinden ziyade, cihazdan adli nitelikte bir imaj alınarak bu imaj üzerinden analiz yapılması şeklinde yürütülür. Bu işlemde kullanılan yöntemlerin adli bilişim standartlarına uygun olması gerekir. Bu amaçla, cihazın içeriğine zarar vermeyen ve doğrudan müdahale etmeyen araçlar tercih edilir.Bilgikoru Cellebrite UFED clone simVeri kopyalama aşamasında genellikle aşağıdaki teknikler uygulanır:
  • Mantıksal (logical) yedek alma
  • Fiziksel (physical) imaj çıkarımı
  • Dosya sistemi seviyesinde veri çekimi
  • Seçimli veri çıkarımı (belirli uygulamalara odaklanma)
Bu süreçte hash algoritmaları (örn. SHA-1, MD5) ile alınan imaj dosyasının doğruluğu kontrol edilir. Böylece elde edilen verinin orijinal verilerle birebir aynı olduğu teknik olarak kanıtlanmış olur. Ayrıca cep telefonu içeriğinde yer alan SIM ve hafıza kartları da dikkat edilmesi gereken önemli bir faktördür. Cep telefonu içeriğinde yer alan SIM ve hafıza kartlarının da ayrı ayrı imajının alınarak raporlanması gerekmektedir. İhtiyaç olması halinde SIM kartları klonlanması gerekmektedir. Bu husus kullanılan cep telefonlarına göre değişkenlik göstermektedir.

3. Veri Analizi

Mobil cihazlardan elde edilen imaj dosyası, çeşitli adli bilişim yazılımları yardımıyla analiz edilir. Analizlerde alınan imaj türüne göre inceleme gerçekleştirilir.  Bu yazılımlar sayesinde kullanıcı aktiviteleri, uygulama kullanımları, dosya sistemleri, iletişim geçmişi ve daha birçok veri türü detaylı biçimde incelenebilir.Analiz sürecinde genellikle şu verilere odaklanılır:
  • SMS ve MMS mesaj kayıtları
  • Arama geçmişi (gelen, giden, cevapsız)
  • Kişiler listesi
  • WhatsApp, Telegram, Signal, Viber gibi anlık mesajlaşma uygulamaları
  • Facebook, Instagram, TikTok, Twitter gibi sosyal medya uygulamaları
  • Gmail, Yahoo, Outlook gibi e-posta hesapları
  • GPS konum kayıtları
  • Fotoğraf ve video dosyaları (EXIF verileri dahil)
  • İnternet tarayıcı geçmişi ve çerez kayıtları
  • Uygulama log kayıtları ve yapılandırma dosyaları
Analiz süreci, olayın niteliğine göre genel veya hedef odaklı olabilir. Örneğin bir tehdit vakasında mesajlaşma uygulamaları detaylıca incelenirken; bir konum takibi davasında GPS verilerine odaklanılır.Bilgikoru mobil editBilgikoru oxygen forensics Bilgikoru msab Bilgikoru magnet forensics Bilgikoru cellebrite Bilgikoru accessdata 1

4. Silinmiş Verilerin Kurtarılması

Mobil cihazlarda yapılan adli analizlerde yalnızca aktif veriler değil, silinmiş ancak sistemde izleri kalmış veriler de önemli yer tutar. Özellikle bilinçli olarak silinmiş veriler, soruşturmalarda olayın seyrini değiştirecek nitelikte olabilir.Silinmiş verilerin kurtarılması için kullanılan yöntemler; cihazın dosya sistemi, işletim sistemi sürümü, cihazın ne kadar süredir kullanıldığı ve daha önce formatlama işlemi yapılıp yapılmadığı gibi birçok değişkene bağlıdır.Silinebilen fakat geri getirilebilen veriler arasında şunlar yer alır:
  • Silinmiş mesajlar (örneğin WhatsApp konuşmaları)
  • Galeriden silinmiş fotoğraflar ve videolar
  • Silinmiş arama kayıtları ve kişiler
  • Kaldırılmış uygulamalara ait veri kalıntıları
  • Önceden yüklenip daha sonra silinmiş dosyalar ve belgeler
Bu tür verilerin kurtarılmasında kullanılan yazılımlar, silinen verinin üzerine başka bir verinin yazılıp yazılmadığını da kontrol eder. Eğer üzerine veri yazılmamışsa, kurtarılma ihtimali çok daha yüksektir.

5. Konum ve Zaman Bilgisi Tabanlı Analiz

Adli bilişimde en önemli unsurlardan biri de olayların zamansal ve mekânsal takibidir. Mobil cihazlarda yer alan GPS, Wi-Fi, hücresel veri geçmişi ve uygulama log’ları sayesinde bir kullanıcının belirli zamanlarda nerede bulunduğu tespit edilebilir.Konum verileri, özellikle şu kaynaklardan analiz edilir:
  • Fotoğrafların EXIF meta verileri
  • Harita uygulamaları (Google Maps geçmişi)
  • GPS log’ları
  • Bağlanılan Wi-Fi ağlarının zaman ve yer bilgisi
  • Mobil ağ baz istasyonu kayıtları
  • Uygulama bazlı konum geçmişi (örn. sosyal medya paylaşımlarındaki yer etiketleri)
Zaman-mekân verileri kullanılarak bir olay zaman çizelgesi (timeline) oluşturulabilir. Bu sayede kişinin olayın geçtiği zamanda nerede bulunduğu, hangi uygulamaları kullandığı ve ne tür iletişimlerde bulunduğu belirlenebilir.

6. Raporlama

Tüm analiz süreci tamamlandıktan sonra elde edilen veriler teknik bir rapor halinde düzenlenir. Bu rapor, delil niteliği taşıyabilecek şekilde yapılandırılır. Raporlamada genellikle aşağıdaki hususlar yer alır:
  • İncelenen cihazın genel bilgileri
  • Kullanılan analiz yöntemleri ve araçlar
  • Elde edilen veri türleri ve içerikleri
  • Tespit edilen silinmiş veriler
  • Konum ve zaman analizlerine dair bulgular
  • Görseller, grafikler ve zaman çizelgeleri
  • Raporu hazırlayan uzmanların teknik değerlendirmeleri
Raporun formatı, sunulacağı kuruma göre düzenlenebilir. Mahkemeler, savcılıklar veya özel kurumlar için farklı yapıda raporlamalar mümkündür. Ancak her durumda, raporun tarafsız, teknik ve doğrulanabilir olması temel ilkedir.

Paylaş:

Son Yazılar

Kategoriler