Biraz önce ofisinizin bilgisayarında çalışırken, o can alıcı raporu son bir kez kontrol ediyorsunuz. Ekrandaki veriler, sizin için hayati önem taşıyan bir davanın kaderini belirleyecek. Aniden elektrikler gidiyor. Monitor sıfırlanıyor. Sistem kapanıyor… ve geri dönüşü olmayan bir şekilde veri kaybı yaşanıyorsunuz. Peki ya bu veriler, adli bilişim sürecinde kanıt olarak kullanılmak üzere toplanması gereken materyallerse? İşte tam burada devreye giren şey: **veri kurtarma**. Ama bu sadece basit bir dosya geri yükleme işlemi değil; adli bilişimin en kritik ayaklarından biri olan **forensik veri kurtarma**nın ta kendisi.
Veri kaybı dediğimizde ilk akla gelen şey, genellikle donanım arızaları veya kullanıcı hataları gibi basit nedenlerdir. Oysa adli bilişim alanında karşılaşılan veri kayıpları çok daha karmaşık ve bazen de planlı olabilir. Örneğin;
-
Ancak unutmayın ki; her veri kaybı vakası, aslında birer **adli delil potansiyeli** barındırır. Sistematik bir şekilde incelendiğinde, kurtarılan her byte bile mahkemede kullanılabilecek değerli bilgiler sunabilir. Bu yüzden veri kurtarma işlemi, sıradan bir IT operasyonundan çok öteye geçiyor — olay yeri incelemesinden dijital laboratuvarlara kadar uzanan karmaşık bir bilimsel sürecin parçası haline geliyor.
Dijital dünyada her şeyin iz bıraktığı gerçeğiyle karşı karşıyayız. Bir dosyanın silinmesi bile aslında fiziksel olarak diskten tamamen yok edilmez—sadece erişilebilirliği ortadan kalkar. İşte bu noktada devreye **forensik veri kurtarma** giriyor ve bize kaybolan verileri sistemdeki fiziksel izlerinden yeniden inşa etme imkanı sunuyor.
Bu süreç üç ana aşamadan oluşur:
1. Olay Yeri Koruma ve Kanıt Toplama: Herhangi bir dijital cihazda delil ararken ilk adım, orijinal ortamın değiştirilmemesini sağlamaktır. Adli bilişim uzmanları özel klonlama araçları kullanarak diskin birebir kopyasını (bit-for-bit kopyası) çıkarırlar. Bu kopya üzerinden tüm incelemeler gerçekleştirilir, böylece orijinal kanıt hiçbir zaman riske atılmaz.
a Forensikte en yaygın kullanılan aracın adı FTK Imager. Bu ücretsiz araç sayesinde hem Windows hem de Linux tabanlı sistemlerden kolayca disk klonları oluşturabilirsiniz.
2. Veri Analizi ve Parçalama: Klonlanan diskin incelenmesi sırasında birkaç önemli yaklaşım öne çıkıyor:
a) *Silinmiş Dosyaların Geri Getirilmesi:* Dosya sistemi tablosundaki girişlerin silinmesiyle birlikte erişimi kaybolan dosyalar aslında disk üzerinde fiziksel olarak durmaya devam ederler (unallocated space). Dosya sistemi metadata’sının yeniden oluşturulmasıyla bu dosyalar tekrar okunabilir hale gelir.
b) *Geçici Dosyaların İncelenmesi:* Uygulamaların cache’lerinde veya sistem event log’larında bulunan geçici kayıtlar bile kanıt niteliği taşıyabilir.
c) *Shadow Copy ve Zaman Damgaları:* NTFS altında yer alan Volume Shadow Copy Service (VSS) sayesinde silinen dosyalara ait eski versiyonlara ulaşılması mümkündür.
d) *Hash Değerlerinin Karşılaştırması:* Elde edilen verilerin bütünlüğünü sağlama amacıyla SHA-256 gibi algoritmalar kullanılır ve böylece delillerin değiştirilmediği kanıtlanır.
a Unutmayın ki; analiz sırasında sadece aktif dosyalara odaklanmak yeterli değildir — silinen e-postalar, tarayıcı geçmişi kayıtları ya da hatta harddiskte kalan izler (artifacts) bile büyük önem taşır.
3. Mahkeme Sunumu: Tüm elde edilen verilerin yasal standartlara uygun olarak belgelenmesi gerekir. Adli raporlar genellikle aşağıdaki unsurları içerir:
c Anlaşılması kolay grafikler ile görselleştirilmiş ekran çıktıları,
c Zaman damgalarının tutarlılığı,
c Araştırma metodolojisinin açıklaması,
c Karakter setlerinde yer alan metadata bilgileri (örneğin EXIF verileri fotoğraflarda).
a Burada dikkat edilmesi gereken en kritik nokta; tüm sürecin takip edilebilir olmasıdır — her adım kayıt altına alınmalıdır ki karşı taraf tarafından sorgulanabilirlik mümkün olsun.
Elbette yukarıda bahsedilen tekniklerin uygulanabilmesi için uygun ekipmana sahip olmak şarttır:
c Especial forensic recovery hardware (örneğin Tableau write blocker cihazları),
c Sertifika gerektiren laboratuvar ortamları,
c Uygulanması yıllarla ölçülen deneyimlere sahip yetkin ekipler.
UYARI!: Veriyi Kendiniz Kurtarmaya Çalışmayın!
Veri Kaybının Arkasındaki Gerçek: Neden ve Nasıl Oluyor?
Veri kaybı dediğimizde ilk akla gelen şey, genellikle donanım arızaları veya kullanıcı hataları gibi basit nedenlerdir. Oysa adli bilişim alanında karşılaşılan veri kayıpları çok daha karmaşık ve bazen de planlı olabilir. Örneğin;
-
- Bir şüpheli tarafından kasıtlı olarak silinmiş veya gizlenmiş veriler (örneğin suç delillerinin yok edilmesi amacıyla yapılan biçimlendirme işlemleri),
- Ransomware saldırıları: fidye yazılımları tarafından şifrelenen ve erişimi engellenen sistemler,
- Fiziksel hasarlar: su baskını, yangın, darbe gibi durumlarda disklerin çalışamaz hale gelmesi,
- Elektriksel sorunlar: ani voltaj düşmeleri ya da yükselmeleri sonucu oluşan donanım bozulmaları,
- Dosya sistemindeki bozulmalar: anormal kapatma işlemleri, yazılım çökmeleri veya kötü amaçlı yazılımların neden olduğu yapısal hasarlar.
Ancak unutmayın ki; her veri kaybı vakası, aslında birer **adli delil potansiyeli** barındırır. Sistematik bir şekilde incelendiğinde, kurtarılan her byte bile mahkemede kullanılabilecek değerli bilgiler sunabilir. Bu yüzden veri kurtarma işlemi, sıradan bir IT operasyonundan çok öteye geçiyor — olay yeri incelemesinden dijital laboratuvarlara kadar uzanan karmaşık bir bilimsel sürecin parçası haline geliyor.
Adli Bilişimin Gözünden Veri Kurtarma: Bilim mi Sanat mı?
Dijital dünyada her şeyin iz bıraktığı gerçeğiyle karşı karşıyayız. Bir dosyanın silinmesi bile aslında fiziksel olarak diskten tamamen yok edilmez—sadece erişilebilirliği ortadan kalkar. İşte bu noktada devreye **forensik veri kurtarma** giriyor ve bize kaybolan verileri sistemdeki fiziksel izlerinden yeniden inşa etme imkanı sunuyor.
Bu süreç üç ana aşamadan oluşur:
1. Olay Yeri Koruma ve Kanıt Toplama: Herhangi bir dijital cihazda delil ararken ilk adım, orijinal ortamın değiştirilmemesini sağlamaktır. Adli bilişim uzmanları özel klonlama araçları kullanarak diskin birebir kopyasını (bit-for-bit kopyası) çıkarırlar. Bu kopya üzerinden tüm incelemeler gerçekleştirilir, böylece orijinal kanıt hiçbir zaman riske atılmaz.
a Forensikte en yaygın kullanılan aracın adı FTK Imager. Bu ücretsiz araç sayesinde hem Windows hem de Linux tabanlı sistemlerden kolayca disk klonları oluşturabilirsiniz.
2. Veri Analizi ve Parçalama: Klonlanan diskin incelenmesi sırasında birkaç önemli yaklaşım öne çıkıyor:
a) *Silinmiş Dosyaların Geri Getirilmesi:* Dosya sistemi tablosundaki girişlerin silinmesiyle birlikte erişimi kaybolan dosyalar aslında disk üzerinde fiziksel olarak durmaya devam ederler (unallocated space). Dosya sistemi metadata’sının yeniden oluşturulmasıyla bu dosyalar tekrar okunabilir hale gelir.
b) *Geçici Dosyaların İncelenmesi:* Uygulamaların cache’lerinde veya sistem event log’larında bulunan geçici kayıtlar bile kanıt niteliği taşıyabilir.
c) *Shadow Copy ve Zaman Damgaları:* NTFS altında yer alan Volume Shadow Copy Service (VSS) sayesinde silinen dosyalara ait eski versiyonlara ulaşılması mümkündür.
d) *Hash Değerlerinin Karşılaştırması:* Elde edilen verilerin bütünlüğünü sağlama amacıyla SHA-256 gibi algoritmalar kullanılır ve böylece delillerin değiştirilmediği kanıtlanır.
a Unutmayın ki; analiz sırasında sadece aktif dosyalara odaklanmak yeterli değildir — silinen e-postalar, tarayıcı geçmişi kayıtları ya da hatta harddiskte kalan izler (artifacts) bile büyük önem taşır.
3. Mahkeme Sunumu: Tüm elde edilen verilerin yasal standartlara uygun olarak belgelenmesi gerekir. Adli raporlar genellikle aşağıdaki unsurları içerir:
c Anlaşılması kolay grafikler ile görselleştirilmiş ekran çıktıları,
c Zaman damgalarının tutarlılığı,
c Araştırma metodolojisinin açıklaması,
c Karakter setlerinde yer alan metadata bilgileri (örneğin EXIF verileri fotoğraflarda).
a Burada dikkat edilmesi gereken en kritik nokta; tüm sürecin takip edilebilir olmasıdır — her adım kayıt altına alınmalıdır ki karşı taraf tarafından sorgulanabilirlik mümkün olsun.
Elbette yukarıda bahsedilen tekniklerin uygulanabilmesi için uygun ekipmana sahip olmak şarttır:
c Especial forensic recovery hardware (örneğin Tableau write blocker cihazları),
c Sertifika gerektiren laboratuvar ortamları,
c Uygulanması yıllarla ölçülen deneyimlere sahip yetkin ekipler.