İMAJ(Adli Kopya) Nedir ?

Adli Bilişim biliminin en önemli faktörlerinden olan İMAJ (Adli kopya) alma işlemi; bir verinin delil niteliği kazanmasının sağlanmasıdır. Bu işlem tüm dijital materyaller üzerinde zorunlu olarak yapılması gereken adli bilişim standartıdır.

Peki imaj nedir diye bakacak olursak; inceleme yapılacak dijital materyalin veri depolama biriminin birebir kopyasına verilen isimdir. Fiziksel ve mantıksal olmak üzere iki farklı imaj alma yöntemi bulunmaktadır. Tüm birimlerin inceleneceği veri depolama biriminde fiziksel, belirli bir bölümün/dosyanın inceleneceği veri depolama biriminde mantıksal imaj alma yöntemine başvurulmaktadır.

Yapılan imaj alma işlemi sonrasında tüm verilerin anlamlandırıldığı ve bilişim sektöründe parmak izi olarak tabir edilen HASH Değeri verisi atanmaktadır. Adli bilişim imaj alma yazılım ve donanımlarıİnceleyecek kişinin istediği çıktıya bağlı olarak, MD5, SHA1 ve SHA256 değerleri ile hash atayabilmektedir.

İmaj alma işlemleri yazılımsal ve donanımsal olarak çeşitli şekillerde gerçekleştirilebilir. Adli bilişim yazılımlarının neredeyse geneli adli kopya alma (imaj) işlemini gerçekleştirebilmekte olup; Encase Forensics, FTK Imager, Autopsy, donanımlara ise; Tableau yazma-koruma cihazları, Voom Technology cihazları, Solo-III kopyalama cihazları örnek olarak verilebilir.

Yazılımsal ve donanımsal imaj alma yöntemlerinde dikkat edilecek en önemli husus Write-Blocker(Yazma Koruma) basamağıdır.  Yazılımsal imaj alma yönteminde delil niteliği kazandırılacak diskin “Write-Blocker” (Yazma Koruma) aktif iken bilgisayara takılması, donanımsal alınacak imaj alma yönteminde ise delil niteliği kazandırılacak diskin “Write-Blocker”(Yazma Koruma) bölümüne takılması gerekmektedir.

Aynı oranda önemli olan bir hususta, açık olan bir bilgisayarın kapatılmadan önce uçucu bellek (RAM) imajının adli bilişim standartlarınca alınması gerektiğidir. Bu veriler içerisinde kullanıcının son olarak yapmış olduğu veri silme, veri aktarımı, son klasör erişimleri, son web tarayıcı ziyaretleri vb. aktivitelerinin ortaya çıkarıldığı RAM belleği bir çok adli aşamada önemli rol oynamış ve davaların kazanılmasını sağlamıştır.

Adli kopya alma (İmaj) hususları ve standartları canlı makine (sunucu vb.), dvr cihazları, firewall logları, cep telefonları, yazıcılar, usb bellek ve hafıza kartları üzerinde de geçerlidir.

İmaj alma işlemlerinde cep telefonlarının konumunu diğerlerinden ayrı tutabiliriz. Tüm belirtilen dijital materyaller dışında cep telefonlarının adli kopya alma işlemleri ve yazılımları/donanımları farklılık göstermektedir. Cep telefonları üzerinde alınacak imaj işlemi için öncelik cihazın işletim sistemi türü ve sürümünü belirlemek olup, bir sonra ki aşamaya geçilebilmektedir. Cep telefonları için çeşitli adli kopya alma yazılımları olup bunlara örnek verecek olursak; Cellebrite, MobilEdit, Oxygen, Magnet Acquire ve Belkasoft firmaları bunlara öncülük edecektir.

Leave a comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir