Adli Bililişim Araçları
Adli bilişim süreçlerinde kullanılan ekipmanların adli bilişim aracı olarak adlandırılmasının sebebi ve benzer diğer araçlardan ayırt edici farkı, dijital delile müdahale presedürlerine uygun özellikler taşıması, delili riske atmadan ve delil bütünlüğü haraket edilerek mahkeme sürecinde delilin kabul edilebilirliğini sağlamasıdır.
Bu ekipmanlara tornavida setleri, bağlantı kabloları gibi yardımcı malzemerlerden, birebir kopyalaam için kullanılan cihazlar ile inceleme aşamasında kullanılan yazılımlara, hatta teslim alınan maddi bulgunun inceleme sonrası geri gönderilmesi için kullanılacak özel zarf veya paketlere kadar kullanılan tüm araç gereçlere dahil etmek mümkündür.
Yazma Araçları
Dijital ya da elektronik bir bulgu veya delilin ön inceleme yapma veya imaj alma gibi amaçlarla bilgisayara bağlanması gerekebilir. Ancak bilgisayara bağlanan bu medya ile bilgisayar iletişime geçeceği ve medya üzerinde yazma işlemi yapabileceği için hash değerlerinde değişme olabilecek, erişilebilecek bir verinin üzerinde yazma işlemi yapması durumunda ise bu veri erişilmez hale gelebilecektir.
Yazma koruma için kullanılan ekipmanlar, bunkarın önüne geçmek, delil bütünlüğünü koruyarak imaj alabilmek veya inceleme yapabilmek için geliştirilmiş yazılım ve donanımlardır. Veri depolama birimi bu ekipmanlar kullanılarak bilgisayara bağlandığında, bu medya üzerinde yazma işlemi gerçekleşmeden sadece okuma yapılmaktadır.
Ben bu işlerden anlıyorum diye bilgisayardan imaj almaya çalışırken delilin delil niteliğini kaybetmesine neden olabilecek hash değerini değeriştirme işlemini yanlışıkla medya aracıyla yapabiliriz.
Elektronik delillerin hukuken güvenilebilir, inanılabilir ve üzerinde yeniden çalışılabilir olmaları için veriyi taşıyan donanım parçaları üzerinde doğrudan çalışmamak gerekir. Bu nedenle delil araştırma amaçlı yapılacak çalışmalar, donanımların üzerinde değil, anlınan birebir kopyalar üzerinde yapılmalıdır. Adli bilişimde yapılan bu birebir kopylama işlemine imaj ya da imaj alma (forensic image) denilmektedir.
Dosyanın üstveri bilgisi değişince hash değeri değişmez.
İmaj Araçları
Yazılımlar Kullanılarak Kopya Alınması
Bu yöntemde bilgisayar aracılığı ile işletim sistemini kullanmadan veya işletim sistemi tabanlı çalışan adli imaj alma yazılımları kullanılır. Yazma koruması sağlayan donanım aracılığıyla veya yazılımsal yazma koruma yapılarak(donanımsal yazma koruması daha güvenilirdir) bilgisayara bağlanan medyanın; yazılımın ara yüzü kullanılarak kopyası alınacak bölüm, format, hız, imaj dosyalarının kaydedilebileceği konum gibi seçimler yapıldıktan sonra kopyalama işlemi yapılır. Bu bölümde imaj almada kullanılan cihazlara ve yazılımlara genel özellikleriyle örnekler verilmiştir.
Depolama Araçları
Sabit disk, USB bellek, hafıza kartı, CD/DVD gibi veri depolama birimleri yazma korumalı şekilde bilgisayara bağlanarak veya imajı alındıktan sonra imaj üzerinde incelenebilmektedir. Ancak delilin fiziksel bütünlüğünün korunması ve analizlerin daha hızlı yapılabilmesi için incelemelerin imaj üzerinde yapılması uygun olacaktır.
Bu yazılımların bazılarında birçok fonksiyon bir araya getirilmişken bazılarında ise tek fonksiton bulunmaktadır. Ücretli veya ğcretsiz olarak kullanıcıya sunulmaktadır. bazılarının ise ticari şirketler, devlet kurumları, kolluk kuvvetleri için farklı versiyonları bulunmaktadır.
1-Çok Fonksiyonlı Yazılımsal Ekipmanlar
2-Diğer Yazılımsal Ekipmanlar
3-Hasarlı Medya Onarım ve Veri Kurtarma Ekkipmanları
Mobil Cihaz Araçları
Mobil cihazların bulundurulduğu veriler ve kullanım şekilleri gelişme göstermektedir. Akıllı telefonların popülerleşmesi ve küçük bir bilgisayarfonksiyonu görebilmesi sebebiyle artık sadece telefon rehberi, arama kayıtları, kısa mesajlar, resimmler, ajanda kayıtları, notlar ve diğer multimedya verilerini elde etmek yeterli değildir. Bu cihazlar çok daha fazlasını içermektedir. Dolayısıyla mobil cihaz incelemesi yapılırken veri incelemesi yapılması daha fazla gerekli hale gelmektedir. Bu tarz cihazlar incelenirken kesinlikle faraday kefesinde incelenmesi gerekmektedir.
Mobil cihazlar birbiriyle veya başka ağlarla radyo frekansı, Bluetooth, kızılötesi veya kablosuz ağ bağlantısı ile haberleşebilecek şekilde dizayn edilmişlerdir. İnceleme esnasında cihazdaki verilerde değişiklik olmaması için cihazın bu bağlantışarının kesilmesi ve izole edilmiş şekilde incelenmesi önemlidir. Bunun için Faraday çantaları, SIM kart klonlama, jammer kullanma gibi çeşitli araçlar ve metotlar geliştirilmiştir. Ancak ilk müdahale birimi tarafından bu tedbşrler uygulanamayabilmektedir.
Mobil cihazlar çok hızlı geliştiği için Mobil Cihaz Araçları çok hızlı demode olmaktadırlar.
Diğer İnceleme Araçları
Adli bilişim, olaya müdahale anında sistemin boot edilmiş(belleğine işletim sistemi yüklenmiş) olup olmamasına göre ölü inceleme ve canlı inceleme olarak ayrılmaktadır. Sistem boot edilmiş ise canlı sistem olarak adlandırılır ve o anda yapılan incelemeye canlı inceleme denir. Açık sistemin kapatılması veya fişinin çekilmesi, veri kaybına sebebş,yet verebilir. Sşstem kapatıldığında kaybolan bu veriler uçucu veriler olarak adlandırılmaktadır. Anaaliz açısında, çalışan süreçler, sistemin o andaki donanom bilgisi gibi uçuucu verilerin toplanması önem taşımaktadır.
Ram geçici hafızadır ve elektrik kesilmesiyle buradaki bilgiler kaybolmaktadır. Dolayısıyla açık sistemin Ram imajı alınarak daha sonra incelenebileceği gibi, kullanılan araca göre müdahale esnasında da istenilen bilgiler elde edilebilmektedir. Açık sistem olmasına rağmen canlı inceleme iöin kullanılan ekipmanlar, adli bilişim gereksinimlerini karşılamalıdır.
Gerçekleştirilecek herhangi bir adli bilişim incelemsi, hedef sistem üzerinde elde edilebilecek maksimum miktarda veriyi, bu verilerin bütünlüğünü vve doğruluğunu en az etkileyececek şekilde almayı amaçlamalıdıır. Bu bağlamda canlı sistemler üzerinde yapılan adli bilişim incelemelerinde kullanılan araçlaarn da bu prensibi göz önünde bulundurmaları beklenmektedir.
