Open in app

Sign in

Write

Sign in

Adli Bilişim Yazılımları

Ayşenur Bolukçu
Yetkin Yayın
Published in
5 min readOct 7, 2023

Adli bilişim dijital delil elde etme süreçlerinde hangi yazılımları kullanıyoruz? Silinmiş veya gizlenmiş verileri hangi yazılımlarla açığa çıkartıyoruz?

Adli bilişimde kullanılan yazılımları, ana hatlarıyla ticari ve ücretsiz/açık kaynak kodlu yazılımlar olmak üzere iki grupta toplamak mümkündür. Her iki grupta da yüzlerce yazılım olmasına rağmen, dünya çapında kabul görmüş bazı yazılımlar, güvenilirliğinin de ispatlanmış olması nedeniyle mahkemede diğerlerinin aksine daha çok kabul görmekte ve şüpheleri ortadan kaldırmaktadır.

https://pin.it/15pMoeg

Adli bilişim alanında kullanılan yazılımların taşıması gereken başlıca özellikleri şöyle sıralayabiliriz:

  • Dijital delillerin elde edilmesi işlemleri sırasında, veriler üzerinde değişikliğe sebep olmamalıdır.
  • Sadece elde edilmek istenen verilerin incelenmesine olanak sağlamalıdır.
  • Adli bilişim camiasında kabul görmüş ve güvenilirliğini ispat etmiş olmalıdır.
  • Elde edilen veri ve sonuçlar her zaman «tekrar edilebilir» olmalıdır.

Ticari Yazılımlar

Lisanslanmak veya son kullanıcıya satılmak için tasarlanan, kar amacı güden kurumlar tarafından geliştirilen yazılımların tümüdür. Ticari yazılımların asıl amacı gelir elde etmektir.

Ticari kaygı güdülerek üretilen bu yazılımlar bir lisans anahtarı veya yazılım kopyası olarak satılır. Ticari yazılımı firmadan satın alan kullanıcı o yazılımın lisansını tamamen satın almış sayılmaz. Firma o yazılımın yalnızca kullanım hakkını o kullanıcıya satmış olur.

Bu alanda en çok bilinen;

  • Encase-
  • FTK (Access Data Forensics Tool Kit)
  • X-Ways Forensic
  • Paraben

gibi yazılımlar elektronik delil üzerinde son derece güvenilir ve tekrar edilebilir sonuçlar verdiği için ticari yazılımlar arasında en çok tercih edilen yazılımlardır.

https://pin.it/5NOQy1G

Ticari yazılımları öne çıkaran başlıca avantajlar arasında,

  • Kolay temin edilebilir olması,
  • Çok fazla eğitim almadan temel fonksiyonlarıyla rahat bir şekilde kullanılabilir bir ara yüze sahip olmaları,
  • Çoğu ticari yazılımın arkasında danışılabilecek bir şirket veya sertifikalı eğitim programının olması,
  • Sonuçlarını herkesin anlayabileceği ve yorumlayabileceği bir açıklıkta (bazen grafiksel olarak) sunmaları ve büyük bir bölümünün Windows işletim sistemleri üzerinde çalışması olarak sıralanabilir.

Dezavantajları arasında ise; maliyetinin yüksek olması, kodların açık olmaması nedeniyle yazılıma kullanıma bağlı olarak değişiklik yapmanın mümkün olmaması, profesyonel bir destek almanın mümkün olmaması ve lisans problemleri vardır.

EnCase

En popüler adli bilişim yazılımlarından bir tanesidir. Bire bir disk kopyası (imaj alma) oluşturan, analiz ve raporlama aşamalarının tümünde kullanılabilen ve tutarlılığı en fazla olan yazılımlardan biridir.

EnCase, hemen hemen tüm dosya sistemlerini tanıyabilir. Aynı zamanda birçok imaj formatı ile uyumlu olup RAID sistemlerini destekleyen Windows tabanlı bir yazılımdır.

FTK (Access Data Forensics Tool Kit)

Adli bilişimde sürecinde kullanılan Windows tabanlı ikinci en popüler yazılımdır. EnCase üzerinde bulunmayan bazı fonksiyonlara sahip olması ve kullanımının daha kolay olması nedeniyle adli bilişim uzmanları tarafından tercih edilmektedir.

https://images.app.goo.gl/U2NvU9aN4VMBF61x7

EnCase’de olduğu gibi, adli bilişimin tüm aşamalarında (imaj alma, analiz ve raporlama) kullanılmaktadır. FTK, EnCase’e oranla daha düşük maliyete sahip olmakla birlikte, imaj almak için kullanılan programı (FTK Imager) ücretsiz bir şekilde dağıtılmaktadır.

Paraben

Paraben tarafından geliştirilen bir mobil adli inceleme ve analiz yazılımıdır. Tüm akıllı telefon türlerinden, cep telefonlarından ve GPS cihazları türlerinden hepsini destekler. Maliyeti FTK ile aynı seviyededir.

https://pin.it/3Wcyki6

Açık Kaynak Kodlu Yazılımlar

Açık kaynaklı kodlu yazılım, herkes tarafından erişilebilen ve telif hakkı sahibinin kullanıcılara herhangi bir amaç için kullanma, inceleme, değiştirme ve dağıtma haklarını verdiği bir bilgisayar yazılımıdır.

Bu alanda en çok bilinen;

  • Autopsy
  • Sleuth Kit
  • Helix

gibi yazılımlar, internet üzerinden kolaylıkla indirilebilen ve kurulabilen ücretsiz bir yazılım veya başlatılabilir CD halinde olabilmektedir.

https://pin.it/4go2Rkc

Ucuz veya ücretsiz olması, kolay temin edilebilir olması, lisans problemi olmaması, popüler olanlarının adli bilişim alanında tutarlılığının ve güvenilirliğinin ispatlanmış olması, farklı işletim sistemlerine yönelik uygulamaların bulunması ve üzerinde kişisel değişikliklerin yapılabilmesine olanak sağlaması açık kaynak kodlu yazılımların avantajları arasında sıralanabilir.

Fakat açık kaynak kodlu yazılımların kullanımının daha zor olması nedeniyle, bu konuda daha eğitimli/bilgili olmak gerekebilmektedir.

Sleuth Kit

Bilgisayar sistemlerinin adli bilişim analizini kolaylaştırmak amacıyla disk sürücülerinden ve diğer depolama alanlarından veri çıkarmaya yönelik komut satırında çalışan bir disk/dosya analiz aracıdır.

Autopsy

Sleuth Kit’in kullanımı için geliştirilmiş grafiksel ara yüze sahip bir web yazılımıdır. Linux işletim sistemlerinde kurulu olarak kullanıcıya gelmektedir. Autopsy, açık kaynak kodlu adli bilişim yazılımları içerisinde en kapsamlı ve en popüler olan yazılımdır.

https://pin.it/4OeE4N6

EnCase yazılımında da olduğu gibi (Analizi yapan kişi ve analizi yapılan dijital delile ait tüm kayıtların girilmesi vb.), kapsamlı bir disk/dosya analizinin yapılması ve raporlandırılması Autopsy ile de mümkündür.

Helix

Linux tabanlı adli bilişim inceleme yazılımlarından oluşan başlatılabilir bir CD’dir. Helix, içeriğinde sadece adli bilişim alanında kullanılan yazılımlar bulunan ve sadece bu amaca yönelik tasarlanan özel bir yazılım paketidir.CD içeriğinin büyük bölümü, Autopsy ve Sleuth Kit gibi açık kaynak kodlu yazılımlardır.

https://pin.it/ceCsN2U

Helix’i adli bilişim için özel olarak tasarlanmamış diğer başlatılabilir CD’lerinden ayıran en büyük fark, incelenmekte olan bilgisayar üzerinde bulunan disk ya da depolama birimlerini otomatik bir şekilde tanımlamaması; elle tanımlansa dahi “yalnızca okunabilir” şekilde tanımlayarak, diskler üzerindeki delillerin bütünlüğünün değişmesine sebebiyet vermemesidir. Bu nedenle, bu alanda en popüler araçlardan biri olarak kabul görmektedir.

İyi Bir Adli Bilişim Yazılımında Hangi Özellikler Bulunmalıdır?

  • Disk kopyalama ve imaj alma işlemleri doğru bir şekilde yapabilmelidir.
  • RAID-0 ve RAID-5 yapılarını algılama ve okuyabilme özelliğine sahip olmalıdır.
  • 2TB’ın üzerinde depolama alanı olan disk ve RAID sistemlerini okuyabilmelidir.
  • Disk/imaj üzerinden verilerin kurtarılması ve veri madenciliği yapılabilmesi için gerekli özellikleri barındırmalıdır.
  • Dosyalar ve alınan imajlar için, CRC32, MD4, ed2k, MD5, SHA-1, SHA-256 formatlarında hash değeri oluşturabilmelidir.
  • Dizin yapısı içerisinde silinmiş ve var olan dosyaları belirgin bir şekilde göstermelidir.
  • Dosyalara ait tüm detaylı bilgileri (kullanıcı yetkisi, dosyanın sahibi, en son ne zaman işlem yapıldığı vb.) gösterebilmelidir.
  • Çeşitli algoritmalar ve dosya imzalarını kullanmak suretiyle, mevcut dosya uzantılarının doğruluğunu sınayabilmelidir.
  • Şifrelenmiş belgeleri (doc, pdf vb. uzantılı) otomatik olarak tespit edebilmelidir.
  • İstenen dosya özelliğini ya da analiz sonucunu detaylı ve anlaşılır bir şekilde rapora dönüştürebilmelidir.
Adli Bilişim
Ftk Imager
Linux
Yetkin Gençler
Yetgenli

--

--

Ayşenur Bolukçu
Yetkin Yayın

Written by Ayşenur Bolukçu

63 Followers
Writer for

Cyber Security Engineering

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams