ADLİ DELİL İNCELEME YAZILIMLARI
Adli bilişim, delillerin elde edilmesi, toplanması, muhafazası ve analiz edilip raporlanması aşamalarından oluşur. Bir suçun aydınlatılmasındaki en önemli etken bu aşamaların eksiksiz tamamlanmasıdır. Fakat adli bilişim uzmanları elde ettikleri bu delillerin orijinalleri üzerinde asla çalışmazlar. Bunun için o delillerin birebir kopyasına ihtiyaç duyarlar. Bu birebir kopya işlemine “imaj alma” denilmektedir. Gerek imaj alarak gerek diğer adli bilişim aşamalarında kullanılarak, adli bilişim soruşturmalarında kişilere yardımcı olan güvenilirliği kanıtlanmış birçok adli delil inceleme yazılımları vardır. Bu yazılımları temel olarak ücretli (ticari) ve ücretsiz (açık kaynak kodlu) yazılımlar olarak iki grupta inceleyebiliriz. Açık kaynak kodlu olarak adlandırılmasının sebebi arka planındaki kodlara kişilerin ulaşabilmesidir. Ücretli yazılımlarda ise böyle bir durum yoktur. Adli delil inceleme yazılımlarına başlamadan önce ücretli ve ücretsiz yazılımların avantaj ve dezavantajlarına bakalım.
Ticari Yazılımlar
Avantajları
- Ücretsiz yazılımlara göre daha fonksiyonel olması nedeniyle daha kullanışlıdır.
- Çok fazla eğitim olmadan temel fonksiyonlarla kullanılabilen bir arayüze sahiptir.
- Birçoğunun arkasında danışabileceğiniz bir şirket veya sertifikalı eğitim programı vardır.
- Sonuçlar herkesin anlayıp ve yorumlayabileceği bir açıklıktadır.
Dezavantajları
- Maaliyeti yüksektir.
- Kodların açık olmaması nedeniyle kullanıma bağlı olarak değişiklik yapmak mümkün değildir (arka planı bilemeyip sadece sunulan hizmet kullanılması).
Bu alanda en çok Oxygen Forensic, EnCase ve Paraben gibi yazılımlar ön plana çıkmaktadır.
Ücretsiz Yazılımlar
Avantajları
- Kolay temin edilmektedir.
- Lisans gereksinimi yoktur.
- Üzerinde kişiye özel değişiklikler yapılabilmektedir (kodlar kişilere açıktır).
Dezavantajları
- Kullanımı ticari yazılımlara göre daha zordur.
Bu alanda en çok FTK Imager, DART ve Autopsy ön plana çıkmaktadır.
Hangi gruptaki yazılım tercih edilirse edilsin bazı önemli özellikleri taşıması gerekir. Bunlar, dijital delillerin elde edilmesi esnasında veriler üzerinde bir değişikliğe sebep olmamalıdır ve güvenirliği ispat edilmiş olmalıdır.
ADLİ DELİL İNCELEME YAZILIMLARI
OXYGEN FORENSIC
Oxygen Forensic bir mobil cihaz inceleme yazılımıdır. Mobil cihazların mesaj, arama kayıtları, rehber, galeri ve cihaz veri tabanına erişerek verilerin imajını almamızı ve elde ettiğimiz verileri ayrıştırıp raporlamamızı sağlar.
Kişinin iletişim kurduğu kişilere erişmesinin yanısıra konuşma kayıtlarının süresi ve en çok iletişim kurulan kişiler vb. bilgilerde yine Oxygen Forensic sayesinde elde edilmektedir ve silinen verileri, üzerine veri yazılmadığı sürece kurtarabilmektedir.
Son olarak bu yazılımda dikkat edilmesi gereken önemli hususlardan biri, incelenen mobil cihaz hangi ülkeye bağlıysa o ülkenin tarihine ve saatine göre incelenmelidir.
ENCASE
Güvenilirliği en fazla olan ve güçlü bir iş akış şemasına sahip en popüler adli inceleme yazılımlarından biridir. İmaj alma, analiz ve raporlama aşamalarında kullanılmaktadır. EnCase, çoğu dosya sistemini tanıyan ve birçok imaj formatıyla uyumlu bir yazılımdır.
FTK IMAGER
Access Data firması tarafından üretilen ve tüm dünya tarafından kabul görmüş ücretsiz bir yazılımdır. Dd(ham halder raw), E01 ve AFF biçimlerinde imaj almaktadır. Fiziksel depolama cihazlarının adli kopyalarını ve RAM imajının alınmasını sağlar, imaj dosyasının içeriğindeki tahsis edilmemiş tüm alanla birlikte gizli dosyaları görüntüler ve şifreli disklerin açılmasına olanak sağlar. FTK Imager ile incelenen dosyalara şifre atanarak çalışmaların güvenilirliği arttırılabilir.
FTK Imager ile alınan imaj dosyasında adli bilişim açısından önemli olan hash değeri, imaj tarihi vb. bilgilerde yer almaktadır. Ayrıca ön izleme yapabilmektedir.
DART (DEFT)
Digital Evidence & Forensics Toolkit kısaltmasından oluşan DEFT kurulum gerektirmeyen ve bilgisayar tabanlı inceleme olanağı sağlayan bir yazılımdır. DEFT Linux dağıtımlı bir paket olup sanal makine üzerine kurulabilir. Delillerin toplanmasını ve analiz edilmesini sağlar. Ayrıca Linux ve Windows işletim sistemlerinde çalışmaktadır.
AUTOPSY
Autopsy den önce Sleuth Kit hakkında bilgi vermek istiyorum. Sleuth Kit, komut satırında çalışan bir disk/dosya aracıdır. Autopsy de Sleuth Kit’in kullanımı için geliştirilmiş bir web ara yüzüdür. Autopsy, ücretsiz adli inceleme yazılımları içerisinde en geniş kapsamlı ve en popüler yazılımdır. Kapsamlı bir şekilde disk/dosya analizinin yapılmasını ve raporlandırılmasını sağlar.
Yazıda adı geçen dijital deliller hakkında bilgi sahip olmak isterseniz Dijital Delil Nedir? Ne İşe Yarar adlı yazıma ve eğer izlemediyseniz youtube kanalımızdaki videolara göz atabilirsiniz. Hepinize iyi günler dilerim.