BİLDİRİ DETAY

Burak BAYRAKDAR,Halil YİĞİT
ADLİ BİLİŞİMDE VERİ KAZIMA ARAÇLARININ BAŞARIM DEĞERLENDİRİLMESİ
 
Adli bilişim, bilgisayar depolama ortamları gibi dijital veri içeren cihazların tanımlanması, toplanması, incelenmesi, analizi ve mahkemeye sunulması sürecidir. Adli bir olayın aydınlatılmasında büyük önem taşıyan dijital incelemede dijital cihaz üzerindeki mevcut verilerle veya silinmiş, belli bir kısmı bozulmuş ve belli bir kısmının üzerine farklı verilerin yazıldığı verilerle çalışılması gerekmektedir. Silinmiş verilerin kurtarılması dijital ortamdan silinen verilerin geri getirilmesi, dosya sistemi silinmiş dijital ortamlardan verilerin geri getirilmesi veya türü bilinmeyen dosya sistemine sahip dijital ortamlardan verilerin geri getirilmesi işlemlerini kapsamaktadır. Adli bilişim uzmanı tamamen üzerine yazılmamış dijital ortamlarda çeşitli veri kurtarma ve veri kazıma işlemlerini gerçekleştirebilir. Eğer dijital dosya veya verilerin yer aldığı dosya sistemi fiziksel veya mantıksal olarak bozulmuş, tamamen silinmiş (veya biçimlendirilmiş) veya veri hakkında herhangi bir meta-veri bilinmiyor ise bu verileri veri kazıma yöntemi ile kurtarmak gerekir. Veri kurtarma işlemleri dosya sistemi meta-verisi kullanılarak yapılırken, veri kazıma işlemlerinde dosya sistemi bilgisi gerekmemektedir. Bu teknik ile daha önce hiç karşılaşılmamış bir dosya sistemine ait dosyaların elde edilmesi, dosya başlık (header) - son (footer) bilgilerinin uygulamalar üzerine eklenmesi suretiyle gerçekleştirilebilir. Veri kazıma işlemi genellikle disk üzerinde ayrılmamış alanda (unallocated space) gerçekleştirilir. Ayrılmamış alan, herhangi bir dosyaya tahsis edilmemiş ve doya sistemi bulunmayan olan disk alanıdır. Ayrıca, dosya sistemi bozulmuş veya silinmiş bir alan da ayrılmamış alan olarak değerlendirilebilir. Bu alanda dosya sisteminin dosyalar hakkında verdiği bilgiler ve referanslar bulunmamaktadır. Tüm bu sebeplerden dolayı, en zorlu ve en fazla çaba isteyen veri kazıma yöntemi veri kurtarma kapsamında oldukça büyük öneme sahiptir. Bilgisayar soruşturmalarında yer alan dijital inceleyicilerin veri kurtarmak için kullanabilecekleri lisanslı veya lisanssız açık kaynak kodlu yazılımsal araçlar bulunmaktadır. Veri kazıma araçlarının çeşitli veri türlerindeki başarımları dikkate alınarak adli bilişim incelemelerinde kullanılması sürecin hızlı tamamlanması açısından da faydalı olacaktır. Bu bağlamda, böyle bir çalışmanın yapılması veri kazıma araçları konusunda fikir vermesi bakımından önemlidir. Bu araştırma veri kazıma yöntemlerinde kullanılan araçların veri kazıma başarımlarının değerlendirilmesi amacıyla gerçekleştirilmiştir. Yapılan bu araştırmanın kapsamını Foremost v1.5.7, Scalpel v1.6, Photorec v7.0 veri kazıma araçları ve araçların test edildiği NIST (National Institute of Standards and Technology) tarafından sunulmuş 30 adet File Carving görüntüleri (imaj) oluşturmaktadır. Araştırma yüksek maliyet ve zaman gerektirdiğinden, ücretsiz ve açık kaynaklı 3 adet veri kazıma aracı ve NIST tarafından hazır olarak sunulmuş 30 adet imaj ile sınırlandırılmıştır. Araştırmada 5 farklı dosya tipinde (arşiv – archive (7z, bz2, gz, tar, wim, rar, zip), ses – audio (mp3, wav, au, wma), doküman – document (pdf, xlsx, docx, pptx), resim – image (png, tif, gif, bmp, pcx, jpg), video (mp4, avi, mov, flv, mpg, wmv)) her bir dosya tipine ait 6 farklı dosya kayıt yöntemi kullanılmış toplam 30 adet imaj dosyası Foremost, Scalpel, Photorec veri kazıma araçları ile test edilmiştir. Her bir dosya tipi imajlarında arşiv 7 adet, ses 4 adet, doküman 7 adet, resim 7 adet, video 6 adet olmak üzere 31 farklı dosya bulunmaktadır. Araçların başarımları bilinen gerçek 31 farklı dosyanın özet (hash) bilgileri ile araçlar tarafından kurtarılan dosyaların özet bilgilerinin kıyaslanması ile elde edilmiştir. Çalışma sonunda arşiv dosya tiplerinde Foremost %9.52, Scalpel %0, Photorec %23.81; ses dosya tiplerinde Foremost %12.5, Scalpel %0, Photorec %12.5; doküman dosya tiplerinde Foremost %0, Scalpel %0, Photorec %45.24; resim dosya tiplerinde Foremost %11.9, Scalpel %0, Photorec %23.81; video dosya tiplerinde Foremost %5.56, Scalpel %0, Photorec %50 başarım elde etmiştir. Scalpel uygulaması dosya özet değerleri bakımından değerlendirildiğinde başarı elde edememiştir. Foremost bu 3 uygulama içinde ortalama bir başarı elde edebilmiştir. En başarılı aracın ise Photorec uygulaması olduğu görülmüştür. Scalpel uygulaması başarısız olarak görülse de kolay özelleştirilebilir olması sebebiyle dosyadan ziyade hassas verilerin kazınması için kullanılabilir. Bu çalışma adli bilişim alanında uzman olmak isteyen dijital inceleyicilere veri kazıma araçlarını başarımlarının farkında olarak kullanabilme ve elde ettikleri sonuçları daha doğru yorumlayabilme yeteneği sağlayacaktır. Bununla birlikte, veri kazıma yöntemi geliştirilen ve sürekli güncellenen araçlarla birlikte dosyaların kurtarılmasını ve dijital adli soruşturmalar için olası kanıtların elde edilmesini sağlayan değerli bir teknik olmaya devam edecektir.

Anahtar Kelimeler: Adli Bilişim, Veri Kazıma, Veri Kazıma Araçları, Veri Kurtarma



 


Keywords: