|
Adli biliþim, bilgisayar depolama ortamlarý gibi dijital veri içeren cihazlarýn tanýmlanmasý, toplanmasý, incelenmesi, analizi ve mahkemeye sunulmasý sürecidir. Adli bir olayýn aydýnlatýlmasýnda büyük önem taþýyan dijital incelemede dijital cihaz üzerindeki mevcut verilerle veya silinmiþ, belli bir kýsmý bozulmuþ ve belli bir kýsmýnýn üzerine farklý verilerin yazýldýðý verilerle çalýþýlmasý gerekmektedir. Silinmiþ verilerin kurtarýlmasý dijital ortamdan silinen verilerin geri getirilmesi, dosya sistemi silinmiþ dijital ortamlardan verilerin geri getirilmesi veya türü bilinmeyen dosya sistemine sahip dijital ortamlardan verilerin geri getirilmesi iþlemlerini kapsamaktadýr. Adli biliþim uzmaný tamamen üzerine yazýlmamýþ dijital ortamlarda çeþitli veri kurtarma ve veri kazýma iþlemlerini gerçekleþtirebilir. Eðer dijital dosya veya verilerin yer aldýðý dosya sistemi fiziksel veya mantýksal olarak bozulmuþ, tamamen silinmiþ (veya biçimlendirilmiþ) veya veri hakkýnda herhangi bir meta-veri bilinmiyor ise bu verileri veri kazýma yöntemi ile kurtarmak gerekir. Veri kurtarma iþlemleri dosya sistemi meta-verisi kullanýlarak yapýlýrken, veri kazýma iþlemlerinde dosya sistemi bilgisi gerekmemektedir. Bu teknik ile daha önce hiç karþýlaþýlmamýþ bir dosya sistemine ait dosyalarýn elde edilmesi, dosya baþlýk (header) - son (footer) bilgilerinin uygulamalar üzerine eklenmesi suretiyle gerçekleþtirilebilir. Veri kazýma iþlemi genellikle disk üzerinde ayrýlmamýþ alanda (unallocated space) gerçekleþtirilir. Ayrýlmamýþ alan, herhangi bir dosyaya tahsis edilmemiþ ve doya sistemi bulunmayan olan disk alanýdýr. Ayrýca, dosya sistemi bozulmuþ veya silinmiþ bir alan da ayrýlmamýþ alan olarak deðerlendirilebilir. Bu alanda dosya sisteminin dosyalar hakkýnda verdiði bilgiler ve referanslar bulunmamaktadýr. Tüm bu sebeplerden dolayý, en zorlu ve en fazla çaba isteyen veri kazýma yöntemi veri kurtarma kapsamýnda oldukça büyük öneme sahiptir. Bilgisayar soruþturmalarýnda yer alan dijital inceleyicilerin veri kurtarmak için kullanabilecekleri lisanslý veya lisanssýz açýk kaynak kodlu yazýlýmsal araçlar bulunmaktadýr. Veri kazýma araçlarýnýn çeþitli veri türlerindeki baþarýmlarý dikkate alýnarak adli biliþim incelemelerinde kullanýlmasý sürecin hýzlý tamamlanmasý açýsýndan da faydalý olacaktýr. Bu baðlamda, böyle bir çalýþmanýn yapýlmasý veri kazýma araçlarý konusunda fikir vermesi bakýmýndan önemlidir. Bu araþtýrma veri kazýma yöntemlerinde kullanýlan araçlarýn veri kazýma baþarýmlarýnýn deðerlendirilmesi amacýyla gerçekleþtirilmiþtir. Yapýlan bu araþtýrmanýn kapsamýný Foremost v1.5.7, Scalpel v1.6, Photorec v7.0 veri kazýma araçlarý ve araçlarýn test edildiði NIST (National Institute of Standards and Technology) tarafýndan sunulmuþ 30 adet File Carving görüntüleri (imaj) oluþturmaktadýr. Araþtýrma yüksek maliyet ve zaman gerektirdiðinden, ücretsiz ve açýk kaynaklý 3 adet veri kazýma aracý ve NIST tarafýndan hazýr olarak sunulmuþ 30 adet imaj ile sýnýrlandýrýlmýþtýr. Araþtýrmada 5 farklý dosya tipinde (arþiv – archive (7z, bz2, gz, tar, wim, rar, zip), ses – audio (mp3, wav, au, wma), doküman – document (pdf, xlsx, docx, pptx), resim – image (png, tif, gif, bmp, pcx, jpg), video (mp4, avi, mov, flv, mpg, wmv)) her bir dosya tipine ait 6 farklý dosya kayýt yöntemi kullanýlmýþ toplam 30 adet imaj dosyasý Foremost, Scalpel, Photorec veri kazýma araçlarý ile test edilmiþtir. Her bir dosya tipi imajlarýnda arþiv 7 adet, ses 4 adet, doküman 7 adet, resim 7 adet, video 6 adet olmak üzere 31 farklý dosya bulunmaktadýr. Araçlarýn baþarýmlarý bilinen gerçek 31 farklý dosyanýn özet (hash) bilgileri ile araçlar tarafýndan kurtarýlan dosyalarýn özet bilgilerinin kýyaslanmasý ile elde edilmiþtir. Çalýþma sonunda arþiv dosya tiplerinde Foremost %9.52, Scalpel %0, Photorec %23.81; ses dosya tiplerinde Foremost %12.5, Scalpel %0, Photorec %12.5; doküman dosya tiplerinde Foremost %0, Scalpel %0, Photorec %45.24; resim dosya tiplerinde Foremost %11.9, Scalpel %0, Photorec %23.81; video dosya tiplerinde Foremost %5.56, Scalpel %0, Photorec %50 baþarým elde etmiþtir. Scalpel uygulamasý dosya özet deðerleri bakýmýndan deðerlendirildiðinde baþarý elde edememiþtir. Foremost bu 3 uygulama içinde ortalama bir baþarý elde edebilmiþtir. En baþarýlý aracýn ise Photorec uygulamasý olduðu görülmüþtür. Scalpel uygulamasý baþarýsýz olarak görülse de kolay özelleþtirilebilir olmasý sebebiyle dosyadan ziyade hassas verilerin kazýnmasý için kullanýlabilir. Bu çalýþma adli biliþim alanýnda uzman olmak isteyen dijital inceleyicilere veri kazýma araçlarýný baþarýmlarýnýn farkýnda olarak kullanabilme ve elde ettikleri sonuçlarý daha doðru yorumlayabilme yeteneði saðlayacaktýr. Bununla birlikte, veri kazýma yöntemi geliþtirilen ve sürekli güncellenen araçlarla birlikte dosyalarýn kurtarýlmasýný ve dijital adli soruþturmalar için olasý kanýtlarýn elde edilmesini saðlayan deðerli bir teknik olmaya devam edecektir.
Anahtar Kelimeler: Adli Biliþim, Veri Kazýma, Veri Kazýma Araçlarý, Veri Kurtarma
|