Dijital Delillerin İncelenmesi ve Analizi: Veri Kurtarma, Log İncelemesi ve Veri Madenciliği
Giriş
Adli bilişim alanında, dijital delillerin doğru şekilde incelenmesi ve analiz edilmesi, bir soruşturmanın seyrini değiştirebilir. Bu süreç yalnızca mevcut verilerin incelenmesini değil, aynı zamanda silinmiş, gizlenmiş ya da bozulmuş verilerin kurtarılmasını da kapsar. Ayrıca sistem loglarının ve büyük veri kaynaklarının detaylı analizi, kritik bilgilerin ortaya çıkarılmasını sağlar.
Bu yazıda, dijital delil incelemesinde kullanılan temel teknikleri, araçları ve dikkat edilmesi gereken noktaları detaylı bir şekilde ele alıyoruz.
1. Veri Kurtarma ve İnceleme Teknikleri
Dijital delillerin incelenmesi sürecinde, silinmiş veya hasar görmüş verilerin kurtarılması büyük önem taşır.
Silinmiş Verilerin Kurtarılması
- Silinmiş Dosyalar:
Dosyalar genellikle sabit diskin “boş alan” (unallocated space) bölümünde tamamen silinmeden kalır. - Disk İmajı ve Kurtarma Araçları:
Disk imajı alınarak veriler güvenli şekilde kurtarılabilir. :::BİLGİ Veri kurtarma araçları:
• FTK Imager: Disk imajı oluşturma ve delil toplama için kullanılır.
• Recuva ve TestDisk: Silinmiş dosyaların geri getirilmesinde etkili ücretsiz araçlardır. :::
Veri İnceleme Yöntemleri
- File Carving:
Dosya sistemi bilgileri olmadan dosya verilerini tanımlayıp kurtarma işlemidir. Genellikle medya dosyalarında (fotoğraf, video) kullanılır. - Hex Editing:
Dosya içeriğini byte düzeyinde inceleyerek, bozulmuş ya da eksik dosyalar hakkında bilgi edinilmesini sağlar. :::İPUCU Hex editörleri (örneğin HxD), kaybolmuş veya hasarlı verilerin manuel olarak incelenmesi için güçlü araçlardır. :::
2. Log Dosyaları ve Sistem İzleri
Sistemlerin ve uygulamaların ürettiği log dosyaları, kullanıcı aktiviteleri ve sistem olayları hakkında değerli bilgiler sunar.
Önemli Log Türleri
- Sistem Logları:
- Windows Event Log: Kullanıcı giriş-çıkışları, sistem hataları ve güvenlik olaylarını kaydeder.
- Syslog: Linux/Unix sistemlerde sistem olaylarının takibi için kullanılır.
- Uygulama ve Güvenlik Logları:
Uygulama hataları, kullanıcı aktiviteleri ve olası güvenlik ihlallerini içerir.
Log Dosyalarının İncelenmesi
- Zaman Damgaları (Timestamp):
Olayların zamanını ve sırasını doğru bir şekilde anlamak için kullanılır. - Kullanıcı ve Sistem Etkileşimleri:
Hangi kullanıcıların hangi kaynaklara eriştiği detaylı şekilde analiz edilir. - Anormal Davranışlar:
Şüpheli giriş denemeleri, beklenmeyen sistem hataları gibi olağan dışı aktiviteler tespit edilir. :::DİKKAT Log dosyalarının bozulmuş veya eksik olması, olayların doğru bir şekilde yeniden inşa edilmesini zorlaştırabilir. Bu yüzden log bütünlüğü korunmalıdır! :::
3. Veri Madenciliği ve Analiz Araçları
Büyük veri setlerinden anlamlı bilgiler çıkarmak için adli bilişimde veri madenciliği teknikleri kullanılır.
Veri Madenciliği Teknikleri
- Zaman Serisi Analizi:
Kullanıcı aktivitelerinin zaman içindeki değişimini inceleyerek olağandışı hareketler belirlenir. - Örüntü Tanıma (Pattern Recognition):
Normal aktiviteler ile şüpheli aktiviteler arasındaki farkları saptamak için kullanılır.
Kullanılan Veri Analiz Araçları
- Autopsy:
Açık kaynaklı dijital delil inceleme platformu. Disk görüntülerini ve log dosyalarını analiz etmek için kullanılır. - EnCase:
Profesyonel adli bilişim yazılımı. Veri toplama, analiz ve raporlama işlemlerinde kullanılır. - X1 Social Discovery:
Sosyal medya içeriklerini analiz ederek dijital delil elde etmek için kullanılır. :::BİLGİ Sosyal medya verileri de mahkemelerde dijital delil olarak kullanılabilir. X1 gibi araçlar sayesinde bu veriler yapılandırılarak analiz edilebilir. :::
Önemli Noktalar
- Veri Kurtarma:
Silinmiş veriler çoğu zaman tamamen kaybolmaz; doğru tekniklerle geri getirilebilir. - Log Analizi:
Sistem aktiviteleri ve kullanıcı hareketlerini anlamak için log dosyalarının detaylı incelenmesi gereklidir. - Veri Madenciliği:
Büyük veri setlerinden, suçla bağlantılı potansiyel delillerin çıkarılmasını sağlar. Veri kurtarma ve analiz işlemlerinde yapılan en küçük hata, delilin mahkemede geçerliliğini kaybetmesine sebep olabilir!
Hızlı Bilgiler (Cheat Sheet)
- File Carving:
Silinmiş dosyaların dosya sistemi olmadan kurtarılması. - Hex Editing:
Verilerin byte düzeyinde incelenmesi ve kurtarılması. - Log Analizi:
Sistem ve kullanıcı aktivitelerinin zamanlaması ve sıralaması. - Zaman Serisi Analizi:
Kullanıcı davranışlarının zamana göre değişiminin incelenmesi. - Örüntü Tanıma:
Normal dışı aktivitelerin otomatik tespiti.
Soru-Cevap Bölümü
Soru 1:
Silinmiş dosyalar nasıl kurtarılır?
Cevap:
Diskin boş alanı taranarak veya disk imajı üzerinden FTK Imager, Recuva gibi araçlar kullanılarak silinmiş dosyalar kurtarılabilir.
Soru 2:
Log dosyaları neden önemlidir?
Cevap:
Log dosyaları, sistem ve kullanıcı aktivitelerini kaydeder. Güvenlik ihlalleri veya olağandışı davranışlar bu loglardan tespit edilir.
Soru 3:
Veri madenciliği adli bilişimde nasıl kullanılır?
Cevap:
Büyük veri setlerinden örüntü tanıma ve zaman analizi teknikleri kullanılarak suçla ilgili olabilecek bilgiler çıkarılır.