Adli Bilişimde Kullanılan Yazılım ve Donanımlar
Adli bilişim, dijital ortamda işlenen suçların tespiti, delillerin toplanması, analizi ve sunulması için kullanılan bilimsel bir disiplindir. Adli bilişim uzmanları, çeşitli yazılım ve donanım araçlarından yararlanarak, dijital delilleri korur, kopyalar, inceler ve raporlar. Bu yazıda, adli bilişimde kullanılan bazı yazılım ve donanım araçlarına örnekler vererek, bunların işlevlerini ve önemlerini açıklamaya çalışacağız.
Adli bilişimde kullanılan yazılım araçları, genellikle şu kategorilere ayrılabilir: disk imajlama, disk analizi, dosya kurtarma, şifre kırma, ağ analizi, mobil cihaz analizi ve raporlama. Disk imajlama araçları, dijital delil olarak kullanılacak olan disklerin veya belleklerin birebir kopyalarını oluşturmak için kullanılır. Bu sayede, delillerin bozulması veya değiştirilmesi önlenir. Disk imajlama araçlarına örnek olarak FTK Imager, EnCase Imager, dd gibi programlar verilebilir. Disk analizi araçları, disk imajlarının içeriğini incelemek için kullanılır. Bu araçlar sayesinde, silinmiş veya gizlenmiş dosyalar, kayıt defteri girdileri, sistem günlükleri, tarayıcı geçmişi gibi bilgiler elde edilebilir. Disk analizi araçlarına örnek olarak Autopsy, EnCase Forensic, X-Ways Forensic gibi programlar verilebilir. Dosya kurtarma araçları, silinmiş veya hasar görmüş dosyaları geri getirmek için kullanılır. Bu araçlar sayesinde, önemli belgeler, fotoğraflar, videolar gibi veriler kurtarılabilir. Dosya kurtarma araçlarına örnek olarak Recuva, R-Studio, Stellar Data Recovery gibi programlar verilebilir. Şifre kırma araçları, şifreli dosya veya sistemlere erişmek için kullanılır. Bu araçlar sayesinde, şifre korumalı dosyaların içeriği görüntülenebilir veya şifreli sistemlere giriş yapılabilir. Şifre kırma araçlarına örnek olarak John the Ripper, Hashcat, Elcomsoft Password Recovery gibi programlar verilebilir. Ağ analizi araçları, ağ trafiğini yakalamak ve incelemek için kullanılır. Bu araçlar sayesinde, ağ üzerinde gerçekleştirilen eylemler, iletişimler ve protokoller tespit edilebilir. Ağ analizi araçlarına örnek olarak Wireshark, Nmap, Tcpdump gibi programlar verilebilir. Mobil cihaz analizi araçları, akıllı telefon veya tablet gibi cihazlardan elde edilen verileri incelemek için kullanılır. Bu araçlar sayesinde, cihazın modeli, seri numarası, işletim sistemi versiyonu gibi bilgilerin yanı sıra; çağrı kayıtları, mesajlar, rehber girdileri, uygulama verileri gibi bilgiler de elde edilebilir. Mobil cihaz analizi araçlarına örnek olarak Cellebrite UFED, Oxygen Forensic Suite, MOBILedit Forensic Express gibi programlar verilebilir. Raporlama araçları ise adli bilişim sürecinin son aşamasında kullanılır. Bu araçlar sayesinde elde edilen tüm veriler bir rapor haline getirilir ve sunulur. Raporlama araçlarına örnek olarak FTK Report, EnCase Report, X-Ways Report gibi programlar verilebilir.
Adli bilişimde kullanılan donanım araçları ise, genellikle şu kategorilere ayrılabilir: disk imajlama cihazları, disk klonlama cihazları, disk silme cihazları, disk yazma koruma cihazları, disk bağlantı adaptörleri, disk kutuları, disk kasaları ve disk çantaları. Disk imajlama cihazları, yazılım araçlarına benzer şekilde disklerin veya belleklerin birebir kopyalarını oluşturmak için kullanılır. Ancak bu cihazlar, bilgisayara bağlı olmadan çalışabilir ve daha hızlı ve güvenli bir imajlama işlemi sağlar. Disk imajlama cihazlarına örnek olarak Tableau Forensic Imager, Logicube Forensic Dossier, WiebeTech Forensic UltraDock gibi cihazlar verilebilir. Disk klonlama cihazları, disk imajlama cihazlarına benzer şekilde çalışır ancak disklerin veya belleklerin kopyalarını başka bir diske veya belleğe yazar. Bu sayede, delillerin yedeklenmesi veya taşınması sağlanır. Disk klonlama cihazlarına örnek olarak Logicube Forensic Falcon, Logicube Forensic Echo Plus, WiebeTech Forensic RTX gibi cihazlar verilebilir. Disk silme cihazları, disklerin veya belleklerin içeriğini tamamen silmek için kullanılır. Bu sayede, delillerin imhası veya yeniden kullanılması sağlanır. Disk silme cihazlarına örnek olarak Logicube Forensic ZXi-Forensic Eraser, WiebeTech Drive eRazer Ultra, Datastroyer Degausser gibi cihazlar verilebilir. Disk yazma koruma cihazları, disklerin veya belleklerin sadece okunabilir olmasını sağlamak için kullanılır. Bu sayede, delillerin bozulması veya değiştirilmesi önlenir. Disk yazma koruma cihazlarına örnek olarak Tableau Forensic Bridge, WiebeTech Forensic ComboDock, CRU DataPort WriteBlocker gibi cihazlar verilebilir. Disk bağlantı adaptörleri, farklı tipte veya boyutta olan disklerin veya belleklerin bilgisayara veya diğer cihazlara bağlanmasını sağlamak için kullanılır. Bu sayede, delillerin uyumluluğu ve erişilebilirliği sağlanır. Disk bağlantı adaptörlerine örnek olarak Tableau Forensic Universal Bridge Adapter Kit, WiebeTech Forensic Media Card Reader, CRU DataPort Adapter Kit gibi adaptörler verilebilir. Disk kutuları, diskleri veya bellekleri korumak ve taşımak için kullanılır. Bu sayede, delillerin fiziksel zarar görmesi önlenir. Disk kutularına örnek olarak CRU DataPort ToughTech Secure Mini-Q Enclosure, WiebeTech ToughTech Duo QR Enclosure, CRU DataPort ToughTech Duo C Enclosure gibi kutular verilebilir. Disk kasaları ve çantaları ise birden fazla diski veya belleği korumak ve taşımak için kullanılır. Bu sayede delillerin düzenli ve güvenli bir şekilde saklanması sağlanır. Disk kasalarına ve çantalarına örnek olarak CRU DataPort Carrying Case for 18 Drives, WiebeTech DriveBox Anti-Static Case for 10 Drives, CRU DataPort Carrying Case for 24 Drives gibi kasalar ve çantalar verilebilir.