Anasayfa Adli Bilişim İmaj Nedir?

İmaj Nedir?

İmaj Nedir?

İmaj, bir dijital cihazın (bir bilgisayar, sabit disk, USB sürücüsü veya cep telefonu) tüm içeriğinin tam kopyasıdır. Diğer bir adıyla adli kopya alma işlemidir. Bu işlem tüm dijital materyaller üzerinde zorunlu yapılması gereken adli bilişim standardıdır.

Orijinal cihazın üzerinde değişiklik yapmadan delilleri inceleme olanağı sağlar. Böylece orijinal cihazın bütünlüğü korunur ve hukuki süreçlerde delil olarak kullanılabilir. Yalnızca görünen dosyalar değil, aynı zamanda silinmiş dosyalar, geçici dosyalar ve gizli veriler de dahil olmak üzere cihazdaki tüm veriler kopyalanır.

Adli bir olay gerçekleştiğinde ve ilgili cihazın imajının alınması istendiğinde cihazın sistemindeki verilerin imajını sağlıklı şekilde almamız gerekmektedir. İmaj alma işlemleri fiziksel ve mantıksal olarak çeşitli şekillerde gerçekleştirilebilir. Adli bilişim uzmanları, bu imaj dosyasını inceleyerek dijital deliller üzerinde analizler yapar ve raporlar hazırlar.

Fiziksel alma işlemi verilerin bire bir (bit bit) kopyasını alan imaj türüdür. En iyi delil olarak sınıflandırılmaktadır. Mantıksal alma işlemi de belirli alandaki verilerin kopyasını aldığımız imaj türüdür. Yüzeysel olarak alınmış bir imajdır. Sistem dosyalarının çoğu gelmez sadece cihazın izin verdiği kısımlar gelir.

Standart İmaj Alma Formatları

Dijital görüntülerin saklanması ve iletilmesi için yaygın olarak kullanılan dosya formatlarıdır. Bu formatlar, farklı kullanım amacı ile çeşitli avantajlar sunar. Raw formatta imaj alırken hedef diskin kaynak diskten daha büyük olması gerekir. Aksi halde imaj alma işlemleri tam anlamıyla tamamlanamaz. İşte bazı yaygın format alma yöntemleri:

DD, Smart, AFF, E01 ve daha çok benzeri formatlarda da alabilmekteyiz.

  • Raw (DD): İşlem esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek dosya kaynakla aynı boyuttadır.
  • Smart: Linux işletim sistemi için geliştirilmiştir. Ham veri dışında metadata ve doğrulama değerleri içeren formattır.
  • AFF: Gelişmiş dosya formatıdır. Veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır.
  • E01: EnCase yazılımı tarafından kullanılan spesifikasyonları açık olmayan bir imaj türüdür. Metada verileri içerisinde tutulmaktadır. EWF formatındaki dosyanın uzantısı E01 şeklindedir.

İmaj Alma Programları Ve Özellikleri Nelerdir?

Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapmaktadır. Disk imajının doğru bir şekilde alınması, tüm adli süreci etkileyebilecek kadar önemli bir konudur. Elektronik delilerin analizinin yapılması, üzerinde suç şüphesi bulunan veri depolama biriminin zarar görmesi ya da inceleme yapan kişi tarafından verilerin değişmesi olasılığına karşı, adli inceleme kuralları çerçevesinde doğru bulunmamaktadır. Bu nedenle, orijinal diskin adli kopyasının (bire-bir kopya) alınmasının bir zorunluluk olduğu söylenebilir

Standart imaj alma programları, dijital görüntüleri yakalamak, düzenlemek, işlemek veya analiz etmek için kullanılan yazılımdır. Bu programlar genellikle fotoğraf makineleri, tarayıcılar, ekran görüntüleri veya cihazlar ile entegre çalışmaktadır. İşte kullanılan bazı programlar ve özellikleri:

FTK Imager

  • Access Data internet sitesi üzerinden ücretsiz olarak temin edilebilmektedir.
  • Yaygın olarak kullanılan windows işletim sistemi tabanlı adli kopya alma yazılımıdır.
  • FTK Imager 3.0 ve daha sonraki sürümler AFF (Advanced Forensic Format), E01 (EnCase), S01 (Smart) uzantılı adli kopya dosyalarını desteklemektedir.
  • Bu yazılım kullanılırken adli kopya çıkartılırken veya veriler kopyalanırken orijinal veri üzerinde değişiklik meydana gelmez.
  • RAM belleğin adli kopyasını alma özelliğine de sahiptir.

EnCase Forensic Imager

  • Guidance Software’in internet sitesi üzerinden ücretsiz temin edilebilmektedir.
  • Bilgisayar üzerinde takılı halde olan veri depolama birimleri adli kopyayı almayı sağlamakta.
  • Ağ bağlantı kablosu üzerinden çapraz kablo kullanılması sayesinde diğer bilgisayarların adli kopyasını almaktadır.
  • Bir adli kopya üzerinde bütünlük kontrolü yapma, e01 formatına dönüştürme, depolama birimine wipe yapma gibi işlemler yapmaktadır.
  • RAM belleğin adli kopyasını alabilme özelliğine de sahiptir.
  • Ex01 ve Lx01 formatları ile de adli kopya alabilmekte.
  • Linux işletim sistemi içinde “LinEN” sürümü mevcuttur.

Guymager

  • Linux tabanlı işletim sisteminde kullanılabilen bir adli kopya alma yazılımıdır.
  • RAW/DD, AFF, E01 uzantılı adli kopyaları desteklemektedir.
  • Disk klonlama işlemi yapabilmektedir.
  • MD5 ve SHA25 hash hesaplama yöntemlerini desteklemektedir.
  • Kullanımı kolaydır ve komutları bilmeden kullanılabilmektedir.

AIR

  • IDE, SCSI, CD-ROM ve tape yedekleme ünitelerini otomatik olarak görüntüler.
  • MD5 veya SHA1/256/384/512 algoritmaları kullanılarak kaynak ve kopya arasında imaj doğrulama özelliğine sahip
  • Grafik arayüzüne sahip bir program
  • Disk veya bölüm wipe edebilme özelliğine sahip
  • Tarih/saat ve kullanılan komutları gösteren detaylı log kayıtları tutabilme özelliği
  • İmaj dosyasını daha küçük dosyalara bölebilme
  • gzip veya bzip2 formatında imaj sıkıştırma ve açma özelliklerine sahiptir.

More Reading

Post navigation

Leave a Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir