9 — Adli Bilişim (Digital Forensics)
Dijital delil toplama, disk analizi, log inceleme ve veri kurtarma süreçleri. Siber suçların aydınlatılmasında kritik bir alan.
Dijital adli bilişim, siber olayların soruşturulması ve delil toplanması sürecidir. Delil bütünlüğünü koruyarak olayın zaman çizelgesini oluşturmak esastır.
🔍 Adli Bilişim Süreçleri
Forensic Image Alma
Orijinal diski bit-by-bit kopyalama işlemi. Write blocker kullanılarak orijinal kanıta dokunulmaz. Hash değerleri (MD5/SHA-256) karşılaştırılarak bütünlük doğrulanır. dd, FTK Imager, Guymager araçları kullanılır.
# dd ile forensic image alma
dd if=/dev/sda of=evidence.img bs=4096
# Hash doğrulama
md5sum /dev/sda
md5sum evidence.imgDisk Analizi
Dosya sisteminin derinlemesine incelenmesi. Silinmiş dosyaların kurtarılması, dosya imza analizi (file carving), zaman damgası analizi (MACB timestamps), MFT analizi ve registry incelemesi yapılır.
Log Analizi
Sistem, uygulama ve ağ loglarının incelenmesi. Windows Event Logs, Syslog, web server logları, firewall logları analiz edilir. Saldırı zaman çizelgesi oluşturulur.
Veri Kurtarma
Silinmiş, bozulmuş veya şifrelenmiş verilerin geri getirilmesi. Dosya sistemi yapıları, slack space, unallocated space incelenir. Foremost, Scalpel, PhotoRec araçları kullanılır.
🛠️ Adli Bilişim Araçları
🔬 Autopsy
Açık kaynak dijital adli bilişim platformu. Sleuth Kit üzerine inşa edilmiştir. Disk imajlarını analiz eder, dosya kurtarma, anahtar kelime araması, web artifact analizi, e-posta analizi yapar. GUI tabanlıdır.
📸 FTK Imager
AccessData tarafından geliştirilen forensic imaging aracı. Disk imajı oluşturma, RAM dump alma, dosya önizleme ve hash hesaplama işlemlerini ücretsiz olarak gerçekleştirir.
💡 Delil Zinciri (Chain of Custody)
Dijital delillerin toplanma, taşınma, analiz ve saklanma süreçleri kayıt altına alınmalıdır. Delil zinciri kırılırsa, delil mahkemede geçersiz sayılabilir. Her adımda hash doğrulaması yapılmalıdır.
📝 Notlar 0