Adli bilişim teknolojileri genel olarak el konulmuş bilgisayardan delil çıkarmayı amaçlamaktadırlar. Bu çıkarma işlemi yapılırken izlenen yol savcılık / mahkeme makamlarını ikna etme ve doğru karar vermelerini amaçlamalıdır. Suç unsuru oluşturacak veri çok büyük ihtimalle silinmiş veya geri dönmesi zor olacak şekilde manipüle edilmiş olabilir. Adli bilişim teknolojileri bu veriyi kurtarmayı mümkün kılmaktadırlar.

Normal veri kurtarma metotlarına ek olarak, adli veri kurtarma işlemi mahkeme huzurunda delil teşkil etme amacı gütmektedir.

Dosya Silme İşlemi Kategorileri

Modern bilgisayar diskleri, işletim sistemi, uygulama programları ve kullanıcı dosyaları gibi birçok farklı tip veri içermektedir. Disk sürücüleri bunlara ek olarak sanal hafıza için backing store ve işletim sistemi metadata bilgiler gibi veriler (dizinler, dosya özellikleri ve allocation bilgileri) içermektedir.

Hard diske zarar vermenin en çok bilinen yöntemleri;

• Disk sürücüsüne fiziksel olarak zarar vererek, veriye ulaşılamamasını sağlamak,
• Disk üzerindeki manyetik alanları karıştırarak (degaussing) veri bloklarının anlamsız hale getirilmesi,
• Disk üzerindeki verinin üstüne veri yazarak eski veriyi erişilemez kılınması olarak karşımıza çıkmaktadır.

Dosya Hiyerarşisi

Kötü niyetli kişi/kişilerin sahip oldukları veriyi nasıl sileceği ve adli bilişim uzmanı tarafından bu verinin nasıl kurtarılacağı göz önüne alınarak disk üzerindeki veriler 5 farklı kategoride toplanabilir.

Seviye 0 – Olağan Dosyalar: Dosya isimleri, dosya özellikleri ve dosya içerikleri gibi dosya sisteminde bulunan bilgilerdir.

Seviye 1 – Geçici Dosyalar: Yazdırma dosyaları, tarayıcı önbellek dosyaları ve geri dönüşüm kutusu dosyalarıdır.

Seviye 2 – Silinmiş Dosyalar: Bir dosya silindiği zaman birçok işletim sistemi hard diskte silinen dosyaya ait blokların üzerinde hemen yazma işlemi gerçekleştirmez. Bunun yerine sadece dosya metadata bilgilerini silerler. Bunu sonucu olarak dosyaya ait bloklar yazılabilir listesine eklenir. İşletim sistemi standart işlemler sırasında bu bloklara herhangi bir yazma işlemi uygulamadığı sürece bloklardaki veriler kurtarılabilir.

Seviye 3 – Alıkoyulmuş (Retained) Veri Blokları: Diskten kurtarılabilen ancak herhangi bir isimlendirilmiş dosyaya (named file)  belirgin bir şekilde ait olmayan veridir. Seviye 3 veriler, slack space’de ve sanal hafıza için kullanılan backing store’da bulunan ve kısmi olarak üzerine yazılmış, tamamen kurtarılamayan seviye 2 tip veriyi içermektedir.

Seviye 3 veriler çok büyük oranda Windows format komutu veya unix newfs komutu sonucu ortaya çıkmaktadır. İşletim sistemleri her ne kadar verinin silinmiş olduğunu söylese de diskin çok büyük bir kısmı tamamen silinmiş değildir ve uygun araçlarla kurtarılabilir durumdadır. Seviye 3 veriler ileri seviye veri kurtarma yazılımları veya özel adli yazılımlar aracılığıyla kurtarılabilir.

Seviye 4 – Üretici tarafından gizlenmiş bloklar: Bu seviye veri blokları yalnızca üretici firmanın tanımladığı komutlar ile erişilebilir. Bu seviye sürücü kontrol yazılımları ve bad-block yönetimi için kullanılan blokları içerir.

Seviye 5 – Üstüne Yazılmış Veriler: Her ne kadar disk üzerindeki verinin üzerine veri yazıldıktan sonra verinin kurtarılmasının mümkün olmadığı söylense de bunun başarılabileceğini ileri süren teoriler ve araştırmalar üreten bilim adamları mevcuttur. Seviye 5 verilerde üzerine yazıldıktan sonra kurtarılan veriler olarak anılmaktadır.

Silme Yoluyla Veri Nasıl Yok Edilir?

Verilerin silinmesi üç farklı yöntem ile gösterilebilir

• Verinin dosya dosya silinmesi: Disk üzerindeki işletim sistemi ve yazılımlar/uygulamalar zarar görmez.
• Hard diskin tamamen silinmesi: Hard disk üzerindeki bütün veriler silinir ancak disk hala kullanılabilirdir.
• Hard diskin fazla enerji ile yakılması: Hard disk üzerindeki bütün verile sinilir ve hard disk fiziksel olarak zarar gördüğü için kullanılamaz duruma gelir.

Delili ortadan kaldırmak adına birçok suçlu, işletim sisteminin delete ve erase komutlarını kullanır. İşletim sisteminin komuta yüklediği anlam değişse de birçok işletim sisteminde bu veriyi ortadan kaldırmaz. Yalnızca dosyayı işaret eden metadata’yı siler ve veriyi içeren disk bloklarına dokunmaz ve gerçek veriye üstüne veri yazılması gerekene kadar dokunulmaz.

Üzerine Veri Yazılması Yoluyla Yok Etme

Her bir bilgisayar sistemi dosyalara (kullanılan alan) ve serbest (kullanılmayan) alana sahip birer depolama ortamına ihtiyaç duyar. Bilgisayar her kullanılışında bu dosyalara ait metadata’lar değiştirilir ve daha önce silinmiş olarak işaretlenen alanlardaki veriler yeni verilerle değiştirilebilir. Bu şekilde kurtarılmayı bekleyen verinin üstüne yeni veri yazılımı gerçekleşir ve eski veri gerçek anlamıyla siliniş olur.

Yalnızca delete ya da erase komutları kullanarak bir kanıtı ortadan kaldırmaya çalışan suçlu bilişim alanında amatör olduğu söylenebilir. Bu konuda uzman olan suçlular veriyi silerek değil üzerine yeni veri yazarak ortadan kaldırma yoluna gider.

Diskin üzerindeki verileri tamamen yok etmenini bir yolu ise her adreslenmiş veri bloku üzerine ASCII NUL değeri yani sıfır yazmaktadır. Eğer disk doğru bir şekilde çalışıyor ise üzerindeki veri sonradan kurtarılmaya çalışıldığında boş olduğunu gösterecektir.

Bir saldırgan tarafından kritik önem taşıyan verilerin bu şekilde tamamen ortadan kaldırılmasına sterilize etme (sanitization) denmektedir. Suçlu verileri sterilize etmek için sanitization yazılımları kullanabilir.

Kurtarma Teknikleri

Adli analiz araçları veri kaybı yaşanan hard diskten veri kurtarmak amacıyla kullanılmaktadır. Bu araçlar hard diski veya hard diskin imajını birçok farklı işletim sistemini kullanarak analiz edebilirler.

Uluslararası düzeyde kabul gören adli yazılım araçları  olan Forensic Toolkit, Forensic Explorer, Magnet Axiom, Encase, X-Ways Forensics, Autopsy vb. adli bilişim yazılımları; Farklı işletim sistemlerini inceleme, disk imajı alma ve ön gösterim modları, hata kontrolü ve doğrulama, indeksleme ve arama, kurtarma, filtreleme, göz atma (browsing), zaman çizgisi ve registery analizi, sector-by-sector inceleme, sayısal imza (hash) alma, raporlama, grafik ara yüz gibi birçok özelliğe sahiptir.

Yukarıda bahsedilen ve bahsedilmeyen birçok veri kurtarma yazılımı delete veya erase komutu kullanılarak silinmiş seviye 2 verileri ve belli bir dosya ile ilişkisi olmayan seviye 3 verileri gösterebilirler. Hard diskin üretici firmasına ait birkaç komut kullanılarak seviye 4 verilerde kurtarılabilir. Ancak seviye 5 verinin kurtarılması en zor kısımdır.

Disk Sektörlerinin ve Partition Tablosunun Zarar Görmesi

Partition tablosunun kurtarılması daha zahmetli ve ince işçilik gerektirir. Hassas verilerin saklanması için kullanılan en popüler alanlar ikincil bir disk veya sanal disktir. Partition tablosunun hızlı bir şekilde formatlanması hassas bilgiye ulaşmayı engellemenin bir yoludur. Partition tablosu silindiğinde ikincil diske olan erişim yitirilir. Bu disklerin manuel olarak tespit edilmesi çok zaman harcayan bir süreçtir. Adli veri kurtarma yazılımı kullanılarak bu kayıp partitionlar kolay ve hızlı bir şekilde tespit edilebilir.

Verinin Üstüne Yeni Veri Yazılması (Overwrite)

Bilgisayarların hard disklerinde platter adı verilen ve milyarlarca küçük parçalara ayrılmış manyetik yüzeyler vardır. Bu parçaların hepsi tek tek manyetize edilerek 1 ve demanyetize edilerek 0 değeri taşınması sağlanır. Bu teknik sayesinde diske güç verilmese bile manyetize edilmiş alanlarda bilgi saklanabilir. Platter'lar hard diskin veri tutan en önemli parçalarıdır. Platter'lar cam ve alüminyumdan oluşmuş ve üsteleri ince bir metal tabakasıyla kaplanmışlardır. Bu metal tabaka manyetize edilerek veri tutmaya yarar. Küçük bir hard disk genellikle sadece iki tarafı da manyetik katmanla kaplanmış bir platter'a sahiptir. Daha büyük har diskler ise birbirlerinden ince bir boşlukla ayrılmış birden fazla platter'a sahiptir.

Platterlar yazma ve okuma başlıkları üzerlerindeki her noktaya erişebilsin diye dakikada 10.000 kez dönebilirler. Bir platter için 2 tane okuma-yazma başlığı kullanılır. Biri üst yüzeyi biri alt yüzeyi okuyabilsin diye. Yani 5 platter'a sahip bir hard disk 10 ayrı okuma-yazma başlığı içerir. Sürtünmeyi ve sürtünmeden kaynaklanabilecek aşınmaları yok etmek için başlıklar platter'a dokunmaz. Başlık ve platter arasında nanometrelerle ölçülebilecek kadar ince, hava veya sıvı ile dolu bir boşluk vardır.

Bir hard diskin henüz veri yazılmamış yüzeyini ele alalım. Başlık platter üzerinde geçtikçe platter manyetize edilmekte ve yüzey altındaki alan veriyi depolamakta. Başlık platter üzerinden her geçişinde yüzeye yakın bölgede yeni bir manyetik alan yaratmakta ve depolanan veri değiştirmekte. Platter'ın yüzeye uzak bölgelerinde ki verinin sağlam kalma ve bir önceki manyetik bilgiyi tutma olasılığı mevcuttur. Bu metot kullanılarak, platter'ın daha alt bölgelerinde kalan veri manyetik güç mikroskopu kullanılarak tespit ve analiz edilerek kurtarılabilme ihtimali vardır.

Slack Space

Bir dosyanın kapladığı alan küme alanıyla (cluster) bire bir olmadığı zaman küme alanında boş kalan alana slack space denir. Kümenin kullanılmayan alanı, bu kümede bulunan bir önceki dosyaya dair veriler taşır. Bu alanlar genellikle suç unsuru taşıyan verilerin saklanmasında kullanılır ve adli açıdan büyük önem taşımaktadırlar.

Birçok veri kurtarma yazılımı slack space’leri allocated space olarak gördüğü için bu alanları hesaba katmadan kurtarma işlemi gerçekleştirir. Unallocated alanlara yönelik yapılan bir tarama işlemi slack space’leri görmeyecektir.

Bir NTFS diskin Ana veri alanları ve dizinler olmak üzere iki olası slack space alanı vardır.

Dosya verileri, diske sabit blok veya küme büyüklüklerinde yazılır. Bu nedenle bir dosyanın kapladığı alanı, küme alanından küçük olduğu durumlarda kümenin sonunda dosyaya atanmış ancak kullanılmayan bir alan oluşur. Bu alanlar bir önceki silinmiş dosyalara ait verileri veya dosya yazma işlemi sırasındaki sistem hafıza verilerini içerdiği için, adli bilişim uzmanlarının ilgisini çekmektedirler. Ayrıca, uzman suçlular tarafından bu alanlar veri saklamak amacıyla da kullanılabilir.

örnekte, kaydedilmek istenen dosya 768 Byte’dır. Dosya için hard disk’te ihtiyaç olan alan yalnızca 1. Sektörün tamamı ve 2. Sektörün yarısıdır. İşletim sistemine bağlı olarak 2. Sektörün geri kalan yarısı, 1’ler veya 0’larla doldurulabilir veya dokunulmadan eski veriler olduğu gibi bırakılabilir (slack space). 3. Ve 4. Sektör üzerine veri yazılmaz ve slack space olarak adlandırılır. Adli veri kurtarma yazılımları sayesinde bu alandaki eski dosyaya ait veriler kurtarılabilir.