Adli Bilişim (Digital Forensic) Nedir?

Yayınlayan
Ali Ezdemir
Yayınlanma tarihi
26-02-2022
Okuma süresi
7 DK

Adli Bilişim (Digital Forensic) Nedir?

 

Bu yazımızda temel olarak Adli Bilişim (Digital Forensic) nedir, Adli Bilişim İncelemeleri hangi süreçlerden oluşur ve Adli Bilişim türleri nelerdir gibi konulara değineceğiz.

Adli Bilişim (Digital Forensic) Nedir?

Adli bilişim, elektromanyetik ve elektro-optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmalarının bütünüdür.

Adli Bilişim İnceleme Süreçleri Nelerdir?

Adli Bilişim İnceleme Süreçlerini temelde 4 kategoride toplayabiliriz:

  1. İlk Müdahale: Olayın aydınlatılmasını sağlayacak dijital delillerin belirlenmesi ve bu sistemlerin güvenliğinin sağlanmasından oluşur.
  2. Adli Kopyalar Elde Etme: İnceleme esnasında kullanmak üzere, dijital delil olarak kabul edilen sistemlerin yazma koruma yöntemleriyle delil bütünlüğünü bozmayacak şekilde imajlarının alınmasından oluşur.
  3. İnceleme: Elde edilen Adli Kopyalar üzerinden, literatürde kabul görmüş yöntem ve yazılımlarla talep edilen sorulara cevap aranması için gerçekleştirilen teknik incelemelerden oluşur.
  4. Raporlama: İnceleme sonucu elde edilen bulguları ve bulguların detaylarının anlaşılabilir biçimde raporlanmasından oluşur.
Adli Bilişim (Digital Forensic) Türleri Nelerdir?

Her geçen gün bu türler arasına yeni türler eklense de temel olarak Adli Bilişim türlerini aşağıdaki başlıklar altında toplayabiliriz.

Bilgisayar Adli Bilişimi:

İncelenmesi gereken sunucu veya son kullanıcı bilgisayarları üzerinde silinen dosyaların kurtarılmaya çalışılması, log dosyalarının incelenmesi, MFT kayıtlarının incelenmesi, tarayıcı geçmişlerinin analizi, sık kullanılan uygulamaların araştırılması, sistem günlüklerinin araştırılmasın, erişim loglarının araştırılması, bağlanan taşınabilir aygıtların araştırılması, dosya metadata analizi vb. süreçleri kapsamaktadır.

Mobil Cihaz Adli Bilişimi:

Telefon ve tablet gibi mobil cihazların servis sağlayıcı günlüklerinin incelenmesi, dosya metadata bilgilerinin incelenmesi, silinen dosyaların kurtarılmaya çalışılması, yüklenen uygulamalarının ve kalıntılarının araştırılması vb. süreçleri kapsamaktadır.

Memory Forensics:

RAM’ler güç kesintisine uğradıkları durumlarda veri kaybı oluşacağı için taşıdıkları veriler uçucu veriler olarak tanımlanır. Bu veriler olası güç kesintilerinde kaybolacağı için adli kopya elde edilmesi aşamasında RAM’lere öncelik verilmesi hem delil bütünlüğünün korunması anlamında hem de olası veri kaybının önüne geçilmesi anlamında önem arz etmektedir. Peki, uçucu olarak tanımlanan bu veriler incelendiğinde neler bulunabilir?

Memory Analizinde Elde Edilebilecek Deliller:

  • Çalışan işlemler(Proccess) ve hizmetlere ait bilgiler,
  • Korumalı yazılımlara ait paketlenmemiş ve kriptolanmamış ham veriler,
  • Sistem bilgileri (Örn:En son kapanmadan bu yana geçen zaman),
  • Sistemde oturum açan kullanıcılara ait bilgiler,
  • Kayıt defteri bilgileri,
  • Açık ağ bağlantıları ve ARP önbelleği,,
  • Sohbet kayıtları, sosyal ağ kalıntıları ve MMORPG oyunlarındaki iletişim kayıtları,
  • Tarayıcı yazılımlara ait izler ve kayıt bilgileri, ziyaret edilen adres bilgileri,
  • Web e-posta üzerinden yapılan en son işlemler,
  • Bulut sistemlerine ait teknik bilgi ve veriler,
  • Kriptolu disk alanlarına ait anahtarlar,
  • En son bakılan fotoğraflar,
  • Sistemde çalışan kötü niyetli yazılımlar.
  • Copy-paste yapılan metinler
Network Forensics:

Ağ adli analizi, sistemlerin iletişim kurduğu adreslerin tespiti, gerçekleşen atakların analizi, şifreli ve şifresiz verilerin tespiti gibi birçok delilin elde edilebildiği bir analiz türüdür.

Teknolojinin hızla gelişmesiyle son kullanıcı bilgisayarları ve sunucular bazında başlayan adli bilişim süreçleri artık birçok farklı alana da taşınmış durumda. Günümüzde incelenecek dijital deliller arasında mobil cihazlar, hafıza kartları, taşınabilir depolama üniteleri ve kişisel bilgisayarlar çoğunlukta olsa da IoT cihazları hayatımızı kolaylaştırmaya devam ederken gelecekte delil niteliği taşıyacak materyaller arabalar, mutfak robotları, kahve makineleri, robot süpürgeler olabilir. Şimdilik incelenecek deliller olarak bu IoT cihazlarını ön görsekte gelecekte nelerin inceleneceği sadece hayal gücümüzle sınırlı.

Ali Ezdemir

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Siber İstihbarat ve Siber Tehdit İstihbaratı
Siber İstihbarat ve Siber Tehdit İstihbaratı
JWT Saldırıları
JWT Saldırıları
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages