Adli bilişim dünyasında imaj alma işlemi, dijital delillerin güvenilirliğini ve bütünlüğünü sağlayan en temel süreçlerden biridir. Bu işlem, bir depolama aygıtının veya dijital cihazın bit seviyesinde birebir kopyasının alınmasını içerir. İmaj alma işlemi, orijinal verinin hiçbir şekilde değiştirilmeden kopyalanmasını sağlayarak, adli süreçlerde delil bütünlüğünün korunmasını garanti eder.

İmaj Alma Yöntemleri ve Formatlar

DD (Disk Dump) Yöntemi

DD yöntemi, Unix tabanlı sistemlerde yaygın olarak kullanılan ve bit seviyesinde kopyalama yapan güvenilir bir araçtır. Temel DD komutları şu şekildedir:

Bu komutlar kullanılarak alınan imajlar, hedef diskin tam bir kopyasını oluşturur ve üzerinde herhangi bir sıkıştırma veya değişiklik yapılmaz.

E01 (Expert Witness Format)

EnCase tarafından geliştirilen E01 formatı, profesyonel adli bilişim çalışmalarında sıklıkla tercih edilir. Bu format şu özellikleri sunar:

• Sıkıştırma ve bölümleme özelliği
• Meta veri desteği
• Hash değeri entegrasyonu
• Delil bütünlüğü doğrulama
• Segment yönetimi

AFF (Advanced Forensics Format)

Açık kaynak forensic format olan AFF, şu avantajları sağlar:

• Gelişmiş sıkıştırma desteği
• Esnek segmentasyon özelliği
• Kapsamlı meta veri saklama
• Açık kaynak kod yapısı

Donanımsal Gereksinimler ve Write Blockers

Donanım Yazma Koruyucular

Write blocker cihazları, orijinal veri kaynağının yanlışlıkla değiştirilmesini engelleyen kritik donanım bileşenleridir. Başlıca write blocker çeşitleri:

1. Tableau Forensic Bridges
   • USB, SATA, IDE desteği
   • Yüksek veri transfer hızı
   • Donanımsal yazma koruması
   • LED durum göstergeleri
2. Tableau T35u USB Write Blocker
   • Taşınabilir tasarım
   • USB 3.0 desteği
   • Çoklu format desteği
3. CoolTab Write Blockers
   • Ekonomik çözümler
   • Geniş platform uyumluluğu
   • Basit kullanım arayüzü

Yazılımsal Araçlar ve Kullanımları

Profesyonel İmaj Alma Yazılımları

1. FTK Imager
   • Gelişmiş imaj alma özellikleri
   • Hash değeri hesaplama ve doğrulama
   • Çoklu format desteği
   • Detaylı raporlama araçları
2. EnCase
   • E01 format desteği
   • Kapsamlı analiz araçları
   • Adli rapor oluşturma
   • Otomatik doğrulama sistemleri
3. X-Ways Forensics
   • Hızlı imaj alma
   • İleri düzey analiz özellikleri
   • Özelleştirilebilir raporlama
   • Çoklu dil desteği
4. GUYMAGER
   • Açık kaynak alternatif
   • Linux sistemler için optimize
   • Kullanıcı dostu arayüz
   • Ücretsiz kullanım

Hash Algoritmaları ve Doğrulama Süreçleri

Hash Hesaplama ve Doğrulama

İmaj bütünlüğünün doğrulanması için kullanılan başlıca hash algoritmaları:

1. MD5 (Message Digest 5)
   bash

   Copy

   md5sum /dev/sda > original_drive.md5
md5sum image.dd > image.md5
2. SHA-1 (Secure Hash Algorithm 1)
   bash

   Copy

   sha1sum /dev/sda > original_drive.sha1
sha1sum image.dd > image.sha1
3. SHA-256
   bash

   Copy

   sha256sum /dev/sda > original_drive.sha256
sha256sum image.dd > image.sha256

Mobil Cihazlarda İmaj Alma Teknikleri

iOS Cihazlar için İmaj Alma

iOS cihazlarda imaj alma süreci şu yöntemleri içerir:

1. iTunes Backup Analizi
   • Şifreli ve şifresiz yedeklemeler
   • Uygulama verilerinin çıkarılması
   • Sistem dosyalarının analizi
2. Logical Acquisition
   • Kullanıcı verilerine erişim
   • Uygulama verilerinin toplanması
   • Sistem loglarının çıkarılması
3. Physical Acquisition
   • Tam disk imajı
   • Silinmiş verilerin kurtarılması
   • Jailbreak gereksinimi

Android Cihazlar için İmaj Alma

Android cihazlarda kullanılan başlıca yöntemler:

1. ADB Backup
   bash

   Copy

   adb backup -all -f backup.ab
2. Root Erişimi ile Full Dump
   bash

   Copy

   dd if=/dev/block/mmcblk0 of=/sdcard/image.dd bs=4096
3. Filesystem Extraction
   • Veri bölümlerinin çıkarılması
   • Uygulama verilerinin toplanması
   • Sistem dosyalarının analizi

RAM İmajı ve Volatile Bellek Analizi

Windows Sistemlerde RAM İmajı

Linux Sistemlerde RAM İmajı

İmaj Depolama ve Arşivleme Stratejileri

Depolama Formatları ve Yönetimi

1. Raw DD İmaj
   • Sıkıştırmasız tam kopya
   • Doğrudan erişim imkanı
   • Yüksek depolama gereksinimi
2. E01 İmaj
   • Sıkıştırma özelliği
   • Segment yönetimi
   • Meta veri entegrasyonu
3. AFF İmaj
   • Açık kaynak format
   • Gelişmiş sıkıştırma
   • Meta veri desteği

Arşivleme ve Yedekleme

• RAID sistemlerinde depolama
• Düzenli bütünlük kontrolleri
• Soğuk depolama çözümleri
• Periyodik yedekleme planları

Raporlama ve Dokümantasyon

İmaj Alma Raporu Bileşenleri

1. Teknik Bilgiler
   • Kullanılan donanım detayları
   • Yazılım versiyonları
   • Hash değerleri
   • İmaj boyutu ve segmentler
2. Süreç Bilgileri
   • Zaman damgaları
   • Operatör bilgileri
   • İşlem logları
   • Karşılaşılan hatalar
3. Doğrulama Bilgileri
   • Hash karşılaştırmaları
   • Bütünlük kontrolleri
   • Segment doğrulamaları

Yasal Uyumluluk ve Standartlar

Uluslararası Standartlar

1. ISO/IEC 27037:2012
   • Dijital delil toplama standartları
   • İmaj alma prosedürleri
   • Dokümantasyon gereksinimleri
2. NIST Guidelines
   • Teknik gereksinimler
   • Prosedür standartları
   • Kalite kontrol kriterleri
3. ACPO Guidelines
   • Delil bütünlüğü prensipleri
   • İşlem prosedürleri
   • Dokümantasyon standartları

Chain of Custody

• Delil zinciri yönetimi
• Transfer prosedürleri
• Doğrulama süreçleri
• Dokümantasyon gereksinimleri

Hata Yönetimi ve Sorun Giderme

Genel Sorunlar ve Çözümleri

1. Bad Sector Yönetimi
   • Alternatif okuma modları
   • Hata atlama teknikleri
   • Veri kurtarma yöntemleri
2. I/O Hataları
   • Bağlantı kontrolleri
   • Donanım değişimi
   • Buffer ayarlamaları
3. Hash Uyumsuzlukları
   • Yeniden hesaplama
   • Alternatif algoritmalar
   • Segment kontrolü

İleri Düzey Troubleshooting

• Alternate data streams kontrolü
• Düşük seviye okuma modları
• Hardware/Software write blocker değişimi
• Farklı bağlantı arayüzü kullanımı

İmaj alma işlemi, adli bilişim süreçlerinin en kritik aşamalarından biridir. Doğru donanım ve yazılım seçimi, uygun yöntemlerin kullanılması, detaylı dokümantasyon ve sürekli doğrulama, başarılı bir imaj alma sürecinin temel bileşenleridir. Bu süreçte uluslararası standartlara uygunluk ve yasal gerekliliklerin yerine getirilmesi de unutulmamalıdır. Firma olarak imaj alma işlemlerimizde uzman ekibimizle müşterilerimize hizmet vermekteyiz.