Dijital Adli Bilişimde Android Telefonun İmajını Alma: Kapsamlı Bir Kılavuz
Dijital adli bilişimde, bir Android telefonun imajını almak, bir soruşturma için hayati öneme sahip kanıtları korumanın kritik bir adımıdır. Bu işlem, telefonun verilerinin, uygulamaların, mesajların, dosyaların ve meta verilerin tam dijital kopyasını oluşturarak, bilgilerin bütünlüğünü korumayı ve bu bilgilerin mahkemede delil olarak kullanılabilir olmasını sağlamayı içerir.
Bu makalemizde, bir Android telefonun adli bilişim imajını almanın temel adımları ve en iyi uygulamaları ele alınmıştır.
Adli Bilişim İmajı Anlama
Adli bilişim imajı oluşturma, aynı zamanda adli kopyalama veya dijital imaj alma olarak da bilinir, bir dijital cihazın verilerinin bit-bit kopyasını yakalama işlemidir.
Standart yedekleme yöntemlerinden farklı olarak, belirli dosyaları veya sistem verilerini hariç tutabilen bu yöntem, silinmiş dosyalar ve standart yöntemlerle erişilemeyen gizli veriler de dahil olmak üzere tüm bilgileri yakalamayı amaçlar.
Yukarıda belirtilen verilerin doğruluğu ve eksiksizliğinin hayati önem taşıdığı yasal soruşturmalar için gereklidir.
İmaj Almaya Hazırlık
İmaj alma işlemine başlamadan önce, hem adli bilişim iş istasyonunu hem de Android cihazı hazırlamak son derece önemlidir.
1. Adli Bilişim İş İstasyonu Kurulumu:
Adli bilişim iş istasyonunuzun Android cihazları imajlamak için gerekli yazılım araçlarıyla donatıldığından emin olun.
Popüler araçlar arasında Cellebrite UFED, Magnet AXIOM, XRY ve Autopsy gibi açık kaynaklı araçlar, Mobile Device Investigator gibi eklentilerle birlikte bulunur.
2. Cihaz Hazırlığı:
Android cihaz, imaj alma işlemi sırasında uzaktan erişim veya müdahale olmaması için Uçak Modu'na alınmalıdır. Ayrıca cihazın şarj edilmesi ve veri kablosu ile adli bilişim iş istasyonuna bağlanması gereklidir.
Önemli: Mümkünse, veri erişimini kolaylaştırmak için ekran kilitleri ve biyometrik korumalar devre dışı bırakılmalıdır.
Doğru İmaj Alma Yöntemini Seçme
Bir Android telefonun adli bilişim imajını almanın çeşitli yöntemleri vardır, her biri farklı avantajlar ve dezavantajlar sunar. Aşağıda maddeler halinde avantajlarından veya dezavantajlarından bahsettik.
1. Mantıksal Çıkarma:
Bu yöntem aktif dosyaları yani kişileri, arama kayıtlarını, mesajları ve medyayı yakalar. En basit yöntemdir ancak silinmiş veya gizli verileri yakalayamaz. Bu yöntem, zaman kısıtlaması olduğunda veya tam disk şifrelemesi bir engel teşkil ettiğinde sıklıkla kullanılır.
2. Dosya Sistemi Çıkarma:
Mantıksal çıkarmadan daha derine inerek dosya sistemi yapısını yakalar.
Önemli: Uygulama verilerine ve sistem dosyalarına erişim sağlar, ancak yine de silinmiş verilere ulaşamayabilir.
3. Fiziksel Çıkarma:
Bu yöntem cihazın depolama alanının bit-bit kopyasını, tahsis edilmemiş alanlar da dahil olmak üzere, silinmiş dosyalar ve diğer gizli verileri içerecek şekilde yakalayan en kapsamlı yöntemdir. Ancak, bu yöntem şifreleme veya güvenli önyükleme mekanizmaları olan cihazlarda karmaşık olabilir.
4. İleri Düzey Yöntemler (Chip-off, JTAG):
Cihazın ciddi şekilde hasar gördüğü veya yazılım yöntemleriyle erişilemediği durumlarda, chip-off veya JTAG gibi ileri düzey donanım teknikleri gerekebilir.
NOT: Bahsi geçen yöntemler, verileri doğrudan çıkarmak için bellek yongasına fiziksel olarak erişmeyi gerektirir, ancak özel ekipman ve uzmanlık gerektirir.
İmaj Alma Sürecini Yürütme
İmaj alma süreçleri başlatılırken uygun yöntem seçildikten sonra, imaj alma süreci aşağıda belirtilen yöntemlere uygun hareket ederek yapılmalıdır.
1. Cihazı Bağlayın:
Android cihazın adli bilişim iş istasyonuna güvenli bir şekilde bağlı olduğundan emin olun.
2. İmaj Yazılımını Başlatın:
Adli bilişim aracını iş istasyonunuzda açın ve bağlı Android cihazı seçin.
3. Çıkarma Yöntemini Seçin:
Durumun gereksinimlerine göre (mantıksal, dosya sistemi veya fiziksel) yöntemi seçin.
4. İmaj Almaya Başlayın:
İmaj alma işlemine başlayın ve yazılımın imajı güvenli ve uygun şekilde etiketlenmiş bir depolama ortamına kaydetmesi için yapılandırıldığından emin olun.
5. İmajın Bütünlüğünü Doğrulama:
İmaj alma işlemi tamamlandıktan sonra, verilerin alınma sırasında değiştirilmediğinden emin olmak için MD5, SHA-1 gibi hash değerlerini kullanarak imajın bütünlüğünü doğrulamak son derece krtik ve çok önemlidir.
Süreci Belgeleme
Adli bilişim imaj alma süreci boyunca titiz bir şekilde belgeleme yapmak esastır. Bu, cihazın marka ve modelini, kullanılan yazılım araçlarını, seçilen yöntemleri ve karşılaşılan zorlukları kaydetmeyi içerir.
Uygun belgeleme, sürecin tekrarlanabilir olmasını ve sonuçların mahkemede savunulabilir olmasını sağlar.
İmajı Analiz Etme
Adli bilişim imajı alındıktan sonra, ilgili kanıtları çıkarmak için adli bilişim araçları kullanılarak analiz edilebilir.
NOT: Bu analizler, silinmiş dosyaların kurtarılmasını, uygulama verilerinin analizini ve kullanıcı etkinliklerinin zaman çizelgesinin yeniden oluşturulmasını içerebilir.
Sonuç
Dijital adli bilişimde bir Android telefonun imajını almak, dikkatli planlama ve uygulama gerektiren hassas bir işlemdir.
En iyi uygulamaları takip ederek ve doğru araçları kullanarak, adli bilişim uzmanları, kanıtların bütünlüğünü sağlayabilir ve bir soruşturmanın sonucuna hayati katkılar sunabilecek değerli bilgiler elde edebilir.
Kaynak: (Ak.web.TR)
Bu makale Ak.web.TR editörleri tarafından hazırlanmıştır.
 |
| Ağ Güvenliği |
NOT: İlerleyen zamanlarda Android Telefonlarda imaj nasıl alınır? Videosunu paylaşacağız.
