AYYILDIZ TİM
Adli Bilişim Terminolojisi
Adli Bilişim Terminolojisi

ADLİ BİLİŞİM İLE İLGİLİ BAZI TEKNİK TERİM VE TANIMLAR : EnCase:EnCase, Amerika Birleşik Devletlerinin California eyaletinde Guidance Software adında bir şirket tarafından yazılan dijital veri

Adli Bilişim Terminolojisi

Adli Bilişim Terminolojisi
ADLİ BİLİŞİM İLE İLGİLİ BAZI TEKNİK TERİM VE TANIMLAR :

EnCase :
EnCase, Amerika Birleşik Devletlerinin California eyaletinde Guidance Software adında bir şirket tarafından yazılan dijital veri inceleme ve analiz programıdır. Delil inceleme ve delil ilişkilendirme konunda kendisini kanıtlayan bu program, başta FBI olmak üzere Dünya’daki birçok kolluk teşkilatı tarafından kullanılmaktadır.


İmaj – İmaj Alma :
Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar. Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların kullanılması ile yapılabilmektedir.

Write Block/Yazma Koruma :
Adli bilişim süreçlerinin en önemli adımlarından biriside ilgili sayısal delillere zarar vermeden bu delillerin adli kopyalarını, diğer bir ifade ile imajlarını almaktır. İmaj alma sürecinde şüpheliye ait dijital veri depolama aygıtlarının (Harddisk, Hafıza Kartı, Flash Bellek vb.) delil niteliğindeki asıl materyaller olması nedeniyle bu delillerin aslına zarar vermeden kopyalama/imaj alma işlemi yapılmadan önce, donanımsal veya yazılımsal writeblock/yazma koruma ünitelerinin kullanılması gerekmektedir. Bu writeblock yöntemi ile imaj kopyalama yolu kullanılan SATA/IDE, USB vb. bağlantı yollarının kullanarak imaj alma/birebir kopyalama işlemine başlanıldığında delil niteliğindeki veri depolama aygıtına dışarıdan veri yazılması, eklenmesi veya çıkartılması engellenerek, elde edilecek olan verilerin hukuki anlamda delil niteliği taşıması sağlanabilmektedir. WriteBlock işlemi çeşitli yazılımlar ile veya donanımlar/ile sağlanabilmektedir.

HASH/MD5 :
MD5 (Message-Digest algorithm 5), veri bütünlüğünü test etmek için kullanılan, Massachusetts Teknoloji Enstitüsünden Ron Rivest tarafından 1991 yılında geliştirilmiş bir kriptografik özet (tek yönlü şifreleme) algoritmasıdır. Girdi verinin boyutundan bağımsız olarak 128 bitlik hexadecimal karakterde özetler üretir.MD5 veya SHA1 olarak sıklıkla gördüğümüz hash değeri, dosyaların parmak izi gibidir. Dosyalar, MD5 ve SHA gibi karmaşık algoritmalarla taranır ve dosyanın benzersiz bir parmak izi, yığını çıkartılır.

SHA :
Secure Hash Algorithm (SHA): bu algoritmanın SHA-1, SHA-256, SHA-384 ve SHA-512 olarak birçok çeşidi bulunmaktadır. Bu çeşitlerin aralarındaki fark hash değerinin bit uzunluklarıdır. SHA hash algoritmaları A.B.D’de kurulmuş olan ve çalışmalarına devam eden NIST ve NSA isimli iki birim tarafından hazırlanmıştır.

Hash Value : Her bir verinin kendine özel HASH/MD5 değerini ifade eder.

İmaj Doğrulama/Verify : İmaj alma işlemlerinde, bu işlemin bütünsel olarak doğruluğunun teyyidi için; imaj işleminin uygulandığı dijital materyale ilişkin doğrulama değerleri (MD5 veya SHA1) değerleri ile bu imaj alma işlemine ne zaman başlanıldığı, ne zaman sonlandırıldığı ve imaj alma işlemi esnasında meydana gelen durumları gösteren kayıtlardır. Verify yani MD5/SHA değerlerinin doğrulanmasında ki amaç ise şudur: IMAJI alınacak dijital materyalin ilk MD5/SHA değeri ile IMAJ alma sonunda elde edilen MD5/SHA değerlerinin aynı olduğunun doğrulanması beklenir. Bu doğrulama ile IMAJ konusu dijital materyalin delil bütünlüğünün sağlanması, dijital verilerde herhangi bir değişikliğin veya müdahalenin yapılmadığına dair kanıt olması açısından önemlidir. Ayrıca IMAJ alma işlemi sonrasında IMAJIN alınmaya başladığı tarih ve saat bilgileri ile IMAJIN sonlandığı zaman bilgileri ile IMAJA ait MD5/SHA değerleri log kaydı olarak tutulmalı ve raporlandırılmalıdır.Hash Sets :
Encase adli bilişim yazılımı içerisinde yer alan ve MD5/HASH değerlerinin, daha önceden search hash value (hash arama) modülü/yöntemiyle hesaplatılması sonrasında elde edilen MD5 veri tabanıdır. Daha önceden MD5 değerleri hesaplaması yapılan verilerin oluşturulduğu bu veri tabanı bir yerde referans HASH Kütüphanesi olarak da tanımlanabilmektedir. Önceden tanımlı MD5 veri tabanı ile bir başka veri kaynağı içerisinde bu verilerin yer alıp almadığı veya kopya verilerin bulunup bulunmadığı işlemlerinde Referans olarak oluşturulan MD5 veri tabanındaki dosya adları ve MD5 değerleri kolaylıkla bir başka veri kaynağı içerisinde yer alan MD5 değerlerine sahip veriler ile karşılaştırılabilmektedir. Böylelikle Eşleşen MD5 değerlerinin bulunup bulunmadığı veya aynı verilerin birebir kopyalarının olup olmadığının tespiti sağlanabilmektedir.

METADATA :
Dijital verinin nasıl, ne zaman ve kim tarafından oluşturulduğunu gösteren dijital tanımlamadır.
Bu Başlıklarıda İnceleyin
13445