İmaj (Adli Görüntü) Nedir?

İmaj almak adli bilişim suçlarının incelenmesinde ve suçların çözümünde olmazsa olmazlardandır. Bir adli bilişim suçu işlendiğinde suçun işlendiği cihaz üzerinde genelde canlı inceleme yapma imkanımız bulunmaz. İnceleme yapılacak cihazın birebir kopyaları oluşturulur ve bu kopyalar üzerinden inceleme işlemi yapılır. Oluşturulan bu kopyalara imaj (görüntü) denir. İnceleme yapılacak cihazın  fiziksel veya mantıksal imajı alınır. Cihazın çalıştırılabilir bir kopyasını oluşturmak için fiziksel imaj, disk bölümleri üzerinde inceleme yapmak için mantıksal imaj alınır. İmaj alınırken dikkat edilmesi gereken en önemli özellik HASH’dir. Hash imajı alan kişinin inceleme yapılacak cihaz üzerinde değişiklik yapmadığının ispatıdır.

Hash dediğimiz kavram bir veri bütününe benzersiz bir sayısal değer oluşturmaktır. Bir nevi insanlardaki T.C. kimlik numarası gibidir. İki farklı dosyanın aynı hash’e sahip olması çok çok düşük bir ihtimaldir. Bu yüzden yok sayılır. İnceleme açısından hash değerinin değişmemiş olması önemlidir. Zira cihaz üzerinde en ufak bir klavye tuş basışı bile hash değerini tamamen değiştirir ki bu da hiç istemediğimiz durumlar arasındadır. Değişen hash değerleri delil karartmaya girer ve inceleme için dikkate alınmaz.

İmaj almak için birçok Adli Bilişim Yazılımı mevcuttur. Sabit bir yerde imaj alma işlemi yapıyorsak yazılımlar çok işe yarar. Ama olay yerinde imaj almanız gereken durumlarda olabilir. Bu durumlar için de birçok Adli Bilişim Donanımı ve Yazılımı vardır.

Mobil Adli Bilişim (Mobli Forensics) Yazılımları

Kaynak: https://www.serpilkilic.com/

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir