✅ Adli Bilişimde Elektronik Delillerin Raporlandırılması aşaması diğer tüm aşamalar geçildikten sonra elektronik delillerin inceleme sürecini tamamlayan en önemli ve en zor aşamadır[1]. Elektronik delil üzerinde yapılan tüm teknik çalışmalar ve bu çalışmalar sonucunda ulaşılan ve değerlendirilen bilgiler incelemeyi yapan tarafından anlaşılır bir yargı ve sonuç belirtse de, raporlandırma işlemi yeterince açık ve anlaşılır olmadığı takdirde; rapor, raporu inceleyen diğer gözler tarafından doğru ve yeterli bir şekilde anlaşılamayacak ve elektronik delil üzerinde yapılan inceleme söz konusu olayı aydınlatmada, ya hiç yararlı olmayacak, ya da yanlış yönlendirmeler yapılmış olacaktır.

Adli Bilişimde Elektronik Delillerin Raporlandırılması:

İyi bir raporda bulunması gereken özellikler şunlardır:

• Standart bir yapıda olmalıdır,
• Rapor başından sonuna kadar açık ve net bir şekilde anlaşılır olmalıdır[2],
• Resmi bir dil kullanılmalıdır,
• Yazım kurallarına uyulmalıdır,
• Mümkün olduğunca yabancı kelimeler kullanılmamalı, mümkün değilse de kullanılan kelimelerin anlamları açıklanmalıdır.
• Sürekli veya sık sık kullanılan teknik terimler veya yabancı terimler var ise, bu terimlerden oluşan bir sözlük hazırlanmalıdır[3],
• Raporda kısaltmalar kullanılıyor ise bu kısaltmalar da, açık halleriyle birlikte, hazırlanan sözlük içerisinde yer almalıdır,
• Çıkartılan sonuçlar mümkün olduğunca kısa ve öz olmalıdır[4],
• İnceleme konusu ile ilgili olarak sadece aleyhte olan sonuçlar değil lehte olan sonuçlar da olmalıdır,
• Gerekmiyorsa detay bilgi içermemelidir,
• Varsayım veya ihtimal değil somut bilgiler içermelidir,
• Tespitler doğru bir sırayla raporda sunulmalıdır,
• Rapor karmaşık bir görünümde olmamalıdır,
• Rapora konulan fotoğraf, anlık ekran görüntüsü vb. görsellerin ne için konulduğu belirtilmelidir,
• Rapor içerisinde fazladan detay bilgi olduğu için konulmak istenmeyen ancak rapor okuyucusu tarafından istenirse bakılabilmesi istenilen bilgiler ek olarak sunulmalıdır,
• Çok uzun raporlarda “içindekiler” bölümü olmalıdır,
• Raporun sayfalarında numaralandırma olmalıdır,
• Rapor, içeriği değiştirilmeyecek veya içeriğinin değiştirildiğinin anlaşılmasına imkan tanıyacak bir formatta sunulmalıdır ve aslı muhafaza edilmelidir[5],
• İnceleme konusu ile ilgili olmayan ancak (örneğin: başka bir suç unsuru olduğu için) rapora eklenecek olan bulgular inceleme konusu ile ilgili tespitlerin tamamından sonra ayrı bir başlıkta sunulmalıdır.

Hazırlanacak olan raporda, her konuda aşağıdaki maddelerin tamamının olması zorunlu olmamakla birlikte, aşağıdaki bilgilerin bulunması gereklidir:

• İncelemeyi talep eden kurum/sahış bilgisi,
• İncelemeyi yapan kurum/sahış bilgisi,
• İnceleme konusu ile ilgili bilgiler,
• Özellikle tespiti istenilen bir husus var ise bu hususa ait bilgi,
• İncelemeye başlama-bitiş tarihleri,
• E-delilin aidiyet bilgileri,
• E-delil ile ilgili marka, model, seri numarası, kapasite vb. bilgiler.
• Sisteme ait tarih saat bilgileri[6],
• İncelemede kullanılan donanım ve yazılım bilgileri,
• Adli kopya ile ilgili hash değeri, adli kopya almakta kullanılan program adı ve sürümü vb. bilgiler,
• E-delil içerisindeki bulgulara ait hash değerleri,
• E-delil içerisindeki bulgulara ait dosya veya klasör isimleri, bulundukları konumları, oluşturma tarihleri, değiştirme tarihleri ve son erişim tarihleri[7],
• İnceleme tekniği ve incelemede izlenilen yol[8].

KAYNAKLAR:

[1]Chris PROSISE, K. M. (2003). INCIDENT RESPONSE & COMPUTER FORENSICS, SECOND EDITION. United States of America: McGraw-Hill/Osborne.  s.30

[2] Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.740

[3] A.g.e. s. 740

[4] Henkoğlu, T. (2011). Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi. İSTANBUL: PUSULA. s.214

[5] Öztürkci, H. (2009). Adli Bilişim’e Giriş ve Microsoft Sistemlerinde Adli Bilişim Temelleri. İstanbul. s.155

[6] Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.745

[7] “Oluşturma tarihleri, değiştirme tarihleri ve son erişim tarihleri” İngilizce kısaca “mac times” olarak kullanılmaktadır.

[8] Dave Garza, M. K. (2010). Computer Forensic Evidence Collection and Preservation. A.B.D.: Cengage Learning. b.6 s.2