SOME tarafından, çalışır durumda olmayan e-delillere ilk müdahale:
✅Olay yerinde tespit edilen ve çalışır durumda olmayan e-delillere müdahale çalışır durumdaki e-delillere göre daha basit işlemlere tabidir.
Bilgisayar sistemlerinde:
- Bilgisayarın çalışır durumda olup olmadığına bakılır. Gösterge ışıkları, soğutma fanları ve ses gibi bilgisayarın açık olduğunu anlamamızı sağlayan durumlar kontrol edilir. Bunlardan herhangi biri mevcut değilse bilgisayarın çalışır durumda olmadığı düşünülebilir ancak bunun teyit edilmesi gerekmektedir. Zira bilgisayar uyku durumuna alınmış olabilir.
- Bilgisayarın ekranı kapalı ise ekranın güç düğmesi, güç kablosuna elektrik gelip gelmediği ve ekranın veri kablosunun bilgisayara takılı olup olmadığı kontrol edilerek bağlantılarda ve güçte sorun olmadığı teyit edilmelidir,
- Ekran halen kapalı ise fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Bunlar yapıldıktan sonra bilgisayarda ve ekranında bilgisayarın açık olduğuna dair herhangi bir belirti görülmez ise bilgisayarın kapalı olduğu teyit edilmiş olunur.
- Kapalı olan bilgisayar açılmaz,
- Bilgisayarın bağlantı kabloları, bilgisayara bağlı veri depolama aygıtları ve diğer cihazlar etiketlenir. Etiketleme işlemi hangi girişten hangi bilişim aygıtının takılı olduğunu, aygıtlar söküldüğünde belli edecek şekilde hem bilişim aygıtına hem de bilişim aygıtının bağlı olduğu girişe karşılıklı olarak yapılır. Bu işlem pratik olması açısından her iki tarafa da aynı numara ile numaralandırılmış etiketler yapıştırılmak suretiyle olabilir.
- Tüm yapılan işlemlerin fotoğraf veya video kaydı yapılabilir,
- Güç kablosu sökülür. Dizüstü bilgisayarlarda batarya çıkartılır. Bazı bilgisayarlarda disket sürücüsü, CD/DVD sürücüsü vb. aygıtların takılması için ayrılmış yuvalara batarya takılabildiği de unutulmamalıdır. Varsa bunlarında bağlantısı kesilmelidir.
- Bilgisayara bağlı olan veri depolama üniteleri sökülür. Bazı bilgisayarlarda disket sürücüsü, CD/DVD sürücüsü vb. aygıtların takılması için ayrılmış yuvalara sabit disk gibi veri depolama aygıtlarının takılabildiği de unutulmamalıdır.
- Disket sürücüsünün ve CD/DVD sürücüsünün içi kontrol edilmelidir. Disket veya CD/DVD varsa çıkartılıp nereden hangi e-delilin çıkartıldığı not alınmalıdır.
- Hangi bilgisayarın hangi girişinden hangi bilişim aygıtlarının çıktığına dair bilgiler marka, model ve seri numarası gibi ayırt edici bilgileriyle birlikte not alınır[1],
- Uygun cihaz veya yazılımlarla, veri depolama ünitelerinin adli kopya alma işlemi hash değeri hesaplamasıyla birlikte yapılır,
- Güç kablosu veya batarya tekrar takılarak bilgisayarın açma tuşuna basılır ve BIOS’a girilir. Bilgisayarın ilk açılışı sırasında ESC, DEL, F2, F9, F10 veya F11 tuşlarına basılarak BIOS’a girilebilir[2]. BIOS tarih/saat bilgisi işlemin yapıldığı andaki tarih/saat bilgisiyle birlikte not alınır. BIOS’ta görülen tarih-saat bilgisi o anki tarih/saat bilgisinden farklı olabilir. Bu fark zaman diliminin farklı olmasından olabileceği gibi gerçekte bilgisayar kullanıcısı tarih/saat bilgisi doğru olmayan bir sistemi kullanıyor da olabilir. Bu bilgi kasıtlı olarak ta yanlış ayarlanmış olabilir. BIOS üzerinde görülen tarih saat bilgisinin o anki tarih saat bilgisinden farklı olması normal olmayan bir durum olduğu anlamına da gelmemektedir. Bunu konuyu inceleyen adli bilişim uzmanı değerlendirecektir.
- Olay yerinde adli kopya alınacaksa çıkartılan bilişim aygıtlarının kopya alma işlemlerine başlanabilir, adli kopya alma işlemi laboratuar ortamında yapılacaksa kopyası alınmak üzere çıkartılan bilişim aygıtları zarar görmeyecek özel delil torbalarına konularak taşınmalı ve delil torbaların üzerine e-delile ait marka model seri numarası bilgileri yazılmalıdır.
Yukarıda yazılanlar genel duruma uygun yol haritasıdır. Her olayın özel durumuna bakılarak değerlendirme yapılmalı ve özel olarak uygun işlemler yapılmalıdır.
www.AdliBilisimUzmani.com adresinden izin alınmaksızın alıntı yapılamaz. İzin alınarak yapılan alıntılar kaynak gösterilmeksizin kullanılamaz.
KAYNAKÇA:
[1] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s.28
[2] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.s.66
İlgili Yazılar
Çalışır Durumda Olan E-Delillere İlk Müdahale
SOME Eğitimi
SOME ilk Müdahale Programı
Adli Bilişim Uzmanı Olmadığı Durum İçin Olay Yeri Karar Ağacı
Whatsapp Mesajlarını Kalıcı Silme
Video İnceleme
Adli Kopya Alma Donanımları | Imaj Alma Donanımları
Çocuğum Telefonda Ne Yapıyor
Savcılık Whatsapp Konuşmalarına Ulaşılabilir mi?
