Dijital Delillerde Derinlemesine Teknik İnceleme
- Anasayfa
- Dijital Delillerde Derinlemesine Teknik İnceleme
Dijital Delillerde Derinlemesine Teknik İnceleme
Dijital Delillerde Derinlemesine Teknik İnceleme, modern adli bilişim çalışmalarının en kritik aşamalarından biridir. Bu kapsamlı incelemede EnCase Forensic ve AccessData FTK gibi önde gelen dijital delil inceleme araçları, teknik mimarileri ve performans farklarıyla ele alınmaktadır. Makale boyunca E01 imaj formatı, FTK indeksleme motoru, RAM adli analiz, file carving, e-posta analizi ve hash doğrulama gibi adli bilişimde temel kabul edilen yöntemler detaylı biçimde karşılaştırılmaktadır. Bu çalışma, adli bilişim uzmanları için hem hukuki geçerlilik hem de teknik doğruluk açısından referans niteliğinde kapsamlı bir rehber sunmaktadır.
EnCase ve AccessData FTK – Derin Teknik Karşılaştırma
Adli bilişim incelemelerinde en yaygın ve kurumsal olarak kabul gören iki araç, EnCase Forensic (Guidance Software / OpenText) ve AccessData FTK (Forensic Toolkit) yazılımlarıdır. Her iki araç da sektör standardıdır; ancak mimari yapıları birbirinden oldukça farklıdır. Bu nedenle delil toplama, indeksleme, hash çıkarma, dosya sistemi tarama, RAM analizi, e-posta incelemesi ve anahtar kelime arama gibi işlemlerde hem yöntemsel hem performans açısından önemli farklılıklar bulunur.
Her iki programın da eğitimini Amerika Birleşik Devletleri’nde aldım. Dünyanın farklı ülkelerinden uzmanlarla birlikte değerlendirme fırsatımız oldu. Sizleri yormadan, iki aracın tarihçesini, mimari özelliklerini, kullanım alanlarını, avantaj–dezavantaj analizlerini, raporlama yeteneklerini, dosya sistemi desteklerini ve adli prosedürlerle uyumluluklarını detaylı şekilde açıklayacağım.
Dijital Delillerde Derinlemesine Teknik İnceleme
Her Şey İnsanla Başlar, Teknoloji Teferruattır
Kriminal Bilişim Perspektifinde Bir Değerlendirme
EnCase Forensic – Derin İnceleme
Tarihçe ve Genel Yapı
EnCase, 1997 yılında Guidance Software tarafından geliştirilmiş ve daha sonra OpenText bünyesine katılmıştır. Dünya çapında:
Emniyet birimleri
Askerî kurumlar
İstihbarat servisleri
Büyük bankalar
Devlet kurumları
tarafından standart bir adli inceleme yazılımı olarak kullanılmaktadır.
EnCase’in temel gücü:
Özel imaj formatı E01,
Veri bütünlüğünü garanti eden hash tabanlı delil zinciri yaklaşımı,
Mahkemelerde yüksek kabul oranı
üzerine kuruludur.
EnCase Forensic Mimarisi
E01 İmaj Formatı
EnCase delil imajını E01 formatında alır. Bu format:
Sıkıştırma içerir
MD5 ve SHA-1 hashlerini gömülü içerir
Her blok için doğrulama bilgisi taşır
Write-blocker uyumludur
Hukuksal olarak en çok kabul gören imaj formatlarından biridir
Bu yapı sayesinde EnCase, delilin bütünlüğünü her aşamada doğrular.
EnScript (Otomasyon Dili)
EnCase’in en büyük avantajlarından biri kendi programlama dili olan EnScript’tir. EnScript ile:
Otomatik aramalar
Toplu anahtar kelime taramaları
Metadata çıkarma
Registry analizleri
Özel raporlama
Kötü amaçlı yazılım tespiti
Zincirleme veri incelemeleri
gibi işlemler yapılabilir.
File Signature ve File Structure Analizi
EnCase yalnızca dosya uzantısına bakmaz; dosya başlıklarını (header) ve sonlarını (footer) analiz ederek file carving işlemini gerçekleştirir.
Örnek header yapıları:
JPEG → FF D8 FF
PDF → 25 50 44 46
ZIP → 50 4B 03 04
Bu teknik özellikle silinmiş dosyaların kurtarılmasında kritik öneme sahiptir.
EnCase Hash Database
EnCase, NSRL ve kurum içi hash veritabanlarını kullanabilir. Böylece:
Zararsız dosyalar filtrelenir
Malware tespiti hızlanır
Bilinen illegal içerikler otomatik tanınır
Dosya Sistemi Desteği
EnCase çok geniş bir dosya sistemi desteğine sahiptir:
| Dosya Sistemi | Destek |
|---|---|
| NTFS | ✔ Tam destek |
| FAT12/16/32 | ✔ |
| exFAT | ✔ |
| EXT2/3/4 | ✔ |
| HFS / HFS+ | ✔ |
| APFS (Mac) | ✔ |
| ReFS | ✔ |
| UFS | ✔ |
Ayrıca RAID yapılarını otomatik algılama yeteneğine sahiptir.
Avantajları
Mahkemelerde en çok kabul gören araçtır
E01 formatı oldukça güçlüdür
EnScript ile ileri seviye otomasyon
Derin registry analizi
RAID, BitLocker, FileVault, LUKS desteği
Kurumsal yapılara yüksek uyumluluk
Dezavantajları
Çok pahalıdır
Öğrenmesi zordur
Sistem kaynaklarını yoğun kullanır
Arayüz bazı kullanıcılara eski gelebilir
AccessData FTK (Forensic Toolkit) – Derin İnceleme
Genel Yapı ve Tarihçe
FTK, AccessData tarafından geliştirilmiş olup EnCase’in en güçlü rakibidir.
FTK’nin en önemli özelliği:
➡ İnceleme başlamadan önce tüm veriyi indekslemesidir.
➡ Bu nedenle arama işlemleri EnCase’e göre çok daha hızlıdır.
İndeksleme motoru sayesinde FTK:
E-posta analizlerinde
Büyük veri yığınlarında
Anahtar kelime aramalarında
üstün performans göstermektedir.
FTK Mimari Özellikleri
FTK Imager
FTK’nin imaj alma aracı olan FTK Imager:
E01
RAW (dd)
AFF
AD1
formatlarında imaj alabilir. Mahkeme süreçlerinde dünyanın en yaygın imaj alma araçlarından biridir.
Veritabanı Yapısı (Oracle–PostgreSQL)
FTK, diğer araçlardan farklı olarak verileri Oracle / PostgreSQL veritabanında saklar. Bu sayede:
10–50 TB gibi devasa veri kümelerinde hızlı çalışma
Ekip olarak aynı anda ortak inceleme
Verilerin indekslenmiş tutulması
mümkündür.
E-posta Analizi
FTK, Outlook tabanlı e-posta dosyalarında piyasanın en başarılı analiz motorlarından birine sahiptir. Desteklediği formatlar:
PST
OST
EML
MSG
MBOX
E-posta analizi gerekiyorsa FTK çoğu zaman EnCase’e göre daha üstündür.
File Carving
FTK, dosya içi yapıları inceleyerek carving yapabilir.
Büyük veri üzerinde carving → FTK daha hızlı
Çok bozuk veri üzerinde carving → EnCase daha doğru kabul edilir.
RAM Analizi
FTK:
Pagefile.sys
Hiberfil.sys
Volatil bellek dökümleri
üzerinde analiz yapabilir ve entegre Volatility desteği sunar.
Avantajları
Dünyanın en hızlı indeksleme motorlarından biri
Büyük dosya arşivlerinde yüksek başarı
FTK Imager ücretsizdir
Güçlü e-posta analiz yeteneği
Modern arayüz
Ekip ile ortak çalışma desteği
EnCase’e göre daha uygun maliyetli
Dezavantajları
Veritabanı yüksek kaynak tüketir
Bazı dosya sistemlerinde EnCase kadar derin değildir
Çok bozuk disklerde EnCase kadar stabil olmayabilir
EnCase ve FTK Karşılaştırma Tablosu
| Özellik | EnCase | FTK |
|---|---|---|
| İmaj Formatı | E01 (en güvenilir) | E01, RAW, AFF, AD1 |
| Arama Motoru | Orta seviye hız | Çok hızlı (indeksleme) |
| E-posta Analizi | İyi | Çok iyi |
| File Carving | Çok başarılı | Hızlı |
| RAM Analizi | Orta | Güçlü |
| Otomasyon | EnScript ile çok güçlü | Sınırlı |
| Öğrenme Eğrisi | Zor | Orta |
| Fiyat | Çok yüksek | Daha düşük |
| Hukuksal Kabul | En yüksek | Yüksek |
| RAID Desteği | Çok iyi | Orta–iyi |
Hangi Araç Ne Zaman Kullanılmalı?
EnCase önerilir:
Mahkeme odaklı işlemlerde
Bozulmuş disk analizlerinde
Karmaşık dosya sistemlerinde
Derin registry incelemesi gerekiyorsa
Script geliştirme gerekiyorsa
RAID yapı çözümlemelerinde
FTK önerilir:
Çok büyük veri kümelerinde
Hızlı anahtar kelime aramasında
E-posta kutusu analizinde
Ekip olarak ortak çalışma gerekiyorsa
Kısa sürede sonuç alınması gerekiyorsa
Sonuç
EnCase, adli doğrulanabilirlik, delil zinciri güvenilirliği ve script tabanlı otomasyon açısından sektör standardı hâline gelmişken; FTK, yüksek hız, gelişmiş indeksleme ve e-posta analiz yetenekleriyle büyük veri incelemelerinde optimal performans sunmaktadır. Bu nedenle modern bir adli bilişim laboratuvarı, her iki aracın birlikte kullanılmasıyla maksimum verimlilik elde eder.
Hasan UZUN
Bilişim Uzmanı / Konuk Yazar
0552 676 11 00