Dijital Forensik: Disk İmaj Alma ve Kanıt Zinciri Yönetimi 2026

Adli Bilişim · Siber Güvenlik · 2026

Dijital Forensik: Disk İmaj Alma ve Kanıt Zinciri Yönetimi

Modern siber güvenlik dünyasında, Dijital Forensik süreçleri, dijital delillerin mahkemede kabul görmesini sağlayan en kritik yapı taşlarıdır. Bir suçu aydınlatırken dosyayı sadece kopyalamak yeterli değildir; o verinin “adli bir kanıt” niteliği taşıması için belirli bilimsel standartlara uyması gerekir.

Bu rehberde, siber saldırıların izini sürerken uygulanan teknikleri ve delilin elden ele geçişini kayıt altına alan protokolleri inceliyoruz.

Uzman Desteği Alın Prosedürleri İncele

Rehber İçeriği 1. Adli Bilişim Temelleri 2. Disk İmaj Alma Yöntemleri 3. Write Blocker Teknolojileri 4. Kanıt Zinciri Prosedürleri 5. Yasal Geçerlilik ve KVKK 6. Sık Sorulan Sorular

Hızlı Özet

Temel Amaç: Delilin orijinalliğini ve bütünlüğünü korumak.

Altın Kural: Orijinal kanıt üzerinde çalışma yapma, kopya üzerinden ilerle.

Teknik Şart: Donanımsal yazma koruyucu kullanımı zorunludur.

1. Dijital Forensik ve Adli Bilişim Temelleri

Dijital forensik, bilişim sistemlerinden veri toplama, koruma ve analiz etme bilimidir. Fiziksel olay yerinde olduğu gibi, dijital dünyada da her temas bir iz bırakır. Bir bilgisayarı sadece açmak bile, işletim sisteminin binlerce log kaydını güncellemesine ve dolayısıyla kanıt bütünlüğünün bozulmasına neden olur.

Locard’ın Değişim İlkesi: Adli bilişim uzmanları, sistemleri “canlı” haldeyken kurcalamak yerine, onları olduğu gibi dondurmayı tercih ederler. Bu, tüm sürecin yasal geçerliliği için hayati bir başlangıçtır.

Uzmanlar, suçun işlendiği cihazı mühürlü bir ortamda analiz ederken, verinin “ilk bulunduğu andaki haliyle” kaldığını kanıtlamak zorundadırlar.

2. Disk İmaj Alma: Bit-Stream Kopyalama

Sıradan bir yedekleme (backup) işlemi ile adli imaj alma süreci sıkça karıştırılır. Yedekleme sadece aktif dosyaları alırken, adli imaj alma işlemi diskin her bir bitini (bit-by-bit) kopyalar.

Silinen Verilere Erişim: Sadece fiziksel (bit-stream) imaj yoluyla silinmiş veri kırıntılarına ulaşılabilir.

Slack Space Analizi: Dosyaların bittiği ancak sektörün tamamlanmadığı gizli aralıklardaki veriler bu yöntemle yakalanır.

Otomatik Doğrulama: .E01 (EnCase) veya .AFF gibi formatlar, içerdikleri hash değerleri sayesinde kanıtın değişmediğini otomatik olarak doğrular.

3. Yazma Koruma (Write Blocker) Teknolojileri

Bir diski incelemek üzere bilgisayara bağladığınız an, modern işletim sistemleri o diske minik de olsa veri yazmaya (timestamp güncelleme vb.) başlar. Adli bilişimde bu durum “delilin manipüle edilmesi” olarak yorumlanır.

Write Blocker donanımları, verinin diskin dışına çıkmasına izin verirken, içeriye giden her türlü “yazma” komutunu fiziksel olarak engeller. Nesil Teknoloji olarak analizlerimizde, uluslararası ISO/IEC 27037 standartlarına uygun donanımsal koruyucular kullanıyoruz.

Yazılım tabanlı yazma korumalar (Windows Registry ayarları gibi) mahkemelerde güvenilir bulunmayabilir; donanımsal çözümler her zaman altın standarttır.

4. Kanıt Zinciri (Chain of Custody) Prosedürleri

Teknik olarak kusursuz bir imaj almış olsanız bile, belgelendirme eksikse delil mahkemede “çöp” haline gelebilir. Kanıt Zinciri, delilin yaşam öyküsüdür.

Kritik Dokümantasyon Maddeleri:

Cihaz Tanımlama: İnceleme yapılan cihazın markası, modeli, seri numarası ve fiziksel durumu (çizik, hasar vb.) en başta kaydedilmelidir.

Hash Mühürleme: İmaj alındığı an MD5 ve SHA-256 değerleri hesaplanmalı ve forma işlenmelidir. Bu, verinin dijital parmak izidir.

Zaman Çizelgesi: Delilin kimden alındığı, hangi laboratuvara götürüldüğü ve hangi uzmanın incelediği saniye bazlı kaydedilmelidir.

5. Yasal Geçerlilik ve KVKK Standartları

Türkiye’de adli bilişim işlemleri CMK Madde 134 ve KVKK düzenlemelerine tabidir. Özellikle kurumsal suistimal incelemelerinde, çalışan verilerinin toplanması “özel hayatın gizliliği” ile “şirket hakları” arasında ince bir çizgidedir.

Şeffaf bir kanıt zinciri yönetimi, olası bir itiraz durumunda kurumun hukuki savunma kalkanıdır. Nesil Teknoloji, tüm operasyonel süreçlerinde bu yasal zeminleri ve siber güvenlik vizyonunu birleştirerek hizmet vermektedir.

6. Sık Sorulan Sorular

İmaj alma işlemi orijinal diski bozar mı?

Doğru ekipman (Write Blocker) kullanıldığında orijinal diske bir bit dahi veri yazılmaz, dolayısıyla fiziksel veya mantıksal bir bozulma yaşanmaz.

Hash değeri uyuşmazsa ne olur?

Eğer analiz aşamasındaki hash değeri ile ilk baştaki değer tutmuyorsa, delil bütünlüğü bozulmuş kabul edilir. Bu delil mahkemede geçersiz sayılır.

SSD disklerde veri kurtarmak neden zordur?

SSD’lerde bulunan TRIM özelliği, silinen veriyi arka planda fiziksel olarak temizlediği için siber olay müdahale uzmanının çok hızlı hareket etmesi gerekir.

Bu rehber dijital forensik standartları üzerine bilgilendirme amaçlıdır.

Profesyonel Analiz Desteği Alın