Ana Sayfa / Etiket Arşivi: adli bilişim

Etiket Arşivi: adli bilişim

Adli Bilişim Eposta&Tarayıcıların Derinlerine İnin

Günümüzde internet kullanıcılarının neredeyse tamamı e-posta da kullanıyor. Bu kişilerin çoğunluğu ise iki veya daha fazla e-posta hesabı kullanmakta, her ne olursa olsun kullanım oranı yüksek ise o konuyla ilgili adli bir olayın gerçekleşme olasılığıda doğal olarak artıyor. Adli makamlar e-posta içeriklerini servis sağlayıcılara sorup öğrenebiliyor, ancak bu servis sağlayıcıların …

Devamı »

Sistem saati kontrolü

Sistem saatinde yapılan değişiklikleri kontrol etmek için aklınızdakilere ek olarak şöyle bir yöntem kullanabiliriz. Buradaki senaryomuz sistem saatinin geri alınmış olması üzerine kurulacak. Bu senaryomuzda sistem saatinin geriye yönelik olarak değiştirildiğini düşünüyoruz, ileriye yönelik bir değişim olması durumunda da benzer mantığı yürütebilirsiniz.

Devamı »

File Slack Nedir?

  File Slack ya da Dosya Artığı Nedir? Bu yazı Encase içerisinde dikkatinizi bu zamana kadar belki çekmiş olan ama üzerinde pekde durmadığınız bir konu olan file slack üzerine olacak. Encase üzerinde text ya da hex görünümde kırmızı olarak yazılan alandır. Ne gerekli File slack yani dosya artığı kavramını anlayabilmeniz …

Devamı »

Adli Bilişim Yönünden MFT

Adli bilişim çerçevesinde değerlendirilidiğinde MFT için aşağıdaki açıklamaları yapabiliriz. MFT hakkında daha ayrıntılı bilgileri NTFS bölümünde bulabilirsiniz. Burada adli bilişim yönünden MFT üzerinde, ne tür yorumlar yapabiliriz başlıkları değerlendirilecektir. MFT bilindiği gibi Master File Table kelimelerinin kısaltmasıdır. Yani ana dosya tablosu, bir kitabın içindekiler bölümü olarak düşünebiliriz. NTFS dosya sistemindeki …

Devamı »

MFT Mirror Nedir?

MFT Mirror, adli bilişim uygulamaları içerisinde $MFTMirror olarak görünür. MFT nin kısmı bir yedeğidir. Yani bu yedek MFT nin tamamını içermez. MFT Mirror aşağıdaki 4 NTFS sitem dosyasının yedeğini içerir ; $MFT $MFT Mirror $Log $Volume

Devamı »

Bir dosya silindiğinde -1-

Bu makale de Adli bilişimciler için en önemli delillendirme konularından biri olan silinme tarihi hakkında bilgilere yer verilecektir.  "Dosya ne zaman silindi?". Bu makale Windows işletim sistemi için bu sorunun cevabını bulmaya yönelik olarak ele alınmıştır. Silinme Tarihleri Silinme tarihlerini bulabilmek için iki senaryo mevcut, 1. olarak geri dönüşüm kutusuna …

Devamı »

Bir dosya silindiğinde -2-

Neden Silinen her dosya geri dönüşüm kutusunda yer almaz? Sistem tarafından silinenler: İşletim sisteminiz bir dosyayı silmişse bu dosya geri dönüşüm kutusuna taşınmaz. (Mesela rutin temizlik işlemleri sırasında böyle birşey olabilir) Kullanıcı katılımlı sistem silmeleri: Kullanıcının internet geçmişini temizlemesi veya bir programın kaldırılması sırasında dosyalar sistem tarafından silinirler, bu dosyalarda …

Devamı »

Encase deki “Entry Modified” ne demek?

Encase bir kaç farklı tarih türünü doğrudan gösteriyor ; bu tarihler içinde "oluşturma", "yazma", "erişim"  ve adli bilişimciler tarafından tam olarak akıllara oturtulamayan ya da karıştırılan; "Entry Modified" Türkçe karşılığı olarak "kayıt değişikliği" diyebiliriz. "Entry modified" tarihi dosyayı tutan MFT kaydında meydana gelen son değişikliğin karşılığıdır. Yani MFT’nin dosya hakkında …

Devamı »