Ana Sayfa / Genel / Bir dosya silindiğinde -2-

Bir dosya silindiğinde -2-

Neden Silinen her dosya geri dönüşüm kutusunda yer almaz?

  1. Sistem tarafından silinenler: İşletim sisteminiz bir dosyayı silmişse bu dosya geri dönüşüm kutusuna taşınmaz. (Mesela rutin temizlik işlemleri sırasında böyle birşey olabilir)
  2. Kullanıcı katılımlı sistem silmeleri: Kullanıcının internet geçmişini temizlemesi veya bir programın kaldırılması sırasında dosyalar sistem tarafından silinirler, bu dosyalarda geri dönüşüm kutusuna taşınmazlar.
  3. Özel yazılımlar : Özel yazılımlar ile silinen dosyalar da genelde geri dönüşüm kutusuna taşınmazlar. Bu tür dosyaların silinme tarihlerinin nasıl bulunacağının mantığını ek olarak "Adli Bilişim Yönünden MFT" konu başlığı ve NTFS dosya sistemi başlığı altındaki bilgiler ile bulabilirsiniz.
  4. Shift + Delete ile silinenler : Bu şekilde silinen dosyaların silinme tarihleri de geri dönüşüm kutusu tarafından kaydedilmez.

Silinme tarihlerinin bulunmasına yönelik yöntemleri aşağıda bulabilirsiniz. Bu yöntemler akla ilk gelen yöntemler olup, sizlerinde paylaşmak istediği bilgiler varsa lütfen yorum alanını kullanın.(Bu makale windows işletim sistemleri göz önünde bulundurularak ele alınmıştır)

 

 

1. Sistem Tarafından Silinen Dosyalar

Bu konu ile ilgili verilebilecek en güzel örnek sanırım internet önbelleğidir. Firefox ve İnternet Explorer belirtilen periyotlarda otomatik olarak bu silme işlemini gerçekleştirebilir. Bu tarz silinme tarihlerini bulmak için şöyle bir yaklaşımda bulunabiliriz; öncelikle dosyanın oluşturulma tarihine bakıp (FAT/MFT girdilerinden kurtarıldığı kadarıyla) daha sonra internet önbelleğinin depolama süresiyle karşılaştırmaktır. Bu ikinci değer "registry" de yer alır. Bu bilgilerden erişim tarihine bakarak verinin ne zaman silindiği ile ilgili yorum yapabiliriz. Ancak "bu tarih silinme tarihidir" ifadesini kesin olarak kullanamayız. Bu makale ve ilişkili diğer makaleleri de göz önünde bulundurarak elde edeceğimiz bilgiler ile ne zaman "kesinlikle silinme tarihi bu tarihtir" diyebileceğimizi kestirebilirsiniz.

 

2. Kullanıcı katılımlı sistem silmeleri

 

 a.  Bir programı kaldırdığınızda silinme tarihleri ile ilgili herhangi bir kayıt tutulmaz. Ancak bu tarihi kestirebilmek içinde bazı methodlar kullanabiliriz. 

   Sistem Geri Yükleme (System Restore). Sistem geri yükleme neyin yüklendiği ile ilgili bilgileri izler. Bu sayede eski ya da yedek yazılım yığınlarına (software hives) bakarak neyin silindiği ile ilgili yararlı verilere ulaşabiliriz.  Örneğin "Outlook" ile ilgili verilerin yazılım yığınlarında 08 Aralık 2012 ve 09 Aralık 2012 tarihlerinde var ancak 11, 12, 13 üne ait kayıtlarda yoksa Outlook un 09 ile 11 i arasında silindiğne dair yorumlarda bulunabiliriz.

b.  Logs (Benim deyimimle zabıtlar) : Bir uygulama yüklerken ya da kaldırırken kayıt tutulabilir ve bunların biri  ya da her ikisi birden bulunabilir.

c. Toplu Hareketler :  Elimizde bulunan delilinin tamamını göz önünde bulundurarak aynı zaman dilimi içerisinde olabilecek son erişim tarihleri .Bu da bize toplu bir silme işlemini işaret edebilir. (oluşturulma ve değiştirilme tarihlerinden farklı olarak)

 

3. Özel Yazılımlar

 Bazı özel yazılımlar kullanarak yapılan silme işlemleri şüphesiz ki bir dosyaya ait tüm verileri yok etmenin en iyi yoludur. Bu yöntemle dosya silinmiş wipelanmış (defalarca üzerine yazılmış) olabilir ancak dosyaya ait deliller hala var olabilir. Aşağıdaki "Shift+ Delete" ile ilgili yöntemlerin bazıları bu işlemlerde kullanılabilir.

 a.  Dosya wipelanmış ise bu işlem wipe uygulamasının yüklenme tarihinden sonra olacaktır. İlgili yazılımın kurulum tarihine bakın

 b.  Wipe uygulaması nasıl çalışıyor? Önce dosya verilerinin üzerine yazıp sonramı siliyor? Eğer böyleyse wipelanma tarihi son erişim tarihi olabilir.

 c.  Programa ait herhangi bir kayıt varmı? Bazı wipe programları silme kayıtlarını tutabilirler. Bu kayıtları araştırın, eğer program bu çeşit bir kayıt tutuyorsa (bu kayıtlar wipelanmamış ise) silinmiş olabilirler bu kayıtlara yönelik araştırma yapabilirsiniz.

 

4. Shift + Delete

Burada kullanılan yöntemler eğer varsa yukarıdaki yöntemlere paralel olarak kullanılmalıdır. Bu senaryoda bir dosya silinmişse, (örneğin bir word belgesi) silinme tarihi yoktur. Herhangi bir geri dönüşüm kutusu kaydı yoktur, dosyamız doğrudan silinmiştir. Aşağıdaki bilgiler ile silinme tarihine ilişkin verileri kestirebiliriz.

 a.  Bir dosya silindikten sonra erişilemez durumdadır (tabii ki normal yöntemlerle). Burada dosyamız son erişim tarihinde ya da sonrasında silinmiştir, bu tarih bilgisayarın son kullanım tarihinden öncedir. Bu bize çok dar bir zaman aralığını verebilir(veya çok geniş bir zamanı kapsayabilir, ancak burası bizim için iyi bir başlangıç noktasıdır)

 b.  Erişim tarihinde sorun varsa, diğer delillerden erişim tarihini belirlemeye çalışın, Link dosyalarına (kısayollar) ve MRU registry (son kullanılanların tutulduğu kayıtlar – most recent used) kayıtlarına bakabiliriz.Değiştirilme tarihi de önemli ipuçları sunar.

 c.  Sistem geri yükleme ve NTUSER.DAT dosyalarını kullanarak bir resmin erişim tarihine ulaşabiliriz.

 d. Bir dosya araması yaparken kanıtta arayın. Birisi belirli bir tür dosyayı silmek istiyorsa işletim sistemi aracılığı ile bilgisayar üzerinde arama yapmış olabilir, bu aramalar registry de saklanırlar. Bu da bizim için güzel bir kanıt olabilir.

 

Kullanılabilir haldeki tüm bilgileri birleştirme

Tek bir bilgi ile hedefe ulaşmamız her zaman mümkün olmayabilir, kesin sonucu ya da olasılığı yüksek olan sonucu (tabii ki silinme tarihi, erişim tarihi vs.) bulabilmek için bir çok bilgiyi göz önünde bulundurarak karar vermeliyiz.

ÖRNEK
 

Büyük bir şirketin bilgisayarlarından birinde "Hesaplar.doc" isimli bir dosya silinmiş olsun, şirket bu dosyanın ne zaman silindiğini bilmek istiyor diyelim. (Hard diskin imajının 20 Ağustos 2011 de alındığını varsayıyorum)

Yapılan incelemede şu bilgilere eriştiğimizi düşünelim:

Dosyanın oluşturulma tarihi MFT’ ye göre 10 Haziran 2011
Son değiştirilme tarihi MFT’ ye göre 4 Ağustos 2011
Son erişim tarihi 5 Ağustos 2011
Bilgisayarın son kapanış tarihi 8 Ağustos 2011 sabah 09:00
Bilgisayarın açılış tarihi 19 Ağustos 2011 fakat herhangi bir kullanıcı girişi görülmüyor

Diğer Bilgiler:
 

6 ve 7 Ağustos Cumartesi ve Pazar a geliyor. Çalışanların hafta sonlarında ofise erişimi yok (herhangi bir uzaktan erişim de yapılmamış)

Şirketin bilgi işlem merkezi  bilgisayarı 8 Ağustos günü saat 9 da kapatmış . Aynı şekilde yani bilgi işlem tarafından bilgisayar 19 Ağustos tarihinde açılmış.

Bu senaryomuza göre en olası sonuç dosya 5 Ağustos da silinmiştir. Çünkü bu tarihten sonra dosyaya herhangi bir kullanıcı erişimi yapılmamış zaten bu tarihten sonra bilgisayara da erişim yok.

Tüm bu tarihlere bakın ve bir zaman çizelgesi oluşturun, dosyaya ne zaman erişilmiş veya erişilmemiş.İşletim sistemine ve programlara ait kayıtlar giriş bilgileri vs.gibi bilgiler ile tarih aralığını olabildiğince daraltabiliriz, fakat nadiren belli bir tarih karşımıza çıkacaktır.

Kolay gelsin

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

Port Tarama

Bu makalede port taramanın ne olduğuna değinip, farklı port tarama yöntemleri ve güvenlik açıklarını nasıl …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir