Ana Sayfa / Adli Bilişim / Genel Bilgiler

Genel Bilgiler

Adli bilişim ile alakalı genel bilgiler

Kullanılmayan ve ayrılmamış alan kavramları (Unused and Unallocated)

Adlı Bilişim Yönünden: Kullanılmayan ve Ayrılmamış alan kavramları (Unused and Unallocated) Kullanılmayan alan biçimlendirilmemiş dolayısıyla işletim sistemi tarafından kullanılamayan alan demektir. Bir hard disk ilk biçimlendirildiğinde tamamı %100 kullanılmayan alan olur, bununla birlikte biçimlendirme işleminden sonra normal de %99.8 lik kısmı ayrılmamış (unallocated) %0.1 lik kısmı ayrılmış (allocated) ve geri kalan …

Devamı »

File Slack Nedir?

  File Slack ya da Dosya Artığı Nedir? Bu yazı Encase içerisinde dikkatinizi bu zamana kadar belki çekmiş olan ama üzerinde pekde durmadığınız bir konu olan file slack üzerine olacak. Encase üzerinde text ya da hex görünümde kırmızı olarak yazılan alandır. Ne gerekli File slack yani dosya artığı kavramını anlayabilmeniz …

Devamı »

Adli Bilişim Yönünden MFT

Adli bilişim çerçevesinde değerlendirilidiğinde MFT için aşağıdaki açıklamaları yapabiliriz. MFT hakkında daha ayrıntılı bilgileri NTFS bölümünde bulabilirsiniz. Burada adli bilişim yönünden MFT üzerinde, ne tür yorumlar yapabiliriz başlıkları değerlendirilecektir. MFT bilindiği gibi Master File Table kelimelerinin kısaltmasıdır. Yani ana dosya tablosu, bir kitabın içindekiler bölümü olarak düşünebiliriz. NTFS dosya sistemindeki …

Devamı »

Fiziksel ve Mantıksal Boyut Kavramları

Encase/FTK da görünen fiziksel ve mantıksal boyut ne demek? (physical and logical size) Tüm dosyaların fiziksel ve mantıksal boyutu vardır. Bazen fiziksel boyut, mantıksal boyuttan daha büyük bazen de eşittir. Fakat mantıksal boyut hiç bir zaman fiziksel boyuttan büyük olamaz; eğer böyle bir durum söz konusu ise dosya sisteminde bir …

Devamı »

VPN Protokolleri ve Açıklamalar

VPN tüneli dediğimiz şey, bilgisayarınız ve uzak sunucu arasında şifreli veri bağlantısı kurmaya yarar. Bağlantı kurulduktan sonra tıpkı bir ftp ya da web sunucusu gibi dosya gönderme ve alma işlemleri gerçekleştirilebilir. Bu şekilde kurulan bağlantılar 3. taraf kişilerin ağınızı dinlemeleri ve verilerinizi ele geçirmelerini durdurabilir. Bağlandığınız VPN sunucusu sayesinde servis …

Devamı »

MFT Mirror Nedir?

MFT Mirror, adli bilişim uygulamaları içerisinde $MFTMirror olarak görünür. MFT nin kısmı bir yedeğidir. Yani bu yedek MFT nin tamamını içermez. MFT Mirror aşağıdaki 4 NTFS sitem dosyasının yedeğini içerir ; $MFT $MFT Mirror $Log $Volume

Devamı »

Dosya İmzası Arama

Pek çok dosya türü onları diğerlerinden ayıran kesin veriler içerirler. Mesela bir .html ya da .doc uzantılı dosya diğerlerinden kesin olarak ayrılabilirler, bu fark görüntülenen uzantıdan farklı bir ayrımdır. Bu ayrımı sağlayan kodlara "imza" denir ve bu imzalar elektronik keşifler ve adli bilişim alanında sıkça kullanılırlar. (işin mantığı ile bilgilere …

Devamı »

Bir dosya silindiğinde -1-

Bu makale de Adli bilişimciler için en önemli delillendirme konularından biri olan silinme tarihi hakkında bilgilere yer verilecektir.  "Dosya ne zaman silindi?". Bu makale Windows işletim sistemi için bu sorunun cevabını bulmaya yönelik olarak ele alınmıştır. Silinme Tarihleri Silinme tarihlerini bulabilmek için iki senaryo mevcut, 1. olarak geri dönüşüm kutusuna …

Devamı »

Bir dosya silindiğinde -2-

Neden Silinen her dosya geri dönüşüm kutusunda yer almaz? Sistem tarafından silinenler: İşletim sisteminiz bir dosyayı silmişse bu dosya geri dönüşüm kutusuna taşınmaz. (Mesela rutin temizlik işlemleri sırasında böyle birşey olabilir) Kullanıcı katılımlı sistem silmeleri: Kullanıcının internet geçmişini temizlemesi veya bir programın kaldırılması sırasında dosyalar sistem tarafından silinirler, bu dosyalarda …

Devamı »

Encase deki “Entry Modified” ne demek?

Encase bir kaç farklı tarih türünü doğrudan gösteriyor ; bu tarihler içinde "oluşturma", "yazma", "erişim"  ve adli bilişimciler tarafından tam olarak akıllara oturtulamayan ya da karıştırılan; "Entry Modified" Türkçe karşılığı olarak "kayıt değişikliği" diyebiliriz. "Entry modified" tarihi dosyayı tutan MFT kaydında meydana gelen son değişikliğin karşılığıdır. Yani MFT’nin dosya hakkında …

Devamı »