Sabit diskler uçucu olmayacak şekilde ve hızlıca veri depolayan ve depolanan veriye tekrar ulaşmayı sağlayan aygıtlardır. Elektrik kesildiğinde üzerinde yazılı olan veri silinmez. Dolayısıyla bilgisayar kapandığında disk üzerinde kayıtlı olan veriler silinmeyecektir[1].
Sabit diskler manyetik olarak veri depolama yaparlar. Veri sabit disklerin içerisindeki cam, seramik veya metal plaka üzerinde kaplı olan özel alaşımlı yüzey üzerinde depolanmaktadır.

Günümüzde genellikle 2.5” ve 3.5” boyutlu sabit diskler kullanılmaktadır ve sabit disklerin IDE, SATA, SAS SCSI gibi çeşitli çeşitleri mevcuttur. Aşağıda Şekil 1’de Sabit disk parçaları görülmektedir.

Şekil 1.Sabit Disk Parçaları[2]

Sabit diskler üretildikten sonra sabit diskin veri depolama yüzeyindeki sorunlu noktaları belirlemek için üretici tarafından bir yüzey testinden geçirilir. Sabit diskler fabrikadan ilk çıktıklarında bile yüzeylerinde sorunlu noktalar mevcuttur. Ayrıca üzerinde veri depolanan bu mekanik yüzeyler zaman geçtikçe ve kullanıldıkça çevresel etkenlerin de etkisiyle özelliğini kaybedebilerek kullanılamaz hale gelebilmektedir. Hatta hiç kullanılmayan sabit diskler de, üretim maddelerinin ömrü kadar süreyle kısıtlı bir ömre sahiptirler. Fabrikadan çıkmadan önce yapılan yüzey testinde tespit edilen sorunlu noktalar sabit diskler üzerinde bulunan ve normal şartlarda kullanıcıların erişemediği servis alanında bir listede tutulurlar. Bu listede kayıtlı olan alanlara kullanıcı tarafından veri kaydı yapılmamaktadır. Genellikle sabit diskler üzerinde iki farklı bozuk sektör kaydı tutulan liste mevcuttur. Bunlardan birincisi sabit disk fabrikadan çıkmadan önce yapılan yüzey testinde tespit edilen bozuk sektörlerin tutulduğu P-List diğeri ise sabit disk kullanılırken bozulan ve sabit disk içerisindeki yazılım tarafından bozulduğu tespit edilen sektörlerin ve bu sektörler yerine kullanım için atanan sektörlerin bilgilerinin tutulduğu G-List’tir.

P-List içerisinde tutulan bozuk sektör bilgilerine, atlanacak sektörlere ait kayıt bilgileri de denilebilir. Her sabit diskin farklı sektörlerinde bozukluklar( Bozuk alanlar yada başka birşey) olacağından P-List sabit diske ait benzersiz ve sadece o diske özel bir listedir. Sabit diskin okuma yazma kafası P-list içerisinde kaydı bulunan sektörü daima atlar. Sabit disk içerisindeki adresleme P-List içerisindeki sektörler yokmuş gibi atlanarak yapılmaktadır. Dolayısıyla P-List’ine ulaşılamayan veya P-List’inde sorun oluşmuş bir sabit disk üzerindeki sektörlere ait adresleme P-List’siz bir şekilde yapıldığında verilere doğru bir şekilde ulaşmak mümkün değildir. Bu şekilde ancak küçük boyutlu ve parçalanmadan depolanmış veri parçalarına anlamlı bir şekilde ulaşabilmek mümkündür.

Sabit disk kullanılmaya devam edildiği sürede bozulduğu tespit edilen sektörler ve bu bozuk sektörler yerine kullanıma açılacak olan yedek sektör bilgisi G-List’e eklenir. G-List’e eklenecek bozuk sektörler yerine kullanıma açılacak yedek sektörler belirli bir sayıda olmak üzere sabit diskin veri yazılan yüzeyinde önceden ayrılmışlardır ve bu ayrılmış alana, G-List’e eklenmedikçe, normal şartlarda kullanıcılar erişemezler. G-List’e ekleme işlemleri kullanıcı onayı alınmadan ve kullanıcı fark etmeden olur.

Adli kopya alma işlemi sırasında sabit disk içerisindeki okuma yazma kafası tüm sektörleri okumaya çalışırken sabit diske ait yazılım da bozuk olduğunu tespit ettiği bir sektörü G-List’e ekleyerek onun yerine başka bir sektörü kullanıma atayabilir. Böylelikle sabit disk kullanımı sırasında bozulduğu tespit edilen sektör bilgisi G-Liste eklenerek, yerine yenisi atandığından; bir sabit diskten adli kopya alınması sırasında hesaplanmış olan hash değeri, aynı sabit diskten tekrar adli kopya alındığında hesaplanan hash değeri ile uyuşmayabilir. Adli kopyası alınarak hash bilgisi kaydedilen elektronik delil niteliğindeki bir sabit diskten bir süre sonra tekrar adli kopya alma işlemi yapıldığında hesaplanan hash değerleri birbirini tutmayabilmektedir. Bunun sebebi tamamen veya kısmen bozulduğu için okunamayan bir sektör olabildiği gibi daha önceden adli kopya alma işlemi sırasında okunamamış veya yanlış okunmuş ancak sonraki adli kopya alma işleminde doğru şekilde okunabilmiş bir sektörden de kaynaklanabilmektedir. Okumama veya eksik okuma sonucu hash değerlerinin uyuşmaması sorunu sadece sabit diskten de kaynaklanmıyor olabilir. Adli kopya almakta kullanılan bazı yazılımların veya donanımların okuyabildiği sektörleri diğer yazılım veya donanımlar aynı kararlılıkta okuyamayabilmektedir. Dolayısıyla daha önceden adli kopyası alınmış bir sabit diskin tekrar adli kopyası alındığında hesaplanan hash değerleri farklı olabilecektir.

Adli bilişim alanında adli kopya ile ilgili uygulamalarda elektronik delillerin orijinali üzerinde tekrar adli kopya alma işlemleri yapılmakta ve sonucunda hesaplanan hash değeri ilk adli kopya alma işleminde hesaplanmış olan hash değeri ile karşılaştırılarak farklılık görüldüğünde elektronik aygıtın delil niteliği kalmadığı değerlendirilmektedir. Bunun yanında açık olan sistemlerden alınan adli kopyalarla ilgili olarak, RAM’lerden alınan adli kopyalarla ilgili olarak ve cep telefonlarından alınan adli kopyalarla ilgili olarak tekrar adli kopya alınması ve hash değerlerinin kıyaslanması gibi bir uygulama söz konusu değildir. Çünkü açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alınırken sistem çalışmaya devam ettiği için, halen sistem tarafından zararsız ufak değişiklikler yapılmakta olduğu bilindiğinden; tekrar bir adli kopya alındığında aynı hash değeri elde edilemeyeceği bilindiğinden, böyle bir tehid yoluna başvurulmamaktadır. Bu sistemlerden alınan ve elde olan ilk adli kopyalar üzerinden tüm inceleme ve değerlendirmeler yapılmakta, orijinal elektronik delil üzerinde tekrar hash hesaplatılması gibi bir işlem yapılmadan adli kopya delil olarak olayın aydınlatılmasında kullanılmaktadır.

Mekanik bir yapıya sahip olan sabit disklerde çeşitli sebeplerden dolayı hash problemleri yaşanabilmekte olduğu görülmektedir. Uygulamada, delil olabilecek elektronik aygıt üzerinden adli kopya alındığı sırada hesaplanan hash değeri ile, alınan adli kopyanın kaydedildiği veri depolama birimi üzerine tam ve doğru olarak kaydedildiğinin tespiti için hesaplanan hash değerleri birbiri ile aynı ise bu aşamadan sonra ilerleyen zamanda delil bütünlüğünün korunup korunmadığının kontrolü için elektronik delilin orijinali üzerinde tekrar adli kopya alma işlemi yapılması gerekmemekte, bu kontrolün eldeki adli kopya üzerinde hash hesaplatılarak yapılması gerekmektedir. Orijinal elektronik delil üzerinde meydana gelen bozulmalar ve değişimler hukuksal açıdan delil bütünlüğünün bozulduğuna anlamına gelmemelidir. Çalışan sistemlerden, RAM’lerden ve cep telefonlarından alınan adli kopyalarda olduğu gibi; diğer elektronik deliller de sadece adli kopyaları üzerinden değerlendirilmelidirler. Elektronik delil üzerinde herhangi bir veri değişikliği olup olmadığı ise orijinal delil üzerinden tekrar adli kopya alınarak ve orijinal delilin hash değeri hesaplatılarak değil, eldeki adli kopya üzerinde tekrar hash hesaplatılarak kontrol edilmelidir. Daha önceden orijinal delilden adli kopya alınırken hesaplanan hash değeri, adli kopya üzerinden tekrar hesaplatılan hash değeri ile birbirini tutuyor ise delil bütünlüğü korunuyor anlamına gelmektedir. Bu aşamada veri bütünlüğünün kontrolü için orijinal delil üzerinde tekrar hash hesaplatılması gibi bir yol izlenmemelidir.

Murat ÖZBEK

KAYNAKLAR

1-Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.62

2-http://www.griffwason.com/images/GriffWason_WesternDigitalCaviar-ExplodedCutaway2.jpg adresinden alınmıştır.