Blog

Delil Toplama ve Analiz Sürecinde Uygulanan Kurallar

  •  Yapılan adli kopyalama (İmaj) alma işlemi dışında kesinlikle orjinal delile dokunulmamalıdır.  İzlenecek bu yol ile böylece delili bozma olasılığını en aza indirmiş olursunuz.  Orjinal delilin üzerindeki herhangi bir değişiklik, daha sonra alınacak imajlar üzerinde yapılacak incelemelerin sonuçlarını da etkileyecektir. Delil toplanıp, birebir kopyası, imajı alınmadan asala delili analiz etmeye çalışmayın.
     
  •   Orjinal delil üstünde yapılan tüm değişikliklerin hesabını daha sonradan verebilmek için yapılan tüm işlemlerin ve değişikliklerin olabildiğine detaylı bir kaydını tutun.  Bazı durumlarda delilin değiştirilmesi kaçınılmaz olur. Bu tür durumlarda var olan durumu, kapsamı ve değişiklik sebeplerini belgelendirmek kesinlikle gereklidir.
  •   Daha önce anlatılan delilin beş niteliğini sağlamak için gerekli kurallara uyun. Topladığınız şeyler delilin yasal gerekliliklerini sağlamıyor ise muhtemelen zamanı ve kaynakları boşa harcıyorsunuzdur.
  •  Teknik olarak sahip olduğunuz bilginizi aşmayın. Ne yaptığınızı bilmiyorsanız, delil üzerinde yaptığınız işlemlerden ötürü gerçekleşecek değişikliklerin ya da yaptığınız işlemlerin doğru bir şekilde hesabını veremeyebilirsiniz.  Bu alan bir anda kendinizi kafanız patlamış olarak bulabileceğiniz bir alandır. Bu nedenle araştırmanızı her an size yardın edebilecek biri ile ya da bilgiye kolay erişebilecek bir ortamda yapın.
  •  Kurumunuzun kurallarına ve soruşturma rehberlerine uygun hareket edin. Yapılacak usul hataları ihlali mahkemede delilinizi geçersiz bile kılabilir.
  •  Mümkün olan en kısa sürede sistemin eksiksiz tam bir imajını alın. Orjinal ve imajı alınmış kopya arasındaki şüpheli sabit diskte kötü sektörlerden dolayı sayısal imzaların uyuşmaması gibi  farklar kopyalama adaptörünün vermiş olduğu rapor ile desteklenerek açıklanmalıdır. Yoksa delil bozuk, hasar görmüş olarak yorumlanacaktır.
  •  Yapılan işlemleri doğrulamak için tanıklığa hazır olun.  Eğer delilleri siz topladıysanız, delil toplama sürecinde ürettiğiniz belgelerin doğruluğunu tasdik etmek ve gerçekliğini anlatmaya hazır olmalısınız. Bu nedenle her aşamada kayıt tutmak gereklidir.
  • ·      Yaptığınız işlemlerin tekrar edilebilir olmasına dikkat edin. 
  •  İşlemleriniz ve analizlerinizin tekrarlanabilir olması gerekir. Hareketlerinizin denemeye yanılmaya ya da hatalara dayanmaması gerekmektedir.
  •  Hızlı ama doğru çalışın. Özellikle çalışan bir sistem üzerinde, ne kadar hızlı çalışırsanız o kadar az uçucu delil kaybedersiniz.
  •  En uçucu delilleri ilk olarak toplayın.
  • ·      Uçucu delilleri toplamadan sistemi kapatmayın. Uçucu deliller kaybolacaktır ama ek olarak başlangıç ve kapanış betikleri verileri de silebilir. 
  •  Bilgisayarı normal olarak kapatmak delile zarar verip değiştirebilir, geçici dosya sistemleri ve sistem yapılandırma dosyaları değişebilir.  Kapalı bir bilgisayarı açmak da daha fazla potansiyel delili de yok edebilir.
  • ·      Asla şüpheli bilgisayarda çalışmayın ve o bilgisayara ve ekli donanımlara güvenmeyin. 
  • ·      Truva atı programları tahrip edici bir düzeneği başlatabilir. 
  •  Delili değiştirebilirsiniz.

 

Bu gönderiyi paylaş

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir