MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ

i
MOBİL CİHAZLARDAN MANUEL
VERİ ELDE ETME YÖNTEMLERİNİN
İNCELENMESİ
İ B R A H İ M B A L O Ğ L U
ADLİ BİLİŞİM MÜHENDİSİ & SİBER GÜVENLİK UZMANI
www. ibrahimbaloglu.com
19 Nisan 2020

İÇİNDEKİLER
Sayfa
ÖNSÖZ….............................................................................HATA! YER İŞARETİ TANIMLANMAMIŞ.
İÇİNDEKİLER...................................................................................................................................İİ
ÖZET…… .....................................................................................................................................İV
ŞEKİLLER LİSTESİ ...........................................................................................................................V
TABLOLAR LİSTESİ ........................................................................................................................Vİ
1. ADLİ BİLİŞİM ...............................................................................................................................1
1.1. Adli Bilişim Türleri......................................................................................................1
1.2. Adli Bilişimde Karşılaşılan Zorluklar..........................................................................2
2. MOBİL ADLİ BİLİŞİM...................................................................................................................5
2.1. Mobil Adli Bilişimde Karşılaşılan Zorluklar...............................................................6
2.2. Cep Telefonu İçerisinden Delil Çıkarma Süreçleri......................................................8
2.2.1.Delil Elde Etme Aşaması ....................................................................................8
2.2.2.Kimliklendirme Aşaması .....................................................................................8
2.2.3.Hazırlık Aşaması.................................................................................................9
2.2.4.İzolasyon Aşaması...............................................................................................9
2.2.5.İşleme (İmaj Alma) Aşaması...............................................................................9
2.2.6.Doğrulama Aşaması ............................................................................................9
2.2.7.Belgelendirme ve Raporlama Aşaması .............................................................10
2.2.8.Sunum Aşaması.................................................................................................10
2.2.9.Arşivleme Aşaması............................................................................................10
2.3. Mobil İnceleme Yazılımlarının Özellikleri................................................................11
2.3.1.Ufed 4pc/Physical Analyzer Özellikleri ...........................................................11
2.3.2.Oxygen Forensic Özellikleri .............................................................................14
2.4. Mobil Uygulamalar İle İlgili Yapılmış Çalışmalar....................................................15
3. MOBİL CİHAZLARLADAN MANUEL VERİ ELDE ETME YÖNTEMLERİ ......................................21
3.1. Fiziksel Edinim ..........................................................................................................22
3.2. Mantıksal Edinim .......................................................................................................22
3.3. Manuel Edinim ...........................................................................................................23
3.4. Önerilen Mimari Yapısı..............................................................................................23
3.5. Kullanılan Araçlar Ve Metodlar.................................................................................24
3.5.1.Kullanılan Metodoloji .......................................................................................25
3.5.2.Kullanılan Araçlar .............................................................................................25
3.6. Veri Edinimi Sırasında Dikkat Edilecek Unsurlar.....................................................26
3.7. Mobil Uygulamalarda Elde Edilebilecek Veri Türleri...............................................26
3.8. Uygulamaların Silinmesi Durumunda Kalıntıların İncelenmesi................................28
3.8.1.Harici Bir SD Karttan Silinen Verileri Kurtarma .............................................29
3.8.2.Dahili Bellekten Silinen Verileri Kurtarma ......................................................30

4. BELİRTİLEN MODELE GÖRE YAANİ MAİL UYGULAMASININ ANALİZİ ...................................33
4.1. Yaani Mail Kayıt İşlemi.............................................................................................33
4.2. Yaani Mail Verilerini Açık Telefon İçerisinden Elde Etme Yöntemi .......................34
4.2.1.Yaani Mail Veritabanı Bilgileri ve Analizi.......................................................34
4.2.2.Yaani Mail Log Dosyası ve Analizi..................................................................37
4.2.3.Yaani Mail Ekleri ve Analizi ............................................................................37
4.2.4.Yaani Mail Xml Dosyaları ve Analizi ..............................................................38
4.3. Manuel Yöntemler ile Fiziksel İmaj Alarak Yaani Mail Verilerini Elde Etme
Yöntemi ......................................................................................................................38
4.3.1.Dosya Kazıma Tekniklerini Kullanarak Silinmiş Dosyaları Kurtarma ............40
5. SONUÇ .........................................................................................................................................42
KAYNAKLAR…………………………………………………………………………………...…….43

iv
ÖZET
Mobil Cihazlardan Manuel Veri Elde Etme Yöntemlerinin İncelenmesi
İbrahim BALOĞLU
Günümüzde dijital ortamlarda oluşan adli vakaların büyük çoğunluğu mobil cihazlar üzerinden
gerçekleşmektedir. Bu durum, mobil cihazların adli bilişim açısından incelmemesinin önemini giderek
arttırmaktadır. Mobil cihazların Adli Bilişim imajının alınması ve incelemeleri için gerekli olan yazılımların
yalnızca lisans satın alınarak yapılabilmesi bu alanda yetişecek uzman sayısını ve uzmanlaşma alanını
kısıtlamaktadır. Bu durumdan dolayı, bu çalışmada Android ve IOS işletim sistemine sahip mobil cihaz
incelemelerinin manuel olarak açık kaynaklar (open source) kullanılarak nasıl yapıldığına ilişkin teknik ve
teorik bilgilere yer verilmiştir.
Bu çalışmada manuel mobil adli bilişim teknikleri için çözümler araştırılmıştır. Özellikle Android
tabanlı işletim sistemleri incelenmiştir.
Mevcut çalışmanın başta kıymetli ülkemiz daha sonrasında tüm adli bilişim meraklıları için faydalı
olması ümidiyle, saygılarımı sunuyorum.
Anahtar Kelimeler: mobil adli bilişim, mobile forensic, manuel mobil adli bilişim teknikleri.

v
ŞEKİLLER LİSTESİ
Şekil 2.1 : Cep telefonu içerisinden delil çıkarma işlemi............................................................................8
Şekil 2.3: Mobil adli bilişim için önerilen yöntem şeması........................................................................20
Şekil 3.1: Önerilen andorid tabanlı mobil uygulama analizinin mimari yapısı...........................................24
Şekil 3.2: NIST adli bilişim metodolojisi.................................................................................................25
Şekil 4.1: listItems tablosunun içeriğine ilişkin ekran görüntüsü. .............................................................36
Şekil 4.2: listItems tablosunun içeriğine ilişkin ekran görüntüsü. .............................................................36
Şekil 4.3: undark aracı ile yapılan veri kazıma işlemi. .............................................................................36
Şekil 4.4: logcat.txt.0 isimli log dosyasının içeriği...................................................................................37
Şekil 4.5: Shared_prefs dosyasının içeriği. ..............................................................................................38
Şekil 4.6: adb device komutunun uygulanması. .......................................................................................39
Şekil 4.7: adb shell komutunun uygulanması...........................................................................................40
Şekil 4.8: scalpel.conf dosyasının içeriği.................................................................................................41
Şekil 4.9: Veri kurtarma işleminin sonucu...............................................................................................41

vi
TABLOLAR LİSTESİ
Tablo 2.1 : Mobil cihazlar listesi.............................................................................................................12
Tablo 2.3: Mobil cihazlar içerisinde incelenen alanlar............................................................................12
Tablo 2.4: Android işletim sistemine sahip cep telefonlarının karşılaştırılması.........................................13
Tablo 2.5: iOS işletim sistemine sahip cep telefonlarının karşılaştırılması................................................13
Tablo 2.6: Android işletim sistemine sahip cep telefonlarının karşılaştırılması.........................................14
Tablo 2.7: iOS işletim sistemine sahip cep telefonlarının karşılaştırılması................................................15
Tablo 3.1: Mobil analiz için kullanılan araçlar. .......................................................................................25
Tablo 4.1: Yaani Mail incelemesi için kullanılan araçlar. ........................................................................33
Tablo 4.2: yaanimail.db isimli veritabanı içerisinde yer alan tablolara ilişkin bilgiler...............................35

MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
1
Twitter: 4n6Engineer | Linkedin: 4n6Engineer | Adli Bilişim Türkiye Telegram Grubu: AdliBilisimTurkiye
1. ADLİ BİLİŞİM
Adli bilişim, dijital olarak elde edilen tüm delillerin, incelenebilir ve kabul görülebilir bir
şekilde farklı ortamlara aktarılması ve daha sonrasında elde edilen delillerin değerlendirilmesi,
analiz edilmesi ve raporlandırılması süreçlerinden oluşan bir bilim dalıdır.
Disketlerden, sabit disklerden ve çıkartılabilir disklerden delil elde etme amacıyla veri
kurtarma işlemi olan ve elektronik delillerin içermiş olduğu bilgileri, delil inceleme sureçlerini,
hukuki ve etik sorumlulukları göz önünde bulundurarak, delilin bütünlüğünü koruyarak ve maddi
gerçeği açığa çıkarmak amacıyla; kopyalama, belirleme, çözümleme, yorumlama ve belgeleme
süreçlerinin bütününe adli bilişim adı verilmektedir. Bu veriler, bilgi saklamak amacıyla kullanılan
dijital envanterlerin aktif alanlarında, silinmiş̧ alanlarında veya artık alanlarında bulunmaktadır.
Günümüzde birçok doküman dijital ortamlar dediğimiz bilgisayarlarda, mobil cihazlarda,
bulut depolamada, kayıt cihazlarında, gps cihazlarında, akıllı cihazlarda hatta veri saklama ve
işleme yeteneği olan televizyonlarda vb. saklanmaktadır. Bu veriler suçun veya suçlunun ortaya
çıkarılmasında son derece önemlidir. Birçok durumda da kesin delil teşkil etmesi sebebiyle de
uzmanlık gerektiren bir inceleme süreci başlar. Ceza ve Hukuk davalarında sıkça kullanılmaktadır.
Özellikle örgüt bağlantısı gerektiren suçlarda yapının ortaya çıkarılması açısından son derece
önemlidir.
1.1. Adli Bilişim Türleri
Adli bilişimi kendi içerisinde bilgisayar adli bilişimi, ağ ve internet adli bilişimi ve mobil
adli bilişim olarak üç ana kategoride sınıflandırabiliriz. Ancak son dönemlerde dördüncü bir alt dal
olarak sosyal ağ adli bilişimi de kabul edilmektedir. Yapmış olduğum çalışmada ise yalnızca mobil
adli bilişim alanını inceliyor olacağız.
1.1.1. Bilgisayar Adli Bilişimi
Bilgisayarlar için yapılan çalışmalar günümüzde adli makamlarda en çok kullanılan adli
bilişim yöntemi olarak bilinmektedir. Adli bilişimin bu dalında, suç işlendikten sonra, suç
mahallinde bulunan ya da suçlu tarafından kullanılan masaüstü, dizüstü ve notbook tarzı
bilgisayarların, adli birimlerce, teknik prosedürlere ve usul kurallarına uygun bir biçimde ön
güvenliğinin sağlanması da dâhil olarak, adli bilişim laboratuvarlarına taşınması, bilgisayarlar
içindeki bilgi barındıracak tüm birimlerin incelenmesi, gerekli ilişkilendirmelerin yapılması,
raporlanması ve adli makamlara sunulması süreçleri yer almaktadır.

2
1.1.2. Ağ ve İnternet Adli Bilişimi
Ağ ve internet adli bilişimi; suçluların bir kurum ya da firmaya ait bir sisteme sızmaları, bu
sistemlere maddi çıkar veya kişisel eğlence için zarar vermeleri sonucu kurum ya da firmanın
saygınlığının zedelenmesi sebebiyle, tüm sisteme ait logların bilgisayar sunucularının ve ağ
üzerinden giden paketlerin incelenmesi, gerekli ilişkilendirmelerin yapılması, raporlanması ve adli
makamlara sunulması süreçlerini kapsamaktadır.
1.1.3. Mobil Adli Bilişim
Mobil cihazların hayatımızın vazgeçilmez bir parçası haline geldiği ve günlük
faaliyetlerimizin çoğunu yapma konusunda devrim yarattığı şüphesizdir. Bir mobil cihaz, sahibi
hakkında hassas ve kişisel bilgiler tutan büyük bir havuzdur. Buda, mobil cihaz adli bilişiminin
giderek değer kazanmasına fayda sağlamaktadır. Mobil adli bilişim, bir mobil cihaz içerisindeki
tüm kullanıcı aktivitelerinin elde edilmesi, analiz edilmesi ve raporlandırılması süreçlerinden
oluşmaktadır.
1.1.4. Sosyal Ağ Adli Bilişimi
Sosyal Ağ Adli Bilişimi ise, özellikle son yıllarda bir adli bilişim türü olarak kabul edilmekte
olup, Web 2.0 akımıyla birlikte İnternette doğan yeni medya ve paylaşım ekosistemi üzerinden adli
bilişim süreçlerinin ve incelemeleri destekleyici çalışmaların yürütülmesi olarak ifade edilebilir.
Bu adli bilişim türünde, sosyal ağlar ve paylaşım ortamları üzerinden, kayıp kişilerin takibi, kötü
amaçlı yazılım yayma, insan kaçakçılığı, dolandırıcılık gibi eylemlerin tespitinin yanı sıra, mevcut
elektronik delillerin değerlendirilmesine yardımcı olunması sağlanabilmektedir.
1.2. Adli Bilişimde Karşılaşılan Zorluklar
Adli bilişim kavramı gelişen teknolojilere paralel olarak suç türlerinin değişmesi ve dolayısı
ile kanıt toplama ve analiz etme yöntemlerinin değişmesi sonucu ortaya çıkmıştır. Bu açıdan
bakıldığında adli bilişim ile ilgili en temel problem alanla ilgili yeterli sayıda ve yetkinlikte
personel bulunmamasıdır. Bu husus hem adli bilişim alanında görev alan teknik personel anlamında
hem de işin hukuki boyutunda görev alan hukukçular anlamında geçerlidir. Bu anlamda son yıllarda
adli bilişim alanında yüksek öğrenim seviyesinde önemli gelişmeler yaşanmaktadır. Bazı
üniversitelerde adli bilişim lisans ve yüksek lisans programları açılmaktadır. Bunun yanında lisans
seviyesinde de hem bilgisayar bilimleri alanındaki bölümlerde adli bilişim teknik altyapısı ile ilgili,
hem de hukuk fakülteleri bünyesinde konunun hukuki yönleri ile ilgili dersler açılmaktadır.
Teknolojik gelişmeler ışığında sayısal ortamlardaki suç miktarındaki artışa paralel olarak adli

3
bilişim uzmanlarına duyulan ihtiyacın da artacağı göz önünde bulundurulursa, adli bilişim
alanındaki eğitim-öğretim faaliyetlerinin artırılması gerektiği sonucuna varılabilir.
Adli bilişim alanındaki bir diğer problem ise adli bilişim alanında görev alacak bilirkişilerin
belirlenmesi ve yetkinliklerinin ölçülmesi konusudur. Adli bilişim konusunda görev alabilecek
teknik personelin eğitimi konusunda ülkemizde çeşitli çabalar olmasına rağmen henüz adli bilişim
uzmanının resmi bir tanımlaması yapılmış değildir. Bunun yanında hangi eğitimleri almış kişilerin
adli bilişim uzmanı olabileceği, bir adli bilişim uzmanının taşıması gereken yetkinlik şartları, bu
şartların karşılanıp karşılanmadığının nasıl belirleneceği konusunda ortaya konmuş gerek ulusal
bazda gerekse de uluslararası düzeyde bir standart/kriter ya da benzeri bir uygulama
bulunmamaktadır. Adli bilişim uzmanlarının yetkinliklerini belirleyen ve belgeleyen bir
sertifikasyon programının bulunmaması, mahkemelerce görevlendirilecek bilirkişilerin hakimlerce
belirlenmesi aşamasında ciddi sıkıntılar yaratmaktadır. Bu problemin çözümü için öncelikle Türk
Standardları Enstitüsü bünyesinde ulusal düzeyde bir sertifikasyon programının başlatılması ve adli
bilişim uzmanı olma yetkinliğine sahip kişilerin belgelendirilmesi, sonrasında da bu sertifikasyon
programının ulusalararası bir standarda dönüştürülmesi için çalışmaların başlatılması
önerilmektedir.
Yukarıda bahsedilen yetkinlik problemine ilave olarak uzmanlık alt alanlarının da
belirlenmesinin yapılacak çalışmalar için faydalı olacağı değerlendirilmektedir. Zira adli bilişim
kapsamında inceleme yapılması gereken birçok sayısal ortam söz konusu olabilir ve bu ortamların
her biri özel bir uzmanlık gerektirebilir. Bu kapsamda değerlendirildiğinde adli bilişim; veri
kurtarma, işletim sistemi, veri tabanı incelemesi, bilgisayar ağları alanı, cep telefonu ve mobil
cihazlar gibi alt alanlara ayrılabilir. Bu alt alanlardan birinde uzman olan bir kişinin diğer alanda
bilgisi bulunmayabilir. Bu problemin çözümü için belki de yapılması gereken yukarıda önerilen
sertifikasyon programının alt alanlara göre ayrıştırılması ve her bir alan için ayrı ayrı sertifikasyon
işleminin gerçekleştirilmesidir.
Buradaki hususlara ek olarak dikkat edilmesi gereken bir diğer husus da teknolojinin hızlı
değişimine paralel olarak adli bilişim yetkinlik şartlarının da değişebilme gereksinimidir. Bu
nedenle uygulanacak sertifikasyon programının belirli sürelerle yenilenmesi ve gelişen
teknolojilere paralel olarak kişi yetkinliklerinin periyodik aralıklarla (örneğin 2 yıl gibi) yeniden
gözden geçirilmesi, kontrol edilmesi ve gerekli şartları taşıyan kişilere sertifikasyonun yeniden
verilmesinin uygun olacağı değerlendirilmektedir.
Adli bilişim alanındaki bir diğer problem ise kullanılan araçlarla ilgilidir. Adli bilişimde
yapılan tüm incelemelerde bazı hazır yazılım ve/veya donanım araçları kullanılmaktadır. Bu

4
araçlara örnek olarak SANS-SIFT, EnCase, FTK, Sleuth Kit, Wireshark, vb verilebilir. Bu araçların
her biri adli bilişim alanında önemli bilgiler sağlamaktadır. Ancak bu araçların performanslarının
ve işlevselliklerinin ölçülmesi anlamında bir değerlendirme bulunmamaktadır. Bu araçlardan elde
edilen bilgilerin ne derece sağlıklı olduğu ve ne derecede güvenilir olduğu konularında bir
değerlendirme yapılması ve belki de bu araçların performans ve sertifikasyonlarının yapılması,
kullanılabilirliklerini artıracaktır. Ayrıca bu araçların kullanımı durumunda bilgi güvenliği riskleri
oluşup oluşmadığı hususunun da ayrıca değerlendirilmesi gerekmektedir. Bu araçların hazırlanacak
bir koruma profiline göre güvenlik sağladıklarının belgelendirilmesi için Ortak Kriterler
Belgelendirme Programı kapsamında değerlendirilmeleri faydalı olacaktır.
Adli bilişim alanında bilirkişi olarak görevlendirilen kişilerin yetkinliklerinin tam olarak
belli olmaması, bu kişilerin kullandıkları adli bilişim araçlarının güvenilirlikleri konusunda bir fikir
birliği sağlanmamış olmasının yanında bilirkişilerce hazırlanan raporların içerik ve kapsamı
konusunda da belirsizlikler söz konusudur. Her bilir kişi yaptığı çalışmalar ve elde ettiği bulgular
ışığında bir rapor hazırlamaktadır. Oysaki hem bu raporların okunabilirliğinin ve
anlaşılabilirliğinin sağlanması hem de bu raporlara güvenilirliğin sağlanması için, rapor
kapsamında hangi hususların yer alması gerektiği, hangi araçların kullanıldığı, hangi analizlerin
yapıldığı ve hangi bulguların elde edildiğinin belirli bir format kapsamında sunulması faydalı
olabilir. Bunun için bir rapor formatının geliştirilmesi ve bu formata uyumun sağlanması faydalı
olacaktır.

5
2. MOBİL ADLİ BİLİŞİM
Adli bilişim, elektronik veya dijital cihazlarda bulunan ham verilerin kurtarılması ve
araştırılmasına odaklanan adli bilimin bir dalıdır. İşlemin amacı, cihazda bulunan verileri
değiştirmeden dijital bir cihazdan herhangi bir bilgiyi ayıklamak ve kurtarmaktır. Adli bilişim,
bilgisayarların ve diğer çeşitli dijital cihazların hızlı büyümesiyle birlikte daha da değer kazandı.
Mobil adli bilişim, mobil cihazlardan dijital kanıtların kurtarılmasıyla ilgili bir dijital adli
bilişim dalıdır. Dijital kanıtların sağlam bir adli bilişim incelemesinin ana ilkesi, orijinal kanıtların
değiştirilmemesi gerektiğidir. Bu, mobil cihazlarda son derece zordur. Bazı adli bilişim araçları,
mobil cihazla bir iletişim vektörü gerektirir ve bu nedenle adli edinim sırasında standart bir yazma
koruma sistemi çalışmaz. Diğer adli edinim yöntemleri, adli incelemeler için veri çıkarılmadan
önce bir çipin çıkarılmasını veya mobil cihaza bir önyükleyicinin yüklenmesini içerebilir. İnceleme
ya da veri alımının cihazın konfigürasyonu değiştirilmeden mümkün olmadığı durumlarda,
prosedür ve değişiklikler test edilmeli, onaylanmalı ve belgelenmelidir. Uygun metodoloji ve
kılavuz ilkelere uyulması, en değerli verileri sağladığı için mobil cihazları incelemede çok
önemlidir. Herhangi bir kanıt toplamada olduğu gibi, inceleme sırasında uygun prosedürü takip
etmemek, kanıtların kaybolmasına veya zarar görmesine veya mahkemede kabul edilemez
olmasına neden olabilir.
Mobil adli bilişimi, elde etme, adli kopya alma ve inceleme/analiz aşamaları olmak üzere üç
ana kategoriye ayırabiliriz. Adli bilişim uzmanları, mobil cihazı bir kanıt kaynağı olarak ele
geçirirken bazı zorluklarla karşılaşmaktadır. Suç mahallinde yer alan mobil cihaz kapalıysa
açılmamalıdır ve cihazın otomatik olarak açılması durumuna karşın, cihazda oluşabilecek
değişiklikleri önlemek için Faraday çantası kullanılması önerilmektedir. Faraday çantaları, telefonu
şebekeden izole etmek için özel olarak tasarlanmıştır.
Telefon açıkken, kapatılması birçok sıkıntıya yol açabilmektedir. Telefon bir PIN veya
parola ile kilitlenmişse veya şifrelenmişse, uzmanın cihaza erişmek için kilidi atlaması veya PIN'i
bilmesi gerekir. Cep telefonları ağa ve telekomünikasyon sistemlerine bağlı cihazlardır bu nedenle
Wi-Fi erişim noktaları ve Bluetooth gibi farklı kaynaklardan veri gönderebilir ve alabilirler.
Bundan dolayı, telefon çalışır durumda ise, bir suçlu bir uzaktan silme komutu yürüterek telefonda
depolanan verileri güvenli bir şekilde silebilir. Cep telefonu açıldığında, bir Faraday çantasına
yerleştirilmelidir. Mümkünse, mobil cihazı Faraday çantasına yerleştirmeden önce, cep telefonu
içerisindeki verileri korumak için uçuş modu etkinleştirilmeli ve tüm ağ bağlantıları (Wi-Fi, GPS,
v.b) devre dışı bırakılmalıdır. Mobil cihaza düzgün bir şekilde el konulduktan sonra, adli bilişim
uzmanının telefonda depolanan verileri elde etmesi ve analiz etmesi için birkaç adli bilişim aracına

6
ihtiyacı olabilir. Mobil cihazdan maksimum veri elde etmek için birden fazla deneme ve araç
gerekebilir.
Cep telefonları, dijital kanıtların çıkarılması ve analiz edilmesinde birçok zorluk sunan
dinamik sistemlerdir. Farklı üreticilerin farklı türlerdeki cep telefonu sayısındaki hızlı artış, her
türlü cihazı incelemek için tek bir işlem veya araç geliştirmeyi zorlaştırmaktadır. Mevcut
teknolojiler ilerledikçe ve yeni teknolojiler tanıtıldıkça cep telefonları sürekli olarak gelişmektedir.
Ayrıca, her mobil cihaz çeşitli gömülü işletim sistemleriyle tasarlanmıştır. Bu nedenle, adli bilişim
uzmanlarının mobil cihazlardan veri elde edilebilmesi ve analiz edebilmeleri için özel bilgi ve
becerilere sahip olması gerekir.
2.1. Mobil Adli Bilişimde Karşılaşılan Zorluklar
Mobil adli bilişim alanındaki en büyük zorluklardan biri, verilere birden fazla cihaz
üzerinden erişilebilmesi, depolanabilmesi ve senkronize edilebilmesidir. Veriler geçici olduğundan
ve uzaktan hızlı bir şekilde dönüştürülebildiği veya silinebildiği için, bu verilerin korunması için
daha fazla çaba gerekmektedir. Mobil adli bilişim, bilgisayar adli bilişiminden farklı ve adli bilişim
mühendislerini/uzmanlarını daha zorlamaktadır. Kolluk Kuvvetleri ve Adli bilişim
mühendisleri/uzmanları genellikle mobil cihazlardan dijital delil elde etmekte zorlanmaktadır.
Zorlanmaya neden olan bazı hususular aşağıda sunulmuştur:
• Donanım Farklılıkları: Cep telefonu pazarında, farklı üreticilerin farklı cep telefonu
modelleri yer almaktadır. Adli bilişim mühendisleri/uzmanları donanım, özellikler ve
işletim sistemi bakımından farklılık gösteren farklı türde mobil modellerle
karşılaşabilmektedirler. Ayrıca, cep telefonlarının ürün geliştirme döngüsü ile yeni
modelleri çok sık ortaya çıkmaktadır. Mobil ortam her geçen gün değiştiği için,
incelemecilerin tüm zorluklara uyum sağlaması ve çeşitli cihazlarda mobil cihaz adli
tekniklerinde güncel kalması kritik önem taşımaktadır.
• Mobil İşletim Sistemleri: Windows'un yıllardır pazara hâkim olduğu kişisel
bilgisayarların aksine mobil cihazlarda, Apple'ın iOS, Google'ın Android'i, RIM'in
BlackBerry OS, Microsoft'un Windows Phone İşletim Sistemi, HP'nin webOS ve diğer
işletim sistemleri de dâhil olmak üzere çok fazla işletim sistemi kullanılır.
• Mobil Platform Güvenlik Özellikleri: Modern cep telefonu platformları, kullanıcı
verilerini ve gizliliğini korumak için yerleşik güvenlik özellikleri içerir. Bu özellikler adli
edinim ve inceleme sırasında engel teşkil etmektedir. Örneğin, modern cep telefonları,

7
donanım katmanından yazılım katmanına varsayılan şifreleme mekanizmalarıyla üretilir.
Adli bilişim mühendislerinin/uzmanlarının cep telefonlarından veri çıkarmak için bu
şifreleme mekanizmalarını kırması gerekebilir.
• Veri Değişikliğini Önleme: Adli bilişimdeki temel kurallardan biri, cihazdaki verilerin
değiştirilmediğinden emin olmaktır. Başka bir deyişle, cihazdan veri çıkarma işlemi, o
cihazda mevcut olan verileri değiştirmemelidir. Ancak bu durum, pratikte mümkün
değildir, çünkü sadece bir cihazı açmak o cihazdaki verileri değiştirebilmektedir. Bir aygıt
kapalı durumda olsa bile, arka plan işlemleri çalışmaya devam edebilir. Örneğin, çoğu cep
telefonunda çalar saat, telefon kapalı olsa bile çalışmaya devam eder. Bir durumdan
diğerine ani bir geçiş, veri kaybına veya değiştirilmesine neden olabilir.
• Anti Adli Bilişim Teknikleri: Veri gizleme, veri sahtekârlığı ve güvenli silme gibi adli
bilişim karşıtı teknikler, dijital medya üzerindeki araştırmaları daha zor hale getirmektedir.
• Şifre Kurtarma: Cihaz bir şifre ile korunuyorsa, adli bilişim mühendisi/uzmanı cihazdaki
verilere zarar vermeden cihaza erişmesi gerekir. Ekran kilidini atlamak için teknikler olsa
da, her zaman tüm sürümlerde çalışmayabilir.
• Kaynak Eksikliği: Daha önce de belirtildiği üzere, sayısı sürekli artan cep telefonuyla
birlikte incelemecilerin ihtiyaç duyduğu araçlar da doğru orantılı olarak artmaktadır. Bu
husustan dolayı gelişen teknolojiye karşı yeni kaynaklar üretmek kolay olmamaktadır.
• Uygulamaların Dinamikliği: Dijital deliller kasıtlı veya kasıtsız olarak kolayca
değişebilmektedir. Örneğin, telefondaki bir uygulamaya göz atmak, o uygulama tarafından
cihazda depolanan diğer verileri değiştirebilmektedir.
• Yanlışlıkla Sıfırlama: Cep telefonları, kullanıcısına her şeyi sıfırlamak için bir özellikler
sunmaktadır. Cihazı incelerken yanlışlıkla sıfırlamak veri kaybına neden olmaktadır.
• İletişim Koruması: Mobil cihazlar hücresel ağlar, Wi-Fi ağları, Bluetooth ve Kızılötesi
üzerinden iletişim kurar. Cihaz iletişimi cihaz verilerini değiştirebileceğinden, cihazı elde
ettikten sonra daha fazla iletişim olasılığı ortadan kaldırılmalıdır.
• Kötü Amaçlı Programlar: Cep telefonunda virüs veya Truva atı gibi kötü amaçlı yazılım
bulunabilir. Bu tür kötü amaçlı programlar kablolu veya kablosuz bir arabirim üzerinden
diğer aygıtlara yayılmaya çalışabilir.

8
2.2. Cep Telefonu İçerisinden Delil Çıkarma Süreçleri
Her mobil cihaz için delil çıkarma işlemi ve adli bilişim açısından incelenme metodolojisi
farklı olabilmektedir. Bununla birlikte, Şekil 2.1’de mobil cihazlardan kanıtların çıkarılmasıyla
ilgili süreç değerlendirmelerine genel bir bakış sunmaktadır. Mobil cihazlardan veri çıkarırken
kullanılan tüm yöntemler test edilmeli, doğrulanmalı ve iyi bir şekilde belgelendirilmelidir.
Şekil 2.1 : Cep telefonu içerisinden delil çıkarma işlemi.
Bir mobil cihazdaki delil toplama aşamasından arşivleme aşamasına kadar çeşitli adli bilişim
aşamaları, Şekil 2.1’de sunulmuştur. Aşağıda yer verilen bölümler, tüm aşamalardaki hususlara
genel bir bakış sunmaktadır.
2.2.1. Delil Elde Etme Aşaması
Delil elde etme aşaması başlangıç aşamasıdır. Sahiplik bilgileri ve mobil cihazın dâhil
olduğu olayın türünü belgelemek için delil toplama formları kullanılmaktadır. Elde edilen mobil
cihaz üzerinde herhangi bir işlem yapılmamalı ve özenle koruma altına alınmalıdır.
2.2.2. Kimliklendirme Aşaması
Adli Bilişim mühendisi/uzmanı, bir mobil cihaz incelemesi için aşağıdaki detayları
tanımlamalıdır:
• Cihazın bilgilerini, modelini ve tanımlayıcılarını
• Çıkarılabilir ve harici veri depolama aygıtlarını,
• Potansiyel kanıtların diğer tamamlayıcı kaynakları.

9
2.2.3. Hazırlık Aşaması
Cep telefonu modeli tanımlandıktan sonra, incelenecek olan cep telefonu ile ilgili uygun
yöntem ve araçlar tespit edilir. Bu genellikle cihaz modeline, temel işletim sistemine, sürüm
bilgisine göre yapılır. Ayrıca, bir mobil cihazın incelemesi için araçların seçilmesi, incelemenin
amacı, mevcut kaynaklar, incelenecek olan cep telefonunun tipi ve herhangi bir harici depolama
kabiliyetinin varlığı gibi faktörlerle belirlenir.
2.2.4. İzolasyon Aşaması
Cep telefonları tasarımları gereği, cep telefonu şebekeleri, Bluetooth, kızılötesi ve kablosuz
(Wi-Fi) ağ özellikleri aracılığıyla iletişim kurmayı amaçlamaktadır. Telefon bir şebekeye bağlı
olduğunda, gelen aramalar, mesajlar ve uygulama verileri telefona yeni veriler ekleyeceğinden delil
bütünlüğünü bozacaktır. Ayrıca; cep telefonu içerisindeki verilerin tamamen imha edilmesi,
uzaktan erişim veya uzaktan silme komutlarıyla da mümkündür. Bu nedenle, cihazın ilk elde
edildikten sonra dış bağlantılardan izole edilmelidir. İzole işlemleri için Faraday çantaları
kullanılmalıdır.
2.2.5. İşleme (İmaj Alma) Aşaması
Telefon iletişim ağlarından izole edildikten sonra, cep telefonunun fiili işlenmesi aşaması
başlar. Telefon, tekrarlanabilir ve mümkün olduğu kadar adli bilişim açısından kabul görmüş ve
test edilmiş bir yöntem kullanılarak alınmalıdır. Fiziksel imaj, ham bellek verilerini çıkardığı için
tercih edilen yöntemdir ve verilerin elde edilmesi işlemi sırasında cihaz genellikle kapatılır. Çoğu
cihazda, fiziksel imaj elde edinimi sırasında cihazda azda olsa değişiklik meydana gelir. Fiziksel
edinim mümkün değilse veya başarısız olursa, mobil cihazın dosya sistemini elde edilmeye
çalışılmalıdır.
2.2.6. Doğrulama Aşaması
Cep telefonunun imajı aldıktan sonra, adli bilişim mühendisi/uzmanı verilerin
değiştirilmediğinden emin olmak ve imajın başarılı bir şekilde alındığını teğit etmek amacıyla cep
telefondan alınan verilerin doğruluğunu doğrulaması gerekir.

10
2.2.7. Belgelendirme ve Raporlama Aşaması
Adli bilişim incelemecisi araştırmayı tamamlamadan önce imajını almış olduğu
envanterlerin doğruluğunu kontrol etmeli ve vaka ile ilgili notlar almalıdır. İncelemecinin notları
ve belgeleri aşağıdakiler gibi bilgiler içerebilir:
• İnceleme başlangıç tarihi ve saati
• Telefonun fiziksel durumu
• Telefonun bileşenleri
• Telefonun, elde edildiği andaki telefon durumu (açık veya kapalı)
• Telefon markası ve modeli
• İmaj alma için kullanılan araçlar
• İnceleme için kullanılan araçlar
• İnceleme sırasında bulunan verilerin gözden geçirilmesi
2.2.8. Sunum Aşaması
Soruşturma boyunca, bir mobil cihazdan çıkarılan ve belgelenen bilgilerin başka bir
incelemeciye veya bir mahkemeye açıkça sunulmasını sağlamak önemlidir. İmaj alma ve analiz
sırasında mobil cihazdan çıkarılan verilerin uzman raporunun oluşturulması önemlidir. Bu rapor,
hem kâğıt hem de elektronik formattaki verileri içerebilir. Bulgularınız, mahkemede kanıtın kendisi
için konuştuğu şekilde belgelenmeli ve sunulmalıdır. Bulgular açık, öz ve tekrarlanabilir olmalıdır.
Birçok ticari mobil adli bilişim aracının sunduğu özellikler, zaman çizelgesi ve bağlantı analizi,
birden çok mobil cihazda bulguların raporlanmasına ve açıklanmasına yardımcı olacaktır.
2.2.9. Arşivleme Aşaması
Cep telefonundan çıkarılan verilerin korunması, genel sürecin önemli bir parçasıdır. Mevcut
delil dosyası bozulursa ve kayıt tutma gereklilikleri için verilerin ileride başvurmak üzere devam
eden mahkeme süreci için kullanılabilir bir formatta tutulması da önemlidir. Mahkeme davaları,
nihai karara varılmadan yıllarca sürebilir ve çoğu yargı yetkisi, temyiz amacıyla verilerin uzun süre
saklanmasını gerektirir. Yöntemler ilerledikçe, fiziksel bir imajdan veri çekmek için yeni yöntemler
ortaya çıkabilir ve daha sonra incelemeci arşivlerden bir kopya çekerek verileri yeniden analiz
edebilir.

11
2.3. Mobil İnceleme Yazılımlarının Özellikleri
Piyasada, mobil adli kopya edinimi ve analizi için üretilmiş birçok yazılım mevcuttur.
Üretilmiş olan yazılımların farklı üreticilere ait olmasından dolayı her yazılımın kendine özgü
yetenekleri bulunmaktadır. Ancak bu yazılımlar, inceleme esnasında yalnızca kendi özelliklerinde
yer alan kalıntılara baktığından bazen yeni çıkmış ya da ülkeye/kuruma özel uygulama ve
aktivitelerin tespitinde eksik kalmaktadırlar. Bu başlık altında, piyasada yaygın olarak kullanılan
UFED 4PC/Physical Analyzer ve Oxygen Forensic Detective yazılımlarının özellikleri
incelenecektir.
2.3.1. Ufed 4PC/Physical Analyzer Özellikleri
UFED, mobil cihazlardan mantıksal ve fiziksel adli imaj almayı ve incelemeyi sağlayan bir
çözümdür. 4PC ve TOUCH olarak iki farklı platformda sunulmaktadır. UFED 4PC, Cellebrite'in
bilinen UFED teknolojisinin herhangi bir PC veya dizüstü bilgisayara taşınmış halidir. Bilgisayar
ortamında mobil cihazlardan imaj almayı ve incelemeyi sağlayan bir yazılımdır. UFED 4PC,
sahada hızlı bir taktiksel cevap olarak ya da laboratuvarda eksiksiz bir adli bilişim incelemesi olarak
mevcut altyapıyı kullanan çok yönlü bir mobil adli bilişim çözümüdür. Aynı şekilde, ofiste
bulguların gözden geçirilmesi ve özel gereksinimlerinizi karşılamak üzere tasarlanmıştır.
• Hepsi bir arada yazılım çözümü,
• Windows uyumlu bir araç ve ortamları,
• Aynı anda gerçekleştirilen eşzamanlı işlemler,
• Tüm veri tiplerini destekler,
• Yeni telefonlarla uyumluluğu sağlamak için sık güncellemeler gibi özelliklere sahiptir.
Tablo 2.1’de yer alan mobil cihazlar içerisinde UFED 4PC (v7.8.0.942) ve UFED Phsical Analyzer
(v7.9.0.223) kullanılarak uygulama verilerine ilişkin test yapılmıştır [1].

12
Tablo 2.1 : Mobil cihazlar listesi.
Name Model OS Firmware
Apple iPhone 5S iOS 7.1 (11D167) 2.18.02
Apple iPhone 6S Plus iOS 9.2.1 (13C75) 1.23.00
Apple iPhone 7 iOS 10.2 (14C92) 1.33.00
Apple iPhone 8 iOS 11.3.1 (15E302) 1.89.00
Apple iPhone X iOS 11.3.1 (15E302) 1.89.00
Samsung
GS7 Edge
GS7 Edge SM-
G935V
Android
6.0.1
MMB29M.G935VVRS4
APH1
Motorola Z Force
XT1650
Android 7.0 NCLS25.86-11-4
HTC 10 HTC6545LV
W
Android 6.0.1 1.85.605.8.8.0_g
CL774095
Samsung Galaxy Note3 Android 4.4.2 KOT49H.N900VVRUC
NC4
Samsung
Galaxy
Tab S2 Android 5.1.1 LMY47X.T817BVRU2
AOJ2
Samsung
Galaxy
S9 Android 8.0.0 G960U1UEU1ARB7
Tablo 2.1’de yer alan cihazlar üzerinde yapılan testler NIST CFTT laboratuvarında
gerçekleştirilmiştir. Mobil cihazlar içerisinde, Tablo 2.2’de yer alan veriler incelenmiştir.
Tablo 2.2: Mobil cihazlar içerisinde incelenen alanlar.
ADI DETAYLAR
Social Media Verileri
Facebook
Twitter
LinkedIn
Instagram
Pinterest
SnapChat
WhatsApp
Bu bölüm, UFED 4PC ve Physical Analyzer yazılımları tarafından test edilen senaryolarının
sonuçlarını göstermektedir. Tablo 2.1’de belirtilen cep telefonları için yapılan test sonuçları Tablo
2.3 ve Tablo 2.4’de sunulmuştur.
As Expected: Beklenen sonuçlar elde edildi.
Partial: Kısmi olarak gelmeyen veriler.
Not As Expected: Beklenen sonuçlar elde edilmedi.
NA: (Geçerli Değil) Uygulama belirli bir veri öğesi için veri edinimini gerçekleştiremedi.

13
Tablo 2.3: Android işletim sistemine sahip cep telefonlarının karşılaştırılması.
UFED 4PC v7.8.0.942/Physical Analyzer v7.9.0.223
Test Cases – Internal
Memory Acquisition
Mobile Device Platform: Android
Galaxy
GS7Edge
MotoZ
Force
HTC10
Galaxy
Note3
GalaxyTab
S2
GalaxyS9
Social
Media
Data
Facebook As
Expected
NA Not As
Expecte
d
Partial Not As
Expected
NA
Twitter As
Expected
NA Not As
Expecte
As
Expecte
Not As
Expected
NA
LinkedIn As
Expected
NA Not As
Expecte
d
Partial Not As
Expected
NA
Instagram
As
Expected
NA Not As
Expecte
d
Not As
Expecte
d
As
Expect
ed
NA
Pinterest NA NA NA NA NA NA
SnapChat NA NA NA NA NA NA
WhatsApp NA NA NA NA NA NA
Tablo 2.4: iOS işletim sistemine sahip cep telefonlarının karşılaştırılması.
UFED 4PC v7.8.0.942/Physical Analyzer v7.9.0.223
Test Cases –
Internal Memory
Acquisition
Mobile Device Platform: iOS
iPhone5S
iPhone6S
Plus
iPhone7
iPhone8
iPhoneX
Social
Media
Data
Twitter As
Expect
ed
Partial As
Expect
ed
Partial Partial
LinkedIn Partial As
Expect
ed
As
Expect
ed
Partial Partial
Instagram NA Partial Partial Partial Partial
Pinterest NA NA NA Partial Partial
SnapChat NA NA NA Partial Partial
WhatsApp NA NA NA As
Expected
As
Expected

14
2.3.2. Oxygen Forensic Özellikleri
Oxygen Forensic programı, mobil cihazların, hafıza kartların, SIM kartların, IoT cihazların
Drone’ların, akıllı saatlerin ve bulut teknolojilerine dayalı sistemlerde bulunan verilerin imajlarının
alınması, incelenmesi ve analiz edilmesine yönelik geliştirilmiş bir yazılımdır.Bu yazılım genelde
adli bilişim alanında faaliyet gösteren kolluk birimleri tarafından kullanılmaktadır. Bunun yanında,
bilirkişilik hizmeti veren şirket ve şahıslar ile GSM şirketleri tarafından da kullanılabilmektedir.
Bu bölüm, Oxygen Forensic Detective yazılımı tarafından test edilen senaryolarının
sonuçlarını göstermektedir. Tablo 2.1’de belirtilen cep telefonları için yapılan test sonuçları Tablo
2.5 ve Tablo 2.6’da sunulmuştur.
As Expected: Beklenen sonuçlar elde edildi.
Not As Expected: Beklenen sonuçlar elde edilmedi.
NA: (Geçerli Değil) Uygulama belirli bir veri öğesi için veri edinimini gerçekleştiremedi.
Tablo 2.5: Android işletim sistemine sahip cep telefonlarının karşılaştırılması.
Oxygen Forensics v10.0.0.81
Memory Acquisition
Mobile Device Platform: Android
Samsung
GS7/GS7
Edge
MotorolaZ
Force
HTC10
Galaxy
Note3
Galaxy
Tab-E
GalaxyS9
Social
Media
Data
Facebook NA NA NA NA NA NA
Twitter As
Expec
ted
NA As
Expec
ted
As
Expec
ted
As
Expec
ted
As
Expect
ed
LinkedIn NA NA NA NA NA NA
Instagram NA NA NA NA As
Expec
ted
As
Expect
ed

15
Tablo 2.6: iOS işletim sistemine sahip cep telefonlarının karşılaştırılması.
Oxygen Forensics v10.0.0.81
Memory Acquisition
Mobile Device Platform: iOS
iPhone5S
iPhone6S
Plus
iPhone7
Plus
iPhone8
iPhoneX
Social
Media
Data
Facebook As
Expec
ted
As
Expec
ted
As
Expec
ted
As
Expected
As
Expected
Twitter As
Expec
ted
As
Expec
ted
As
Expec
ted
As
Expected
As
Expected
LinkedIn As
Expec
ted
As
Expec
ted
As
Expec
ted
As
Expected
As
Expected
Instagram NA As
Expec
ted
As
Expec
ted
As
Expected
NA
2.4. Mobil Uygulamalar İle İlgili Yapılmış Çalışmalar
Literatürde mobil uygulamalar ile ilgili birçok akademik ve teknik çalışmalar mevcuttur.
Ancak ülkelere ve kurumlara özel üretilen uygulamaların incelenmesinde mevcut yöntem ve
metodolojiler her zaman yeterli olmamaktadır. Lisanslı olarak inceleme yapmakta olan yazılımlar
ise özelleştirilemediğinden, özel üretilmiş uygulamaların incelenmesi konusunda yetersiz
kalmaktadırlar. Bu durumundan dolayı yaygın olarak kullanılmayan uygulamaların incelemesini
yapabilmek için manuel yöntemlere başvurulması gerekmektedir.
Akıllı telefon platformlarının yaygınlığı göz önüne alındığında, çoğunlukla Android ve iOS
tabanlı mobil adli bilişim [2] üzerine odaklanan son literatürde geniş çapta incelenmiştir. Sonuç
olarak, günümüzde akıllı telefonlardan kanıtların çıkarılması ve analiziyle düzgün bir şekilde başa
çıkabilen iyi bilinen ve yaygın olarak kabul gören yöntemler ve teknikler mevcuttur. Telegram
Messenger tarafından kullanımı sırasında üretilen verilerin çıkarılması ve analiz edilmesi için
manuel yöntemlerden yararlanılmaktadır.
Android akıllı telefonlarda IM uygulamalarının adli analizinin önemi de literatürde kabul
edilmiştir. [3] WeChat, [4], ChatSecure üzerinde [5] ve Wickr [6] popüler Android IM uygulaması
tarafından yerel olarak iletilen veya depolanan verilerin analizini tartışırken çeşitli akıllı telefon
platformlarındaki IM uygulamalarının analizini sunmuştur.

16
[8] bunun yerine çeşitli iletişim uygulamaları tarafından üretilen verilerin kalıntılarını
özetleyen bir sınıflandırma önermektedir. Diğer makaleler [9] bunun yerine iOS cihazlarındaki IM
uygulamalarının adli analizine odaklanmıştır.
ChatSecure, kullanıcılarının XMPP (XMPP Standards Foundation, 2015) protokolünü (ör.
Google Talk veya Jabber) kullanan IM sağlayıcılarındaki mevcut hesapları üzerinden güvenli bir
şekilde iletişim kurmasını sağlayan bir anlık mesajlaşma (IM) uygulamasıdır. Gizliliği sağlamak
için ChatSecure, OTR ile uçtan uca mesaj şifrelemesi sağlar ve oluşturduğu bilgileri saklamak için
kullandığı SQLite veritabanlarını SQLCipher 1 ve IOCipher 2 ile şifreler. Ayrıca, Orbot ve TOR
ağı aracılığıyla kullanıcı tarafından izlenemezlik sağlayabilir. Bir ChatSecure kullanıcısı birkaç IM
hesabı tanımlayabilir (bir veya daha fazla IM sağlayıcısına karşılık gelir) ve aynı zamanda bir grup
arkadaşınızla iletişim kurmak için aynı anda kullanabilir. ChatSecure tüm IM uygulamalarının tipik
işlevlerini sağlar: (a) kişi yönetimi (yani, kişileri davet etme ve kaldırma, davetiyeleri kabul etme
veya reddetme, vb.), (b) noktadan noktaya iletişim, (c) grup sohbetleri oluşturma ve katılım ve (d)
dosya aktarımının yanı sıra güvenlik yönetimi ile ilgili ek işlevler (OTR şifrelemesini açıp kapatma,
ortak kimliğinin doğrulanması vb.).
ChatSecure tarafından oluşturulan veriler, dâhili cihaz belleğinde normalde kullanıcılar
tarafından erişilemeyen bir alanda saklanır. Bu nedenle, bu alana erişmek için uygun metodolojiler
ve araçlar benimsenmelidir. UFED (Cellebrite LTD, 2016), XRY (MSAB, 2016) ve Oksijen
Forensic Detective gibi yazılımlar bu elde edinimi adli olarak sağlam bir şekilde gerçekleştirebilir.
Ancak, bu yaklaşım bazı sınırlamalar getirmektedir:
• Sınırlı Genellik: Sonuçların genelliği konusunda güven kazanmak için, deneyler için çok
sayıda cihaz ve Android sürümü kullanılmalıdır.
• Sınırlı Tekrarlanabilirlik: Sonuçları yeniden oluşturmak isteyen üçüncü bir tarafın,
deneyleri tekrarlamak için aynı cihaz, işletim sistemi sürümleri ve adli edinim araçlarını
kullanması gerekir. Bununla birlikte, bu hem cihaz kullanılabilirliği hem de maliyeti
nedeniyle sorunlu olabilir.
• Sınırlı Kontrol Edilebilirlik: Akıllı telefonlar, davranışları, etkileşimleri, çok sayıda
uygulama ve hizmet çalıştıran karmaşık cihazlardır. Sonuç olarak, sadece her denemenin
yapıldığı sırada tutulan koşulların aynısını üretmek değil, aynı dosya sistemini kullanan
farklı uygulamalar arasında manuel yöntemler de uygulanmalıdır.
Yukarıdaki sınırlamaların üstesinden gelmek için, bu çalışmada fiziksel olanlar yerine sanal
mobil cihazlar kullanılarak deneyler gerçekleştiriyoruz. Özellikle, Android Mobile Device
Emulator, farklı donanım özellikleri ve Android sürümleriyle özelleştirilebilen gerçek fiziksel

17
cihazlar gibi davranan akıllı telefonlar olan çeşitli Android Sanal Cihazları (AVD) oluşturmak için
kullanıyoruz. AVD'lerin durumu Android Cihaz Monitörü (ADM) ile izlenebilir. Sanal cihazların
kullanımı birçok avantaj sağlar ve yukarıda tartışılan sınırlamaları aşmamıza izin verir. Birincisi,
çeşitli AVD'lerde (farklı donanım ve yazılım kombinasyonları içeren) deneyler yapmak ve dahili
belleklerinin içeriğini hızlı bir şekilde çıkarmak basit ve uygun maliyetli olduğundan sonuçların
genelliğinden faydalanır. İkinci olarak, bir üçüncü taraf AVD'leri aynen yaptığımız gibi
yapılandırabildiğinden, tekrarlanabilirlikten büyük ölçüde faydalanır, böylece deneylerimizin aynı
koşullarını yeniden üretir.
AVD'lerin (hem donanım / yazılım özelliklerini, hem de arka planda çalışan bir dizi hizmet
ve uygulamayı içeren) yapılandırması, Android Cihaz Monitörü aracılığıyla deneyi yapan kişinin
tam kontrolü altındadır.
Analizimizi yapmak için, ChatSecure tarafından üretilen verileri Android Sanal Cihazları
kullanarak çıkarıyoruz. Alternatif olarak, bu görev, bir komut satırı arayüzü kullanarak verileri
AVD'den çıkarmak için Android Hata Ayıklama Köprüsü (ADB) kullanılarak gerçekleştirilebilir.
ChatSecure, kullanımı sırasında info.guardianproject.otr.app.im klasöründe bulunan çeşitli
dosyalara ve veritabanlarına çeşitli kalıntılar depolar. Bu klasör, cep telefonunun önemli alt
klasörlerini içeren /data/data dizininde bulunur. Main.db, ChatSecure tarafından kullanılan
hesaplarla ilgili bilgileri, ilgili arkadaşların listesini ve değiştirilen iletilerin yerel kopyalarını
depoladığı ana veritabanıdır. Veritabanları klasöründe depolanan ve 21 farklı tablo içeren
impsenc.db adlı veritabanı SQLCipher şifreli SQLite v.3 veritabanından oluşur. Bulgularımızdan
yola çıkarak, bu 21 tablodan sadece 11'i adli kalıntılılar ile ilgili bilgiler içermektedir.
Şifrelenmiş sanal disk, iletilere ek olarak, ChatSecure yerel olarak depolar ve kullanıcının
kişileriyle paylaştığı dosyaların kopyalarını yerel olarak depolar. Yetkisiz tarafların bu dosyalara
erişmesini önlemek için ChatSecure, dosyaları IOCipher aracılığıyla uygulanan şifreli bir sanal
diske depolar.
Saklanan gizli dosyalar, ChatSecure main.db veritabanının ve sanal diskin şifresini çözmek
için ihtiyaç duyduğu bilgileri, paylaşılan klasör tercihlerinde bulunan
info.guardianproject.cacheword.prefs.xml adlı bir dosyaya depolar.
Paylaşılan tercihler (shared_prefs) klasöründe bulunan account.xml (ChatSecure hesabıyla
ilgili bilgilerin saklanması) ve info.guardianproject.otr.app.im preferences.xml (ChatSecure
ayarlarını ve tercihlerini saklamak) dosyalarını barındırdığı görülmüştür[8].
Viber, Symbian, Asha, Windows Mobile, Android, iOS ve Blackberry işletim sistemleri için
kullanılabilen platformlar arası bir anlık mesajlaşma uygulamasıdır. Viber uygulaması telefon
görüşmeleri yapmak ve kişilere kısa mesaj göndermek için kullanılır ve yaklaşık 600 milyon kayıtlı

18
kullanıcısı vardır. Viber, kullanım açısından da önemli bir uygulama olarak kabul ediliyor ve bu
nedenle siber adli analiz yapmak için araştırmamıza dahil ettik.
Adli araştırmalarla ilgili viber kanıtları SQLite veritabanlarında saklanır. Önemli Viber
kanıtlarına erişmek için uzmanın Android cihazını köklendirmesi veya fiziksel olarak ver elde
edinmesi gerekir. Android'deki Viber kalıntıları aşağıdaki konumlarda bulunur:
• /data/data/com.viber.voip/databases/viber_data
• /data/data/com.viber.voip/databases/viber_messages
Bu veritabanları, Viber kullanıcısının kişilerini, gönderilen ve alınan mesajları, iletileri ve
ekleri hakkında bilgileri depolar.
• Viber Kişileri: Viber'deki kullanıcı kişileri viber_data isimli SQLite veritabanında
saklanır.
• Viber Mesajları: Viber'in çağrı yeteneğine sahip bir anlık mesajlaşma olduğu göz
önüne alındığında, konuşmada en değerli kanıtın bulunması muhtemeldir.
• Viber Ekleri: Kameradan veya galeriden gönderilen fotoğraflar mobil cihazda
saklanır. Ek ayrıca, eki gönderen tarafından girilen bir “açıklama” içerir.
Veritabanı içeriklerini SQLite Tarayıcısı veya Cerbero araçlarını kullanarak görüntüleyebiliriz
[10].
[11]’ına araştırma metodolojisi, Android ve Windows platformlarında IMO Uygulamasının
adli olarak analiz edilmesine ve araştırılmasına odaklanmaktadır.
Fiziksel imaj elde edebilmek için, Root ayrıcalıkları ile bir USB kablosu ve Android Hata
Ayıklama Köprüsü aracını (ADB) kullanarak cep telefonu ile bilgisayar arasında bir bağlantı
sağlanır ve daha sonrasında cihazdan veri okumak ve kopyalamak için bir imaj alma komutu
kullanılması gerekir. Bu çalışmada dd komutunu ve netcat komutları kullanıldı. dd, bir aygıtta
depolanan verilerin birer birer kopyasını gerçekleştirmek için kullanılan bir araçtır. Netcat, TCP /
IP protokolünü kullanarak ağ bağlantıları üzerinden veri aktarımına izin veren bir ağ yardımcı
programıdır. Bir cihazın fiziksel imajının alma adımları aşağıda listelenmiştir:
• Terminal açın ve telefonu ekleyin.
• Bilgisayara başka bir terminal ile ve Netcat klasörüne geçiş yapın.
• Bilgisayarın terminaline şunu yazın: adb forward tcp: 8888 tcp: 8888
• Daha sonra telefonun terminaline şunu yazın: dd if = / dev / block / mmcblk0 |
busybox nc -l -p 8888

19
• Son olarak bilgisayarın terminaline şunu yazın: nc 127.0.0.1 8888>
device_image.dd
• İmaj dosyası device_image.dd ismi ile Netcat klasöründe oluşur.
Elde edilen imaj dosyası içerisinde IMO çağrılarının ve sohbetlerinin yapılarını araştırıyoruz.
IMO kalıntılarını aramak için güçlü bir ücretsiz dijital adli bilişim platformu olan Autopsy
yazılımını ve SQLite DB aracını kullandık. İmajı analiz etmek için, cihazın yapısını ve kullanıcı
verilerinin nerede saklandığını anlamamız gerekir. Kullanıcı Android uygulamasıyla ilişkili veriler
data/data dizininde depolanır ve bu dizinde her uygulamanın ortak alt dizinleri vardır: lib, file,
cache, databses ve share_prefs [11].
BiP mesajlaşma uygulaması Lifecell Ventures Cooperatif U.A şirketi tarafından geliştirilmiş
ve 20 Haziran 2016 tarihinde kullanıma sunulmuştur. Tüm operatör abonelerinin kullanabilmesi
mümkündür. 2017 yılı istatistiklerine göre 10 milyon kullanıcısı günlük ortalama 100 milyondan
fazla mesaj gönderilmektedir. Caps yollama, titreşim gönderme, kullanıcının belirlediği bir süre
sonunda mesajların kaybolması, görüntülü konuşma, para gönderme gibi diğer mesajlaşma
uygulamalarında olmayan çeşitli özellikleri barındırmaktadır. Özellikle kendini yok eden mesaj
gönderme gibi özelliklerin çeşitli suç faaliyetlerinde kullanıldığını gösteren çalışmalar
bulunmaktadır. BiP uygulamasından elde edilecek veriler benzer mesajlaşma uygulamalarında
olduğu gibi birçok soruşturmada çok önemli olabilmektedir. BiP uygulaması mobil cihazın
depolama alanına birçok şifreli ve şifresiz veri kaydetmektedir. Android mobil cihaz sayısının ve
kullanımının fazla olması kolluk kuvvetlerini sıklıkla BiP uygulaması ile karşılaştırmaktadır. BiP
programının adli bilişim analizinin yapıldığı bir çalışma literatürde bulunmamaktadır. Bu nedenle
kullanıcı davranışlarının uygulama içerisinde ne türde etkiler ve bilgiler bıraktığının tespit edilmesi
gerekmektedir.
BiP uygulaması Andorid cihazı dahili depolama alanında “data/data/com.turkcell.bip”
dizine hafıza kartında ise sdcard/turkcell/BiP uygulama yollarına yerleşir. BiP uygulaması
kullanımı sırasındaki kullanıcı aktivite verileri ana dizin olan com.turkcell.bip altında beş alt
klasörde tutulmaktadır. BiP mesajlaşma uygulaması gönderilen alına tüm sohbet bilgilerini ilgili
dizinler altında saklamaktadır. Uygulama üzerinden 3 farklı türde mesaj alışverişi
yapılabilmektedir.
• Kullanıcıdan – kullanıcıya (messages),
• Kullanıcıdan gruba – gruptan kullanıcıya (Groups),
• Sponsor servislerden kullanıcıya şeklindedir.

20
Kullanıcıların mesaj aktiviteleri tims.db veritabanı içerisinde messages, groups,
conversations, delivery_status, group_participants tablolarında tutulmaktadır. Messages tablosu
tüm mesaj alışverişi ile ilgili verileri, conversations tablosu ise iletişim kurulan kişilerle yapılan
son mesajı, mesaj tarihini ve kişi bilgisini saklamaktadır. Bu nedenle iki tablonun incelenmesi ile
uygulama kullanıcısının mesaj bilgileri elde edilebilmektedir. Kullanıcı bir sohbet grubuna dahil
olduğunda grupla ilgili bilgiler groups ve group_participants tablosunda bulunur. Ayrıca
kullanıcının gönderip aldığı mesajların teslim tarihi ve gönderim zamanı bilgileri delivery_status
tablosunda bulunur. Bu nedenle tüm iletişim detaylarını elde edebilmek için belirtilen tabloların
analiz edilmesi inceleme açısından önem taşımaktadır [12].
Şekil 2.2: Mobil adli bilişim için önerilen yöntem şeması.
Mobil inceleme yazılımları içerisinde Bip uygulamasına ait bilgilerin tanımlı olmamasından
dolayı Şekil 2.2’de belirtilen yol ve metodoloji kullanılmıştır. Bip ve benzeri uygulamaların varlığı
sürekli olarak artmaktadır. Günümüzde yaygın olarak kullanılan mobil inceleme yazılımlarının,
cep telefonu uygulamalarının tümünü tanıması ve inceleme yapabilmesi mümkün olmadığından
dolayı manuel yöntemler ile inceleme yapma mecburiyeti doğmaktadır [12].

21
3. MOBİL CİHAZLARLADAN MANUEL VERİ ELDE ETME
YÖNTEMLERİ
Bir cep telefonundan veri elde etmek, standart bir sabit disk imajı edinimi kadar basit
değildir. Cep telefonları için fiziksel, mantıksal ve manuel olmak üzere üç tür adli edinim yöntemini
ayırmaktadır. Toplanabilecek veri miktarı ve türü, kullanılan edinme yönteminin türüne bağlı
olarak değişmektedir.
Mobil cihazlarda veri edinim yöntemleri manuel, mantıksal ve fiziksel olarak üç kategoriye
ayrılır. Her biri, istenen miktarda veri çıkarmak için cihazın farklı özelliklerini kullanır. Manuel
edinim, bireyin cihazın kendisi ile etkileşime girerek elde edebildiği her şey olarak tanımlanır. Bu
prosedür iki ayrı aşamadan oluşabilir: alınan verilerin bir kaydını tutmak[13] ve mevcut verileri
kopyalamak için kurulu uygulamalarla etkileşim kurmak[14]. Cihaz durumunu kaydetmek için
kameralar gibi ek araçlar kullanılabilir[13]. İnsan hatası olasılığı çok yüksek olduğundan ve önemli
unsurlar atlanabildiğinden, bu yöntem ek olarak kullanılmalıdır. Manuel edinimin, verileri
yorumlanabilir biçimde döndüren tek teknik olması nedeniyle, diğer iki türle eşzamanlı olarak
yapılması gerekir. Sonuç olarak, ayrı bir kategori olarak incelenmeyecek, ancak diğer ikisine
entegre edilecektir.
Mantıksal edinim, mantıksal bir depolama aracı içinde bulunan dosyalar ve dizinler gibi
varlıkların bitsel bir kopyasını alır ve “daha önce bahsedilen nesneler için tarih-saat damgaları ve
hedef mobil aygıtın dosya sistemi içindeki konum gibi bağlam bilgileri sağlar” [15]. Esas olarak
silinmemiş verilerle ilgilidir ve cihazın dosya sistemine erişilerek elde edilir[16]. Bununla birlikte,
pratik olarak silinmeyen, ancak veritabanlarında daha fazla üzerine yazmak için kullanılabilir alan
olarak gizlenen bilgiler, dosya sistemi erişimi tarafından alınabilir. Silinmiş olan verilerin elde
edilmesi daha az olasıdır. Mantıksal edinim teknikleri ve araçları dosya sistemi ile etkileşime
girerken, fiziksel edinim yöntemleri daha düşük alanlara erişir. Bu, fiziksel ve mantıksal kazanımın
aldıkları dosyalar ile ilgili farklı güçlü ve zayıf yanlar gösterdiği sonucuna götürür. Örneğin,
fiziksel edinim silinmiş dosyaları alırken, mantıksal edinim kullanıcı verilerinin (arama ve SMS
günlükleri, kişiler) kurtarılması için daha etkilidir[13]. “Bazen cihaz onarılamayacak şekilde
kırıldığında veya cihazın mantıksal edinimi yapmak için standart bir arayüzü olmadığında
mantıksal edinme mümkün değildir”[17] . Parolalar ve ekran kilitleri gibi kullanıcı güvenlik
mekanizmalarını atlamanın başka bir yolu yoksa, mantıksal olarak fiziksel edinme de
gerçekleştirilebilir [18]. Mantıksal edinim şu kategorilere ayrılabilir: bölüm görüntüleme, dosya
klasörlerinin kopyalanması, içerik sağlayıcı ve kurtarma modu [16].

22
Öte yandan, fiziksel edinim yalnızca fiziksel depolama ortamı ile ilgilidir. Böyle bir teknik,
dahili flash belleğin bitsel bir kopyası olarak da belirtilir [19]. Bu tür bir edinmenin, ayrılmamış
olarak ele alınan ancak hala bellekte bulunan silinen verileri alması daha olasıdır [20]. Ancak,
fiziksel edinim prosedürlerinin söküldüğü sırada cihaza zarar verme olasılığı daha yüksektir.
Klaver'e [17] göre “Gerçek fiziksel edinim, aygıttan veri ayıklamak için Joint Test Action Group
(JTAG) [18] gibi donanım tekniklerini kullanarak belleği fiziksel olarak aygıttan kaldırmak veya
bir önyükleyici kullanmak anlamına gelebilir. Bu tür teknikler “teknik olarak zorlayıcı olmakla
kalmayıp cihazın kısmi ila tamamen sökülmesini gerektirir, aynı zamanda dosya sistemini yeniden
birleştirmek için önemli bir özütleme sonrası analiz gerektirir” [16]. Bununla birlikte, fiziksel
kazanımın mantıksaldan üstün olduğu genellikle kabul edilebilir, çünkü silinen dosyaların ve
mevcut veri kalıntılarının incelenmesine izin verir. Bununla birlikte, bazen, Windows Mobile
OS'de olduğu gibi [17] araştırma, fiziksel bir edinim ile mantıksal bir (genellikle sahte fiziksel
olarak adlandırılır) arasında bir yerde bulunan alternatif edinim yöntemlerinin geliştirilmesine yol
açmıştır.
3.1. Fiziksel Edinim
Bir mobil aygıtın fiziksel olarak edinilmesi, fiziksel depolamanın bit-bit kopyasından başka
birşey değildir. Fiziksel çıkarım işlemi, belleğe doğrudan erişerek cihazdan bilgi alır. İşlem, fiziksel
olarak alınan bilgisayar imajına benzer şekilde, tüm dosya sisteminin bit-bit bir kopyasını oluşturur.
Fiziksel bir edinme, silinmiş veriler ve çoğu aygıtta ayrılmamış alana erişim de dâhil olmak üzere
bir aygıtta bulunan tüm verileri alabilir. Tüm veriler alındığı için vaka inceleme esnasında gözden
kaçırılacak veri sayısıda en aza indirilmiş olur. Böylelikle adli bilişim uzmanlarının daha
derinlemesine bir analiz gerçekleştirebilmesine olayları daha rahat aydınlatabilmesine yardımcı
olmaktadır.
3.2. Mantıksal Edinim
Mantıksal edinim, dosya sisteminde bulunan dosyalar ve dizinler gibi mantıksal depolama
nesnelerinin çıkarılmasıyla ilgilidir. Cep telefonlarının mantıksal edinimi, telefonun içeriğini bir
bilgisayar ile senkronize etmek için cihaz üreticisi uygulama programlama (Samsung backup v.b)
ara yüzü kullanılarak gerçekleştirilir. Adli bilişim araçlarının çoğu mantıklı bir edinim
gerçekleştirir. Bununla birlikte, adli bilişim incelemecisi, edinimin nasıl gerçekleştiğini ve elde
edinim işlemi sırasında aygıt üzerinde herhangi bir değişimin olup olmadığını anlamalıdır.
Telefona ve kullanılan adli bilişim araçlara bağlı olarak, verilerin tamamı veya bir kısmı elde edilir.
Mantıksal bir edinimin gerçekleştirilmesi kolaydır ve yalnızca bir cep telefonundaki dosyaları
kurtarır ve ayrılmamış alanda bulunan verileri kurtarmaz.

23
3.3. Manuel Edinim
Cep telefonlarında, fiziksel edinim genellikle en iyi seçenektir ve mantıksal edinme ise ikinci
en iyi seçenektir. Ancak çoğu zaman fiziksel edinim için lisanslı ticari yazılımlar kullanılmak
durumunda kalınmaktadır. Bu durum mobil adli bilişim alanındaki uzmanlarının fiziksel elde
edinim imkânlarını kısıtlamaktadır. Cep telefonu içerisindeki verilere zarar vermeden ve
içerisindeki tüm verileri elde etmek için açık kaynak (open source) araçlar kullanabilir. Açık
kaynak araçlar çalışma alanındaki kısıtlamaları kaldırmaktadır. Açık kaynak araçlar kullanılarak
hem mantıksal hem de fiziksel veri edinimi yapılabilmektedir.
Ayrıca lisanslı yazılımlar ile yapılan mobil incelemeler, yalnızca yazılımın sunmuş olduğu
imkân ve kabiliyetler çerçevesinde inceleme imkânı sunmaktadır. Ülkelere veya kurumlara özel
uygulamaların incelemesini gerektiren hususlarda lisanslı yazılımlar yetersiz kalmakta ve
uzmanların çalışma alanını kısıtlamaktadır. Bu çalışmada, bu ve buna benzer durumlarda
karşılaşılan zorluklara çözüm amaçlı manuel mobil imaj alma, inceleme aşamalarının nasıl
yapılabileceğine değiniyor olacağız.
3.4. Önerilen Mimari Yapısı
Lisanslı yazılımlar ile elde edilemeyen mobil uygulamalara ait kalıntılar için manuel
yöntemler kullanmak gerekmektedir. Cep telefonu içerisindeki uygulama kalıntılarının verilerin
eksiksiz olarak toplanabilmesi için mimari yapıdan oluşan bir metodoloji izlenmesi gerekmektedir.
Mobil uygulamalara ait kalıntıların manuel olarak elde edilmesi, analiz edilmesi ve
raporlandırılması süreçlerinden oluşan işlem adımları Şekil 3.1’de sunulmuştur.

24
Şekil 3.1: Önerilen andorid tabanlı mobil uygulama analizinin mimari yapısı.
3.5. Kullanılan Araçlar Ve Metodlar
Bu bölümde, mobil cihazlar içerisinde yer alan anlık mesajlaşma uygulamaların manuel
olarak incelenmesi için gerekli olan araçlara ve metdolara yer verilmiştir. Anlık mesajlaşma
uygulamaları popüler bir akıllı telefon uygulamasıdır. Anlık mesajlaşma uygulamasına örnek
olarak WhatsApp verilebilir. WhatsApp, Ocak 2017'de 1 Milyardan fazla kullanıcıya ulaşan
kullanıcılarından yola çıkarak yaygın olarak kullanılmaktadır. WhatsApp’ın güvenliği son
zamanlarda uçtan uca şifreleme uygulanarak en son şifreleme türü ve teknolojisi ile
güncellenmiştir. WhatsApp'taki kullanıcı sayısı veya olası suç hedefi ve güvenlik özellikleri, cezai
niyetleri olan kişiler tarafından suça yol açabilir. Uzmanlar, akıllı telefonu araştırmak ve suç
kanıtlarını bulmak için mobil adli bilişim yöntemlerini ve araçlarını kullanmalıdır. Ancak,
uzmanlar adli bilişim araçları ile mobil teknoloji arasındaki uyumsuzluk nedeniyle elde etme ve
inceleme sırasında sıklıkla zorluklarla karşılaşmaktadır. Bu araştırmada, en son WhatsApp’ın
kalıntılarını çıkarmak için NIST adli bilişim yöntemiyle mevcut adli araçların kullanımını ele
alınacaktır. Adli bilişim araçlarının yetenekleri, güçlü ve zayıf yanlarını değerlendirilecek ve
karşılaştırılacaktır.

25
3.5.1. Kullanılan Metodoloji
Bu araştırma, Ulusal Stanford ve Teknoloji Enstitüsü tarafından yapılan bir araştırma adımı
kullanmıştır [21]. NIST adli bilişim metodolojisi, Şekil 3.2'deki gibi 4 aşamadan oluşmaktadır.
Şekil 3.2: NIST adli bilişim metodolojisi.
• Toplama: Toplama aşamasında kanıtların elde edinilmesi, kanıtların korunması,
nesnelerin hazırlanması ve araştırma araçları olacaktır.
• İnceleme: Delil olarak kullanılabilecek verileri belirleme süreci olacaktır. Hangi verilerin
alınacağını belirledikten sonra, veri alma işlemi adli olarak test edilmiş bir şekilde
yapılacaktır.
• Analiz: Kanıt olarak kullanılabilecek şeyleri araştırmak için alınan veriler analiz edilecek
ve daha sonra sonuç alınacaktır.
• Raporlama: Adli bilişim son aşaması adli faaliyeti başından sonuna rapor etmektir.
Analizin sonuçları ile birlikte yazılı rapor veya sözlü rapor şeklinde sonlandırılır.
3.5.2. Kullanılan Araçlar
Android tabanlı bir cihaz içerisinde yer alan uygulama verilerinin çıkarılması için kullanılan
donanım ve yazılımlar Tablo 3.1'de sunulmuştur.
Tablo 3.1: Mobil analiz için kullanılan araçlar.
No Adı Açıklaması
1 Genymotion Android sanallaştırma yazılımı.
2 USB Kablo Akıllı telefon cihazını ve bilgisayarı bağlamak
için USB konektörü.
3 Android Debugging Bridge Tool Akıllı telefon ve bilgisayar arasındaki iletişimi
destekleyen yazılım.
4 Belkasoft Evidence (trial) Çıkarım ve analiz aracı
5 SQLite DB Browser Veritabanı analiz aracı.
Toplama İnceleme Analiz Raporlama

26
3.6. Veri Edinimi Sırasında Dikkat Edilecek Unsurlar
Veri edimi, veri elde etme aşamasının başlangıç aşamasıdır. Sahiplik bilgileri ve mobil
cihazın dâhil olduğu olayın türünü belgelemek için delil toplama formları kullanılmaktadır. Elde
edilen mobil cihaz üzerinde herhangi bir işlem yapılmamalı ve özenle koruma altına alınmalıdır.
Mobil cihazlar içerisinden veri çıkarımı işlemi yapılırken dikkat edilmesi gerekmekledir aksi
durumlarda uygulanacak yanlış adımlar cihaz içerisinde veri değişikliğine veya verilerin yok
edilmesine neden olabilmektedir. Mobil inceleme yaparken aşağıda yer alan unsurlara mutlaka
dikkat edilmesi gerekmektedir.
• Cihaz Bağlantılarının Kontrolü: Elde edilen mobil cihazın tüm ağ ve çevrebirim
bağlantılarının kapalı olduğundan emin olunmalıdır. Aksi durumunda olası bir internet
bağlantısı cihazın uzaktan sıfırlanmasına neden olabilir.
• Cihaz Sağlığının Kontrolü: Elde edilen mobil cihazın düzgün çalışıp çalışmadığı ve veri
aktarımı yapılacak Micro USB/Type-C gibi girişlerinin çalışır durumda olup olmadığı
kontrol edilmelidir.
• Kök Erişim Kontrolü: Cihazın kök (root) dizinine erişim yetkisinin olup olmadığı kontrol
edilmelidir. Şayet kök dizine erişim yok ise cihaz içerisindeki silinmiş alanlar dâhil olmak
üzere tüm verilerin elde edilmesi için kök dizinine erişim için Root’lama işlemi
gerçekleştirilmedir.
• Veri Elde Edinim Yönteminin Belirlenmesi: Cihazın marka modeline göre en uygun veri
çıkarım yöntemi tespit edilmelidir. Ayrıca USB veri aktarım girişinde sorun bulunuyor ise
tamir edilmeli veya Wifi, Bluetooth gibi yöntemler uygulanabilir.
• Kullanılan Araç ve Komutlar: Veri çıkarımı işlemi yapılırken kullanılan araç ve
komutlara dikkat edilmelidir. Aksi durumunda cihaz içerindeki verilerin değiştirilmesine
veya silinmesine neden olunabilir.
• Kimliklendirme: Eğer birden fazla sayıda elde edinim işlemi yapılıyor ise her cihaz ve
uygulanan yöntem not alınarak birbirinden ayırt edilecek şekilde kimliklendirme işlemi
yapılmalıdır.
3.7. Mobil Uygulamalarda Elde Edilebilecek Veri Türleri
Cep telefonu içerisinde kurulu olarak yer alan veya daha önceden kurulup kaldırılmış
uygulamalar, mutlaka kanıt bırakmaktadırlar. Ancak uygulamaların bırakacakları kalıntılar onu
programlayan yazılımcılara göre farklılık göstermektedir. Bazı uygulamalar tüm verilerini direkt
olarak bağlı oldukları sunucular üzerinden barındırmaktadır, bazıları ise hem bağlı oldukları sunucu
üzerinde hem de kullanıcının kullanmış olduğu mobil cihaz içerisinde depolamaktadır.

27
Mobil cihaz içerisinde depolanan veriler uygulama türlerine göre farklılık göstermektedir.
Andorid tabanlı mobil uygulamalar, genel olarak kök dizinde ve SdCard içerisinde veri
oluşturmaktadır. Oluşturulan bu dosyalara ulaşmak ve incelemek uzmanlık gerektirmektedir. Bu
nedenle mobil uygulamaya ait veriler türlerine göre ayrı ayrı incelenmeli ve birbirleriyle korelasyon
işlemi yapılmalıdır. Verilerin korelasyonu yapıldıktan sonra elde edilen tüm bilgiler toplu olarak
analiz edilmelidir. Aşağıda mobil uygulamalarda elde edilebilecek veri türlerine yer verilmiştir.
• JSON Dosyaları: JSON (JavaScript Object Notation), tüm programlama dilleri ile
kullanılabilen ve XML’e alternatif olarak tercih edilen, veri iletimini kolaylaştıran bir
metin biçimidir. JSON’da Number, String, Boolean, Array, Object ve null olmak üzere 6
farklı veri tipi kullanılmaktadır. Mobil uygulamalar veri iletimini kolaylaştırmak için
JSON dosyalarını kullanabilmektedirler. Bu nedenle veri iletimi yapılan verilere erişmek
için JSON dosyalarının incelemesi gerekmektedir. JSON dosyalarına erişmek için; cep
telefonunun data/data/UyulamaPaketİsmi adresinde yer alan klasör dizini içerisinde json
uzantılı dosyaların ayrıştırılması gerekmektedir. JSON dosyaları herhangi bir metin
düzenleme editörü ile görüntülenebilmektedir.
• CACHE Dosyaları: Cache dosyaları uygulamarı hızlandırmak için hazırlanmış
dosyalardır. Bir uygulama çalıştırıldığında, çalıştırılırken gereken işlemlerin geçici olarak
depolandığı, resim dosyalarının küçük resimlerinin oluşturulduğu v.b dosyaların tutulduğu
geçici alanlardır. Cache dosyaları uygulama ve kullanıcı hareketleri hakkında ipuçları
veren dosyalar olduğundan mutlaka incelenmelidir. (Her uygulamada yer almaz.) Cche
dosyalarına erişmek için; cep telefonunun data/data/UyulamaPaketİsmi ve
Sdcard/Uygulamaİsmi bakılmalıdır.
• XML Dosyaları: Verileri belli bir yapıda derleyip, başkalarının bu verileri kullanmasına
imkan tanıması için tasarlanmış dosyalardır. Bazı mobil uygulamalar anlık olarak
değişikliğini kontrol etmek veya başka uygulamalara veri göndermek için XML
dosyalarını kullanabilmektedir. Bu nedenle XML dosyaları içerisinde uygulama ve
kullanıcı hareketlerine ilişkin verilere rastlamak mümkünüdür. XML dosyaları
data/data/UygulamaPaketİsmi dizini altında yer almaktadır.
• Veritabanı Dosyaları: Veitabanı dosyaları mobil uygulamalar için olmazsa olmaz
dosyalarıdır. Bir mobil uygulama içerisindeki tüm kullanıcı aktiviteleri veritabanlarında
depolanmaktadır ve yine aynı şekilde veritabanı dosyası içerisinde çekilmektedir. Şayet
uygulama verilerini mobil cihaz içerisinde depoluyor ise kullanıcının yapmış olduğu

28
hemen hemen tüm aktivitelerin geçmişine bu dosyalar ile ulaşmak mümkündür. Veritabanı
dosyaları genellikle data/data/UygulamaPaketİsmi dizini altında yer almaktadır ancak
bazen istisnai olarak Sdcard/Uygulamaİsmi dizini altında şifreli olarak da yer
alabilmektedir. Veritabanı dosyaları SQLite DB Browser yazılımı ile ücretsiz olarak
incelenebilir.
• Journal Dosyaları: Bazı mobil uygulamalarda, uygulama verileri veritabanına
yazılamadan önce geçici olarak journal isimli veritabanına yazılmaktadır. Bu veritabanı
dosyası silinmiş verilerin analizi içinde kullanılabilmektedir. Journal veritabanı dosyaları
genellikle data/data/UygulamaPaketİsmi dizini altında yer almaktadır.
3.8. Uygulamaların Silinmesi Durumunda Kalıntıların İncelenmesi
Veri kurtarma, adli analizin en önemli ve güçlü yönlerinden biridir. Silinen verileri kurtarma
yeteneği, birçok hukuki ve cezai davayı çözmek için çok önemli olabilir. Veri kurtarma, bir cihaza
normal şekilde erişilemediğinde silinen verileri alma işlemidir. Bir teröristten bir cep telefonunun
ele geçirildiği senaryosunu düşünün. Terörist tarafından hangi öğelerin silindiğini bilmek büyük
önem taşımaz mı? Silinmiş SMS mesajlarına, resimlere, aranan numaralara, uygulama verilerine
ve daha fazlasına erişim, genellikle hassas bilgileri açığa çıkardıkları için kritik öneme sahip
olabilir. Android ile, cihaz dosyaları düzgün bir şekilde alınırsa silinmiş verilerin çoğunu kurtarmak
mümkündür. Ancak, cihaz kullanılırken uygun özen gösterilmezse, silinen veriler sonsuza dek
kaybedilebilir. Silinen verilerin üzerine yazılmadığından emin olmak için aşağıdaki noktaların göz
önünde bulundurulması önerilir:
• Telefonu ele geçirdikten sonra herhangi bir etkinlik için kullanmayın. Silinen veriler, başka
bir gelen veri için alan gerekene kadar cihazda bulunur. Bu nedenle, verilerin üzerine
yazılmasını önlemek için telefon herhangi bir etkinlik için kullanılmamalıdır.
• Telefon kullanılmasa ve herhangi bir müdahale olmasa bile verilerin üzerine yeni veriler
yazılabilir. Örneğin, gelen bir SMS otomatik olarak yer kaplar, bu da silinmek üzere
işaretlenen verilerin üzerine yazabilir. Bu tür olayların meydana gelmesini önlemek için,
uzmanın öncelikle telefonun mevcut ağ ve çevrebirimler ile bağlantısını kapatması gerekir.
En kolay çözüm, cihazı uçak moduna almak veya cihazdaki tüm bağlantı seçeneklerini
devre dışı bırakmaktır. Bu işlem, yeni iletilerin teslim edilmesini önler.
Tüm Android dosya sistemlerinde dosya içeriği, dosya adı, dosya hiyerarşisi gibi bilgi içeren
meta veriler bulunur. Silme işlemi bu verileri gerçekten silmez, ancak dosya sistemi meta verilerini
kaldırır. Metin mesajları veya diğer dosyalar cihazdan silindiğinde, bunlar sadece kullanıcı

29
tarafından görülemez hale gelir, ancak dosyalar cihazda hala bulunur. Esasen, dosyalar silinmek
üzere işaretlenir, ancak üzerine yazılana kadar dosya sisteminde bulunurlar.
Bir Android cihazdan silinen verilerin kurtarılması iki senaryo içerir: SD karttan silinen
resimler, videolar, uygulama verilerini kurtarma ve cihazın dâhili belleğinden silinen verileri
kurtarma. Aşağıdaki bölümde, hem SD karttan hem de Android cihazın dâhili belleğinden silinen
verileri kurtarmak için kullanılabilecek teknikleri kapsamaktadır.
3.8.1. Harici Bir SD Karttan Silinen Verileri Kurtarma
SD kartlarda bulunan veriler, adli bilişim uzmanları için çok fazla bilgi verebilir. SD kartlar,
telefonun kamerası, ses kayıtları, uygulama verileri, önbelleğe alınmış dosyalar ve daha fazlası
tarafından çekilen resim ve videoları saklayabilir. Esasen, bir bilgisayarın sabit diskinde
saklanabilecek her şey, kullanılabilir alanın izin verdiği ölçüde bir SD kartta saklanabilir. Silinen
verilerin harici bir SD karttan kurtarılması kolay bir işlemdir. Android cihazlardaki SD kartlar
genellikle FAT32 dosya sistemini kullanır. Bunun ana nedeni, FAT32 dosya sisteminin Windows,
Linux ve macOS X dahil çoğu işletim sisteminde yaygın olarak desteklenmesidir. FAT32 biçimli
bir sürücüdeki maksimum dosya boyutu yaklaşık 4 GB'dir. Artık yüksek çözünürlüklü formatlar
mevcut olduğundan, bu sınıra yaygın olarak ulaşılmaktadır. Bunun dışında FAT32, boyutu 32
GB'tan küçük olan bölümlerde kullanılabilir. Bu nedenle, bu sorunların üstesinden gelen exFAT
dosya sistemi bazı cihazlarda kullanılmaktadır.
Harici bir SD karttan silinen verilerin kurtarılması, sürücü olarak mount edilebilirse kolayca
gerçekleştirilebilir. En yeni Android cihazlar genellikle yığın depolama olarak bağlanmaz. Bunun
nedeni, bu cihazların USB yığın depolama yerine MTP veya PTP protokolleri kullanmasıdır. USB
yığın depolama ile ilgili sorun, bilgisayarın depolama alanına özel erişime ihtiyaç duymasıdır.
Başka bir deyişle, harici depolama birimi bir bilgisayara bağlandığında Android işletim sistemiyle
tamamen bağlantısı kesilmelidir. Bir Android cihaz MTP kullandığında, bilgisayara Çıkarılabilir
Depolama Birimi değil, bir medya cihazı olarak görünür.
Piyasadaki neredeyse tüm Android veri kurtarma araçları, Android veri kurtarma işlemine
başlamadan önce cihazınızın ve SD kartınızın tanınabilmesi için USB hata ayıklamayı
etkinleştirmenizi gerektirir. Android cihazların uygulama verilerini önbelleğe almak için SD kartta
yer kullanmaktadır bu nedenle, SD kartı çıkarmadan önce cihazdan mümkün olduğunca fazla veri
alınmasını sağlamak önemlidir. Veri çıkarma, veri kurtarma ve benzeri amaçlarla doğrudan cihaz
üzerinde çalışılmamalıdır. Bu nedenle, SD kartın fiziksel bir imajının alınması gerekir ve gerekli
tüm analizler imajın kendisinde gerçekleştirilir.

30
Tüm verilerin elde edilmesini sağlamak için SD kartı cihaz üzerinden ve ayrı olarak almak
gerekir. SD kart imajını elde etmek için, dd - adb komutu kullanılabilir. SD kart çıkarılır ve bir kart
okuyucu aracılığıyla bilgisayara bağlanarak FTK Imager kullanılarak imajı alınabilir. Daha
sonrasında silinen dosyaların bir kısmını FTK imager ile görüntülenebilir. Ayrılmamış alanlarda
veri kazıma yapmak için Foremost isimli veri kurtarma aracı kullanılabilir.
Cihazda herhangi bir yedekleme uygulaması veya dosya yüklü olup olmadığını da kontrol
etmek gerekir. Android'in ilk sürümü, kullanıcıların kişisel verilerini yedekleyecek bir mekanizma
içermiyordu. Bu nedenle, birkaç yedekleme uygulaması kullanıcılar tarafından yaygın olarak
kullanılmıştır. Bu uygulamaları kullanarak kullanıcılar verilerini SD karta veya buluta
yedekleyebilirler. Örneğin, bir yedekleme uygulaması, arama günlüklerini, kişileri, SMS ve daha
fazlasını yedekleyebilmektedir. Genellikle, yedekleme klasörü yolu dâhili SD karttır. Klasör yolu,
yedekleme uygulamasının ayarlarında da bulunur. Bir yedeklemeye kaydedilen veriler önemli
bilgiler içerebilir ve bu nedenle cihazdaki herhangi bir üçüncü taraf yedekleme uygulamasını
aramak çok yardımcı olacaktır.
3.8.2. Dahili Bellekten Silinen Verileri Kurtarma
Android'in dâhili belleğinden (SMS, kişiler, uygulama verileri ve daha fazlası gibi) silinen
dosyaları kurtarmak, tüm adli bilişim yazılımları tarafından desteklenmez ve manuel kazıma
gerektirebilmektedir. SD kartlar gibi yaygın dosya sistemleri içeren bazı ortamlardan farklı olarak,
dosya sistemi adli bilişim yazılımları tarafından tanınmayabilir ve monte edilemeyebilir. Ayrıca,
telefon Root’lanmadan bir Android telefonun dahili belleğinin ham bölümlerine erişilemez.
Uzmanlar, Android cihazlardaki dahili bellekten veri kurtarmaya çalışırken aşağıdaki hususlarla
karşılaşabilir:
• Dahili belleğe erişmek için telefonu Root işlemi denenebilir. Ancak, Root işlemi /data
bölümünde bazı veriler yazmayı içerebilir ve bu işlem aygıttaki değer verilerinin üzerine
yazabilir.
• SD kartlardan farklı olarak, buradaki dahili dosya sistemi FAT32 değildir. Dahili dosya
sistemi YAFFS2 (eski cihazlarda), EXT3, EXT4, RFS veya Android'de çalışacak özel bir
şey olabilir. Bu nedenle, Windows dosya sistemleriyle kullanılmak üzere tasarlanmış
kurtarma araçlarının çoğu çalışmaz.
• Android cihazlardaki uygulama verileri genellikle SQLite biçiminde depolanır. Çoğu adli
bilişim aracı veritabanı dosyalarına erişim sağlarken, bunların yerel bir tarayıcıda dışa
aktarılması ve görüntülenmesi gerekebilir.

31
Android, çoğu veriyi depolamak için SQLite dosyalarını kullanır. Metin mesajları, e-postalar
ve belirli uygulama verileri ile ilgili veriler SQLite dosyalarında saklanır. SQLite veritabanları,
silinen verileri veritabanının içinde saklayabilir. Kullanıcı tarafından silinmek üzere işaretlenen
dosyalar artık etkin SQLite veritabanı dosyalarında görünmez. Bu nedenle, kısa mesajlar, kişiler,
uygulama verileri ve daha fazlası gibi silinmiş verileri kurtarmak mümkündür. SQLite sayfasında
silinen veri ayrılmamış blokları ve serbest blokları içerebilen iki alan vardır.
Silinen verileri kurtaran ticari araçların çoğu, SQLite sayfalarının ayrılmamış bloklarını ve
serbest bloklarını tarar. Silinen verilerin ayrıştırılması Oxygen Forensics SQLite Viewer gibi
mevcut adli araçlar kullanılarak yapılabilir. SQLite Viewer'ın deneme sürümü bu amaçla
kullanılabilir; ancak kurtarabileceğiniz veri miktarı konusunda bazı sınırlamalar vardır. Dosyaları
silinen içerik için ayrıştırmak üzere kendi komut dosyası yazılmalıdır ancak bunun için SQLite
dosya biçimini iyi bilmek gerekir. Bu bölümde silinmiş veritabanlarını kurtarmak için SQLite
Deleted Parser isimli aracı kullanıyor olacağız.
Örneğimiz için, silinen SMS'leri bir Android cihazdan kurtaracağız. Bir Android telefondan
silinen SMS'leri kurtarmak, çoğunlukla metin mesajları çok fazla bilgi verebilecek veriler
içerdiğinden, bir cihazdaki adli analizin bir parçası olarak sıklıkla talep edilir. Bir Android cihazda
silinen kısa mesajları kurtarmanın farklı yolları vardır. İlk olarak, mesajların cihazda nerede
saklandığını anlamamız gerekir. Android cihazında kullanıcı verilerinin depolandığı önemli yerler
şu şekildedir:
• Her uygulama verilerini /data/data klasörü altında saklar (yine, veri almak için root erişimi
gerektirir)
• /data/data/com.android.providers.telephony/databases konumundaki SMS/MMS
dosyaları.
Belirtilen konumlar altında, kısa mesajlar mmssms.db adlı bir SQLite veritabanı dosyasında
saklanır. Silinen kısa mesajlar bu dosya incelenerek kurtarılabilir. Mmssms.db dosyasını kullanarak
silinen SMS'leri kurtarma adımları şekildedir:
• Android cihazda USB hata ayıklama modunu etkinleştirin ve cihazı bilgisayara bağlayın.
Adb komut satırı aracını kullanarak, adb pull komutunu kullanarak data/data dizininde
bulunan veritabanları klasörü ayıklanır.
• Elde edilen veri tabanı dosyaları SQLite DB Browser kullanılarak görüntülenir.
• Daha sonrasında aynı veritabanı dosyaları SQLite Deleted Parser isimli araç ile sqlparse.py
-f /home/ibrahimbaloglu/smssms.db -r -o report.txt komutu kullanılarak silinmiş olarak
işaretlenen veriler ayrıştırılır.

32
• Ayrıştırılan veriler ile SQLite DB Browser yazılımındaki veriler karşılaştırılır ve analiz
işlemi tamamlanır.
Dosya kazıma yöntemleri, kullanılan temel tekniğe göre kategorize edilir. Üstbilgi kazıma
yöntemi, üstbilgi ve altbilgi bilgilerine göre dosyaların kurtarılmasına dayanır. Örneğin, JPEG
dosyaası 0xffd8 ile başlar ve 0xffd9 ile biter. Üstbilgi ve altbilginin konumları belirlenir ve bu iki
uç nokta arasındaki her şey kazılır. Benzer şekilde, dosya yapısına dayalı kazıma yöntemi, dosyayı
yeniden yapılandırmak için bir dosyanın iç düzenini kullanır.
Telefon fiziksel imajı alındıktan sonra Scalpel gibi araçlar kullanılarak analiz edilebilir.
Scalpel, dosyaları kurtarmak güçlü bir açık kaynak aracıdır. Bu araç, blok veritabanı depolamasını
analiz eder, silinen dosyaları tanımlar ve kurtarır. Scalpel dosya sisteminden bağımsızdır ve FAT,
NTFS, EXT2, EXT3, HFS ve daha fazlası dâhil olmak üzere çeşitli dosya sistemlerinde
çalışmaktadır. Scalpel aracı sayesinde cep telefonu içerisinde silinmiş dosyalar
kurtarılabilmektedir. Kullanımına ilişkin ayrıntılara 4.bölümde yer verilecektir.
Sonuç olarak bir uygulamadan silinmiş verileri elde etmek için; cep telefonu kök dizinindeki
data/data/ dizini ve SD kart içerisindeki varolan dosyalar incelenmelidir. Daha sonrasında cep
telefonun ve SD kartın imajı alınarak Scalpel ve SQLite Deleted Parser araçları ile veri kazıma
işlemi yapılmalıdır.

33
4. BELİRTİLEN MODELE GÖRE YAANİ MAİL
UYGULAMASININ ANALİZİ
Yaani Mail 24/12/2019 tarihinde Turkcell tarafından kurulmuştur. Yaani Mail e-posta
okumak veya cevaplamak, internet olmadan da önceden gelmiş olan maillerin görüntülenebildiği
ve cevaplanabildiği, daha sonrasında internet bağlantısının kurulması ile tüm işlemlerin otomatik
olarak gerçekleştirildiği bir mail hizmetidir. Yaani Mail uygulama marketlerden
indirilebilmektedir. Ayrıca; Android 5.0 ve üzeri ya da IOS 11 ve üzeri işletim sistemine sahip
cihazlar üzerinden veya Chrome, Safari ve Firefox gibi internet tarayıcıları ile Yaani Maile erişim
mümkündür.
Günümüzde e-Posta hizmetleri oldukça yaygın olarak kullanılmaktadır. Bu durum e-Posta
hesapları ile işlenen suçların veya kişinin e-Posta aktivitelerinin incelenmesinin önemini
arttırmaktadır. Bu bölümde, henüz hiçbir adli bilişim yazılımına eklenmemiş olan Yaani Mail’in
bir cep telefonu içerisinde hangi kalıntıları bıraktığını manuel yöntemler ile inceleyeceğiz.
İnceleme yapılırken kullanılan araçlar ve yazılımlar Tablo 4.1’de sunulmuştur.
Tablo 4.1: Yaani Mail incelemesi için kullanılan araçlar.
ADI AÇIKLAMA
Geny Motion (3.0.3) Sanal Android Platformu
Samsung Galaxy S8 (8.0) Sanal Android Cihaz
ADB Tool Cep telefonu ile bilgisayar arasındaki bağlantıyı sağlayan araç.
SQLite DB Browser SQLite formatındaki veritabanı dosyalarını görütüleyen araç.
Undark Tool Silinmiş SQLite veritabanı dosyalarını kurtarmak için kullanılan
araç.
SublimeText Metin editörü.
Scalpel Fiziksel imaj veri kazıma aracı.
Tsk_recovery İmaj ayrıştırma aracı.
4.1. Yaani Mail Kayıt İşlemi
Yaani Mail servisine Ad-Soyad, kulllanıcı adı, parola ve güvenlik sorusu belirleme, cep
telefonu tanımlaması yapılarak kayıt olunmaktadır. Ayrıca hızlı giriş seçeneği de bulunmaktadır.
Hızlı giriş, kullanıcılarının kişisel bilgilerini paylaşmadan, yalnızca cep telefon numarası
aracılığıyla sağlanabilen müşteri doğrulama servisidir.

34
4.2. Yaani Mail Verilerini Açık Telefon İçerisinden Elde Etme Yöntemi
Uygulama kurulduktan sonra verileri kök dizin yer alan com.turkcell.yaaniemail isimli
klasör içerisinde depolamaktadır. Klasör içerisinde kullanıcı bilgilerinin tutulduğu önbellek,
veritabanı, uygulama üzerinden paylaşılan dosyalar, uygulama logları, uygulamaya ait ayarların ve
verilerin yer aldığı xml dosyaları vardır. Adli inceleme açısından kullanıcının aktivitelerine
erişilebilmek için bu bilgilerin analiz edilmesi oldukça önemlidir.
Cep telefonu içerisindeki uygulama verilerini almak için sırasıyla aşağıdaki adımlar
uygulanmıştır:
• Cep telefonunun bilgisayara bağlanması,
• Bağlantı sonrası ADB aracı kullanılarak adb shell komutu ile cep telefonuna
bağlanılması,
• Bağlantı sonrası dizinindeki uygulama verilerinin bulunduğu data/data/ dizinine
gidilmesi ve uygulama verilerinin var olup olmadığının kontrol edilmesi,
• adb pull com.turkcell.yaaniemail HedefAdresYolu yazılarak uygulama verilerinin
cep telefonu içerisinden bilgisayara kopyalanması.
4.2.1. Yaani Mail Veritabanı Bilgileri ve Analizi
Yaani Mail gönderilen ve alınan mailleri kullanılan telefon üzerinde ve kendi sunucusu
üzerinde depolamaktadır. Veritabanı bilgilerine ancak telefon üzerinden ulaşmamız mümkündür,
veritabanı dosyalarına ulaşabilmek için Android telefonlarda ROOT, IOS cihazlarında ise
JAILBREAK işlemi yapılmalıdır. Bu işlemlerden sonra Android işletim sisteminde yer alan
/data/data/com.turkcell.yaaniemail/databases dizini içerisinde veritabanı dosyaları yer almaktadır.
Bu dizin altındaki veriler kullanılarak kullanıcı aktivitelerine ulaşılabilmektedir.
/data/data/com.turkcell.yaaniemail/databases dizini altındaki veritabanı dosyalarının analizi için
aşağıdaki adımlar izlenir:
• Adb aracı ile kopyalanan databases dizini içerisine gidilir.
• Dizin içerisinde yer alan veri tabanı dosyaları SQLite DB Browser ile görüntülenir.
• Silinen mail içerikleri için data/data/com.turkcell.yaaniemail/dataabses dizini
altında yer alan veritabanı dosyalarının undark aracı kullanılarak undark.exe -i
yaanimail.db-wal > ibrahimbaloglu.csv komutu ile veri kurtarma işleminin
yapılması.
Android cihazlarda, adli veri elde edilebilecek şekilde Yaani Mail verilerini barındıran üç
veritabanı mevcuttur. Bunlar google_app_measurement.db, yaanimail.db ve yaanimail.db-wal

35
veritabanlarıdır. yaanimail.db bir kullanıcı ve kişiler arasındaki mail görüşmeleri hakkında ayrıntılı
bilgi içerir. yaanimail.db-wal dosyası geçici verilerin tutulmuş olduğu bir veritabanı dosyasıdır,
google_app_measurement.db ise uygulama ile ilgili bilgilerin (sürüm bilgisi, paket ismi v.b) içerir.
yaanimail.db isimli veritabanı içerisinde yer alan tablolara ilişkin bilgiler Tablo 4.2’de
sunulmuştur:
Tablo 4.2: yaanimail.db isimli veritabanı içerisinde yer alan tablolara ilişkin bilgiler.
Adı Açıklama
android_metadata Android bilgisi yer almaktadır.
folderSyncOptions Dosya idlerini ve dosyaların son güncellenme tarihleri yer
almaktadır.
folders
Gelen, giden, taslak, junk, taslak ve kullanıcı tarafından oluşturulan
dosyaların isimlerini ve içerisinde barındırıkları mail sayıları yer
almaktadır.
listItems Kullanıcı aktivitelerinin detaylı bilgileri yer almaktadır.
messageDetails Kullanıcı aktivitelerinin detaylı bilgileri yer almaktadır.
pendingComposeActions İçerik kaydına rastlanmadı.
room_master_table İçerik kaydına rastlanmadı.
yaanimail.db veritabanı içerisinde yer alan messageDetails ve listItems tabloları bir
kullanıcının gönderdiği veya aldığı tüm iletilerin detaylı bilgilerini içerir. Bu bilgilere ek olarak:
• Gönderilen, cc, bcc ye eklenen e-Posta adresleri,
• Mail içeriği,
• Mailin api servisi üzerindeki url adresi,
• Mailin bağlı olduğu dosya ID numarası,
• Mailin oluşturulma ve güncellenme tarihi,
• Mailin okunup okunmadığı bilgisi,
• Taslak mail olup olamadığı bilgisi,
• Maile herhangi bayrak bilgisinin eklenip eklenmediği bilgisi,
• Mailin kaplamış olduğu toplam büyüklüğün bilgisi,
• Mail eklerinin olup olmadığı varsa mail ekinin tipi ve ismi gibi temel bilgilere
ulaşılabilmektedir
yaanimail.db isimli veritabanı içerisinde yer alan messageDetails ve listItems tablolarına
ilişkin detaylar Şekil 4.1 ve Şekil 4.2’de sunulmuştur.

36
Şekil 4.1: listItems tablosunun içeriğine ilişkin ekran görüntüsü.
Şekil 4.2: listItems tablosunun içeriğine ilişkin ekran görüntüsü.
Yaani Mail uygulaması aktif olarak kullanıarak mail gönderme, alma ve silme gibi aktif
işlemler uygulanmış daha sonrasında silinen maillerin geri getirilmesi için undark aracı ile
yaanimail.db ve yaanimail.db-wal isimli veritabanları üzerinde veri kurtarma işlemi yapılmıştır.
Sonuçlar Şekil 4.3’te sunulmuştur.
Şekil 4.3: undark aracı ile yapılan veri kazıma işlemi.

37
4.2.2. Yaani Mail Log Dosyası ve Analizi
Log dosyaları com.turkcell.yaaniemailfilesapplogs klasörü altında yer alan logcat.txt.0
isimli dosya içerisinde tutulmaktadır. Uygulama kullanıcı ve uygulama hareketleri ile ilgili yapılan
işlemleri log dosyalarında saklamaktadır. Log dosyaları incelenerek adli bilişim açısından çeşitli
veriler elde edilebilmektedir. logcat.txt.0 isimli log dosyasının içeriği Sublime Tex metin editörü
ile incelendiğinde;
• Maile servisine yapılan giriş tipi (hızlı giriş veya kullanıcıAdı/parola)
• Giriş yapılan telefon numarası bilgisi
• Telefon numarasının bağlı olduğu email adreslerinin tümüne ait bilgiler (bu husus
kişinin diğer mail adreslerinin de öğrenilmesinde fayda sağlamaktadır.)
• Telefon numarasına bağlı olunan email adreslerinden hangisi ile giriş yaptığı
• Mail servisinin kullanmış olduğu api servislerine ait urller olduğu görülmüştür.
logcat.txt.0 isimli log dosyasının içeriğine ilişkin ekran görüntüsü Şekil 4.4’de sunulmuştur.
Şekil 4.4: logcat.txt.0 isimli log dosyasının içeriği.
4.2.3. Yaani Mail Ekleri ve Analizi
Mail ekleri com.turkcell.yaaniemailfilesattachmenttemp klasörü içerisinde
depolanmaktadır. Mail ile gönderilen ve alınan tüm dosyalara bu dizin altında rastlamak
mümkündür. Mail eklerinde adli analizin seyrini etkileyebilecek kritik kanıtlar çıkabilmektedir. Bu
nedenle mail ekleri adli bilişim açısından oldukça önemli bir yere sahip olduğundan mutlaka
incelenmesi ve analiz edilmesi gerekmektedir.

MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ

Similar to MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ (20)

MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ