Adli Bilişim Programları Seri-1

Merhaba arkadaşlar bu seri de Adli Bilişim Programlarını görevlerini sizlere aktaracağız. Bu şekilde sizlerinde bir gün mutlaka ihtiyacı olacağını düşünmekteyiz. Kimi zaman bir bilgisayara takılan tüm usb aygıtlarının geçmişini tarih bazlı göreceksiniz kimi zaman RAM imajı alacaksınız inceleyeceksiniz. Kimi zamanda verideki kripto bilgisine erişeceksiniz. İşte bu tüm bilgileri seri halde sizlerle paylaşacağım. Bugün ACSV-Advanced CheckSum Verifier  programı ile başlıyoruz.

ACSV ne işe yarar?

1. Dosya bütünlüğü doğrulama

Bir dosyanın:

  • Kopyalama,
  • İndirme,
  • Yedekleme,
  • Diskten imaj alma

işlemleri sırasında bozulup bozulmadığını kontrol eder.

Örneğin:

  • Orijinal dosyanın hash değeri ile
  • Kopyalanan dosyanın hash değeri

aynıysa, dosya bit seviyesinde birebir aynıdır.

2. Checksum (hash) oluşturma ve karşılaştırma

ACSV çok sayıda algoritmayı destekler:

  • MD5
  • SHA-1
  • SHA-256
  • SHA-512
  • CRC32

Bu hash’leri:

  • Tek tek dosyalar için
  • Tüm klasör yapısı için
  • Büyük disk imajları (IMG, ISO vb.) için

üretebilir ve saklayabilir.

Adli Bilişim Programları ACSV.

3. Dijital adli bilişim (forensic) ve veri kurtarma

ACSV özellikle şu senaryolarda kullanılır:

  • Disk imajı alındıktan sonra imajın değişmediğini kanıtlama
  • Veri kurtarma işlemi sonrası dosya bütünlüğünü doğrulama
  • Adli incelemelerde “chain of custody” kapsamında delil doğrulama

Bu nedenle forensic amaçlı güvenilir araçlardan biridir.

4. Büyük dosya ve imaj dosyaları ile çalışma

  • 4 GB+ büyük dosyaları destekler
  • RAW / IMG / ISO gibi imaj dosyaları üzerinde sorunsuz çalışır
  • NTFS, FAT32 fark etmeksizin dosya bazlı hash üretir

Bu 7 GB civarı IMG dosyaları için tipik bir kullanım senaryosudur.

5. Otomasyon ve karşılaştırmalı doğrulama

ACSV ile:

  • Daha önce alınmış hash listeleri (*.acsv vb.)
  • Yeni oluşturulan hash’ler

karşılaştırılabilir ve:

  • Değişen
  • Eksik
  • Bozuk

Adli bilişimde ACSV’nin rolü

1. Delil bütünlüğünün doğrulanması (Integrity Verification)

Adli bilişimde temel ilke şudur:

Toplanan dijital delil, ilk alındığı andan inceleme bitene kadar değişmemelidir.

ACSV bu noktada:

  • Disk imajının (RAW / IMG / DD / ISO)
  • Tekil dosyaların
  • Klasör yapılarının

hash değerlerini üretir ve saklar.

Daha sonra aynı delil tekrar kontrol edildiğinde:

  • Hash birebir aynıysa → delil değişmemiştir
  • Hash farklıysa → delil bütünlüğü bozulmuştur

 Rolü şudur:

Delilin değişmediğini matematiksel olarak kanıtlayan yardımcı bir doğrulama aracıdır.