Kemal’ e: Encase kullanarak 40 Gb diski 160 GB lık bir diske birebir kopyalamışlar. Buradaki kopyalama işlemi bit bit yapılan bir kopyalama işlemidir.Yani 40 GB lık kaynak diskin 0 ncı sektöründen en son sektörüne kadar kopyalanır. Buna işletim sisteminin gördüğü dosyalar, gizli bölümler, adreslenmemiş bölümler de yani hem allocated hem de unallocated bölümler dahildir. Burada bir yer değiştirme söz konusu değildir. Ama şu olabilir. 160 GB lık sıfır bir diske siz 40 GB lık diskin birebir kopyasını restore edebilirsiniz.
Adli bilişim incelemelerinde zaten yapılan işlem tamamen birebir kopya üzerinde çalışmaktır. Birebir kopya fiziksel diskin mantıksal olarak görünmesini sağlar.
Normalde PC kapanınca RAM uçar. Ama bu konuda da çalışmalar var. Fakat RAM gibi kullanılan pagefile.sys dosyasında bir şeyle elde edilebilir. RAM’ in imajı sistem açık iken ayrıca alınmalıdır.
MSN de oturum açanlar ve bu oturum açanlara ait MSN contact listi bile çıkarılır.
adli bişimde kullanılıyordu şahit olduğum bir olay var onu paylaşmak istiyorum.
eminyetten bir pc yi incelemek için almışlardı.
amac: [email protected] adresinden hedef lokasyona herhangi mail gönderildiğini yada bu adresle msn acılıp acılmadığını test etmekdi 40 gc maxtor hdd ile 160 WD hdd değiştirildi hdd değiştirldiği halde nasıl bunu tespit etmeyi baaşrdılar üstelik yeni hdd ye işletim sistemi win xp kuruldu
Not. ram yada başka bir donanınım dğeişmedi pc kapandıktan sonra saatler hatta günler sonra ramdeki veriler okunabiliyormu yada ramde değiştirilseydi bu bilgilere ulasılamayabilrmiydi. bu konuları acıklayabilrmisniz.
Bahsettigim urunler piyasada satilamayacak turden urunler. Yani belli anlasmalar cercevesinde sadece belli kurumlara satilabiliyorlar.
]]>Tabi burada yuzlerce kere uzerine yazma meselesi onem kazaniyor, yani siz yuzlerce kere uzerine yazdiginizi dusundugunuz veriyi aslinda bir kere uzerine yaziyor olabilirsiniz.
]]>
Caner KOCAMAZ :
“Uygun araci(yazilim/donanim) kullanarak sizin yuzlerce kere uzerine yazdiginizi dusundugunuz veriler kolaylikla geri “getirilebilir”.”
böyle bir şey pek mümkün değil. kesin konuşmak istemiyim dedim. ama araştırmalarıma göre bunu söylüyorum. ayrıca bu işle ilgilenen dünyaca ünlü şirketlerle de yazışmıştım bir zaman.
bu işlemi yapmanın bir çok yolu var. Bilgisayarın imajını aldıysanız bu imaj mount edebilir ve vmware konfigurasyon dosyalarını üretim vmware player veya vmware ws’ da açabilirsiniz ama eğer bilgisayar parola korumalı ise veya aktivasyon kodu istiyorsa bunu geçmeniz gerekir.
]]>Bilisim sucunu islemek icin kullandiginiz bilgisayarin diskini yakmadan sanirim pek kurtulus yolu yok. Vakti zamaninda basilan bir orgutun harddisklerini silahla taramasi sonucu bile bazi bilgiler o diskerlde cikarilmis diye duymustum.
sizin senaryonun gerceklesebilmesi olasiligi %100 gibi 🙂
]]>