Adli Bilişim Uzmanlığı
Adli bilişim uzmanlığı, dijital ortamlarda hukuki geçerliliği olan delil toplama, koruma, analiz ve raporlama bilimidir. CMK m.63 kapsamında teknik bilgi gerektiren davalarda mahkeme tarafından bilirkişi olarak görevlendirilen uzman; write blocker ile kaynak bütünlüğünü korur, SHA-256 hash doğrulaması ile delil zinciri oluşturur ve bulgularını CMK m.67 uyarınca mahkemeye sunulabilir teknik rapor halinde düzenler.
Bu sayfada rakiplerin tamamının boş bıraktığı teknik derinlik ele alınmaktadır: adli bilişimin 5 alt dalı (disk, mobil, ağ, bellek, bulut forensics), CMK m.63/134/67 hukuki çerçeve, write blocker ve hash protokolü, hangi TCK maddelerinde adli bilişim raporu gerekir, CHFI/EnCE/GCFA/GCFE sertifikasyonlar, Cellebrite UFED / FTK / Autopsy / Magnet AXIOM araç karşılaştırması ve HMK m.293 uyumlu uzman mütalaası raporu formatı.
Adli Bilişim Uzmanlığı Nedir?
Adli bilişim (digital forensics), bilgisayar biliminin hukuk ve adalet sistemiyle kesiştiği noktada yer alan bir disiplindir. Temel amacı; dijital cihazlar ve ağlar üzerindeki verileri, bu verilerin mahkemede delil olarak kabul edilebileceği biçimde — yani tahrif edilmeden, bütünlüğü doğrulanmış olarak — toplamak, korumak, analiz etmek ve raporlamaktır.
Modern ceza ve hukuk davalarında delillerin büyük çoğunluğu dijital ortamdan gelmektedir: mesajlaşma kayıtları, e-posta trafiği, konum verileri, arama geçmişi, log dosyaları, kamera görüntüleri, sosyal medya paylaşımları, bankacılık işlem kayıtları. Bu verilere hukuki geçerlilik kazandırmak için teknik prosedürün eksiksiz uygulanması zorunludur; aksi halde delil “hukuka aykırı yollarla elde edilmiş” sayılarak dışlanabilir.
Hukuki Çerçeve: CMK m.63, 134 ve 67
| Madde | Kapsam | Adli Bilişim Uzmanlığıyla İlgisi |
|---|---|---|
| CMK m.63 | Bilirkişiye başvurma | Teknik bilgi gerektiren konularda mahkemenin adli bilişim uzmanını bilirkişi olarak ataması; bilirkişi görevi ve yükümlülükleri |
| CMK m.67 | Bilirkişi raporu | Raporun içermesi gereken unsurlar: bilirkişi kimlik bilgileri, inceleme konusu, uygulanan yöntem, bulgular, sonuç ve imza; mahkeme önünde sözlü açıklama yükümlülüğü |
| CMK m.134 | Bilgisayar ve bilişim sistemlerinde arama, kopyalama ve elkoyma | Hâkim kararı zorunluluğu; adli kopyalama prosedürü; hash değeri alınması zorunluluğu; yalnızca ilgili verilerin kopyalanması ilkesi |
| CMK m.135 | Telekomünikasyon dinlemesi | İletişimin denetlenmesi kararı; HTS ve CGNAT kayıt analizinin hukuki dayanağı |
| HMK m.266 | Hukuk davalarında bilirkişi | Hukuk yargılamasında teknik konularda bilirkişi atanması |
| HMK m.293 | Uzman görüşü (mütalaa) | Tarafların kendi başvurduğu uzmanın hazırladığı teknik rapor; bilirkişi raporuna karşı savunma veya destek aracı |
| TCK m.134/135/136 | Kişisel veri ve özel hayatın gizliliği | Hukuka aykırı elde edilen dijital delil bu maddeler kapsamında ihlal teşkil edebilir; delil elde etme yöntemi bilirkişi raporunda açıklanmalıdır |
| CMK m.217/2 | Hukuka aykırı delil yasağı | “Hukuka aykırı biçimde elde edilmiş deliller hükme esas alınamaz.” — Write blocker ve hash protokolünün önemi bu maddeden kaynaklanır |
Adli Bilişimin 5 Alt Dalı
Disk Forensics — Depolama Ortamı Adli İncelemesi
- HDD, SSD, NVMe, USB flash bellek, hafıza kartı, optik disk incelemesi
- Write blocker ile kaynak koruma; FTK Imager veya dd/dcfldd ile bit-for-bit adli kopya
- Silinen dosya kurtarma: MFT (Master File Table) analizi, unallocated space tarama, file carving
- Dosya zaman damgaları: NTFS MACE (Modified/Accessed/Created/Entry Modified), FAT timestamps
- Şifreli bölüm analizi: BitLocker, VeraCrypt; şifre kırma veya anahtar kurtarma
- Windows Registry analizi: son çalıştırılan uygulamalar, USB bağlantı geçmişi, kullanıcı aktivitesi
- Prefetch, LNK, jump list, shellbag analizi — kullanıcı davranış profili
- İşletim sistemi: Windows, macOS, Linux/ext4, APFS disk yapısı analizi
Mobil Cihaz Adli İncelemesi — Telefon Forensics
- Android ve iOS cihazlar; eMMC, UFS, NAND flash bellek mimarisi
- Mantıksal (logical), tam dosya sistemi (full file system), fiziksel (physical/chip-off) extraction seviyeleri
- Cellebrite UFED ve MSAB XRY ile adli kopya alma; Magnet AXIOM analizi
- WhatsApp: msgstore.db (Android) / ChatStorage.sqlite (iOS) analizi; silinen mesaj kurtarma
- Uygulama analizi: Signal, Telegram, Instagram, Snapchat, TikTok; uygulama veri tabanları
- Konum geçmişi: GPS log, Wi-Fi probe, cell tower kayıtları, Google Timeline
- Arama/mesaj geçmişi; silinen kişi rehberi; kamera EXIF metadata
- Şifreli iPhone (Secure Enclave) ve Android FDE/FBE — kısıtlamalar ve bypass yöntemleri
Ağ Forensics — Network Forensics
- PCAP (packet capture) dosyası analizi: Wireshark, NetworkMiner
- Firewall, IDS/IPS, proxy, DNS log analizi; şüpheli trafik tespiti
- IP adresi takibi: DHCP log analizi, NAT çözümleme, CGNAT kaydı değerlendirme
- E-posta başlık (header) analizi: kaynak IP, X-Originating-IP, SPF/DKIM doğrulama
- Sızma girişimi tespiti: lateral movement, C2 trafiği, data exfiltration kalıpları
- VPN ve Tor çıkış düğümü tespiti; anonymizer servisleri analizi
- Sosyal mühendislik ve phishing kampanya kaynağı tespiti
Bellek Forensics — Memory / RAM Analizi
- Çalışan sistemin RAM dump’ı: WinPmem, FTK Imager (live acquisition); hibernation dosyası (hiberfil.sys)
- Volatility Framework ile RAM analizi: işlem listesi, ağ bağlantıları, kernel modüller
- Şifrelenemez bilgi: RAM’de açık metin şifreler, şifreleme anahtarları, aktif oturum tokenları
- Kötü amaçlı yazılım tespiti: process injection, hollow process, reflective DLL loading
- RAM’de kalıntı veriler: kopyalanan metinler, form alanı içerikleri, clipboard geçmişi
- Fileless malware tespiti — disksiz saldırılarda bellek tek delil kaynağıdır
Bulut ve SaaS Forensics — Cloud Forensics
- Google Workspace / Microsoft 365 adli log analizi: admin audit log, message trace, sign-in log
- Google Takeout, Microsoft Compliance Center ile yasal veri dışa aktarma
- Dropbox, OneDrive, iCloud: senkronizasyon metadata, erişim zaman damgaları
- AWS CloudTrail, Azure Monitor, Google Cloud Audit Logs analizi
- Sosyal medya yasal talep (legal hold) prosedürü: Meta, Twitter/X, TikTok API veya hukuki yol
- Bulut delilinin zincir muhafazası: ekran görüntüsü yetersiz; API çıktısı veya resmi veri paketi
- Bulut hesabı ele geçirme (account takeover) forensics: oturum token analizi, IP akışı
Özel Alan: Kötü Amaçlı Yazılım Analizi
- Statik analiz: dosya hash, PE başlık, string analizi, YARA kuralları
- Dinamik analiz: sandbox (Any.run, Cuckoo); davranış takibi, ağ trafiği, registry değişiklikleri
- Fidye yazılımı (ransomware) analizi: şifreleme algoritması, C2 adresi, decryptor arayışı
- Casus yazılım ve stalkerware tespiti; şikayet raporu için teknik kanıt üretimi
- APT (Advanced Persistent Threat) kalıntı analizi — kurumsal sızma soruşturması
Write Blocker ve Hash Doğrulama: Delil Bütünlüğünün Teknik Güvencesi
Write Blocker — Yazma Engelleme Cihazı
- Adli kopyalama sırasında kaynak cihaza (orijinal delile) herhangi bir bit yazılmasını donanım düzeyinde engeller
- Donanımsal write blocker: Tableau T8-R2 Forensic Bridge, WiebeTech Forensic UltraDock, CRU WiebeTech RTX — kaynak arabiriminden ayrı elektrik devresi; yazılım hatası veya işletim sistemi müdahalesine karşı bağışık
- Yazılımsal write blocker: Windows Registry write protection (HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies), Linux read-only mount — daha pratik ama firmware bypass riski mevcut
- Mahkemede “orijinal delil üzerinde değişiklik yapılmadı” argümanının teknik dayanağı; Yargıtay kararları yazma koruması protokolünü aramaktadır
- Write blocker olmadan alınan kopyaların mahkemede itiraz görmesi riski yüksektir
Hash Doğrulama — Delil Zinciri
- Kopyalama öncesi kaynak diskin SHA-256 (veya MD5) hash değeri hesaplanır ve tutanağa işlenir
- Kopyalama tamamlandıktan sonra adli kopyanın hash değeri yeniden hesaplanır
- İki hash eşleşirse: Adli kopya orijinal ile bit düzeyinde özdeştir; mahkemede “delil tahrif edilmedi” olarak kabul edilir
- MD5 vs SHA-256: MD5 (128 bit) hız avantajlı; teorik çakışma (collision) açığı var. SHA-256 (256 bit) kriptografik açıdan üstün; uluslararası standartta tercih. Aslan Kriminal her iki değeri birlikte raporlar
- Hash zinciri: kaynak hash → kopya hash → analiz ortamı kopyası hash — her adım tutanakla belgelenir
- Araçlar: FTK Imager (otomatik hash), sha256sum/md5sum (Linux), HashCalc (Windows)
Hangi Davalarda Adli Bilişim Raporu Gerekir?
Adli bilişim raporu yalnızca siber suçlarla sınırlı değildir. Aşağıdaki tablo, adli bilişim uzmanının aktif rol oynadığı geniş dava yelpazesini göstermektedir.
| TCK / İlgili Kanun | Suç / Dava Türü | Adli Bilişim Uzmanının Rolü |
|---|---|---|
| TCK m.243 | Bilişim sistemine izinsiz girme | Erişim log analizi, IP takibi, giriş zaman damgaları, yazılım exploit tespiti |
| TCK m.244 | Sistemi engelleme, veri yok etme, değiştirme | Kötü amaçlı yazılım analizi, silinen veri kurtarma, sistem log incelemesi |
| TCK m.245 / 245A | Banka/kredi kartı dolandırıcılığı, sahte hesap | Dijital işlem kaydı, cihaz fingerprint, IP-MAC eşleştirme, OTP ele geçirme analizi |
| TCK m.158/1-f | Bilişim yoluyla nitelikli dolandırıcılık | Phishing altyapısı tespiti, sahte domain/e-posta analizi, kötü niyetli uygulama incelemesi |
| TCK m.135–136 | Kişisel veri kaydetme ve ele geçirme | Hukuka aykırı veri toplama kanıtı, veri sızıntısı kaynağı tespiti |
| TCK m.125–126 | Hakaret ve iftira (dijital ortamda) | Hesap sahipliği tespiti, IP-zaman eşleştirme, ekran görüntüsü doğrulama, metadata analizi |
| TCK m.106 | Tehdit (dijital ortamda) | Mesaj kaynağı, telefon/hesap kimlik tespiti, gönderim zaman damgası doğrulama |
| TMK / Terörle Mücadele | Dijital propaganda, örgüt iletişimi | Şifreli mesajlaşma analizi, sosyal medya ağ haritalaması, cihaz ilişkilendirme |
| MK m.163 / Boşanma | Sadakatsizlik, mal kaçırma dijital delil | Telefon mesaj/konum analizi, e-posta incelemesi, sosyal medya arşivi |
| İş Hukuku / TBK | Ticari sır, rekabet yasağı ihlali | USB bağlantı geçmişi, dosya kopyalama log, şirket cihazı son aktivite analizi |
| KVKK m.12/18 | Veri güvenliği ihlali | İhlal kaynağı ve kapsamı tespiti, etkilenen veri kategorileri analizi, olay zaman çizelgesi |
| 5651 s. Kanun | İnternet yayını, içerik kaldırma | IP-URL ilişkilendirme, yayın zaman damgası, içerik arşivleme ve teknik doğrulama |
Sektörde Kullanılan Adli Bilişim Araçları
FTK Imager
- Bit-for-bit adli disk imajı (E01, DD, AFF)
- Otomatik MD5+SHA-256 hash
- RAM dump, swap dosyası kopyalama
- Ücretsiz — Exterro/AccessData
Autopsy / TSK
- Açık kaynak; disk imajı analizi
- Silinen dosya kurtarma, timeline
- Web geçmişi, e-posta, registry modülleri
- Keyword search, hash set filtreleme
Cellebrite UFED
- 15.000+ cihaz desteği
- Logical, file system, physical extraction
- Silinmiş mesaj/medya kurtarma
- Sektörün önde gelen ticari çözümü
Magnet AXIOM
- Disk + mobil + bulut tek platformda
- Artifact analizi: 500+ uygulama/servis
- Timeline ve olaylar arası bağlantı
- Araştırmacı ticari lisans
Volatility Framework
- Açık kaynak RAM analiz çerçevesi
- Windows/Linux/macOS RAM dump analizi
- Kötü amaçlı yazılım tespiti
- Aktif süreç, ağ bağlantısı, gizli modül
Wireshark / NetworkMiner
- PCAP paket analizi
- Protokol ayrıştırma, akış yeniden yapılandırma
- NetworkMiner: oturum, dosya, kimlik bilgisi
- Sızma/saldırı trafik profili
MSAB XRY
- İskandinav kaynaklı; Avrupa adli standartı
- Çoklu platform: Android, iOS, Windows Phone
- Drone/IoT cihaz desteği
- XACT raporlama aracı entegrasyonu
Tableau T8-R2 / WiebeTech
- Donanımsal yazma engelleme
- SATA, SAS, USB, PCIe/NVMe portları
- NSA onaylı adli kopyalama donanımı
- Hız: USB 3.0 / Thunderbolt arayüzü
Uluslararası Adli Bilişim Sertifikasyonları
Adli bilişim uzmanlığının niteliği; yalnızca teknik bilgiye değil, bağımsız denetim kuruluşlarınca doğrulanmış sertifikasyona da dayanır. Aşağıdaki sertifikalar sektörde uluslararası kabul görmektedir.
CHFI — Computer Hacking Forensic Investigator
- Disk forensics, ağ forensics, mobil adli inceleme, bulut forensics kapsamlı müfredat
- Siber saldırı soruşturması ve dijital kanıt zinciri yönetimi odaklı
- Kolluk kuvvetleri ve özel sektörde yaygın kabul
- Pratik laboratuvar ve gerçek vaka senaryoları
EnCE — EnCase Certified Examiner
- EnCase platform uzmanlığı — disk analizi ve olay soruşturması
- Mahkeme sürecinde geniş kabul gören sertifika
- Yazılı sınav + pratik inceleme sınavı
- Kolluk kuvvetleri ve kurumsal DFIR uzmanları için
GCFA / GCFE — GIAC Forensics
- GCFA: Advanced Forensic Analyst — bellek analizi, timeline, APT soruşturması
- GCFE: Forensic Examiner — Windows adli inceleme, e-keşif, yasal süreç
- SANS FOR508 / FOR500 eğitim serisiyle entegre
- Kırmızı/mavi takım soruşturma kapasitesi
CCE — Certified Computer Examiner
- Tool-bağımsız metodoloji — belirli bir yazılıma bağımlı değil
- Etik ve hukuki çerçeve bilgisi ağırlıklı
- Online pratik sınav formatı
CISM / CISSP (Bilgi Güvenliği)
- Adli bilişim uzmanlarının kurum güvenlik yönetimiyle entegrasyon kapasitesi
- Risk yönetimi, olay müdahale politikası, KVKK/GDPR uyumluluk derinliği
- Kurumsal DFIR ekiplerinde tercih edilen ek sertifika
Cellebrite CCO / CCPA
- CCO: Certified Cellebrite Operator — UFED temel operasyonel yetkinlik
- CCPA: Certified Physical Analyzer — UFED PA ileri analiz
- Mobil adli inceleme mahkeme belgesi olarak sunulabilir
- Türkiye’de emniyet ve özel sektörde yaygın
Adli Bilişim İnceleme Protokolü — Adım Adım
Mahkemeye Sunulabilir Adli Bilişim Raporu — İçerik Standardı
HMK m.293 / CMK m.67 Uyumlu Adli Bilişim Raporu — Zorunlu Bölümler
Hizmet Kapsamı
Disk Forensics — HDD, SSD, USB Adli İnceleme ve Rapor
Windows, macOS ve Linux işletim sistemi disk imajlarının write blocker ile güvenli kopyalanması; FTK Imager / Autopsy ile analizi. Silinen dosya kurtarma, şifreli bölüm analizi, Registry ve prefetch incelemesi, dosya zaman damgası manipülasyonu tespiti. CMK m.134 prosedürüne uygun adli kopya tutanağı ve hash belgesi. Ceza ve hukuk davalarında kullanılabilir teknik rapor. İletişime geçin.
Mobil Cihaz Adli İncelemesi — Android, iOS, Silinen Mesaj Kurtarma
Cellebrite UFED veya MSAB XRY ile Android/iOS adli kopya alma (logical, file system, physical seviyelerinde). WhatsApp, Signal, Telegram, Instagram gibi uygulama veritabanları analizi. Silinen mesaj, fotoğraf, video kurtarma. Konum geçmişi, arama kaydı, kişi rehberi, EXIF metadata incelemesi. Cellebrite Physical Analyzer raporuyla birlikte mahkemeye sunulabilir teknik rapor. Ceza davaları, boşanma ve iş hukuku uyuşmazlıklarında kullanılmaktadır.
Ağ ve Log Forensics — IP Tespiti, E-posta Başlık, CGNAT Analizi
Wireshark PCAP analizi, firewall ve proxy log incelemesi, e-posta başlık (header) kaynak IP doğrulaması. CGNAT ve DHCP log analizi ile IP-kullanıcı eşleştirme. Sosyal mühendislik, phishing ve hesap ele geçirme olaylarında dijital iz takibi. HTS kayıt analizi ve CGNAT çözümleme. Uzman Mütalaası İnceleme için başvurun.
HMK m.293 Uzman Mütalaası — Karşı Bilirkişi Raporu
Mahkemece atanan bilirkişi raporuna karşı tarafların başvurabileceği HMK m.293 kapsamında bağımsız uzman mütalaası hazırlanması. Mevcut bilirkişi raporundaki teknik hataların, metodoloji eksikliklerinin veya hash/write blocker protokol ihlallerinin tespiti ve raporlanması. Ceza davaları için CMK m.67 standardında ayrı uzman görüşü. Avukatlar ve sanıklar/davacılar tarafından doğrudan başvurulabilir.
Sık Sorulan Sorular
Adli bilişim uzmanlığı nedir, ne iş yapar?
Adli bilişim uzmanı, dijital cihazlar üzerindeki verileri hukuki geçerliliği koruyarak toplayan, analiz eden ve raporlayan kişidir. Görevleri: write blocker ile kaynak koruma, adli kopya ve hash alma, silinen veri kurtarma, şüpheli aktivite analizi, CMK m.67 uyarınca bilirkişi raporu düzenleme ve gerektiğinde mahkemede teknik tanıklık. Hem ceza hem hukuk davalarında, hem kamu kuruluşlarında hem de özel sektörde görev yapabilirler.
Adli bilişim raporu hangi davalarda gerekir?
Bilişim suçları (TCK m.243–245A), dijital dolandırıcılık (TCK m.158), kişisel veri ihlali (TCK m.135–136), dijital ortamda hakaret/tehdit (TCK m.125, 106), boşanma davalarında sadakatsizlik dijital delili, iş hukuku uyuşmazlıklarında şirket cihazı analizi, ticari sır çalınması, fidye yazılımı saldırıları, KVKK ihlali, sosyal medya hesabı ele geçirilmesi ve HTS/CGNAT kayıtlarına itiraz davalarında adli bilişim raporu kullanılmaktadır.
Write blocker nedir, neden kullanılır?
Write blocker, adli kopyalama sırasında kaynak cihaza (orijinal delile) herhangi bir veri yazılmasını donanım düzeyinde engelleyen araçtır. Kullanım amacı: delil bütünlüğünü korumak ve mahkemede “delile müdahale edildi” itirazını önlemek. Tableau T8-R2 veya WiebeTech gibi donanımsal write blocker’lar yazılımsal çözümlerden daha güvenilirdir. Kopyalama öncesi/sonrası SHA-256 hash değerlerinin eşleşmesi, değişiklik yapılmadığının teknik kanıtıdır.
Adli bilişim uzmanı ile bilirkişi arasındaki fark nedir?
Bilirkişi, mahkeme tarafından CMK m.63 veya HMK m.266 uyarınca resmi olarak atanan ve Adalet Bakanlığı Bilirkişilik Bölge Kurulu listesine kayıtlı kişidir. Adli bilişim uzmanı ise teknik uzmanlık unvanıdır; taraflarca HMK m.293 kapsamında uzman görüşü (mütalaa) hazırlamak üzere görevlendirilebilir. Aslan Kriminal, mahkeme atamalarında bilirkişi olarak, taraf talebiyle ise uzman mütalaası kapsamında hizmet sunmaktadır.
Silinen mesajlar adli incelemeyle kurtarılabilir mi?
Koşullara bağlı olarak büyük ölçüde mümkündür. Android cihazlarda WhatsApp veritabanı (msgstore.db) ve iOS’ta ChatStorage.sqlite, mesajlar silinse bile SQLite VACUUM yapılmadığı sürece kayıtları fiziksel olarak tutabilir. Cellebrite UFED veya MSAB XRY ile alınan fiziksel kopyada bu silinen satırlar kurtarılabilir. Fabrika sıfırlaması veya üzerine yoğun veri yazılması kurtarma olasılığını düşürür. En kısa sürede uzmanla iletişime geçilmesi başarı oranını artırır.
Disk Forensics
Mobil Adli İnceleme
Ağ Forensics
Bellek Analizi
Bulut Forensics
Write Blocker
Hash Doğrulama
CMK m.134
HMK m.293 Uzman Mütalaası
Cellebrite UFED
Adli Bilişim İzmir
Adli Bilişim Uzmanlığı Hizmeti — İzmir ve Türkiye Geneli
Disk forensics, mobil cihaz adli incelemesi, ağ/log analizi, bellek ve bulut forensics. Write blocker + SHA-256 hash ile garantili delil bütünlüğü. CMK m.134 prosedürüne uygun adli kopya, CMK m.67 ve HMK m.293 uyumlu teknik rapor. CHFI/EnCE/GCFA sertifikalı uzman kadrosu. Ceza davaları, hukuk uyuşmazlıkları ve kurumsal soruşturmalar için bağımsız adli bilişim incelemesi.