Cep Telefonu Veri Kurtarma
Cep telefonu veri kurtarma; silinen, biçimlendirilmiş (format atılmış) veya hasarlı mobil cihazlardaki verilerin, orijinal depolama birimine müdahale edilmeden adli kopya alınarak geri getirilmesi disiplinidir. Yalnızca erişilemeyen verileri bulmakla kalmaz; kurtarılan her verinin bütünlüğünü hash değeriyle kanıtlar ve mahkeme süreçlerinde kullanılabilir nitelikte raporlar. Kurtarma başarısının en kritik belirleyicisi zamandır: cihaz kullanılmaya devam ettikçe NAND flash bellekteki üzerine yazılma (overwrite) riski artar ve veri kalıcı olarak yok olabilir.
Rakip içeriklerin tamamı “silinen veriler kurtarılır, mesajlar analiz edilir” düzeyinde kalmaktadır. Bu sayfada kriminalistik bilirkişi perspektifinden cep telefonu veri kurtarmanın teknik temelleri — NAND/eMMC/UFS depolama mimarisi, overwrite mekanizması, SQLite carving yöntemi, uygulama bazlı forensik, cloud evidence ve savcılık incelemesinde aranan veri kategorileri — hukuki çerçeveyle birlikte eksiksiz ele alınmaktadır.
Silinen Veri Neden Kurtarılabilir? — NAND Flash Mimarisinin Önemi
Veri kurtarmanın mümkün olabilmesinin temelinde NAND flash belleğin çalışma mantığı yatar. Bu teknik ayrıntı tüm rakip sayfalarda tamamen eksiktir; ancak kurtarma başarı beklentisini doğru kurmak için kritiktir.
eMMC (Embedded MultiMediaCard)
En yaygın NAND flash türü. Wear leveling algoritması blok ömrünü dengeler; veriyi farklı fiziksel bloklara dağıtır. SQLite journal analizi ve unallocated block taramasıyla silinmiş veri kurtarma başarı oranı orta-yüksek düzeydedir.
UFS (Universal Flash Storage)
eMMC’ye kıyasla daha hızlı ve karmaşık mimari. Komut kuyruğu ve çift veri yolu ile daha agresif wear leveling. Silinen veri kurtarma daha zorlu; fiziksel çıkarım gereksinimi daha yüksek. Samsung, Xiaomi üst model cihazlarda yaygın.
Apple NAND + Secure Enclave
Apple’ın özel NAND çipi ve Secure Enclave donanım şifreleme birimi. Cihaz PIN’i olmadan fiziksel kurtarma içerik okunamaz. checkm8 (A11 öncesi) ile fiziksel çıkarım mümkün; A12+ modellerde çok sınırlı. Kripto-silme yöntemiyle anlık silinmiş veriler pratikte kurtarılamaz.
Veri Türü × Kurtarma Yöntemi × Başarı Faktörleri
Her veri türü farklı depolama yapısı kullanır ve farklı kurtarma yöntemi gerektirir. Aşağıdaki tablo rakiplerin hiçbirinde yer almayan teknik derinliği sunmaktadır.
| Veri Türü | Depolama Yapısı | Kurtarma Yöntemi | Başarıyı Artıran Koşullar | Kurtarmayı Zorlaştıran Koşullar |
|---|---|---|---|---|
| SMS / MMS | SQLite veritabanı (mmssms.db — Android; sms.db — iOS) | SQLite WAL ve unallocated page analizi; journal recovery; PhoneRec carving | Cihaz az kullanılmış; veritabanı VACUUM yapılmamış; fiziksel çıkarım mümkün | iOS kriptografik silme; yüksek mesaj trafiği; format atılmış cihaz |
| WhatsApp Mesajları | SQLite (msgstore.db, wa.db); medya ayrı klasör; yerel + bulut yedek | msgstore.db WAL analizi; unallocated cluster carving; yedek dosyası analizi (crypt12/crypt15) | Fiziksel çıkarım; yedek şifresi biliniyor; cihaz az kullanılmış | Şifreli crypt15 formatı; bulut yedeği yoksa; iOS Secure Enclave |
| Telegram Mesajları | SQLite cache DB (uygulama sandbox); gizli sohbet: yalnızca cihazdaki şifreli DB | Fiziksel çıkarımla cache DB; gizli sohbet için RAM analizi veya cihaz kilidi çözümü gerekir | Standart sohbet; fiziksel çıkarım; silinmeden az süre geçmiş | Gizli sohbet (pratik olarak kurtarılamaz); sunucu tarafı temizleme |
| Fotoğraf ve Videolar | DCIM klasörü + medya SQLite veritabanı; “Recently Deleted” albümü (iOS 30 gün) | Unallocated cluster file carving (PhotoRec, Autopsy); iOS Recently Deleted; EXIF metadata analizi | 30 gün içinde (iOS); fiziksel çıkarım; SD karta yazılmış medya (FAT32 kolay) | NAND wear leveling; üzerine yazılmış bloklar; video büyüklüğü nedeniyle hızlı overwrite |
| Arama Kayıtları | SQLite (call_history.db — Android; CallKit DB — iOS) | SQLite unallocated page analizi; iOS CallKit veritabanı carving | Veritabanı bütünlüğü korunmuş; fiziksel çıkarım | iOS 12+ şifreli CallKit; operatör CDR’ı alternatif kaynak olabilir |
| Konum ve GPS Verisi | GPS artefaktları (routined.db, network_location.db); uygulama konum DB’leri | Dosya sistemi çıkarımı; uygulama sandbox analizi; Google Takeout / iCloud | Konum servisi açık; Google/Apple hesabı aktif; uygulama konum izni verilmiş | Konum servisi kapalı; uygulama verisi temizlenmiş |
| Tarayıcı Geçmişi | SQLite (History.db — Chrome/Safari); cache dosyaları; IndexedDB | Uygulama DB analizi; cache carving; IndexedDB dump | Cache temizlenmemiş; fiziksel çıkarım; gizli mod kullanılmamış | Gizli mod (iz bırakmaz); tarayıcı cache temizleme |
| E-posta ve Takvim | IMAP cache (offline DB); Exchange ActiveSync; uygulama sandbox | Uygulama sandbox DB analizi; e-posta sunucusundan CMK yazısıyla talep | Offline senkronizasyon aktif; cache temizlenmemiş | Yalnızca online erişimli hesap; cache boyutu sınırlıysa eski veriler silinmiş olabilir |
Veri Kurtarma Çıkarım Seviyeleri
- iTunes/ADB backup API üzerinden
- Yalnızca aktif dosya sistemi
- Silinmiş veri: erişilmez
- Hız: En hızlı, 1–3 saat
- Araç: Cellebrite UFED, Oxygen
- Tam dosya sistemi görüntüsü
- SQLite WAL ve journal dosyaları
- Uygulama sandbox’ı dahil
- Kısmen silinmiş veri izleri
- Araç: Magnet AXIOM, Cellebrite
- Bit-by-bit tam depolama görüntüsü
- Unallocated cluster analizi
- Silinmiş veriler geri getirilebilir
- MD5/SHA-256 hash doğrulama
- iOS: checkm8 / GrayKey gerekebilir
- Hasarlı / açılmayan cihazlar
- NAND flash çipe doğrudan erişim
- Geri dönüşsüz müdahale — risk analizi zorunlu
- Su/ısı/darbe hasarlı cihazlar
- Araç: RIFF Box, Easy-JTAG
Hasarlı Cihazlarda Veri Kurtarma
Cihazın fiziksel olarak çalışmaması veri kurtarmanın imkânsız olduğu anlamına gelmez. Donanımsal hasarın türü, uygulanacak yöntemi ve başarı olasılığını belirler.
| Hasar Türü | Teknik Değerlendirme | Kurtarma Yöntemi | Başarı Olasılığı |
|---|---|---|---|
| Kırık Ekran / Dokunmatik Arızası | Anakart ve NAND flash genellikle sağlamdır; yalnızca giriş/çıkış devre dışı | OTG ile fare bağlantısı veya ADB debug modu; LCD bypass adaptörü; JTAG | Yüksek — veri sağlamsa çoğunlukla başarılı |
| Su Hasarı (Açılmayan) | Kısa devre nedeniyle anakart hasar görmüş olabilir; NAND flash çip genellikle dayanıklı | Anakart temizleme (ultrasonik yıkama) sonrası test; başarısızsa chip-off | Orta — kısa devre derecesine bağlı; hızlı müdahale başarıyı artırır |
| Yanma / Isı Hasarı | Yüzey bileşenleri hasar görmüş; NAND flash çipin ısıya dayanımı yüksek | Chip-off — çip anakarttan sökülüp özel okuyucu ile ham veri alınır | Orta-düşük — çipin yanma sıcaklığına maruz kalma süresiyle bağlantılı |
| Düşme / Darbe Hasarı | BGA lehim noktaları bozulmuş olabilir; NAND genellikle sağlam | Reflow (lehim yenileme) veya reball sonrası test; başarısızsa JTAG/chip-off | Yüksek — NAND çip fiziksel darbe almamışsa başarılı |
| Pin/Şifre Kilitli | Yazılım kilidi; donanım sağlam | iOS: checkm8 (A11 öncesi), GrayKey (LE); Android: EDL modu, ADB, üretici servis modu | Cihaz modeline ve iOS/Android sürümüne göre değişken |
| Format Atılmış Cihaz | Dosya sistemi sıfırlanmış; NAND blokları “boş” işaretli ancak veri fiziksel olarak mevcut | Fiziksel çıkarım + unallocated cluster carving; format sonrası ne kadar kullanıldığına bağlı | Orta — formatın üzerine veri yazılmamışsa yüksek |
Cloud (Bulut) Kaynaklarından Veri Kurtarma
Fiziksel cihaza erişim mümkün olmasa bile cloud backup ve platform kayıtları kritik bir alternatif sunar. Bu boyut rakiplerin hiçbirinde yer almamaktadır.
Google (Android) Cloud Kaynakları
- Google Drive Yedekleme: WhatsApp, SMS, arama kayıtları, uygulama verisi — CMK m.134 / uluslararası MLA kanalıyla Google’dan talep
- Google Zaman Çizelgesi (Maps): Konum geçmişi aylarca saklanır; varsayılan 18 ay; Google Takeout’tan kullanıcı indirerek uzman değerlendirmesine sunabilir
- Gmail / Google Fotoğraflar: Senkronize edilmiş medya ve e-posta; hesap erişimiyle veya CMK yazısıyla
- Google Hesap Aktivite Kaydı: Oturum açma zamanları, cihaz bilgisi, IP adresi; suç duyurusunda alternatif delil
Apple (iOS) iCloud Kaynakları
- iCloud Yedekleme: Mesajlar, fotoğraflar, uygulama verisi — şifresiz yedekte içerik okunabilir; şifreli yedekte parola kırılması veya Apple’dan CMK talebi gerekir
- iCloud Fotoğrafları: Senkronize edilmiş medya; silinmiş fotoğraflar 30 gün iCloud’da tutulur
- iCloud Drive: Dosya senkronizasyonu; delil niteliğindeki dökümanlar
- Apple Konum Servisleri: “Önemli Konumlar” (Significant Locations) ayarı açıksa 3+ yıllık konum istatistikleri routined.db’de
Savcılık Telefon İncelemesinde Nelere Bakılır?
Bu soru tüm “diğer sorular” listesinin en kritik AEO sorusudur ve hiçbir rakip içerikte teknik derinlikte yanıtlanmamaktadır. Savcılık, cep telefonu incelemesini farklı suç kategorilerine göre farklı önceliklerle yürütür.
| Suç Kategorisi | Öncelikli Aranan Veri | Teknik Yöntem |
|---|---|---|
| Cinayet / Şiddet | Olay öncesi-sonrası iletişim; konum zaman çizelgesi; tehdit mesajları; arama kayıtları | HTS (Hat Trafik Sorgulama) + GPS artefakt analizi + SMS/mesajlaşma forensiği |
| Uyuşturucu Ticareti | Müşteri-tedarikçi iletişim ağı; şifreli uygulama mesajları; konum örüntüsü; banka/kripto işlem kayıtları | Uygulama forensiği + iletişim ağı haritalandırması + mali kayıt çapraz doğrulama |
| Dolandırıcılık / BEC | Phishing e-postaları; sahte hesap iletişimleri; banka bildirimleri; zaman damgaları | E-posta header analizi + mesajlaşma forensiği + ekran görüntüsü metadata |
| Cinsel Suçlar (Müstehcenlik) | Medya dosyaları; paylaşım geçmişi; iletişim kanalları; silinmiş içerik | Medya forensiği + EXIF metadata + uygulama paylaşım geçmişi + hash eşleştirme (CAID/NCMEC) |
| Terör / Organize Suç | Şifreli uygulama kullanımı; grup üyelikleri; sembolik iletişim örüntüsü; finansal akış | NLJD + SIEM korelasyon + kripto cüzdan forensiği + iletişim grafiği analizi |
| Taciz / Tehdit | Mesaj içerikleri + tarih/saat; gönderen kimlik doğrulama; tekrar örüntüsü | Mesajlaşma forensiği + hesap doğrulama + ekran görüntüsü bütünlük analizi |
“CMK m.134 kapsamında şüphelinin cep telefonu incelenip telefonda ele geçirilen bilgilerin kayıt altına alınabilmesi için hâkim kararı veya hâkim onayına sunulmak üzere Cumhuriyet savcısının yazılı emrinin bulunması gerektiği, rıza bulunsa dahi şüphelilerin telefonlarının incelenip telefon içeriğindeki mesaj ve benzeri bilgilerin kayıt altına alınamayacağı…”
Adli Veri Kurtarma Süreci
-
Acil Müdahale ve Cihaz Güvenceye AlmaCihaz teslim alınır; güç durumu (açık/kapalı), fiziksel hasar ve pin kilidi durumu kayıt altına alınır. Açık cihaz: uçak moduna alınarak ağ bağlantısı kesilir — uzaktan silme (remote wipe) koruması. Kapalı cihaz: güç verilmeden hash hesaplanabilecek duruma getirilir. Cihaza ait tüm kablo, SIM ve hafıza kartı birlikte teslim alınır.
-
Adli Kopya ve Hash DoğrulamaWrite-blocker veya yazılım kilidi aracılığıyla orijinal cihaza sıfır veri yazımıyla bit-by-bit kopya alınır. MD5 ve SHA-256 hash değerleri hem orijinal hem kopya için hesaplanır; eşleşme tutanağa işlenir. Bu adım gerçekleştirilmeden yapılan her analiz kriminalistik standarda göre geçersizdir ve savunma avukatı itiraz konusu yapabilir.
-
Çıkarım Seviyesi SeçimiCihazın teknik durumuna göre mantıksal, dosya sistemi veya fiziksel çıkarım uygulanır. Hasarlı cihazlar için JTAG veya chip-off risk-fayda analizi yapılır; risk onayı alındıktan sonra donanım müdahalesi gerçekleştirilir.
-
SQLite Carving ve Unallocated AnaliziFiziksel görüntü üzerinde unallocated (boş işaretlenmiş) bloklar dosya başlığı imzalarıyla (file signature carving) taranır. SQLite veritabanlarında WAL (Write-Ahead Log) ve journal dosyaları incelenerek silinmiş kayıtlar geri getirilir. Uygulama sandbox veritabanları — msgstore.db, call_history.db, History.db — ayrı ayrı analiz edilir.
-
Zaman Çizelgesi ve Konum AnaliziKurtarılan veriler zaman damgasına göre kronolojik sıralanır. GPS artefaktları, baz istasyonu CDR ve Wi-Fi bağlantı geçmişi çapraz doğrulanarak olayın coğrafi-zamansal çerçevesi oluşturulur. İletişim ağı (kişiler, grup üyelikleri, arama yoğunluğu) görselleştirilir.
-
Raporlama — CMK m.63 veya HMK m.293 FormatıTüm bulgular; kullanılan araç ve sürümü, çıkarım metodolojisi, hash değerleri, kurtarılan veri listesi ve zaman çizelgesiyle birlikte raporlanır. Savcılık kanalıyla gelen talepler için CMK m.63 bilirkişi raporu, tarafça sunulmak üzere HMK m.293 uzman mütalaası formatı kullanılır. Her iki formatta da rapor yeniden üretilebilir (reproducible) nitelikte belgelenir.
Hizmet Kapsamı
Silinmiş Veri Kurtarma — SQLite Carving ve Unallocated Analizi
Fiziksel çıkarım görüntüsü üzerinde SQLite WAL/journal recovery ve unallocated cluster carving yöntemiyle silinmiş SMS, WhatsApp mesajı, arama kaydı, fotoğraf ve uygulama verisi kurtarma. Başarı oranı cihazın kullanım yoğunluğuna ve çıkarım seviyesine bağlı olup ön değerlendirmede teknik sınırlar şeffaf biçimde aktarılır. Tüm kurtarılan veriler MD5/SHA-256 hash değeriyle belgelenir.
Hasarlı Cihaz Veri Kurtarma — JTAG ve Chip-off
Ekranı kırık, su hasarlı, yanmış veya açılmayan cihazlar için donanım düzeyinde kurtarma. JTAG yöntemiyle debug arayüzü bağlantısı veya chip-off ile NAND flash çipinin doğrudan okunması. Her müdahale öncesinde risk-fayda analizi yapılır; geri dönüşsüz müdahale kararı birlikte alınır. ISP (In-System Programming) de değerlendirilen seçenekler arasındadır.
Uygulama Forensiği — WhatsApp, Telegram, Signal, Instagram
Mesajlaşma uygulamalarına özgü veritabanı analizi. WhatsApp msgstore.db crypt12/crypt15 şifre çözümü, Telegram cache DB, Signal SQLCipher ve Instagram DM cache. Grup üyelikleri, medya paylaşımları, iletişim ağı haritası ve zaman çizelgesi çıkarımı. Her uygulama için ayrı bulgular bölümü içeren raporlama.
Cloud Evidence — Google ve iCloud Kayıt Analizi
Kullanıcı hesap erişimiyle Google Takeout veya iCloud indirmesi alınarak konum geçmişi, yedekleme içeriği, e-posta ve medya analizi. CMK kanalıyla resmi platform talebi yazısı hazırlanması. Google Zaman Çizelgesi (Maps konum geçmişi), iCloud Significant Locations ve uygulama cloud kayıtlarının adli süreçte değerlendirilmesi.
CMK m.134 Uyumlu Adli Kopya ve Bilirkişi Raporu
Write-blocker ile sıfır müdahale adli kopya, MD5/SHA-256 hash doğrulama ve zincir muhafaza belgesi. CMK m.63 kapsamında mahkeme bilirkişisi veya HMK m.293 uzman mütalaası formatında tam metodoloji raporu. Savunma veya iddia makamının talebiyle dava dosyasına eklenebilir nitelikte hazırlanır.
Sık Sorulan Sorular
Cep telefonu adli incelemesinde tüm veriler kurtarılır mı?
Hayır, tüm verilerin kurtarılması garanti edilemez. Başarı üç kritik faktöre bağlıdır: (1) Üzerine yazılma durumu — cihaz ne kadar az kullanılmışsa şans o kadar yüksektir. (2) Depolama mimarisi — iOS Secure Enclave ile şifreli cihazlarda fiziksel kurtarma mümkün olsa bile içerik okunamayabilir. (3) Hasar türü — chip-off gerektiren vakalarda çipin durumu belirleyicidir. Cihazı teslim etmeden önce kullanmaya devam etmek kurtarma şansını ciddi biçimde düşürür.
Cep telefonu kriminal inceleme ne kadar sürer?
İnceleme türüne göre: mantıksal çıkarım ve temel analiz 1–3 iş günü; dosya sistemi + uygulama forensiği 3–7 iş günü; fiziksel çıkarım ve SQLite carving 5–10 iş günü; hasarlı cihaz chip-off veya JTAG 7–15 iş günü sürebilir. Acil savcılık talepleri önceliklendirilir. Süre kesin olarak ön değerlendirme sonrasında belirlenir.
Veri kurtarma kaç TL?
Ücret; cihazın marka-modeli, hasar durumu, çıkarım seviyesi (mantıksal / fiziksel / chip-off) ve istenen kurtarma kapsamına göre değişir. Adli kriminalistik rapor (CMK m.134 veya HMK m.293) formatı eklendiğinde fiyatlandırma farklılaşır. Ön değerlendirme ücretsizdir; teknik inceleme sonrasında net fiyat ve süre tahmini bildirilir.
Savcılık telefon incelemesinde nelere bakılır?
Savcılık öncelikli olarak şu veri kategorilerini inceler: (1) İletişim kayıtları — arama geçmişi, SMS ve mesajlaşma uygulamaları (zaman damgasıyla birlikte). (2) Konum zaman çizelgesi — GPS artefaktları, HTS (baz istasyonu geçmişi) ve Wi-Fi konum izleri. (3) Uygulama etkinliği — WhatsApp, Telegram, Signal mesajları; grup üyelikleri; medya. (4) Silinmiş içerik — olayın öncesine veya sonrasına ait silinmiş mesaj, fotoğraf ve aramalar. (5) Kronolojik zaman çizelgesi — ekran açma-kapama, uygulama başlatma ve konum geçişleri. CMK m.134 kapsamında tüm bu veriler yalnızca hâkim kararıyla elde edilebilir; rıza tek başına yeterli değildir (Yargıtay 2025).
Suya düşen veya kırık telefonden veri kurtarılabilir mi?
Evet, çoğu durumda mümkündür. Ekranı kırık cihazlarda JTAG ile doğrudan hafıza bağlantısı sağlanabilir. Su hasarlı cihazlarda anakart ultrasonik yıkama sonrası çalışabilirse standart çıkarım; çalışmazsa chip-off yöntemi uygulanır. En kritik uyarı: suya düşen cihazı şarj etmeye veya açmaya çalışmayın — kısa devre NAND çipi kalıcı olarak yok edebilir. Cihazı kuru tutun ve en kısa sürede uzmana teslim edin.
Silinmiş Mesaj Kurtarma
Adli Bilişim İncelemesi
SQLite Carving
WhatsApp Forensik
Hasarlı Telefon Chip-off
Cloud Evidence
CMK m.134 Adli Kopya
Savcılık Telefon İncelemesi
Cep Telefonu Veri Kurtarma ve Adli Bilişim İncelemesi
Silinmiş veri kurtarma, hasarlı cihaz forensiği, WhatsApp-Telegram uygulama analizi, cloud evidence değerlendirmesi veya CMK m.134 uyumlu kriminalistik bilirkişi raporu için uzman ekibimizle iletişime geçin.