Dijital Delil İnceleme
Dijital delil, elektronik ortamda üretilen, saklanan veya iletilen ve hukuki süreçlerde ispat aracı olarak kullanılabilen her türlü veridir. Bilgisayarlar, akıllı telefonlar, bulut sistemleri, araç içi bilgisayar (EDR/OBD) ve IoT cihazları birer dijital delil kaynağıdır. CMK m.134 kapsamında elde edilmesi için hâkim kararı, write blocker kullanımı ve hash değeri doğrulaması zorunludur.
Hukuka aykırı yollarla elde edilen dijital delil — usulsüz arama, write blocker kullanılmaması veya zincir muhafaza (chain of custody) ihlali — CMK m.206/2-a ve Anayasa m.38 gereği delil değerlendirme yasağına tabi tutulur ve hükme esas alınamaz. Bu sayfa rakip sayfaların hiçbirinde bir arada bulunmayan teknik ve hukuki boyutları bütünleşik olarak ele almaktadır.
Dijital Delil Nedir? — Tanım, Türleri ve Hukuki Statüsü
Dijital delil; yalnızca dosya ve klasörlerle sınırlı değildir. Bir cihazın ürettiği her türlü elektronik iz — mesaj geçmişi, konum verisi, sistem log kayıtları, silinen dosya kalıntısı, ağ trafiği kaydı, bulut yedeklemesi — potansiyel dijital delil niteliği taşır. Yargıtay içtihadına göre CMK m.134’teki “bilgisayar” kavramı, akıllı telefonlar, tabletler ve GPS cihazlarını da kapsar.
| Dijital Delil Türü | Örnek Kaynaklar | Hukuki Kullanım Alanı | Elde Etme Yöntemi |
|---|---|---|---|
| Dosya ve Doküman Verileri | Belgeler, tablolar, PDF’ler, görseller; silinmiş ve gizlenmiş dosyalar | Sahtecilik, zimmete geçirme, iş hukuku uyuşmazlıkları | Disk imajı + dosya sistemi analizi + file carving |
| İletişim Kayıtları | E-posta, SMS, WhatsApp, Telegram, Signal, sosyal medya DM | Tehdit, dolandırıcılık, hakaret, iş sırları sızdırma | Cihaz imajı; uygulama veritabanı analizi; msgstore.db |
| Konum ve Hareket Verisi | GPS log, araç EDR, Google Maps geçmişi, baz istasyonu kaydı | Trafik kazası kusur tespiti, suç yerinde bulunma | Cihaz forensik; araç EDR okuma; HTS kaydı korelasyonu |
| Sistem ve Ağ Log Kayıtları | Windows Event Log, Linux Syslog, router log, firewall kaydı | Siber saldırı tespiti, yetkisiz erişim, iç tehdit | Log toplama; zaman damgası doğrulama; korelasyon analizi |
| Finansal ve İşlem Verileri | Banka logu, kripto işlem geçmişi, e-ticaret kaydı, ERP verisi | Vergi kaçakçılığı, kara para aklaması, zimmet | Veritabanı adli analizi; blockchain explorer; log extraction |
| Görüntü ve Ses Kayıtları | CCTV kaydı, dashcam videosu, ses kaydı, fotoğraf EXIF | Kaza tespiti, tehdit kanıtı, sahte içerik tespiti | Hash doğrulama; EXIF metadata analizi; video bütünlük kontrolü |
| Bulut ve Uzak Depolama | Google Drive, OneDrive, iCloud, Dropbox, S3 bucket log | Ticari sır hırsızlığı, veri sızdırma, veri ihlali | Yasal talep + servis sağlayıcı yanıtı; cihaz token analizi |
| Canlı Sistem Verisi (RAM) | Çalışan işlemler, şifreleme anahtarları, oturum token’ları | Fidye yazılımı soruşturması; canlı saldırı tespiti | Live forensics — cihaz kapatılmadan RAM dökümü |
| IoT ve Giyilebilir Cihaz | Akıllı saat, kapı kilidi, güvenlik kamerası, akıllı EV | Cinayet, hırsızlık, gasp, yerinde bulunma kanıtı | Cihaz firmware analizi; bulut API log talebi |
| Araç İçi Bilgisayar (EDR) | Hız, fren, hava yastığı tetiklenme, ABS verisi, OBD logu | Trafik kazası kusur tespiti, sigorta tazminatı | OBD/EDR adli okuma cihazı; üretici veri talep prosedürü |
CMK m.134 Şartları: Teknik ve Hukuki Boyutu Birlikte
Dijital delile yasal yoldan ulaşmanın temel dayanağı CMK m.134’tür. Ancak pek çok hukuk sayfasının teknik boyutunu, pek çok teknik sayfanın ise hukuki boyutunu eksik bıraktığı bu konu, delil geçerliliği açısından kritik öneme sahiptir.
- Kuvvetli şüphe: Suç işlendiğine dair somut delile dayalı kuvvetli şüphe — soyut ihtimal yeterli değil; mevcut bulgular somut olarak gösterilmeli
- Subsidiarilik ilkesi: Başka yollarla delile ulaşmanın mümkün olmaması veya ciddi ölçüde güçleşmesi — diğer delil yolları tükenmeli
- Hâkim kararı: Kural olarak sulh ceza hâkiminin yazılı kararı şart; gecikmesinde sakınca bulunan durumlarda savcı kararıyla başlanabilir — 24 saat içinde hâkim onayı alınmazsa işlem geçersizleşir
- Şifre çözümü: Sistemin şifreli olması halinde şifre bilgisinin elde edilmesi için ayrıca dönüştürme kopyası alınabilir
- Silinmiş veri tespiti: Arama sırasında silinen verilerin tespiti ve kopyalanması mümkündür — ancak bu da yazılı karar kapsamında kalmalı
- Write blocker kullanımı: Orijinal cihaza tek bit yazılmadan imaj alınması zorunludur — donanımsal write blocker (Tableau, WiebeTech) tercih edilir; yazılımsal alternatifler risklidir
- Hash değeri hesabı: Alınan imajın MD5 ve SHA-256 hash değerleri hesaplanıp kaydedilmeli; orijinal cihaz hash değeriyle karşılaştırılmalı — bütünlük kanıtı
- Zincir muhafaza kaydı: Cihazın hangi kişiden kime teslim edildiği, her el değişiminde imzalı tutanakla belgelenmeli
- Orijinal cihaz koruması: Faraday torbaya alınarak sinyal izolasyonu sağlanmalı — uzaktan silme (remote wipe) riskine karşı
- RAM dökümü (canlı delil): Cihaz çalışır haldeyse kapatmadan önce RAM içeriği toplanmalı — şifreleme anahtarları, oturum token’ları RAM’de bulunur ve cihaz kapandığında kaybolur
Write Blocker Nedir? Hash Doğrulama ile Delil Bütünlüğü Nasıl Sağlanır?
Write Blocker — Neden Zorunludur?
- Bir cihaz bilgisayara bağlandığında işletim sistemi disk üzerine otomatik yazma işlemleri gerçekleştirir — erişim zamanları (access time) güncellenir, thumbnail önbellekleri yazılır, swap dosyaları oluşur
- Write blocker, bu yazma komutlarını fiziksel olarak engeller; cihaz salt okunur modda incelenir
- Donanımsal write blocker (Tableau T8-R2, WiebeTech Forensic UltraDock): En güvenilir yöntem — USB, SATA, NVMe ve PCIe destekli modeller mevcuttur
- Yazılımsal write blocker: Linux hdparm -r1 veya Windows registry düzenlemesi — donanımsala göre riski daha yüksektir; adli incelemede donanımsal tercih edilir
- Write blocker kullanılmaması delil bütünlüğünü tahrip eder; karşı taraf “delil manipüle edildi” itirazıyla kaydı mahkemeden dışlatabilir
- Mobil cihazlarda Faraday torbası da bir tür “yazma koruması”dır — ağ sinyalini keserek uzaktan silme saldırısını engeller
Hash Doğrulama — MD5 ve SHA-256
- Hash nedir? Bir dosya veya disk imajının benzersiz parmak izidir; içerik tek bit değişse bile hash tamamen farklı çıkar
- MD5 (128 bit): Hızlı; çakışma saldırısına teorik açıklık var — adli bilişimde tek başına yeterli değil
- SHA-256 (256 bit): Mevcut donanımla pratik çakışma yok; adli bilişim standardı; Yargıtay kararlarında SHA-256 tercih edilmektedir
- Uygulama: İmaj alındıktan hemen sonra hash hesaplanır; orijinal cihaz hash’iyle karşılaştırılır; tutarlıysa imaj bütünlüklüdür
- sha256sum imaj_dosyası.E01 veya adli yazılım (FTK, Autopsy) otomatik olarak hesaplar
- Hash değeri adli rapora ve zincir muhafaza kaydına eklenir; mahkemede delil bütünlüğünün kanıtıdır
- İnceleme öncesi ve sonrası hash değerlerinin eşleşmesi, inceleme sürecinde delile dokunulmadığını kanıtlar
Zincir Muhafaza (Chain of Custody) Protokolü — Adım Adım
Dijital delil ne kadar teknik açıdan sağlam olursa olsun, belgelenmemiş veya kesintili bir zincir muhafaza kaydı, delili mahkemede tartışmalı hale getirir. Zincir muhafaza her el değişimini ve her işlem adımını belgeleyen denetim kaydıdır.
-
İlk Temas — Olay Yeri Tespiti ve Fiziksel GüvenceDijital delil kaynağı olan cihaz tespit edilir. Cihaz çalışıyorsa RAM dökümü alınır — kapatmadan önce bu adım atlanırsa şifreleme anahtarları ve oturum token’ları kalıcı olarak kaybolur. Mobil cihazlar Faraday torbaya alınır; ağ sinyali kesilir. Cihazın fiziksel durumu (hasar, güç durumu, bağlı kablolar) fotoğraf ve videoyla belgelenir. Tarih-saat, konum ve belgeleyenin kimliği kayıt altına alınır.
-
Paketleme ve EtiketlemeHer cihaz ayrı, antistatik torba veya Faraday torbaya konulur. Üzerine benzersiz kanıt numarası (örn: K-2025-001), dava numarası, tarih, teslim eden kişi bilgisi ve mühür etiketi yapıştırılır. Mühür bütünlüğü bozulmadan açılması durumunda iz bırakacak şekilde sağlanır — kurcalama önleyici bant.
-
Teslim ve El Değişimi KaydıCihaz savcılık, polis veya adli bilişim uzmanına teslim edilirken imzalı tutanak düzenlenir. Tutanakta: teslim eden kişi, teslim alan kişi, tarih-saat, cihaz seri numarası ve kanıt etiketi numarası yer alır. Her sonraki el değişiminde bu kayıt zincirine yeni satır eklenir. Zincirin herhangi bir halkası belgelenmemişse, savunma “delil manipüle edilmiş olabilir” itirazını gündeme getirebilir.
-
Adli İmaj Alma — Write Blocker + HashWrite blocker üzerinden disk veya mobil cihaz imajı alınır. FTK Imager, dd, dcfldd veya Cellebrite UFED gibi adli yazılımlarla sektör-düzeyinde (sector-by-sector) tam kopyalama yapılır. İmaj tamamlandığında MD5 ve SHA-256 hash değerleri hesaplanır; orijinal cihaz hash’iyle karşılaştırılır; tutarlılık adli raporun ekine eklenir. Orijinal cihaz artık dokunulmadan saklanır; tüm inceleme imaj üzerinden yürütülür.
-
Analiz ve Raporlamaİmaj üzerinde inceleme gerçekleştirilir — orijinal delil değiştirilmez. İnceleme öncesi ve sonrası hash değerleri yeniden karşılaştırılır; eşleşme doğrulanır. Bulgular adli rapora yazılır: hangi metodoloji kullanıldı, hangi araçlar uygulandı, hangi bulgular elde edildi, hangi dosyalar ne koşulda kurtarıldı — her adım denetlenebilir şekilde belgelenir.
-
Saklama ve Mahkemeye SunuşOrijinal cihaz ve imaj güvenli ortamda muhafaza edilir; erişim log’u tutulur. Mahkemeye sunuş aşamasında zincir muhafaza kaydının tamamı, hash değerleri ve adli rapor birlikte sunulur. Karşı taraf bilirkişisi, aynı hash değerini başka bir incelemeyle doğrulayarak bağımsız doğrulama yapabilir — bu denetlenebilirlik adli bilişimin temel kalite ölçütüdür.
Cihaz Bazlı Dijital Delil Analizi
Windows, macOS, Linux Sistemler
- Disk imajı: FTK Imager, dd — sektör bazlı tam kopya
- Dosya sistemi: NTFS (MFT, $LogFile, $UsnJrnl), ext4, APFS
- Silinen dosya kurtarma: file carving + dosya sistemi analizi
- Windows artefaktlar: Prefetch, Shellbags, LNK dosyaları, Registry hive’ları, Amcache, SRUM
- Browser geçmişi: SQLite veritabanı — Chrome, Firefox, Edge
- BitLocker/VeraCrypt şifreli disk: RAM’den anahtar çıkarma
- Araç: FTK, Autopsy, Belkasoft Evidence Center, X-Ways
Android ve iOS Forensik
- Fiziksel imaj: Cellebrite UFED veya MSAB XRY ile tam disk kopyası
- Mantıksal çıkarım: yedekleme dosyaları üzerinden hızlı analiz
- WhatsApp: msgstore.db SQLite analizi — silinen mesajlar dahil
- iOS: iTunes yedek şifre çözümü; iCloud yedek analizi
- Android: root gerektiren ve gerektirmeyen çıkarım yöntemleri
- Konum: Google Takeout, Apple Location History, EXIF GPS
- Faraday torbası ile uzaktan silme önleme — kritik ilk adım
Google, Apple, Microsoft, Dropbox
- Yasal talep (Legal Process): servis sağlayıcıya resmi başvuru — savcılık yazısı veya CMK m.134 kararı
- Cihaz token analizi: cihaz üzerindeki OAuth token ile bulut içeriğine erişim
- Google Takeout: kullanıcı verilerinin export analizi
- Microsoft 365 Compliance Center: e-posta ve dosya audit logu
- Metadata korunması: bulut sağlayıcının log saklama süresi (genellikle 90–180 gün)
- Zaman kaybı kritik — bulut logları kısa süre tutulur; acil talep gerekebilir
Olay Veri Kaydedici ve OBD
- EDR (Event Data Recorder): çarpışma öncesi 3–10 saniyelik hız, frenleme, direksiyon açısı, emniyet kemeri durumu, ABS aktivasyonu
- OBD-II port logu: motor arıza kodları, sürüş profili
- Araç GPS tracker logu: konum geçmişi, hız, duraklamalar
- CDR (Crash Data Retrieval) yazılımı ile okuma: Bosch, Ford, GM destekli
- Araç markası başvurusu: bazı veriler yalnızca üretici aracılığıyla erişilebilir
- Trafik kazası kusur tespiti, sigorta tazminatı davalarında belirleyici
Log Analizi ve Ağ Forensiği
- Windows Event Log: Oturum açma (ID 4624/4625), dosya erişimi, PowerShell komutları
- Linux Syslog / Auditd: süreç oluşturma, ağ bağlantısı, dosya değişikliği
- Firewall ve proxy logu: kaynak IP, hedef, zaman damgası, protokol
- PCAP (Paket yakalama): ağ trafiği içerik analizi — Wireshark
- SIEM korelasyonu: çoklu log kaynağından anomali tespiti
- Log imha girişimi tespiti: Windows log temizleme olayı (ID 1102) adli kanıt
Akıllı Cihazlar ve Güvenlik Sistemleri
- CCTV DVR/NVR: video dosyası hash doğrulaması; zaman senkronizasyonu analizi; silinmiş kayıt kurtarma
- Akıllı kapı kilidi: erişim log’u — kimin, ne zaman açtığı
- Akıllı saat: adım sayacı, uyku verisi, kalp atışı — yerinde bulunma ve hareket kanıtı
- Akıllı TV ve hoparlör: ses aktivasyon logu; bulut senkronizasyon kaydı
- Güvenlik kamerası bulut logu: uzaktan erişim ve izleme kayıtları
Metadata Analizi: EXIF, Zaman Damgası ve Coğrafi Konum
Metadata, görünür içeriğin arkasındaki veri katmanıdır. Bir fotoğrafın “ne zaman, nerede, hangi cihazla çekildiği”; bir belgenin “kim tarafından, hangi bilgisayarda, hangi tarihte oluşturulduğu” — tümü metadata ile izlenebilir. Sahtecilik tespitinde, olay zamanı tespitinde ve alibi denetiminde belirleyici rol oynar.
Sosyal Medya ve WhatsApp Yazışmalarının Delil Geçerliliği
WhatsApp Delil Değeri — Teknik Boyut
- msgstore.db: WhatsApp mesajları Android cihazda SQLite veritabanı dosyasında saklanır; adli yazılımla açılarak mesaj içeriği, tarih, saat, gönderici, silinmiş mesajlar ve ek dosyalar çıkarılabilir
- iOS: ChatStorage.sqlite dosyası; iPhone yedek şifresi çözülürse mesaj geçmişi eksiksiz elde edilebilir
- Silinen mesajlar: SQLite veritabanının silinmiş kayıt bloklarında kalıntı veri kalabilir; file carving ile kısmi kurtarma mümkün
- Yedekleme dosyası: Google Drive veya iCloud yedekleri üzerinden geçmiş mesajlar elde edilebilir — yasal talep veya cihaz token’ıyla
- Uçtan uca şifreleme: Meta sunucularında içerik şifreli saklanır; içeriğe ancak cihaz üzerinden veya yedek dosyaları aracılığıyla erişilir
Mahkemede WhatsApp ve Sosyal Medya — Yargıtay Tutumu
- Ekran görüntüsü tek başına: Yargıtay, manipülasyon riski nedeniyle salt ekran görüntüsünü zayıf delil olarak değerlendirir — karşı tarafça kolayca itiraz konusu yapılır
- Güçlü delil için: Cihazdan adli imaj alınması, msgstore.db analizi, hash değeri belgesi ve adli bilişim uzmanı raporu gerekir
- Sosyal medya (Twitter/X, Instagram, Facebook): Servis sağlayıcıdan yasal talep mümkündür; profil içerikleri savcılık yazısıyla istenebilir — ancak içerik kısa süre tutulur
- Ekran görüntüsü + noter: Bazı mahkemelerde noter onaylı ekran görüntüsü güçlendirici unsur olarak kabul edilmektedir; ancak adli bilişim raporu hâlâ en güvenilir yoldur
- Zaman damgası tutarlılığı: Mesaj tarihi ile sunucu log tarihi örtüşmüyorsa delil güvenilirliği zedelenir
Yargıtay İçtihadı — CMK m.134 ve Dijital Delil Kararları
Hâkim Kararı Olmaksızın Arama
Yargıtay Ceza Genel Kurulu, savcının “gecikmesinde sakınca var” kararıyla başlanan dijital aramada, 24 saat içinde hâkim onayı alınmayan durumlarda elde edilen delili hukuka aykırı saymaktadır. Bu delil, CMK m.206/2-a uyarınca duruşmada reddedilir.
Akıllı Telefon “Bilgisayar” Kapsamındadır
Yargıtay, CMK m.134’teki “bilgisayar” kavramının yalnızca masaüstü/dizüstü bilgisayarları değil, dijital veri işleme kapasitesine sahip tüm cihazları (akıllı telefon, tablet, GPS cihazı) kapsadığına hükmetmekte — bu cihazlar için de ayrıca CMK m.134 kararı gereklidir.
Ekran Görüntüsü Tek Başına Zayıf Delil
Yargıtay kararlarında WhatsApp ekran görüntüsü, karşı tarafın inkâr etmesi halinde tek başına hükme esas alınamamaktadır. Delil değeri kazanması için cihaz üzerinde adli inceleme ve uzman raporu ile desteklenmesi gerekmektedir.
Arama Kararı Kapsamı Aşılamaz
Hâkim kararında yalnızca belirli suç kapsamında arama yetkisi verilmişse, arama sırasında tesadüfen elde edilen başka suç bulgularının kullanılabilmesi için “tesadüfen elde edilen delil” prosedürünün (CMK m.138) işletilmesi gerekir. Kapsam dışı aramadan elde edilen delil hukuka aykırı sayılır.
Kullanılan Adli Bilişim Araçları
FTK (Forensic Toolkit)
AccessData/Exterro. Disk imajı, dosya sistemi analizi, e-posta inceleme, hash kataloglaması. Mahkeme raporlarında en yaygın referans araç.
Cellebrite UFED
Mobil cihaz forensiği endüstri standardı. Fiziksel-mantıksal-dosya sistemi çıkarım; 30.000+ cihaz desteği; silinen mesaj kurtarma.
Autopsy / TSK
Açık kaynak disk forensik platformu. NTFS/FAT/ext4/APFS; timeline analizi; keyword search; hash filtering. Ücretsiz adli bilişim eğitim standardı.
Belkasoft Evidence Center
Sosyal medya ve mesajlaşma uygulaması analizi. WhatsApp, Telegram, Signal veritabanı; bulut forensik; Rus pazarı kökenli, kapsamlı mobil destek.
Volatility Framework
RAM (bellek) adli analizi. Çalışan işlemler, ağ bağlantıları, şifreleme anahtarları, malware kalıntısı — canlı delil analizi standardı.
Wireshark
Ağ paketi analizi. PCAP dosyası inceleme; protokol ayrıştırma; şüpheli trafik tespiti; siber saldırı soruşturması.
MSAB XRY
Cellebrite’ın rakibi. İskandinav menşeli; drone, GPS ve özel donanım forensiği konusunda güçlü. Avrupa mahkemeleri referans alır.
Tableau Write Blocker
Donanımsal write blocker endüstri standardı. USB 3.0, SATA, NVMe, PCIe desteği. Delil bütünlüğünün temel güvencesi.
Hizmet Kapsamı
CMK m.134 Uyumlu Dijital Delil Toplama ve İmaj Alma
Write blocker ile sektör-düzeyinde disk imajı; MD5+SHA-256 hash doğrulama; Faraday torbası ile mobil cihaz izolasyonu; RAM dökümü (canlı delil). Cihaz türüne göre: bilgisayar (NTFS/ext4/APFS), akıllı telefon (iOS/Android), sunucu (Windows/Linux), araç içi EDR. Zincir muhafaza tutanağı ve adli rapor formatında belgeleme. Savcılık ve mahkeme bilirkişisi koordinasyonu. İletişime geçin.
Sosyal Medya, WhatsApp ve Mesajlaşma Uygulaması Delil Analizi
WhatsApp msgstore.db / ChatStorage.sqlite analizi; silinen mesaj kurtarma; iOS yedek şifre çözümü ve analizi; Telegram, Signal, e-posta veritabanı incelemesi; sosyal medya profil arşivleme ve metadata doğrulama. Yargıtay içtihadına uygun format; hash değeri ve zincir muhafaza kayıtlı adli rapor. Tehdit, dolandırıcılık, hakaret, ticari sır sızdırma davalarında kullanıma uygun.
Metadata ve Dosya Bütünlüğü Analizi — Sahte Belge Tespiti
EXIF metadata analizi (GPS, zaman, cihaz); Word/Excel/PDF gizli metadata çıkarma; zaman damgası tutarsızlığı tespiti; sahte belge üretim tarihi analizi; dijital fotoğraf manipülasyon tespiti (clone detection, JPEG error level analysis). Sahtecilik, belge tahrifi ve delil manipülasyonu iddialarında HMK m.293 uzman mütalaası formatında rapor.
Mevcut Adli Bilişim Raporuna Teknik İtiraz — HMK m.293
Savcılık veya mahkeme bilirkişisinin dijital delil raporundaki metodoloji hataları (write blocker kullanılmaması, hash doğrulama eksikliği, zincir muhafaza ihlali, yanlış araç kullanımı) için teknik gerekçeli karşı görüş. CMK m.206 ve Anayasa m.38 kapsamında delil kabul/ret değerlendirmesi. Acil duruşma takvimine uygun teslim imkânı.
Sık Sorulan Sorular
Dijital delil nedir ve hangi cihazlardan elde edilir?
Dijital delil; elektronik ortamda üretilen, saklanan veya iletilen ve hukuki süreçlerde ispat aracı olarak kullanılabilen her türlü veridir. Bilgisayarlar, akıllı telefonlar, tabletler, sunucular, bulut sistemleri, araç içi bilgisayar (EDR/OBD), CCTV DVR/NVR, akıllı saatler ve IoT cihazları dijital delil kaynağı olabilir. Yargıtay içtihadına göre CMK m.134 kapsamındaki “bilgisayar” kavramı, dijital veri işleme kapasitesine sahip tüm cihazları — akıllı telefonlar, GPS cihazları dahil — kapsar.
CMK m.134 kapsamında dijital delil nasıl elde edilir?
CMK m.134 kapsamında dijital arama için: (1) suç işlendiğine dair somut delile dayalı kuvvetli şüphe, (2) başka yollarla delile ulaşmanın mümkün olmaması ve (3) hâkim kararı şartlarının birlikte bulunması gerekir. Gecikmesinde sakınca bulunan durumlarda savcı kararıyla başlanabilir; ancak 24 saat içinde hâkim onayı alınmazsa işlem geçersizleşir. Teknik boyutta write blocker ile imaj alınması, hash değeri hesabı ve zincir muhafaza kaydı zorunludur.
Write blocker nedir ve neden kullanılması zorunludur?
Write blocker, incelenen cihaza tek bit dahi yazılmadan imaj alınmasını sağlayan donanımsal araçtır. Bir cihaz bilgisayara doğrudan bağlandığında işletim sistemi otomatik olarak erişim zamanlarını günceller, thumbnail önbellekleri yazar — bu delil bütünlüğünü tahrip eder. Write blocker bu yazma komutlarını engeller; orijinal cihaz değişmeden kalır. Kullanılmaması halinde karşı taraf “delil manipüle edilmiş olabilir” itirazıyla kaydı mahkemeden dışlatabilir.
WhatsApp yazışmaları mahkemede delil sayılır mı?
Yargıtay içtihadına göre salt ekran görüntüsü, karşı tarafın inkârı halinde tek başına hükme esas alınamaz. Güvenilir dijital delil için: cihazdan adli imaj alınması, msgstore.db (Android) veya ChatStorage.sqlite (iOS) dosyasının adli yazılımla analiz edilmesi, hash değeri ile bütünlük belgelenmesi ve adli bilişim uzmanı raporu gerekir. Bu koşullar sağlandığında silinen mesajlar dahil WhatsApp yazışmaları güçlü dijital delil oluşturur.
Hukuka aykırı dijital delil mahkemede nasıl değerlendirilir?
Hukuka aykırı yollarla elde edilen dijital delil — hâkim kararı olmaksızın arama, write blocker kullanılmaması, zincir muhafaza ihlali — Anayasa m.38/6 ve CMK m.206/2-a kapsamında delil değerlendirme yasağına tabi tutulur. Yargıtay, bu tür delilin hükme esas alınamayacağını, hatta karar gerekçesinde dahi yer alamayacağını vurgulamaktadır. Karşı taraf, mevcut adli rapora HMK m.293 uzman mütalaası ile teknik itiraz yaparak delilin dışlanmasını talep edebilir.
Silinen dijital veriler kurtarılabilir mi?
Büyük ölçüde evet — üzerine yeni veri yazılmamış olması koşuluyla. Dosya sistemi, silinen dosyanın bloklarını “boş” olarak işaretler; fiziksel bloklar yerinde kalır. File carving yöntemiyle dosya imzaları (JPEG, DOCX, MP4, SQLite başlıkları) taranarak parçalar birleştirilir. WhatsApp’ta silinen mesajlar msgstore.db’nin silinmiş kayıt bloklarında kalıntı olarak bulunabilir. Silme işleminin üzerinden geçen süre ve cihazın kullanılıp kullanılmaması başarı oranını doğrudan etkiler.
CMK 134 Dijital Arama
Zincir Muhafaza Protokolü
Write Blocker
Hash Doğrulama MD5 SHA256
WhatsApp Delil Analizi
Metadata EXIF Analizi
Adli Bilişim Araçları
Hukuka Aykırı Delil
HMK 293 Uzman Mütalaası İzmir
Dijital Delil İnceleme ve Adli Bilişim Hizmeti
CMK m.134 uyumlu dijital delil toplama ve imaj alma; write blocker + hash doğrulama ile bütünlük güvencesi; WhatsApp, sosyal medya ve mesajlaşma uygulaması analizi; metadata ve sahte belge tespiti; mevcut adli bilişim raporuna HMK m.293 teknik itiraz mütalaası. Bilgisayar, telefon, bulut, araç EDR ve IoT cihazı kapsamı. İzmir merkezli, Türkiye genelinde hizmet.