Telefon İnceleme (Adli)
Adli cep telefonu incelemesi; suç soruşturmaları ve yargı süreçleri kapsamında mobil cihazlardaki dijital verilerin hukuka uygun yöntemlerle çıkarılması, korunması ve analiz edilmesi disiplinidir. Yalnızca veri tespitini değil; verilerin bağlam içinde değerlendirilmesini, silinen içeriklerin kurtarılmasını ve konum ile zaman çizelgesinin yeniden kurulmasını kapsar. Delil geçerliliği doğrudan yönteme bağlıdır: CMK m.134 kapsamında hâkim kararı olmaksızın yapılan inceleme, Yargıtay’ın 2024–2025 tarihli kararlarına göre şüphelinin rızası bulunsa dahi hukuka aykırı delil niteliği taşır ve yargılamada kullanılamaz.
Günümüzde cep telefonları, kişisel iletişimden anlık konum verilerine, banka işlemlerinden uygulama oturum kayıtlarına kadar geniş bir veri evrenini bünyesinde barındıran dijital merkezlerdir. Bu cihazlar üzerindeki bilgiler, adli olayların aydınlatılmasında kritik öneme ulaşmıştır. Rakip içeriklerin tamamı bu konuya ya avukat perspektifinden (hukuki çerçeve ağırlıklı) ya da çok yüzeysel biçimde yaklaşmaktadır. Bu sayfada kriminalistik bilirkişi perspektifinden hem teknik metodoloji hem de güncel hukuki çerçeve eksiksiz ele alınmaktadır.
Adli Cep Telefonu İncelemesi Nedir?
Adli cep telefonu incelemesi, suç teşkil eden bir olayla bağlantılı olarak bir mobil cihazda bulunan verilerin hukuka uygun yöntemlerle analiz edilmesini kapsar. Bu inceleme yalnızca veri tespitini değil; verilerin bağlam içinde değerlendirilmesini de içerir.
Süreç, cihazın teknik yapısına ve olayın niteliğine göre planlanır. Amaç, suça ilişkin dijital izlerin ortaya çıkarılması ve bu verilerin adli süreçlerde kullanılabilir hâle getirilmesidir. Kriminalistik standart, veri elde etme yönteminin tekrarlanabilir (reproducible), doğrulanabilir (verifiable) ve savunulabilir (defensible) nitelikte olmasını zorunlu kılar.
Adli Cep Telefonu İncelemesi Hangi Amaçlarla Yapılır?
Adli cep telefonu incelemeleri, farklı türdeki suç ve hukuki uyuşmazlıklarda başvurulan teknik bir yöntemdir. Her inceleme, olayın özelliklerine göre şekillenir.
| Amaç | Kapsam | Tipik Dava Türü |
|---|---|---|
| Suça İlişkin Dijital Delil Tespiti | Mesajlar, arama kayıtları, medya, uygulama içi içerik, konum izleri | Cinayet, uyuşturucu, dolandırıcılık, taciz, şantaj, terör |
| Olay Zaman Çizelgesinin Kurulması | Olay öncesi-sonrası iletişim, coğrafi hareketler, uygulama etkinliği | Her türlü ceza davası; itirazlı tanıklık değerlendirmesi |
| Fail veya Mağdur Kimlik Tespiti | SIM kart tarihi, cihaz bağlantıları, hesap oturum açma kayıtları | Kimlik hırsızlığı, SIM swap, hesap ele geçirme |
| İletişim Ağının Haritalandırılması | Kişiler, arama-mesaj yoğunluğu, grup üyelikleri | Organize suç, uyuşturucu örgütü, kaçakçılık |
| Masumiyet Delili Temini | Sanığın olay anında başka yerde olduğunu gösteren GPS, iletişim | Alibi doğrulama; haksız suçlama savunması |
| Gizlilik İhlali ve İfşa Davası | Rızasız paylaşılan medya, stalkerware izleri, yetkisiz erişim kaydı | TCK m.134-135 kapsamı; özel hayat ihlali |
| Kurumsal İç Soruşturma | Şirket bilgisi sızdırma, ticari sır ihlali, iş akdi dışı davranış | TCK m.239 (ticari sır); iş hukuku uyuşmazlıkları |
Adli Cep Telefonu İncelemesi Nasıl Yapılır? — Çıkarım Seviyeleri
Her cihaz için tek tip bir inceleme yöntemi bulunmaz. Rakiplerin hiçbirinde yer almayan bu teknik ayrım, kriminalistik raporun güvenilirliği açısından belirleyicidir: çıkarım seviyesi ne kadar derinse, ulaşılan veri o kadar kapsamlı olur; ancak uygulama güçlüğü ve risk de artar.
- iTunes/Android Backup API üzerinden
- Aktif dosya sistemi erişimi
- Hız: En hızlı
- Kapsam: Yalnızca görünür veriler
- Silinen veri: Erişilmez
- Araç: Cellebrite UFED, Oxygen
- Tam dosya sistemi görüntüsü
- Uygulama veritabanları dahil
- SQLite journal ve WAL dosyaları
- Kısmen silinmiş veri izleri
- Araç: Cellebrite, Magnet AXIOM
- Bit-by-bit tam depolama görüntüsü
- Unallocated cluster analizi
- Silinmiş veriler geri getirilebilir
- iOS: checkm8/GrayKey gerektirebilir
- Android: root yetkisi gerekebilir
- Hasarlı/açılmayan cihazlar için
- NAND flash çipine doğrudan erişim
- JTAG: debug arayüzü bağlantısı
- ISP: In-System Programming
- Risk: Tek kullanımlık müdahale
iOS ve Android Forensik Karşılaştırması
İşletim sistemi, uygulanabilecek forensik tekniği doğrudan belirler. Bu karşılaştırma tablosu Türkçe kriminalistik kaynaklarda hiçbir rakip sayfada yer almamaktadır.
| Kriter | iOS (Apple) | Android |
|---|---|---|
| Şifreleme Mimarisi | Secure Enclave Processor (SEP); şifreleme anahtarı donanım düzeyinde izole; PIN olmadan çözümleme pratikte imkânsız | File-Based Encryption (FBE, Android 10+); Credential Encrypted (CE) ve Device Encrypted (DE) depolama; üretici farklılıkları mevcut |
| Fiziksel Çıkarım İmkânı | Eski modellerde (A11 öncesi) checkm8 bootrom açığıyla mümkün; A12+ ve yeni modellerde çok sınırlı | Geniş cihaz yelpazesi nedeniyle değişken; birçok cihazda root yetkisiyle fiziksel çıkarım mümkün; Samsung Knox ek kısıtlama |
| Yedekleme Forensiği | iCloud yedekleme: şifreli olmayan yedek dosya sistemi düzeyinde incelenebilir; iTunes şifreli yedek: parola kırılması gerekir | Google Drive yedekleme: Google’dan CMK m.134 / uluslararası MLA kanalıyla talep; yerel yedek SD kart veya USB üzerinden |
| Uygulama Verisi Erişimi | Fiziksel çıkarım veya iTunes yedeği ile uygulama sandbox veritabanlarına erişim; iOS 14+ izin değişiklikleri bazı kısıtlamalar getirdi | Root veya ADB backup yöntemiyle uygulama veritabanlarına erişim; bazı uygulamalar şifreli depolama kullanır |
| Silinmiş Veri Kurtarma | Fiziksel çıkarım mümkünse unallocated space analizi; iOS kriptografik silme (crypto erase) nedeniyle kurtarma güçtür | NAND flash yapısına göre değişken; EXT4 dosya sistemi yapısında journal analizi; FAT32 SD kart daha kolay kurtarma sunar |
| Konum Verisi | Significant Locations (Apple Haritalar geçmişi), routined.db, cache.db; son 3-4 yılın konum istatistikleri | Google Maps zaman çizelgesi (Google hesabıyla), com.google.android.location sağlayıcısı, network_location.db |
| Kilitli Cihaz Stratejisi | GrayKey (LE araç), Cellebrite Premium; Apple ile hukuki mücadele geçmişi; yeni modellerde USB kısıtlama modu | Üretici servis modu, ADB sideload, EDL (Emergency Download) modu; parola kırma için hashcat/John the Ripper |
| Adli Araç Desteği | Cellebrite UFED, Magnet AXIOM, Elcomsoft iOS Forensic Toolkit, iMazing | Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective, Andriller |
Adli Telefon İnceleme Araçları Karşılaştırması
| Araç | Geliştirici | Platform | Güçlü Yön | Kullanım Profili |
|---|---|---|---|---|
| Cellebrite UFED | Cellebrite | iOS + Android + 30.000+ model | En geniş cihaz desteği; fiziksel çıkarım; şifreli yedek kırma; dünya standartı LE aracı | Kolluk, adli bilişim uzmanları; mahkemede yaygın kabul gören raporlar |
| Magnet AXIOM | Magnet Forensics | iOS + Android + Bulut + Bilgisayar | Uygulama artefaktı ayrıştırma; bulut bağlantısı; zaman çizelgesi görselleştirme; çapraz cihaz analizi | Kurumsal soruşturma; karmaşık çok-cihaz vakaları |
| Oxygen Forensic Detective | Oxygen Forensics | iOS + Android + Drone + Wearable | Drone ve giyilebilir cihaz desteği; bulut hesap çıkarımı; sosyal medya artefaktları | Çeşitli IoT cihaz soruşturmaları |
| Elcomsoft iOS Forensic Toolkit | Elcomsoft | iOS odaklı | Keychain şifre çıkarımı; iCloud yedek erişimi; checkm8 jailbreak entegrasyonu | iOS uzmanlık gerektiren vakalar; parola kurtarma |
| GrayKey | Grayshift | iOS (kilitli cihazlar) | Güncel iOS modellerinde PIN/parola kırma; sadece kolluk lisansı; USB kısıtlama modu bypass | Kilitli iPhone soruşturmaları; yalnızca yetkili kuruluşlar |
| Andriller CE | den4b | Android odaklı | Açık kaynak; SQLite analizi; uygulama veritabanı decoder; ücretsiz temel analiz | Bütçe kısıtlı incelemeler; araştırma |
| MVT (Mobile Verification Toolkit) | Amnesty International | iOS + Android | Stalkerware ve spyware tespiti; Pegasus IoC taraması; açık kaynak | Gazeteci, aktivist, yüksek risk profili |
Adli Cep Telefonu İncelemesinde Hangi Veriler İncelenir?
Cep telefonu incelemesi sırasında dava dosyasının kapsamına uygun olacak şekilde farklı türde veriler değerlendirilir. Hedef yalnızca verilere erişmek değil; bu verilerin anlamlı biçimde analiz edilmesidir.
İletişim Kayıtları
Arama geçmişi, kısa mesajlar (SMS/MMS) ve mesajlaşma uygulamalarına ait veriler adli cep telefonu incelemesinin temel unsurları arasında yer alır. Her kayıt; katılımcı numaraları, zaman damgaları ve mesaj yönü (gelen/giden/cevapsız) bilgisiyle birlikte analiz edilir. Silinmiş arama kayıtları, cihazın SQLite veritabanında izler bırakabilir.
Uygulama Bazlı Forensik: WhatsApp, Telegram, Signal
Mesajlaşma uygulamaları, her birinin kendine özgü veri depolama yapısı nedeniyle ayrı bir forensik yaklaşım gerektirir.
| Uygulama | Veri Depolama Yöntemi | Forensik Erişim | Silinen Mesaj İmkânı |
|---|---|---|---|
| SQLite veritabanı (msgstore.db); medya ayrı klasörde; yerel ve iCloud/Google Drive yedek | Fiziksel veya dosya sistemi çıkarımıyla msgstore.db doğrudan okunur; yedek şifresi biliniyorsa yerel yedek analizi | WAL dosyası ve unallocated cluster incelemesiyle kısmen mümkün; üzerine yazılmamışsa yüksek başarı | |
| Telegram | Yerel SQLite cache + uygulama sandbox; gizli sohbet: cihaz düzeyinde şifreli, sunucuda saklanmaz | Fiziksel çıkarımla cache DB okunabilir; gizli sohbet: yalnızca cihazda, kilit aşılamazsa erişilmez | Standart sohbet: kısmen mümkün; gizli sohbet: pratik olarak imkânsız |
| Signal | Cihazda şifreli SQLCipher veritabanı; sinyal protokolü uçtan uca şifreleme; yedek zorunlu değil | Fiziksel çıkarımda şifreli DB elde edilir; şifre anahtarı olmadan içerik okunamaz; RAM analizinde anahtar bulunabilir | Şifreleme nedeniyle çok sınırlı |
| Instagram DM | Sunucu taraflı; cihazda önbellek (cache) | Cihaz cache analizi; Instagram’dan CMK yazısıyla veri talebi | Cache temizlendiyse sınırlı; platform kaydından talep daha etkili |
| iMessage | sms.db (iOS); iCloud mesaj sync; E2E şifreleme | Fiziksel çıkarımda sms.db; iCloud yedeğinde şifresiz mesajlar; Apple’dan CMK kanalıyla talep | iOS dosya sistemi çıkarımıyla kısmen mümkün |
Medya Dosyaları ve EXIF Metadata
Fotoğraflar, videolar ve ses kayıtları olayla bağlantılı olabilecek içerikler açısından incelenir. Bu dosyaların oluşturulma ve değiştirilme bilgileri de değerlendirmeye alınır. Kritik teknik ayrıntı: her fotoğraf ve video dosyası içine gömülü EXIF metadata barındırır.
EXIF Metadata — Forensik Veri Noktaları
- GPS Koordinatları: Fotoğrafın çekildiği kesin konum; hareket örüntüsü analizi
- DateTimeOriginal: Çekim tarihi ve saati; zaman çizelgesi doğrulama
- Make / Model: Cihaz markası ve modeli; aynı cihazın başka çekimlerle eşleştirilmesi
- Software: Manipülasyon tespiti (Photoshop vs. yerleşik kamera)
- SerialNumber: Cihaz seri numarası; cihaz sahipliğinin kanıtı
- Thumbnail: Düzenleme öncesi küçük resim; özgünlük doğrulaması
Platform EXIF Davranışı
- WhatsApp (doğrudan gönderim): EXIF metadata korunur
- E-posta eki: EXIF metadata korunur
- Instagram / Facebook: EXIF metadata sıyrılır (stripped)
- Twitter / X: EXIF metadata sıyrılır
- WhatsApp Web: EXIF kısmen korunur
- Telegram: Dosya olarak gönderilirse EXIF korunur; fotoğraf olarak gönderilirse sıkıştırılabilir
Kişiler ve SIM Kart Verileri
Telefon rehberi, SIM hafızası ve bağlantılı iletişim bilgileri kişiler arası ilişkilerin tespitinde kullanılır. SIM kart forensiği ayrı bir disiplindir: SIM hafızasındaki son aranan numaralar, geçmiş SMS verileri ve ICCID/IMSI bilgisi doğrudan okunabilir. SIM kart değişim geçmişi, operatör kayıtlarıyla çapraz doğrulanarak hesap sahipliği veya SIM swap saldırısı belgelenebilir.
Silinmiş Veriler ve Kurtarma Metodolojisi
Adli bilişim kapsamında cihazdan silinmiş verilerin izleri analiz edilebilir. Her silinen verinin geri getirilemeyeceği göz önünde bulundurularak teknik sınırlar içinde inceleme yapılır. Kurtarma başarısını belirleyen temel faktörler şunlardır:
| Veri Türü | Kurtarma Yöntemi | Başarı Koşulları | Sınırlayan Faktörler |
|---|---|---|---|
| Silinmiş SMS / MMS | SQLite veritabanı unallocated sayfa analizi; WAL dosyası incelemesi | Üzerine yazılmamış alan; veritabanı VACUUM işlemi yapılmamış | iOS kriptografik silme; yüksek kullanım yoğunluğu |
| Silinmiş WhatsApp mesajları | msgstore.db WAL + unallocated cluster; yedek dosyası analizi | Fiziksel çıkarım mümkün; cihaz kullanımı düşük | Şifreli fiziksel depolama; msgstore.db.crypt12 şifresi |
| Silinmiş fotoğraf/video | Unallocated cluster carving (PhotoRec, Autopsy); cihaz çöp kutusu (Recently Deleted) | 30 gün içinde (iOS Recently Deleted); fiziksel çıkarımda daha uzun | NAND wear leveling; üzerine yazılma |
| Silinmiş aramalar | call_history.db unallocated sayfa; iOS CallKit veritabanı | Veritabanı bütünlüğü korunmuş | iOS 12+ şifreli CallKit veritabanı |
| Tarayıcı geçmişi | WebKit / Chrome SQLite History.db; cache dosyaları | Cache temizlenmemiş; dosya sistemi çıkarımı yapılmış | Özel/gizli mod izleri çok sınırlı |
Konum Verisi Forensiği: GPS, Baz İstasyonu ve Wi-Fi Triangulation
Konum verisi, bir kişinin olay anında nerede olduğunu teknik olarak kanıtlamanın ya da çürütmenin en güçlü araçlarından biridir. Bu teknik alan tüm rakip sayfaların kapsamı dışındadır.
| Konum Kaynağı | Doğruluk Seviyesi | Forensik Erişim Yöntemi | Saklama Süresi |
|---|---|---|---|
| GPS Artefaktları (cihaz içi) | 3–10 metre | iOS: significant_locations.db, routined.db, consolidated.db; Android: network_location.db, com.google.android.gms veri klasörü | Cihaz bağlı: aylarca (iOS Significant Locations 3+ yıl) |
| Fotoğraf EXIF GPS | 3–10 metre | Doğrudan EXIF okuma; ExifTool, Cellebrite zaman çizelgesi | Fotoğraf cihazda kaldığı sürece |
| Baz İstasyonu Kaydı (CDR) | 50–3000 metre (alan yoğunluğuna göre) | Operatörden CMK m.134 yazısıyla CDR talebi; 5809 Sayılı Kanun kapsamında 2 yıl saklama zorunluluğu | Operatörde 2 yıl |
| Wi-Fi Bağlantı Geçmişi | 10–50 metre (bağlantı içi) | iOS: com.apple.wifi.known-networks.plist; Android: WifiConfigStore.xml ve /data/misc/wifi | Cihazda: profil silinene kadar; zaman damgasız |
| Google Maps / Apple Haritalar Geçmişi | 3–10 metre | Uygulama sandbox DB; Google Takeout (bulut); Apple Maps Recents | Google: hesapta 18 ay varsayılan (ayarlanabilir) |
| Uygulama Konum İzinleri | GPS hassasiyetinde | Her uygulamanın kendi DB’si: Uber trip history, delivery app GPS log, fitness uygulama rota | Uygulamaya göre değişken |
Arızalı veya Hasarlı Telefonlarda İnceleme Yapılabilir mi?
Cep telefonunun çalışmıyor olması her zaman inceleme yapılamayacağı anlamına gelmez. Anakart arızası, ekran kırılması veya fiziksel hasar gibi durumlarda dahi belirli verilerin incelenmesi mümkün olabilir. Bu tür durumlarda inceleme cihazın teknik durumuna göre özel yöntemlerle gerçekleştirilir.
JTAG — Doğrudan Debug Arayüzü
- Cihazdaki JTAG test noktalarına fiziksel bağlantı
- Cihaz açılmadan NAND flash üzerindeki verilere erişim
- Ekranı kırık, düğmesi çalışmayan cihazlar için uygun
- Cihaz başlatılmadan işlem yapılır; çalışmayan pilden bağımsız
- Donanım hasarı JTAG noktalarını etkilememişse başarılı
- Araç: RIFF Box, JTAGulator, Easy-JTAG
Chip-off — Hafıza Çipi Sökme
- NAND flash veya eMMC çipi anakarttan ısıyla çözülür
- Özel okuyucu ile ham veri doğrudan çekilir
- Tamamen hasar görmüş cihazlarda son çare
- Risk: Geri dönüşsüz müdahale; çip zarar görebilir
- Şifreli depolamada ek şifre çözme adımı gerekir
- ISP (In-System Programming): çip sökülmeden alternatif
Telefon İncelemesi ve Adli Süreçler: CMK m.134 ve Yargıtay Kararları
Cep telefonlarında bulunan veriler normal şartlarda kişisel veri kapsamındadır ve gizlidir. Suç teşkil eden olaylarla ilgili olarak adli mercilerin kararı doğrultusunda bu verilerin incelenmesi mümkündür. Bu hukuki çerçeve rakip içeriklerde kısmen ele alınmış olmakla birlikte teknik boyuttan yoksundur.
“5271 sayılı Kanun’un 134. maddesi uyarınca hukuka uygun olarak karar veya yazılı emir alınmaksızın, sanığa ait telefonda bulunan WhatsApp mesajlarına ilişkin olarak tanzim edilen ‘telefon ön inceleme ve muhafaza altına alma tutanağı’nın, sanığın telefonunda inceleme yapılmasına rızası bulunsa dahi hukuka uygun delil niteliğinde olmadığı ve hükme esas alınamayacağı…”
“CMK m.134 kapsamında şüphelinin cep telefonu incelenip telefonda ele geçirilen bilgilerin kayıt altına alınabilmesi için hâkim kararı veya hâkim onayına sunulmak üzere Cumhuriyet savcısının yazılı emrinin bulunması gerektiği, rıza bulunsa dahi şüphelilerin telefonlarının incelenip telefon içeriğindeki mesaj ve benzeri bilgilerin kayıt altına alınamayacağı…”
| Durum | Hukuki Geçerlilik | Dayanak |
|---|---|---|
| Hâkim kararıyla yapılan cihaz incelemesi | Hukuka uygun delil | CMK m.134/1 |
| Gecikmede sakınca — savcı emri + 24 saat hâkim onayı | Hukuka uygun delil | CMK m.134/1 son cümle |
| Şüphelinin rızasına dayanarak inceleme | Hukuka aykırı delil — kullanılamaz | Y. 10. CD 2024/18787; Y. 8. CD 2025/346 |
| Hâkim kararı olmadan “ön inceleme tutanağı” | Hukuka aykırı delil — kullanılamaz | Y. 10. CD 2024/18787 |
| Kamuya açık sosyal medya içeriği incelemesi | Hukuka uygun (OSINT kapsamı) | KVKK m.5 — alenileştirilmiş veri |
| Şifreli hesaba yetkisiz erişim | Hukuka aykırı — TCK m.243 suçu | TCK m.243 + CMK m.206/2-a |
Adli Cep Telefonu İncelemesini Kimler Yapar?
Adli cep telefonu incelemeleri, adli bilişim alanında uzmanlaşmış kişiler tarafından gerçekleştirilir. Bu uzmanlar hem teknik bilgiye hem de hukuki süreçlere dair farkındalığa sahiptir. İnceleme sürecinde yapılan her işlem belirli standartlara ve etik kurallara uygun olarak yürütülür. Amaç yalnızca veri elde etmek değil; bu verilerin doğru ve güvenilir şekilde değerlendirilmesini sağlamaktır.
Kriminalistik standart: ISO/IEC 27037 (Dijital delil tanımlama ve muhafaza), SWGDE (Scientific Working Group on Digital Evidence) rehberleri ve Cellebrite/Magnet gibi araç üreticilerinin metodoloji kılavuzları esas alınır. Her inceleme adımı tutanakla belgelenir; hash değerleri alınır; delile dokunan her kişi zincir muhafaza formuna işlenir.
Adli Cep Telefonu İncelemesinin Sonuçları Nasıl Değerlendirilir?
İnceleme sonucunda elde edilen veriler teknik raporlar hâline getirilir. Bu raporlar, verilerin hangi yöntemlerle elde edildiğini, hangi araçların kullanıldığını ve nasıl analiz edildiğini açık biçimde ortaya koyar. Hazırlanan raporlar adli makamlar tarafından değerlendirilerek dava dosyasına eklenebilir ve karar süreçlerinde dikkate alınır.
Hizmet Kapsamı
iOS ve Android Cihaz Adli İncelemesi
Cellebrite UFED ve Magnet AXIOM ile mantıksal, dosya sistemi veya fiziksel çıkarım seviyesinde iOS ve Android cihaz forensiği. Hash doğrulama ve zincir muhafaza belgesiyle CMK m.134 uyumlu adli kopya alınması. Uygulama veritabanı analizi, mesaj geçmişi, silinen veri kurtarma girişimi, EXIF metadata çıkarımı ve konum verisi zaman çizelgesi. Tüm bulgular HMK m.293 uzman mütalaası veya CMK m.63 bilirkişi raporu formatında mahkemeye sunulabilecek biçimde raporlanır.
Silinen Veri Kurtarma
SQLite veritabanı WAL dosyası ve unallocated cluster carving yöntemleriyle silinmiş SMS, WhatsApp mesajı, fotoğraf ve arama kaydı kurtarma girişimi. Başarı oranı cihazın durumuna, üzerine yazılma koşullarına ve çıkarım seviyesine göre değişir; kurtarma girişimi öncesinde teknik sınırlar şeffaf biçimde aktarılır.
Hasarlı / Arızalı Cihaz İncelemesi
Standart yazılım yöntemlerinin çalışmadığı ekranı kırık, açılmayan veya ısıl/su hasarlı cihazlar için JTAG, chip-off ve ISP (In-System Programming) teknik değerlendirmesi. Her yöntem uygulanmadan önce risk-fayda analizi yapılır; geri dönüşsüz müdahale kararı dava yetkilisiyle birlikte alınır.
Uygulama Forensiği: WhatsApp, Telegram, Signal
Mesajlaşma uygulamalarına özgü veritabanı analizi: WhatsApp msgstore.db, Telegram cache DB, Signal SQLCipher veritabanı yapısı. Grup üyelikleri, medya paylaşımları, iletişim ağı ve zaman çizelgesi çıkarımı. Sonuçlar uygulama bazında ayrı raporlama bölümlerinde sunulur.
Konum Verisi Forensiği ve Zaman Çizelgesi Analizi
GPS artefaktları, baz istasyonu CDR kayıtları (operatörden CMK yazısıyla talep), Wi-Fi bağlantı geçmişi, EXIF GPS koordinatları ve uygulama konum veritabanlarının çapraz doğrulanmasıyla kapsamlı konum zaman çizelgesi. Alibi doğrulama, olay anı konum analizi ve hareket örüntüsü tespiti. İki veya daha fazla bağımsız kaynak üzerine kurulu yüksek güven düzeyli raporlama.
Sık Sorulan Sorular
Telefon incelemesi için hâkim kararı şart mıdır?
Evet. CMK m.134 kapsamında şüphelinin cihazında inceleme yapılabilmesi için hâkim kararı zorunludur. Gecikmesinde sakınca olan hallerde Cumhuriyet Savcısının yazılı emri yeterli olmakla birlikte 24 saat içinde hâkim onayına sunulması gerekir. Yargıtay’ın 2024 ve 2025 tarihli kararları, şüphelinin rızasının hâkim kararının yerini tutmadığını açıkça ortaya koymuştur. Rızayla yapılan inceleme sonucunda elde edilen deliller hukuka aykırı sayılır ve CMK m.206/2-a ile m.217/2 uyarınca yargılamada kullanılamaz.
Silinen WhatsApp mesajları geri getirilebilir mi?
Kısmen mümkün olabilir. WhatsApp, mesajları cihazda SQLite veritabanı (msgstore.db) formatında saklar. Fiziksel çıkarım mümkünse WAL (Write-Ahead Log) dosyaları ve unallocated cluster bölgeleri incelenerek silinmiş mesajların izleri bulunabilir. Başarı oranı cihazın kullanım yoğunluğuna, üzerine yazılma durumuna ve şifreleme seviyesine bağlıdır. iOS cihazlarda kriptografik silme nedeniyle bu işlem Android’e kıyasla daha güçtür.
Kapalı veya şifreli telefon incelenebilir mi?
Kilitli cihaz incelemesi, cihaz modeli ve işletim sistemi sürümüne göre değişir. Eski iOS modellerinde (A11 öncesi) checkm8 bootrom açığıyla fiziksel çıkarım mümkündür. GrayKey gibi araçlar güncel modellerde PIN kırmayı desteklemektedir; ancak bunlar yalnızca yetkili kolluk birimlerinin erişebildiği araçlardır. Android cihazlarda parola kırma araçları ve üretici servis modu alternatifleri değerlendirilebilir. Her vakada mevcut teknik seçenekler ayrı ayrı değerlendirilir.
Kırık veya suya düşmüş telefon incelenebilir mi?
Evet, çoğu durumda inceleme mümkündür. Ekranı kırık cihazlar için JTAG yöntemiyle doğrudan hafıza bağlantısı sağlanabilir. Tamamen açılmayan veya anakart arızalı cihazlarda chip-off tekniğiyle hafıza çipi sökülüp özel okuyucularla ham veri alınabilir. Suya düşmüş cihazlar için cihazı şarj etmemeyi ve güç uygulamayı mutlaka önleriz — kısa devre kalan veriyi kalıcı olarak yok edebilir. Hasarlı cihazı olduğu gibi ve müdahale yapmadan kriminalistik uzmana teslim etmek en doğru yaklaşımdır.
Telefon incelemesi ne kadar sürer?
Normal koşullarda inceleme türüne ve cihazın durumuna göre 2 ila 15 iş günü arasında sonuçlanır. Mantıksal çıkarım ve temel analiz 1–3 gün; dosya sistemi çıkarımı ve uygulama forensiği 3–7 gün; chip-off veya hasarlı cihaz ile kapsamlı silinen veri kurtarma girişimi 7–15 gün sürebilir. Acil savcılık talepleri önceliklendirilir.
Adli telefon incelemesi raporu mahkemede nasıl kullanılır?
Kriminalistik telefon inceleme raporu, CMK m.63 kapsamında mahkeme tarafından atanan bilirkişi aracılığıyla veya HMK m.293 uzman mütalaası olarak sunulabilir. Rapor; kullanılan metodoloji, araç adı ve sürümü, hash değerleri, zaman çizelgesi ve bulgular ile sonuç bölümünü içerir. Raporun her teknik bulgusu yeniden üretilebilir (reproducible) nitelikte belgelenir; böylece karşı tarafın bilirkişisi aynı yöntemi izleyerek bulguları doğrulayabilir.
iOS Android Forensiği
Cellebrite UFED
Silinen Veri Kurtarma
WhatsApp Telegram Forensiği
Konum Verisi Analizi
Chip-off JTAG
CMK m.134 Adli Kopya
Adli Cep Telefonu İncelemesi ve Kriminalistik Bilirkişi Raporu
iOS veya Android cihaz forensiği, silinen veri kurtarma, hasarlı telefon incelemesi, konum verisi analizi veya mahkemeye sunulabilir HMK m.293 uzman mütalaası için İstanbul merkezli uzman ekibimizle iletişime geçin.