Veri kurtarma; fiziksel hasar, mantıksal bozulma veya kasıtlı silme nedeniyle erişilemeyen dijital verilerin, uzman teknikler ve adli bilişim yöntemleri kullanılarak yeniden elde edilmesi sürecidir.

Adli veri kurtarma ile ticari veri kurtarma arasındaki fark nedir?

Ticari veri kurtarma yalnızca verinin geri getirilmesini hedeflerken; adli veri kurtarma, delil bütünlüğünü koruyarak hash doğrulama, zincir muhafaza ve mahkemeye sunulabilir rapor hazırlamayı kapsar.

Hash doğrulama neden önemlidir?

Hash doğrulama (MD5/SHA-256), kurtarılan verinin orijinal veriyle birebir aynı olduğunu matematiksel olarak ispatlayan kriptografik bir yöntemdir. Mahkeme süreçlerinde delil bütünlüğünün kanıtlanmasında zorunludur.

Silinen veriler kurtarılabilir mi?

Evet. Silinmiş veriler çoğunlukla kurtarılabilir. HDD'lerde silinen dosya işaretçileri kaybolsa da veri blokları üzerine yazılana kadar fiziksel sektörlerde kalır. SSD'lerde TRIM komutu nedeniyle kurtarma penceresi daha kısadır.

Veri kurtarma işlemi ne kadar sürer?

Mantıksal bozulma ve silme vakalarında 24–72 saat; fiziksel hasar ve mekanik arızalarda 3–7 iş günü; karmaşık RAID veya sunucu sistemlerinde 7–21 iş günü sürebilir.

Veri Kurtarma

Gönderi:

Aslan Kriminal

6 Mart 2026

On 3 Mart 2026

Veri kurtarma; fiziksel hasar, mantıksal bozulma, silinme veya şifreleme nedeniyle erişilemeyen dijital verilerin, bilimsel yöntemler ve adli bilişim protokolleri kullanılarak yeniden elde edilmesi sürecidir. Ticari veri kurtarmanın ötesinde, adli veri kurtarma; hash doğrulama (MD5/SHA-256), zincir muhafaza (chain of custody) ve mahkemeye sunulabilir teknik rapor hazırlamayı kapsar. Bu rehber, İstanbul merkezli Aslan Kriminal Bilişim uzmanları tarafından hazırlanmıştır.

Dijital verinin kaybolması; bireysel kullanıcılar için değeri biçilmez dosyaların yok olması, kurumlar için kritik iş sürekliliği sorunları, hukuki süreçler içinse delil kaybı anlamına gelir. Bu üç senaryo birbirinden temelden farklıdır. Doğru teknik yaklaşımı belirlemek, yalnızca teknik bilgiye değil; aynı zamanda hukukun dijital delile bakışına da hakim olmayı gerektirir.

İçindekiler

1. Veri Kurtarma Nedir? Temel Kavramlar

Veri kurtarma, bilgisayar mühendisliği ve adli bilişimin kesişim noktasında yer alır. Bir depolama ortamından veri kaybolduğunda — hangi nedenle olursa olsun — o veri çoğu zaman fiziksel olarak ortadan kalkmaz; yalnızca işletim sistemi tarafından “erişilemez” olarak işaretlenir. Bu temel gerçek, veri kurtarmayı mümkün kılan mekanizmadır.

Ancak burada kritik bir ayrım yapılması gerekir: Tüm veri kurtarma işlemleri eşit değildir. Ticari bir veri kurtarma firması yalnızca “veriyi geri getirmeyi” hedeflerken, adli bilişim uzmanı aynı zamanda şu soruyu yanıtlamalıdır: “Bu veri, delil zincirini koruyarak, bütünlüğü doğrulanmış biçimde mahkemeye sunulabilir mi?”

Rakip sitelerin eksik bıraktığı boyut tam da buradadır. Delil olmayan veri, mahkemede değer taşımaz. Adli bilişim yöntemiyle elde edilmemiş veriler hukuki süreçlerde itirazla karşılaşır.

2. Veri Kaybının Nedenleri ve Kategorileri

Veri kaybı iki ana kategoriye ayrılır. Bu kategorilerin doğru teşhis edilmesi, uygulanacak yöntemin belirlenmesinde belirleyicidir.

Kategori	Alt Tür	Örnekler	Kurtarma Olanağı
Fiziksel Hasar	Mekanik	Okuma kafası çöküşü, plaka çizilmesi, motor arızası	Temiz oda ortamında yüksek
Fiziksel Hasar	Elektronik	PCB yanması, voltaj dalgalanması, sıvı teması	Orta–yüksek (devre tamiri ile)
Mantıksal Bozulma	Dosya sistemi	MFT bozulması (NTFS), süper blok hatası (EXT4), FAT32 tutarsızlığı	Yüksek
Mantıksal Bozulma	Bölümleme	GPT/MBR silme, yanlış format, bölüm tablosu bozulması	Yüksek
Kasıtlı/Kazara Silme	Yazılımsal	Dosya silme, biçimlendirme, fabrika ayarlarına dönüş	Orta–yüksek
NAND/Flash Sorunları	SSD / USB / SD	TRIM komutu, wear-leveling, kontrolör arızası	Orta (TRIM durumuna bağlı)
Ransomware / Şifreleme	Kötü amaçlı yazılım	AES-256 şifreli fidye yazılımı saldırıları	Düşük–orta (anahtar olmaksızın)

3. Veri Kurtarma Yöntemleri

3.1 HDD (Mekanik Hard Disk) Veri Kurtarma

Manyetik plakalı hard disklerde veri, ferromanyetik yüzeylere manyetik bit dizileri halinde yazılır. Okuma kafası arızalandığında ya da plaka yüzeyi çizildiğinde, veriye erişim tamamen engellenir. Bu vakalar ISO 5 Sınıf 100 temiz oda (cleanroom) ortamı gerektirir; çünkü bir toz parçacığının bile plakaya teması kalıcı veri kaybına yol açar.

Adli bilişim açısından ek gereklilik şudur: Disk temiz oda ortamına alınmadan önce write blocker (yazma engelleyici) aracılığıyla bağlanmalı ve adli imaj (forensic image) alınmalıdır. Bu, orijinal diskin içeriğinin değiştirilmeden korunduğunu garanti eder.

3.2 SSD Veri Kurtarma

NAND flash teknolojisine dayanan SSD diskler, mekanik disklerden temelden farklı bir yapıya sahiptir. SSD’lerin en önemli adli bilişim zorluğu TRIM komutudur. TRIM, silinen bloklardaki veriyi gerçek zamanlı olarak temizleyerek sektörleri bir sonraki yazma işlemine hazırlar. Bu, veri kurtarma penceresini ciddi biçimde daraltır.

Bir diğer kritik faktör ise wear-leveling (aşınma dengeleme) algoritmasıdır. Kontrolör, veriyi düzenli aralıklarla fiziksel olarak farklı bloklara taşır. Bu durum veri saçılmasına neden olduğundan, adli imaj alma sırasında chip-off (çip okuma) yöntemi gerekebilir.

3.3 RAID ve Sunucu Veri Kurtarma

RAID dizileri (0, 1, 5, 6, 10) birden fazla diski şeritler (stripes) halinde kullanır. RAID veri kurtarmada öncelikle dizinin yapılandırması (blok boyutu, şerit sırası, parité algoritması) tespit edilmeli; ardından her diskten ayrı ayrı adli imaj alınmalıdır. RAID 5’te tek disk arızasında veri kurtarılabilirken, çift disk arızası veri kaybını kalıcı kılabilir.

RAID 0RAID 1RAID 5RAID 6RAID 10NAS / NVMeVMware / Hyper-VZFS

4. Adli Veri Kurtarma

Bu bölüm, Türkçe internetteki çoğu veri kurtarma içeriğinin tamamen göz ardı ettiği en kritik konuyu ele almaktadır: Kurtarılan verinin hukuki geçerliliği.

5271 sayılı Ceza Muhakemesi Kanunu (CMK) ve Hukuk Muhakemeleri Kanunu (HMK) çerçevesinde dijital deliller, belirli usul kurallarına uygun biçimde elde edilmediğinde mahkemece reddedilebilir. Bu nedenle adli veri kurtarma süreci, teknik ve hukuki boyutların birlikte yönetilmesini zorunlu kılar.

4.1 Adli İmaj Alma (Forensic Imaging)

Adli imaj, kaynak depolama ortamının bit düzeyinde birebir kopyasıdır. Sektör sektör (sector-by-sector) kopyalama yapılır; boş sektörler, silinmiş alanlar ve dosya sistemi metadatası dahil her şey yansıtılır. Kullanılan başlıca araçlar:

Araç	Tür	Kullanım Alanı
FTK Imager	Yazılım (ücretsiz)	Windows ortamında disk imajı alma, hash doğrulama
EnCase Forensic	Yazılım (lisanslı)	Kurumsal adli analiz, mahkeme uyumlu raporlama
Autopsy / TSK	Açık kaynak	İmaj analizi, silinmiş dosya kurtarma, zaman çizelgesi
dd / dcfldd	CLI (Linux)	Ham sektör kopyalama, büyük disk sistemleri
Tableau / Logicube	Donanım write blocker	Fiziksel yazma engeli, orijinal diski koruma

4.2 Hash Doğrulama

Hash, bir veri setinin matematiksel parmak izidir. MD5 veya SHA-256 algoritmasıyla hesaplanan hash değeri, veri tek bir bit bile değiştirilse tamamen farklılaşır. Adli süreçlerde standart prosedür şudur:

İmaj Öncesi HashKaynak disk adli imaja alınmadan önce hash değeri hesaplanır ve kayıt altına alınır.
Write Blocker ile İmaj AlmaKaynak diske hiçbir yazma işlemi yapılmadan bit-for-bit kopyası alınır.
İmaj Sonrası Hash DoğrulamaAlınan imajın hash değeri kaynak ile karşılaştırılır. İki değer eşleşiyorsa veri bütünlüğü kanıtlanmış demektir.
Belgeleme ve Zincir MuhafazaTüm işlem adımları, tarih/saat damgaları ve uzman kimliğiyle birlikte kayıt altına alınır (chain of custody formu).
Mahkemeye Sunulabilir RaporHash değerleri, kullanılan araçlar, yöntemler ve bulgular teknik raporda sistematik biçimde belgelenir.

MD5: 128-bit çıktı. Hızlı, yaygın kullanılan ama çakışma (collision) riskine karşı savunmasız. SHA-256: 256-bit çıktı. Güncel adli bilişim standartlarında tercih edilen, çakışma dirençli algoritma. Her iki hash değerinin birlikte raporlanması uluslararası iyi uygulama (best practice) olarak kabul görmektedir.

4.3 Zincir Muhafaza (Chain of Custody)

Delil zinciri, bir depolama ortamının veya adli imajın ilk elden teslim alındığı andan mahkemeye sunulduğu ana kadar kimlerin elinde bulunduğunu, hangi işlemlere tabi tutulduğunu belgeleyen yasal kayıttır. Bu zincirin herhangi bir halkasında kopukluk olması, delilin mahkemede tartışmalı hale gelmesine yol açar.

5. Veri Kurtarma Süreci

Aşama	Ticari Veri Kurtarma	Adli Veri Kurtarma
1. Teslim Alma	Cihaz teslim alınır	Delil zarfı, mühür, teslim tutanağı düzenlenir
2. Ön Analiz	Hasar tespiti yapılır	Write blocker ile bağlantı, imaj öncesi hash
3. İmaj Alma	Genellikle yapılmaz	Bit-for-bit adli imaj (FTK Imager / EnCase)
4. Hash Doğrulama	Uygulanmaz	MD5 + SHA-256 çift doğrulama, kayıt altına alma
5. Kurtarma İşlemi	İmaj üzerinde değil, orijinal üzerinde	Yalnızca imaj kopyası üzerinde çalışılır
6. Raporlama	Teslim listesi	Mahkemeye sunulabilir teknik bilirkişi raporu
7. Belgeleme	Fatura, teknik not	Zincir muhafaza formu, UYAP uyumlu raporlama

6. Depolama Ortamına Göre Veri Kurtarma

Hard Disk (HDD) Veri Kurtarma

Mekanik hard disklerde en yaygın arıza nedenleri okuma kafası çöküşü (%43), motor arızası (%22) ve plaka hasarıdır (%11). Kafa değişimi işlemi ISO 5 temiz oda ortamında yapılmalıdır. Adli süreçlerde kafa değişimi öncesinde mümkün olan en düşük okuma hızında kısmi sektör kopyalaması (partial imaging) denenmeli; ardından donör kafa ile imajlama tamamlanmalıdır. Plaka hasarlı disklerde lazer tabanlı tarama yöntemleri ve özel kafa pozisyon kalibrasyonu uygulanır.

SSD Veri Kurtarma

SSD’lerde veri kurtarmanın en büyük düşmanı TRIM komutudur. Windows 7 ve üzeri sistemlerde TRIM varsayılan olarak etkindir. Disk şüpheli cihazdan söküldükten sonra TRIM otomatik çalışmaz; bu nedenle SSD’yi mümkün olan en kısa sürede adli ortama almak kritiktir. Kontrolör arızalı SSD’lerde chip-off yöntemi ile NAND flash çipleri doğrudan okuyucuya bağlanır. Bu işlem, programlama ve firmware bilgisi gerektiren ileri düzey bir tekniktir.

USB Flash Bellek ve SD Kart Veri Kurtarma

Flash tabanlı taşınabilir depolama birimlerinde bozulma genellikle wear-leveling algoritmasından veya ani güç kesilmesinden kaynaklanır. Kurtarma başarısı büyük ölçüde üzerine yazılmış veri miktarına bağlıdır. Adli açıdan dikkat edilmesi gereken nokta şudur: USB bellekler kullanım kalıpları, tarih damgaları ve metadata içerdiğinden dijital iz kaynağı olarak değer taşır. Bu nedenle standart kurtarma yerine adli imajlama önerilir.

RAID / NAS / Sunucu Veri Kurtarma

RAID sistemlerinde veri kurtarma, tek disk kurtarmasından çok daha karmaşıktır. Her diskten önce ayrı ayrı adli imaj alınmalı, ardından dizinin parametreleri (blok boyutu, şerit rotasyonu, parité yönü) tespit edilmelidir. Yanlış RAID parametresiyle yapılan kurtarma denemesi veriyi daha da bozabilir. Sanal ortamlarda (VMware, Hyper-V) ise VMDK/VHD imajlarının bütünlüğü ayrıca doğrulanmalıdır.

Silinen Veri Kurtarma

NTFS dosya sisteminde bir dosya silindiğinde, MFT (Master File Table) girişindeki işaret değiştirilir; ancak veri blokları üzerine yeni veri yazılana kadar fiziksel olarak bozulmaz. HDD’de bu durum uzun süreli veri kurtarma imkânı tanır. Adli analizde file carving yöntemiyle, dosya sistemi yapısına bakılmaksızın yalnızca dosya başlık (header) ve bitiş (footer) imzaları kullanılarak veri kurtarılabilir. Desteklenen format sayısı aracın kalitesine bağlıdır; Autopsy, Recuva ve R-Studio bu alanda yaygın kullanılan araçlardır.

7. Mahkemeye Sunulabilir Adli Veri Kurtarma Raporu

Türk hukuk sisteminde dijital delilin geçerliliği, CMK 134. maddesi (bilgisayarlarda arama ve el koyma) ve HMK’nın elektronik belge düzenlemeleri çerçevesinde değerlendirilir. Bir adli veri kurtarma raporunun mahkemede itibar görmesi için şu unsurları içermesi gerekir:

Rapor Bileşeni	İçerik	Hukuki Önemi
Uzman Bilgileri	Bilirkişi kimlik, unvan, sertifikalar	EEAT — Uzmanlık ve yetki belgesi
Delil Tanımlaması	Seri no, marka, model, fiziksel durum	Delilin bireyselleştirilmesi
Zincir Muhafaza	Teslim alma, transfer, muhafaza kayıtları	Delil bütünlüğü — itiraz engelleyici
Hash Değerleri	MD5 + SHA-256, imaj öncesi/sonrası	Veri bütünlüğünün matematiksel kanıtı
Kullanılan Yöntemler	Araçlar, yazılım sürümleri, protokol	Tekrar edilebilirlik — bilimsel geçerlilik
Bulgular	Kurtarılan dosyalar, metadata, zaman damgaları	Delil kapsamı ve yorumu
Bilirkişi Görüşü	Teknik değerlendirme, sonuç	Mahkemeye yön veren uzman kanaati

Uzman mütalaası ve adli bilişim bilirkişi raporu hazırlanması konusunda Aslan Kriminal Bilişim tarafından profesyonel destek alabilirsiniz.

8. Sık Sorulan Sorular (SSS)

Silinen veriler her zaman kurtarılabilir mi?

Hayır, ancak çoğu vakada mümkündür. HDD’lerde silinmiş veri, üzerine yazılana kadar fiziksel sektörlerde kalır. SSD’lerde ise TRIM komutu nedeniyle bu pencere çok daha kısadır. Üzerine yazılmış veri genel olarak kurtarılamaz. Bu nedenle veri kaybı yaşandığında cihazın kullanımının derhal durdurulması, kurtarma başarısını doğrudan etkiler.

Veri kurtarma işlemi kaç gün sürer?

Süre, hasar türüne ve ortamın kapasitesine göre değişir. Mantıksal bozulma ve silme vakalarında 24–72 saat; mekanik arıza gerektiren fiziksel hasarda 3–7 iş günü; RAID, sunucu veya şifreli disk vakalarında 7–21 iş günü beklenmesi gerçekçidir. Adli bilişim gerektiren davalarda rapor hazırlama süresi de bu tabloya eklenmelidir.

Veri kurtarma başarısız olursa ücret alınır mı?

Bu, hizmet sağlayıcıya göre değişen bir politikadır. Etik bir veri kurtarma ve adli bilişim firması, başarısız vakalar için ön analiz ücretiyle sınırlı tutma ya da “veri yoksa ücret yok” politikası uygular. Hizmet sözleşmesini imzalamadan önce bu politikayı net biçimde sorgulamak ve yazılı teyit almak tavsiye edilir.

Adli veri kurtarma ile standart veri kurtarma arasındaki temel fark nedir?

Standart veri kurtarma yalnızca erişilemeyen veriye yeniden ulaşmayı hedefler. Adli veri kurtarma ise bunun ötesinde; delil bütünlüğünü korur (write blocker kullanımı), hash doğrulama ile değiştirilmediğini ispat eder, zincir muhafaza belgelemesi yapar ve mahkemeye sunulabilir teknik rapor hazırlar. Hukuki bir süreç söz konusuysa yalnızca adli yöntem geçerlidir.

Ransomware ile şifrelenmiş veriler kurtarılabilir mi?

Şifreleme anahtarı olmaksızın AES-256 gibi güçlü şifreleme algoritmalarını kırmak mevcut teknoloji ile pratikte imkânsızdır. Ancak bazı ransomware ailelerinde (örn. eski WannaCry varyantları) bellekte kalan anahtar izleri, gölge kopya (VSS) verileri ya da şifrelenmemiş yedeklerden kurtarma mümkün olabilir. Bu vakalarda adli bellek analizi ve uçucu veri analizi kritik öneme sahiptir.

9. Veri Kurtarma Öncesi Yapılmaması Gerekenler

Veri kurtarma çalışmalarında karşılaşılan en büyük sorun, teknik müdahale öncesinde kullanıcı hatalarıdır. Aşağıdaki eylemler kurtarma oranını ciddi biçimde düşürür veya tamamen imkânsız kılar:

Yapılmaması Gereken	Nedeni
Diskle çalışmaya devam etmek	Her yazma işlemi silinmiş/bozuk veri alanının üzerine yazabilir
Piyasa kurtarma yazılımı çalıştırmak	Yazılım kendi geçici dosyalarını oluşturarak delil alanını kirletir
Diske yeni veri yazmak / formatlamak	Kurtarılabilecek sektörlerin üzerine yazılır
Hasarlı diski tekrar tekrar açıp kapamak	Mekanik hasar ilerler, kafa plakaya zarar verir
SSD’yi şüpheli cihaza bağlı bırakmak	TRIM komutu arka planda çalışmaya devam edebilir
Kurtarma işlemini orijinal diske kaydetmek	Kurtarılan veri üzerine yazma riski oluşur

Adli Veri Kurtarma ve Bilirkişi Raporu için Uzmanla Görüşün

Hukuki süreçlerde geçerli, hash doğrulamalı ve mahkemeye sunulabilir adli veri kurtarma hizmeti için İstanbul merkezli uzman ekibimizle iletişime geçin. Teknik inceleme ve uzman mütalaası talebinizi iletebilirsiniz.

Uzman Mütalaası Talep Et Hizmetleri İncele

Yazar: Aslan Kriminal Bilişim UzmanlarıBu içerik, adli bilişim ve kriminalistik alanında uzmanlaşmış bilirkişi ekibi tarafından hazırlanmıştır. Kurtarma teknikleri, hukuki çerçeve ve uluslararası standartlar gözetilerek kaleme alınmıştır. Güncel mevzuat ve teknik gelişmeler doğrultusunda düzenli olarak güncellenmektedir. | www.aslankriminal.com