Silinen Veri Kurtarılabilir Mi?

Bilgisayar işletim sistemleri, depolama alanı içerisinde bulunan verileri silindi olarak işaretler, ancak bu veriler üzerine yeniden veri yazılmadığı sürece depolama alanı içerisinde mevcut olmaya devam eder. Bilgisayar içerisinde yer alan veriler, sabit disk (“HDD”) veya katı hal diski (“SSD”) içerisinde depolanır. İşletim sistemi her iki tür depolama aygıtı için de aynı silme prosedürlerini de uygulasa da, HDD ve SSD’ler sahip oldukları teknoloji ve tasarımlardan ötürü veri saklama kabiliyetleri konusunda ayrışırlar. HDD’ler manyetik alanlara karşı olan hassasiyeti sebebiyle, SSD’ler ise uzun süre veri saklama konusunda başarısızdırlar. Bu sebeplerden ötürü her iki depolama aygıtından elde edilebilecek veri miktarı farklılık gösterir.

Bilgisayarlar ve mobil cihazlar farklı mimarilere ve yaklaşımlara sahip teknolojileri barındırır. Depolama aygıtları, dosya sistemleri, işletim sistemi ve işlemci mimarisi elde edilecek verinin boyutunu etkileyen temel sebeplerdir. Örneğin bir bilgisayara erişimin mümkün olmadığı durumda harici disk ayrı şekilde imaj alımına konu olabilirken, mobil cihaza erişimin olmadığı durumda mobil cihazın depolama alanının cihazda yer alan diğer komponentlere ile bütünleşik olmasından ötürü, işletim sisteminin güvenlik önlemleri aşılmadığı takdirde depolama aygıtına erişim mümkün olmaz, yahut erişildiği takdirde karşımıza deşifre edilmeye muhtaç bir veri çıkar.

Silinen verilerin geri getirilmesi konusunda kullanılacak metodolojinin seçilmesi sürecinde işlemin uygulanacağı cihazın işletim sistemi, cihazın fiziksel donanımları (işlemci, depolama aygıt türü vb.), cihazın içerisinde geri getirilmek istenilen dosya ve uygulama türleri gibi kıstaslar göz önünde bulundurulmaktadır. Geri getirilmesi hedeflenen verilerin cihaz özelliklerine göre sınıflandırılması yapıldıktan sonra kişilerin talepleri ve elde edilen verilerin kullanım amaçları doğrultusunda profesyonel adli bilişim ve yedekleme çözümleri arasından en uygun olan metot seçilerek süreç başlatılır. 

Bir bilgisayar sabit diski veya diğer depolama cihazının tam bir kopyasını oluşturmayı amaçlayan bir süreçtir. Bu işlem, veri kurtarma, dijital adli bilişim analizleri, cihazın yedeklenmesi ve daha fazlası gibi farklı amaçlarla kullanılabilir. Fiziksel imaj alımı sonrasında yapay zekâ destekli veri anlamlandırma yazılımları aracılığıyla özellikle resim, video, ekran görüntüsü gibi kategorilerde yer alan verilerin kurtarılması/erişilmesi mümkün hale gelmiştir. Fiziksel imaj alımı, cihazın mevcut durumunu ile verilerin en kapsamlı şekilde elde edilmesini sağlayan yöntemdir.

Fiziksel imaj alımının tercih edilmediği / mümkün olmadığı durumlarda veya RAM bilgilerinin temin edilmesi ihtiyacı doğduğunda “Live imaj” yöntemi tercih edilir. Live imaj alımı için Windows veya Linux tabanlı yazılımlar kullanılabilir. Live imaj sırasında tercihe göre fiziksel veya mantıksal imaj alımı gerçekleştirilebilir, ancak bu işlem esnasında cihaz sahibinin bilgisayarı üzerinde değişiklik yapılmamasına dikkat edilmelidir.

Bazı durumlarda işletim sistemleri ile uygulamaların sürüm farklılıklarından dolayı veriler kaybolabilir veya cihaz içerisinde yer alan verilerin kurtarılması mümkün olmayabilir. Adli bilişim uygulamaları aracılığıyla veri kurtarılması için en uygun işletim sistemi sürümleri ve uygulama sürümleri belirlenerek veri kurtarılacak cihaz bu sürümlere yükseltilir/düşürülür. Bu sayede cihaz içerisindeki veriler adli bilişim uygulamaları ile güvenle dış ortama kopyalanır. İşlem bittikten sonra cihaz içerisindeki veriler kaybolmadan tekrar hâlihazırdaki işletim sistemi ve uygulama sürümlerine geri yüklenir.

Dijital veri kurtarma ve adli bilişim alanında kullanılan bir yöntemdir. Bu yöntem, bir depolama cihazındaki verileri kurtarmak veya geri getirmek için kullanılır, özellikle dosya sistemi, dosya meta verileri zarar görmüş veya ulaşılamaz hale geldiğinde kullanılır. Data carving, hasar görmüş veya kaybolmuş verileri geri getirmek için ham veri ve parçalı verileri tarayarak tekrar dosya yapılandırması yapılmasını amaçlar.

Mantıksal imaj, silinen veriler üzerinde inceleme gerçekleştirilmediği veya mobil imaj alımları esnasında tercih edilen bir yöntemdir. Mantıksal imaj alımında depolama alanı içerisindeki veriler işletim sisteminin elverdiği ölçüde kopyalanabilir. Bu sebeple mantıksal imaj içerisinden silinen verilerin elde edilme olasılığı çok düşüktür.

İşletim sistemlerinde, geri yükleme noktaları, sistemin önceki durumuna geri dönülmesini sağlar. Ancak bu geri yükleme noktaları birçok cihaz içerisinde otomatik olarak oluşturulmaz. Kullanıcılar tarafından belirli aralıklar ile cihaz geri yükleme noktalarının manuel olarak oluşturulması gerekmektedir. Cihaza erişimin kesilmesi durumunda yerel ortamda bulunan depolama alanına erişim imkânı da ortadan kalkar.

Özellikle telefon, tablet, akıllı saat gibi cihazlarda kaybolan verileri geri getirmek için sıklıkça kullanılan bir metottur. Akıllı cihazlar bulut yedeklemelerinin içerisinde tahmin edildiğinden çok daha fazla veriyi içerisinde saklamaktadır, ancak bu verilerin tamamını kendi bulut yazılımları ile geri getirmek çoğu zaman mümkün değildir. Son zamanlarda bulut sistemlere entegre edilmiş olan QR kod sistemiyle uygulama sağlayıcılarının serverları aracılığıyla birçok veriye tekrardan erişmek mümkün hale gelmiştir. Adli bilişim alanında kullanılan yazılımlar aracılığıyla bulut depolama üzerinden akıllı cihazların birçok yedeklenen verisi hızlı bir şekilde geri getirilebilmektedir.

Önem arz eden veya belirli bir süre saklanılması zorunlu olan veriler yerel ortamda yedeklenebileceği gibi dış ortam kullanılarak da yedeklenebilir. Bunun için genellikle harici “HDD” ve “SSD” depolama aygıtları tercih edilir. Veriler toplandığı cihaz üzerinden belirli aralıklar ile “HDD” veya “SDD” üzerine yedeklenir. Dış ortam yedekleme sürecinde yaşanabilecek komplikasyonları ve oluşabilecek güvenlik açıklarını önlemek adına verilerin kopyalanacağı harici diskler muhakkak şifrelenmelidir. Depolama aygıtlarının etkisi kısmında bahsedildiği üzere “HDD” harici depolama aygıtları manyetik alanlar, “SSD” depolama aygıtları ise uzun süre veri saklama konusunda sorunlar yaşayabilmektedir. Bu sebeple veriler dış ortamda yedeklenmek isteniyor ise verilerin aktarılacağı hedef harici depolama aygıtının paralelinde minimum bir adet yedeğinin oluşturulması büyük önem taşımaktadır. Veri aktarımı tamamlandıktan sonra bekleme sürecinde yaşanacak kayıpları en aza indirebilmek adına veri depolaması için kullanılan harici disklerin üretici firmaları tarafından belirlenen uygun iklimlendirme koşullarına sahip ortamlarda muhafaza edilmesi gerekmektedir.