Adli Bilişim İncelemelerinde PhotoRec İle Veri Kurtarma

Veri Kurtarma Nedir?

Herhangi bir şekilde erişilemez hale gelmiş, silinmiş, bozulmuş ya da kaybolmuş ve normal yöntemlerle ulaşılamayan verilerin özel yöntemlerle geri getirilmesi olayı ülkemizde “Veri Kurtarma” kavramı ile ifade edilir. Başka bir deyişle, bir taşıyıcı medya üzerinde saklanan bilgilere ulaşılamaması durumunda, bu bilgilere yeniden ulaşabilmemizi sağlayan işlemleri ifade eder. Şunu da belirtmekte fayda var, veri taşıyıcıları günümüzde harddiskler,  sd kartlar, USB bellekler, CD-DVD  vb. olarak idrak etmeliyiz.

Bilginin önemini yeterince anlayabildiğimiz günümüzde, bilginin iyi depolanması, iyi saklanması, işlenebilmesi ve beklenmedik durumlarda kaybolması halinde tekrardan ulaşılabilir olması fazlasıyla önemlidir. Bu yazıda bahsettiğim verilerin kaybolması durumunda tekrardan nasıl ulaşırız bunu göreceğiz.

PhotoRec Kullanımı

Ücretsiz ve açık kaynak kodlu olan PhotoRec, dijital medyalar üzerinde (hafıza kartları, sabit disk imajları, sabit diskler, CD/DVD vb.) veri kurtarma işlemi için kullanılabilir. Uygulamanın son sürümüne https://www.cgsecurity.org/wiki/PhotoRec buradan ulaşabilirsiniz.

PhotoRec uygulaması aşağıdaki sistemler üzerinde çalışabilir.

  • DOS
  • Microsoft Windows: NT4, 2000, XP, 2003, 2008, Vista, Windows 7
  • GNU/Linux
  • FreeBSD, NetBSD, OpenBSD
  • SunOS
  • Mac OS X

Kurtarabildiği dosya türlerinin bir listesine https://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec adresinden ulaşabilirsiniz.

NOT : PhotoRec’in henüz Linux’a yönelik bir grafik arayüzü bulunmadığından komut satırı üzerinden kullanılmaktadır.

Aşama 1 : Komut satırına photorec yazarak programımızı başlatalım. Komutu yazmadan önce sistemde yetkili root kullanıcısı olduğunuzdan emin olun yoksa bilgisayara bağlı olan çıkarılabilir depolama birimleri görünmeyebilir.

Programı ilk başlattığınızda bilgisayarınızdaki disk bölümleri ve çıkarılabilir depolama birimleri listelenir. Komut satırında aşağı-yukarı yön tuşlarını kullanarak verilerinizi kurtarmak istediğiniz disk bölümü üzerine gelin ve  Enter tuşu ile devam edin.

Aşama 2 : Daha sonra karşınıza alttaki gibi bir ekran gelecektir. Burada önceden seçtiğimiz disk içindeki disk bölümleri listelenecektir. Bu listeden tarama için bir disk bölümü seçebilirsiniz ya da sağ tarafında “[Whole disk]” yazan (Türkçesiyle tüm disk) seçeneğini seçerek herhangi bir disk bölümü gözetmeden bütün diski taratabilirsiniz.

Ayrıca bu ekranda “[File Opt]” seçeneğini kullanarak hangi türdeki dosyaların taranacağını belirleyebilirsiniz. Taramadan daha sağlıklı sonuçlar almak için bunu kullanmanızı tavsiye ederim. Dosya türlerini seçmek için klavyeden sağ-sol yön tuşlarıyla “[File Opt]” üzerine gelin ve Enter tuşu ile devam edin. Karşınıza çok sayıda dosya türü çıkacaktır, klavyeden s tuşuna basarak bütün dosyaların sol tarafındaki çarpı işaretini kaldırın. Daha sonra kurtarılmasını istediğiniz dosya türleri için aşağı-yukarı yön tuşlarıyla üzerine gelip x tuşuna basıp seçmeniz yeterli. Kurtarılacak dosya türlerini seçtikten sonra b tuşuna basıp bu seçimleri kaydettikten sonra q tuşu ile tekrar önceki ekrana dönüp işlemlerimize devam edebiliriz.

Aşama 3 : Daha sonra karşımıza gelen bu ekranda taramanın yapılacağı dosya sistemi türü seçilir. Eğer tarayacağınız dosyalar, bir Linux dosya sistemi üzerindeyse ext2/ext3/ext4 seçeneğini seçiniz. Eğer tarayacağınız dosyalar çıkarılabilir disk (USB bellek, taşınabilir disk) veya bir Windows disk bölümü (NTFS) üzerindeyse 2. Seçeneği seçip devam edin.

Aşama 4 : Bu aşamada ise, kurtarılan dosyaların nereye geri yükleneceği belirlenir. Klavyeden sol ok tuşu ile daha üst dizinleri gezebilir istediğiniz bir klasörü seçebilirsiniz.

NOT : Veri kurtarma işlemlerinde genel olarak, tarama sonucunda kurtarılacak verilerin, taradığınız disk bölümüne değil de farklı bir disk bölümüne ya da diske kaydettirmeniz önemlidir. Eğer taradığınız disk bölümünde kurtarılan verilerin, yine aynı disk üzerine yazılmasını seçerseniz kurtarılacak pek çok veririn zarar görmesine neden olursunuz.

Ben burada home klasörünü seçiyorum. Seçmek istediğiniz klasör için üzerine gelip klavyeden c tuşuna basmanız yeterlidir. Taramamız başlamıştır.

Aşama 5 : Tarama işlemi devam ederken aşağıda ki gibi, hangi dosya türünden kaç tane kurtarıldığı listelenir. Tarama işlemi seçtiğiniz diskin büyüklüğüne ve taranması için seçtiğiniz dosya türlerinin çeşitliliğine bağlı olarak birkaç saat hatta daha fazla sürebilir. Ben taramayı çok uzatmamak adına çok az bir dosya türü seçtim kurtarılan dosyalara bir bakalım.

Kurtarılan dosyalar recup_dir adlı klasörlerde yer almaktadır.

Ben taramayı çok uzatmamak adına sadece text dosyalarını kurtarmasını istedim.

Görüldüğü üzere burada kurtarmış olduğu text dosyalarının bir kısmının nasıl gözüktüğünü görebilirsiniz. Daha önce birçok kez kullandığım bir program olan PhotoRec uygulamasının kişisel deneyimlerime dayanarak çok başarılı çalıştığını söyleyebilirim.

Cumhuriyet Üniversitesi Yönetim Bilişim Sistemleri 2. sınıf öğrencisi. Siber Güvenlik Araştırmacısı. Adli Bilişim ile uğraşan, programcılığı seven, kendisini sürekli geliştiren birisi. Twitter :https://twitter.com/ozanunll