Suçun aydınlatılabilmesi aşamasında uygun bir analiz ortamı kurma, adli inceleme sürecinin ilk aşamasıdır. Android tabanlı mobil cihazların incelenmesi için gerekli olan adli inceleme ortamının özellikleri şu şekilde sıralanmaktadır.
- Başlangıç olarak adli inceleme için steril bir durumda olan bilgisayar ortamının oluşturulması gerekmektedir. Steril bir bilgisayar ortamı adli inceleme haricindeki verilerin sistemde bulunmadığı veya mevcut araştırmayı kirletemeyeceği bir şekilde bulunduğu anlamına gelir.
- İncelemesi gerçekleştirilecek olan cihazın sisteme bağlanabilmesi ve incelenebilmesi için gerekli temel yazılım ve donanımlar belirlenerek hazır hale getirilmelidir.
- Android tabanlı cihazların adli incelemesi için kullanılan araçlar ve yöntemler Windows, Linux ve OS X platformlarında çalışabilir durumda olmalıdır.
- Soruşturmaya konu olan cihaza erişim gerçekleştirilebilmelidir. Verilerin Android tabanlı cihazlardan çıkarılabilmesi için bir incelemecinin gerekli ayarlamaları ve düzenlemeleri uygulayabilmesi beklenir.
- Android cihazlardan veri çıkarma teknikleri kullanılarak cihaz üzerinde gerekli komutların ve işlemlerin çalışması sağlanmalıdır.
1- Android Software Development Kit
Android Yazılım Geliştirme Kiti (SDK), geliştirme dünyasının Android’de uygulama oluşturmak, test etmek ve hata ayıklamak için kullanmış olduğu bir platformdur. Bu platform, uygulamaları oluşturmak için gerekli araçları sağlayarak Android cihaz geliştirmeleri yapabileceğimiz bir ortam sağlamaktadır. Bununla birlikte, Android cihazların araştırılması sırasında yardımcı olabilecek değerli belgeler ve araçlar da sağlamaktadır. Android SDK’nın iyi anlaşılması, bir cihazın özelliklerine ve cihazdaki verilere nasıl erişilebileceği konusunda yardımcı olacaktır. Android SDK; yazılım kütüphaneleri, API’ler, araçlar, emülatörler ve diğer referans materyallerinden oluşur. Bir adli soruşturma sırasında SDK, Android cihazdaki verilere bağlanmaya ve erişmeye yardımcı olur. Android SDK çok sık güncelleme alan bir uygulamadır, bu nedenle iş istasyonunu üzerinde güncel olarak varlığını sürdürebilmektedir. Android SDK, Windows, Linux ve İOS tabanlı işletim sistemlerinde çalışabilmektedir.
2- Android Sanal Emülatörler
Emülatörler, uygulamaların bir cihazda nasıl davrandığını ve yürütüldüğünü anlamamıza yardımcı olan yapılardır. Bu yapılar, bir adli soruşturma sırasında ortaya çıkarılan belirli bulguları doğrulamak için yardımcı olabilmektedir. Ayrıca SDK kullanarak daha eski bir platformda çalışan bir cihazda çalışırken, aynı platformda bir emülatör tasarlayabilme imkânı bulunmaktadır. Ayrıca, gerçek bir cihaza adli bir araç kurmadan önce, emülatör sayesinde bir adli aracın nasıl çalıştığını ve Android cihazdaki verilerin içeriği üzerinde herhangi bir değişiklik yapıp yapmadığını bulmak için kullanılabilir.
3- İş İstasyonuna Bir Android Cihazın Bağlanması
Açık kaynaklı araçları kullanarak bir Android cihazının adli edinimi gerçekleştirilirken, cihazın bir adli iş istasyonuna bağlanmasını gerekir. Herhangi bir cihazdan adli açıdan verilerin elde edilmesi, adli olarak steril bir iş istasyonunda yapılmalıdır. Bu nokta da iş istasyonunun kesinlikle adli incelemeler için kullanıldığı ve kişisel kullanım için olmadığına dikkat edilmelidir. Ayrıca, bir aygıt bilgisayara herhangi bir zamanda takıldığında, aygıtta değişiklik yapılabileceğini unutulmamalıdır. İncelemecinin, Android cihazla olan tüm etkileşimleri her zaman tam olarak kontrol etmesi gerekir. Cihazı bir iş istasyonuna başarılı bir şekilde bağlamak için incelemeci tarafından oluşturulmuş olan kontrol listesindeki tüm maddeler teker teker uygulanmalıdır.
4- Cihaz Kablosunu Tanımlama
Bir Android cihazının fiziksel bağlantısı; şarkı, video ve fotoğraf gibi verileri paylaşmak için bir bilgisayara bağlanmasını sağlar. Bu fiziksel bağlantı üreticiden üreticiye ve ayrıca cihazdan cihaza değişebilir. Örneğin, bazı cihazlar mini USB kullanırken, diğerleri ise mikro USB kullanmaktadır. Bunun dışında, bazı üreticiler EXT-USB, EXT mikro-USB ve benzeri kendi tescilli formatlarını kullanır. Bir Android cihazın adli edinimdeki ilk adım, ne tür bir cihaz kablosunun gerekli olduğunu belirlemektir.
5- Aygıt Sürücülerinin Kurulması
Aygıtı doğru bir şekilde tanımlayabilmek için, inceleme yapılacak bilgisayar üzerinde yüklü olması gereken bazı sürücülere ihtiyaç olabilir. Gerekli sürücüler olmadan bilgisayar, bağlı olan cihazı tanımlayamayabilir ve bu cihaza erişim gerçekleştiremeyebilir.
Günümüzdeki en önemli problemlerden bir tanesi Android işletim sistemi yapısının, mobil cihaz üreticileri tarafından değiştirilmesine ve kişiselleştirilmesine izin verildiğinden, tüm Android cihazlar için çalışacak tek bir genel sürücü bulunmamasıdır. Her üretici kendi tescilli sürücülerini yazar ve bunları telefonla birlikte dağıtır. Bu nedenle, yüklenmesi gereken belirli aygıt sürücülerini tanımlamak önemlidir. Elbette, Android adli inceleme yazılımlarının bazıları bazı genel sürücüleri veya en çok kullanılan sürücüleri içermektedir. Fakat bu sürücüler Android telefonların tüm modelleri ile çalışmayabilir. Bazı Windows işletim sistemleri, cihaz prize takıldıktan sonra sürücüleri otomatik olarak algılayabilir ve yükleyebilir, ancak genellikle bu konuda başarısız olmaktadır.
6- Android Debug Bridge
Android Debug Bridge (adb) Android cihazların adli incelenmesi konusunda önemli bileşenlerden biridir. Android Hata Ayıklama Köprüsü (adb), Android cihazla iletişim kurulmasını ve kontrol edilmesine olanak sağlayan bir komut satırı aracıdır. Adb hakkında bir şey konuşmadan önce, USB hata ayıklama seçeneği hakkında bir anlayışa sahip olunması gerekmektedir. Bu seçeneğin birincil işlevi, Android cihazla Android SDK’nın kurulu olduğu bir iş istasyonu arasındaki iletişimi sağlamaktır. İncelemecinin, bazı durumlarda derleme moduna erişerek geliştirici seçeneklerini zorlaması gerekebilir. Bu adımların tümü cihaza özeldir ve cihazı araştırarak veya adli tıp aleti tarafından sağlanan talimatları okuyarak belirlenebilir.
Emir Can KÖSE
Adli Bilişim Mühendisi
