1. Duyuruyu Kapat

Wipe işleminden sonra veri kurtarılabilir mi?

'Adli Bilişim' forumunda R.K. tarafından 19 Şubat 2016 tarihinde açılan konu

  1. R.K.

    R.K. Member

    Katılım:
    11 Ocak 2016
    Mesaj:
    69
    Beğeniler:
    0
    Ödül Puanları:
    6
    Wipe (Kalıcı silme=Data üzerine data yazma) işleminden sonra veri kurtarılabilir mi?

    EN KISA ŞEKİLDE CEVAP VERECEK OLURSAK; MEVCUT DATA ÜZERİNE DATA KAYDEDİLMESİ SONUCUNDA YOK OLAN ESKİ DATA KURTARILAMAZ.

    Hard disk veya benzer nitelikteki başka bir dijital ortama kaydedilen data, disk yüzeyindeki minik manyetik alanlara kaydedilir. Diskteki bu manyetik alanlar, fizisel durumları itibariyle 2 farklı durumda bulunabilir. Diğer bir deyişle, bu manyetik alanlar, 0 veya 1 olarak bilinen iki farklı durumu temsil edebilir. İşte bu manyetik alanların, temsil ettikleri durumları, değişmeden aynı kaldığı sürece o durumun temsil ettiği bilgi de bozulmadan aynen kalmış olur. Ancak eğer ki bu manyetik alanların durumları değişirse, örneğin 1 durumundan çıkarılıp 0 durumuna geçirilirse, değişen manyetik alanın önceki manyetik durumunun ne olduğu, veri kurtarma programlarıyla bilinemez. Bu nedenle, işte bu manyetik alanların durumunun değişmesi demek olan “yeni veri yazma’ işleminden sonra, kurtarma programlarıyla veri kurtarmak mümkün olmaz.

    Bir alanı tamamıyla veriyle doldurma demek olan wipe işlemini yapan bir yazılım, o alandakidata yazılabilecek tüm manyetik alanlara erişir ve o alanların tümüne data kaydeder(yani o alanların önceki manyetik durumunu değiştirir) ve önceki manyetik durumun iyice belirsiz hale gelmiş olduğundan emin olmak için her bir manyetik alan üzerinden bir çok kez geçer. Bu işlemler sonucunda data yazılan alanların, data yazılmadan önceki manyetik durumlarının ne olduğu anlaşılmayacak şekilde değiştirilmiş olur. Diğer bir ifadeyle, artık eski data güvenli şekilde yok edilmiş olur.

    Gerçek bir wipe’dan bahsedebilmek için, wipe işlemini yapan programın diskin gerçekten bütün bölümlerine erişip oralara data yazabilen bir program olduğundan emin olmak gerekir. Aksi takdirde, wipe işlemi yapılmış olmayacaktır.

    İnternette, wipe(kalıcı silme) yaptığını belirten bir çok program, gerçekte diskin tüm bölümlerine erişip data yazamamamaktadır yani gerçekte wipe işlemi yapmamaktadır.Günümüz teknolojisiyle, milyonlarca disk sektörüne bir kaç dakikada data yazılması zaten mümkün değildir. Ortalama kapasitedeki bir hard diskin ‘wipe’ edilmesi bile saatlerce sürer. Bu nedenle, kısa sürede wipe işlemini bitiren yazılımların aslında ‘wipe’ değil, sadece normal dosya silme işlemi yaptığından emin olabilirsiniz.

    Wipe dışında, normal şekilde silinmiş olan dosyalar üzerine başka data yazılması sonrasında, eski dosya üzerine yazılan yeni dosya, eski dosyaya tahsis edilmiş olan alanı tam olarak dolduramayabilir.

    Örnek olarak 100 KB’lık bir dosya hard diskte kaydedilirken 50 KB’lık 2 adet manyetik alana(sektöre) kaydedilmiş olsun. Daha sonra bu dosya silinsin. Hard diske yeniden 60 KB’lık bir dosya kaydedilmek istendiğinde, bilgisayar 50 KB’lık bu 2 adet manyetik kısmı yeni dosyaya tahsis edecektir. Ancak, yeni dosya bu 2 kısma yazıldığında, 100 KB’lık eski dosyanın datasının tamamının ‘üzerine yazmış’ olmayacağından, önceki dosyadan geriye kalan bir kısım söz konusu olacaktır. İşte yeni dosya tarafından doldurulamayan bu alanda(artık alan) eski dosyaya ait bazı bilgiler bulunabilir. Herhangi bir veri kurtarma yazılımıyla da, bu verilere ulaşılabilir ancak bu işlem wipe edilmiş datanın kurtarılması değildir, çünkü o kısımlar zaten wipe edilmemiştir.

    Diğer yandan, kullanıcının ‘delete(silme)’ tuşuna basarak veya shift+del tuşlarına basarak sildiği eski bir dosyanın diskteki data alanı, artık ihtiyaç olduğunda kullanılabilecek bir alan haline gelir ve doğal olarak bu kısımlara yeni gelen dosyaların dataları yazılabilir. Buna bağlı olarak, kullanıcılar internetten indirdikleri veri kurtarma programlarıyla diski taratarak, bazen eskiden üzerine yazdıklarını bildikleri bir dosyanın dosya isminin hard diskte halen mevcut olduğunu(ancak açılmadığını) ve bu dosyaların üzerine yazılmış olduğu bilgisinin verildiğini görürler. Ancak diğer yandan eğer ki önceki dosya wipe edilmiş ise, dosya isminin nasıl hala diskte bulunduğuna şaşarak wipe sonrasında verinin kurtarılabilir olduğunu düşünmeye başlayabilirler. Oysa ki bu da, wipe edilmiş datanın kurtarılması değildir. Çünkü dosyalarınisimleri ile içerik kısımları hard diskte zaten ayrı yerlerde tutulur ve normal şekilde silinmiş(deleted) bir dosyanın data alanları üzerine başka datalar yazılmış olabilirken, dosya ismi üzerine henüz hiç bir data yazılmamış olabilir.

    ‘WIPE’ İŞLEMİ VE ‘ATOMİK KUVVET MİKROSKOPİSİ’ YÖNTEMİ

    Wipe(kalıcı silme) işlemi yapıldıktan sonra, wipe edilmiş olan alanlarıın wipe öncesinde hangi konumda oldukları, yani 0 mı yoksa 1 mi oldukları mikroskopla tespit edilebilir” şeklinde bir kuram ortaya atılmış, ve yapılan bazı çalışmalarda eski tip hard disklerde BAZI alanların önceki konumları tespit edilebilmiş ancak sadece bu bazı alanlara dayanarak wipe edilmiş olan dosyaların kurtarılması pratik anlamda mümkün olamamıştır. Diğer bir ifadeyle, 1 veya 0’ların tespit edimiş olması, bir bütün olarak açılır bir dosyanın, pratik anlamda ortaya çıkarılmasına imkan vermemiştir. Çünkü bir dosyayı oluşturan milyonlarca bitten bazıları görülebilmiştir, ki o bitlerin wipe yapılmadan önce ne tip bir dosyaya ait bit’ler olduğunu bilmek de mümkün olamamıştır.

    Görüldüğü gibi, tamamlanması yıllar sürebilecek böyle mikroskopik bir yöntemle veri kurtarma girişiminde, bazı 0’lar veya 1’ler(bit’ler) kurtarılsa dahi elimizde bütün bir dosya değil, sadece bazı bit’ler olacak ancak bu bit’ler kendiliklerinden anlaşılabilir bir içerik(yazı, ses, video) dosyası meydana getirmeyecektir. Örnek vermek gerekirse, önce 8 adet bit doğru şekilde kurtarılacak ve bu bit’lerin sırası da doğru şekilde yerleştirilecek, ki bir byte’lık bilgi elde edilebilsin. Örnek, 11101001 bit’leri A harfi demek ise bu bit’lerden bir tanesi bile doğru sırayla koyulmaz ise, kurtarılan bit’lerin hiç bir anlamı olmayacaktır. Ayrıca kurtarılan 8 adet bit her zaman bir harf olmayıp bir ses veya bir renk veya bir video da olabileceğinden, o bit’in silinmeden önce ne tip bir dosya olduğunu bilmek de şart olacaktır. Görüldüğü gibi, “Atomik Kuvvet Mikroskopisi” yoluyla bit düzeyinde kurtarma yapılsa dahi, elde edilen bit’lere bakarak o bitlerin bir metin mi yoksa bir ses mi yoksa bir resim dosyasına mı ait olduğunu pratik anlamda çözmek şu an için pek mümkün görünmemektedir. Zaten bu yöntem yeni tip hard diskler için uygulanabilir değildir. Çünkü gelişen teknolojiyle birlikte disklerin veri yazma prensipleri de değişmiştir. Buna rağmen, internette veya çevrenizde ‘wipe’dan sonra veri kurtarma yapıldığını iddia eden kişiler ya da ürün reklamları görebilirsiniz. Bu kişiler, ya ‘wipe’ işleminden normal silme işlemini kastediyordur ya da eski data üzerine yeni data yazma(wipe) işleminin ne demek olduğunu bilmiyordur, ya datanın manyetik bir ortama nasıl kaydedildiğiniı bilmiyordur veya aslında bu konularda zaten pek bir şey bilmediği halde kendini biliyor sanan biriyle karşı karşıyasınızdır –ki bu tip insanlardan ülkemizde de fazlasıyla bulunmaktadır. Reel yaşamda bugüne kadar gerçekleştirilememiş böyle bir şeyi iddia eden bir kişiyi daha fazla dinleyerek vakit kaybetmenizin bir anlamı yoktur.

    MEVCUT DATA ÜZERİNE YENİ DATA YAZILDIKTAN SONRA YOK OLAN ESKİ DATA, VERİ KURTARMA YAZILIMLARI İLE KUR-TA-RI-LA-MAZ.

    Dr. Yunus BALI Adli Bilişim Uzmanı [email protected]

    Kaynak: www.dijitaldeliller.com , Wipe işleminden sonra veri kurtarılabilir mi?
     
  2. MenIn

    MenIn Albay

    Katılım:
    21 Nisan 2016
    Mesaj:
    720
    Beğeniler:
    0
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Amerikalı bir şirket, laboratuvar ortamında sektörlerin yüzde kırk dokuzunu eşleştirdiğini iddia ediyor. Buna ilaveten yüzde doksan dokuz dahi olsa, yüzde yüz olmadıkça hiçbir işe yaramaz açıklamasınıda dile getiriyor.
     
  3. Liberatores

    Liberatores New Member

    Katılım:
    15 Nisan 2016
    Mesaj:
    5
    Beğeniler:
    0
    Ödül Puanları:
    0
    Ayrıca yeni algoritmalardan dolayı o sektörler eşleşse bile sizin belirlediğiniz veriler çıkabilir. Tabii görmeden bu yorumu yapmak da zor.
     
  4. ProHacker

    ProHacker Albay

    Katılım:
    20 Mart 2016
    Mesaj:
    434
    Beğeniler:
    1
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Sanırım yavaştan SSD' lere geçiş yapıldığından bu durum çok daha zorlaşacak.
     
  5. ProHacker

    ProHacker Albay

    Katılım:
    20 Mart 2016
    Mesaj:
    434
    Beğeniler:
    1
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Zor ama HDD devri bi an önce bitmeli bence. PC üzerinde mekanik olan bir DVD-ROM bir de HDD var ki HDD en önemli parçalarımızdan. Ancak SSD ile aralarında uçurum var :) PC çalışırken yere düşse büyük ihtimalle Bad Sector oluşacak veya RW-Head komple gidecek. Yani %70-80 Hard disk zarar görecek. SSD olsa dönüp bakma bile :)
     
  6. MenIn

    MenIn Albay

    Katılım:
    21 Nisan 2016
    Mesaj:
    720
    Beğeniler:
    0
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Aynen. En azından artık CIA veri geri getirmek için mikroskop kullanmaz. :)
     
  7. ProHacker

    ProHacker Albay

    Katılım:
    20 Mart 2016
    Mesaj:
    434
    Beğeniler:
    1
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Biz de rahatlarız iz kalmadı diye :)
     

Bu Sayfayı Paylaş

Share