Adli bilişim, elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlu bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.
Kısaca; bilişim cihazlarından delil elde etme sürecidir. Bu süreç; genel anlamda delil toplama (collection), delillerin incelenmesi (examination), sonuçların değerlendirilmesi (analysis) ile raporlama ve sonuç (reporting) aşamalarından oluşmaktadır.
Adli kopya (imaj) nedir?
Adli bilişim alanında yapılan incelemeler delilin orijinalinde herhangi bir değişiklik meydana getirmemesi için delilin birebir kopyası üzerinde gerçekleştirilmektedir. Delillerden kopya oluşturulurken özel yazılım ve donanımlar kullanılmaktadır.
Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsamaktadır. Kullanılan “birebir aynisi” terimi, orijinal medyanın her sektör ve byte’ının kopyalanması anlamındadır. Kopyalama işlemi sırasında yazma korumalı cihaz ve yazılımlar kullanılmakta ve bu sayede delil bütünlüğü sağlanmaktadır. Delilin birebir kopyasına imaj (image) denilmektedir.
Bir adli bilişim uzmanından herhangi bir konuda inceleme yapılması istendiğinde; adli bilişim uzmanı öncelikle orijinal delilden imaj oluşturmalı ve ardından oluşturduğu imajdan da bir kopya oluşturarak çalışmalarına başlamalıdır. Bu işlemin amacı; imaj dosyasının delil kadar kıymetli olmasıdır. Örneğin delile ait imajın CD ortamında olduğu varsayıldığında; CD’nin çizilmesi, bozuk bir CD okuyucu ile okunmaya çalışılması gibi nedenle hasar görmesi veya bozulması durumunda da inceleme yapılamayacaktır. Bu nedenle inceleme de ilk yapılacak işlem delilden imaj almak ve imajın da kopyasının oluşturulması olmalıdır.