İndir (PDF, 923KB) - Siber Suçları Önleme

ADLİ BİLİŞİM İNCELEMELERİNDE BİREBİR KOPYA ALMA
Fatih BERBER*
ÖZET
Bilişim ve internet teknolojilerinin hayatımızı kolaylaştırmak için yaşantımızın her
alanına girmesi ile birlikte, bu hızlı gelişim sürecinin olumlu sonuçları yanında kontrol edilmesi
güç sorunları da beraberinde getirmektedir.[1]
Evin kapısını açık bıraktığınızda maddi yönden zararınız olabilir. Fakat bilgisayarınızın
güvenliğini almayarak açık bıraktığınız kapıdan giren hackerlerin verebileceği zarar hem maddi
hem de manevi yönden daha yıkıcı olabilir. Çünkü gelişen teknolojiyle beraber çoğu işimizi
bilişim sistemleri (Bilgisayar, telefon, ATM cihazı vb.) aracılığıyla görürüz. Örneğin bankacılık
işlemleri, haberleşme, sosyal medya gibi.
Bir gün karşılaştığınız bir arkadaşınızın size kendisine facebook üzerinden hakaretler
ettiğinizi söylediğini, kimsede olmayan özel fotoğraflarınızın internette yayınlandığını, ay sonu
ekstranızı kontrol ettiğinizde kredi kartınızdan size ait olmayan harcamaların yapıldığını,
yıllardır oynayarak emek harcadığınız bir oyunun şifresinin başkası tarafından ele geçirildiğini,
bir sabah bilgisayarınızı açtığınızda değerli bilgilerinizin şifrelenmiş olduğunu gördüğünüzü vb.
durumlara maruz kaldığınızı bir düşünün, bu duruma maruz kalanların sayısı her geçen gün
artmaktadır. En son olarak dünyaca ünlü apple firmasının icloud bulut sisteminin hacklenmesi
ve birçok ünlünün özel dosyalarının internete sızdırılması yukarıdaki yazdıklarıma en güzel
örnektir. Bunların hepsi Siber Suç alanına girer ve elde edilen dijital delillerin herhangi bir
değişiklik meydana gelmemesi için delillerin birebir kopyaları alınır ve bunlar üzerinde adli
inceleme yapılır.
Anahtar Kelimeler: Bilişim, Bilişim Suçları, Dijital Delil, Adli Bilişim, İmaj, Siber Suç, Adli
Bilişim
ABSTRACT
With the introduction of IT and internet technology to every area of our lives to make our
lives easier, this rapid development process of controlling the power problems in addition to the
positive results brings with it. [1]
You may financially damage the door of the house when left open. But that could harm
your computer hackers who you leave the door open by not less than the security can be
devastating, both tangible and intangible aspects. Because most developing technology together
with our business information systems (computers, phones, ATM machines, etc.), We see
through. For example, banking, communications, and social media.
A friend you met one day that you say you insults on facebook itself, one non-private
photos, is published on the internet, month-end is made not belong to you spending your credit
card when you check your extras, were seized by someone else the password of a game that you
put some effort playing for years, one morning valuable when you turn on your computer so if
you see that your information is encrypted. Imagine that you are exposed to the situation, the
number of victims of this situation is increasing every day. Finally, the world-famous apple
company of iCloud cloud system hacked and leaked to the internet is the most beautiful examples
of the many famous private files above what I write. They all fall into cyber crime area, and any
change of the resulting digital evidence verbatim copies of the evidence to be taken to avoid the
occurrence and forensic analysis is done on them.
Keywords: IT, Computer Crime, Digital Evidence, Forensic Computing, Image, Cyber Crime,
Computer Forensics
2
GİRİŞ
Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu
ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim
nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi,
saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür. [2] Kısaca; bilişim
cihazlarından delil elde etme sürecidir. Bu süreç; delil toplama (collection), delillerin incelenmesi
(examination), sonuçların değerlendirilmesi (analysis) ile raporlama ve sonuç (reporting)
aşamalarından oluşur. [3] Adli bilişim uzmanları incelemelerini farklı yazılım ve donanımlar
kullanarak gerçekleştirmektedir. Yazılımlara; Encase Forensics, Forensic Tool Kit, ProDiscover,
SMART, The Sleuth Kit/Autopsy, donanımlara ise; Tableau yazma-koruma cihazları, Voom
Technology cihazları, Solo-III kopyalama cihazları örnek olarak verilebilir. [4,5]
Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir
değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya
alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin
üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya;
mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer
verileri de kapsar.[3] Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ının
kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi
olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana
getirmemelidir. [6] Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların
kullanılması ile yapılabilmektedir.
Disk imajının oluşturulması, elektronik delillerin adli analiz sürecinin başlangıç
noktasıdır. Disk imajının doğru bir şekilde alınması, tüm adli süreci etkileyebilecek kadar önemli
bir konudur. Alınan imajın doğruluğunun, elektronik delillerin adli analizinin yapılması ve
mahkeme süreci esnasında sorgulanması bunun bir göstergesidir. Elektronik delilerin analizinin
yapılması, üzerinde suç şüphesi bulunan veri depolama biriminin zarar görmesi ya da inceleme
yapan kişi tarafından verilerin değişmesi olasılığına karşı, adli inceleme kuralları çerçevesinde
doğru bulunmamaktadır. Bu nedenle, orijinal diskin adli kopyasının (bire-bir kopya) alınmasının
bir zorunluluk olduğu söylenebilir. Olay yerinin özelliğine bağlı olarak, bu işlemin canlı
inceleme sonrasında yapıldığı örneklerle de karşılaşmak mümkündür. [7]
FTK IMAGER İLE DİSK İMAJI ALMA
Bu makalemizde Amerika’da Kurulu AccessData firmasının ürettiği ücretsiz olarak
firmanın internet adresinden indirilebilen FTK Imager imaj alma ve ön izleme yazılımını
inceleyeceğiz.
FTK Imager, adli bilişim standartlarında imaj aldığı için bu alanda en çok tercih edilen
adli imaj alma yazılımlardan bir tanesidir. İmaj dosyasının içeriğindeki tahsis edilmemiş tüm
alan ile birlikte gizli dosyaları da gösterebilmektedir. FTK Imager ile alınan imaj dosyasının
bulunduğu alana oluşturulan metin dosyası içinde, adli bilişim açısından ihtiyaç bulunan tüm
bilgiler ( Hash değeri , imaj tarihi vb) yer almaktadır. AccesData firması, FTK Imager
yazılımının ve güncel versiyonlarının ücretsiz kullanımına izin vermektedir. FTK Imager
yazılımı ile ham halde (dd), E01 (Expert Witness, Encase) ve AFF biçimlerinde birebir kopyalar
alınabilmekte, alınan imaja sonradan erişebilme, farklı formata dönüştürebilme ve imaj dosyasını
disk sürücüsü gibi görebilmeyi de sağlamaktadır. Tüm dosya sistemleri (Windows, Linux,
Machintosh) ile uyumlu olması üstün özelliklerinden biridir. Ayrıca FTK Imager, FAT, NTFS,
ext2, ext3 gibi dosyalama biçimlerini de desteklemektedir. [8]
Diğer bir özelliği de erişilebilen medyaların MD5 veya SHA hash değerlerini
üretebilmesidir. Gerçek anlamda, MD5 hash değerinin üretilmesi, orijinal verilerin bütünlüğünün
korunduğunun garantisini verebilmek maksadıyla yapılır.[9] Yazılımın ana amacı veri depolama
3
birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Yazılımın veri kurtarmadaki
etkinliği, genellikle verinin silindiği zamana bağlıdır.
FTK Imager ile sabit disk, CD, DVD, disket, zip disk, klasör veya dosya imajı
alınabilmekte ya da ön izlemesi yapılabilmektedir. Yerel bilgisayarda veya ağ üzerindeki bir
ortamda kayıtlı imajın içeriğini görüntülenebilmektedir. Ayrıca Ram imajı da alınabilmektedir.
Alınan imaj dosyalarını salt okunur (Read-only) olarak mount edip, Windows Explorer üzerinden
bu imajların bir sabit disk sürücüsüymüş gibi işlim görmesine de ortam hazırlar ve imaj dosyaları
içerisinden dizin ya da dosyaların dışarı kopyalanmasına imkân tanır. Dosyaların ve disk imajının
veya imaj içerisindeki dosyaların hash değerlerini hesaplayabilmektedir. Alınan imaj dosyaları
şifrelenebilmektedir.[10]
Genel Özellikleri;
• Medyalar içerisinde bulunan verilerin ön izlemesi yapılabilir,
• Birebir kopyası alınmış olan medyaların kopyalarının ön izlemesi yapılabilir,
• Alınmış olan birebir kopyalar sadece okuma modunda (read-only) görüntülenebilir (mount),
• Kopyalar içerisinden veriler dışarı Windows ortamına aktarılabilir,
• Silinmiş ve çöp kutusuna atılmış olan dosyalar görüntülenebilir,
• MD5 ve SHA-1 algoritmalarını kullanarak hash değeri üretilebilir,
• Birebir kopyalar ile normal dosyalar için hash raporları üretilebilir. [11]
FTK Imager ile imaj alma işlemini gerçekleştirilir iken, Windows tarafından desteklenen
USB yazma koruması özelliğinden faydalanılabilir. Bu sayede orijinal delillerin değişmesine yol
açabilecek tehlikeler bertaraf edilmekte ve ayrıca donanımsal bir “write-blocker” aygıtına ihtiyaç
kalmadan, Windows üzerinden imaj alma işlemi yapılabilmektedir. ( Şu unutulmalıdır ki şaibeye
meydan vermemek için donanımsal yazma koruması daha sağlam bir koruma yöntemi olarak
tercih edilmektedir.)
USB yazma koruma yazılımını “http://www.howtogeek.com/howto/windowsvista/registry-hack-to-disable-writing-to-usb-drives/” adresinden “EnableUSBWrite” ve
“DisableUSBWrite” isimli dosyalar indirilir. Orijinal disk üzerinde herhangi bir değişikliğe
neden olmamak amacıyla “DisableUSBWrite” isimli dosya çalıştırılır ve yazma korumasının
aktif olması için bilgisayar yeniden çalıştırılır. [12]
FTK Imager programını “http://accessdata.com/product-download/digital-forensics/ftkimager-version-3.3.0” adresinden indirebilirsiniz. Windows işletim sistemi üzerine kurulan
“FTK Imager” ve kurulum gerektirmeyen “FTK Imager Lite” isimli sürümleri vardır. Ayrıca
Linux ve Machintosh üzerinde çalışacak sürümleri de vardır.
FTK IMAGER PROGRAMININ KULLANIMI:
FTK Imager tüm özelliklerine erişmek için Menü Çubuğunu kullanabilirsiniz. Menü
Çubuğu her zaman görünür ve erişilebilir haldedir. Menü Çubuğu üzerinde dört öğe vardır.
Bunları bu bölümde ayrıntılı olarak ele alacağız.
Programın genel görünümü aşağıdaki gibidir.
4
Menülerin genel görünümü:
File Menu: Dosya menüsü Araç Çubuğu kullanabileceğiniz tüm özelliklere erişim sağlar.
View Menu: Programın genel görünümünde görünmesi istenen pencerelerin aktif veya pasif
edildiği bölümdür.
Mode Menu: Ön izleme modu seçmenizi sağlar
Help Menu: Yardım menüsü FTK Imager Kullanıcı Kılavuzu erişim sağlar ve program sürümü
ve hakkında bilgi verir.
Toolbar:
Araç Çubuğu Exit hariç, Dosya menüsünden ulaşılabilir tüm araçlar, işlevler veya
özellikler içerir. Aşağıdaki tabloda, her özelliği temel bilgiler sağlar.
5
FTK Imager Araç Çubuğu Bileşenleri:
Düğme Açıklama
Add Evidence Item. (Yeni bir delil ekle)
Add All Attached Devices. ( Bağlı tüm aygıtları ekle)
Image Mounting. (İmajı mount etmek)
Remove Evidence Item. (Eklenen bir delili sil)
Remove All Evidence Items. (Eklenen tüm aygıtları sil)
Create Disk Image. (Yeni bir imaj oluştur)
Export Disk Image . (İmajı dışarı çıkart.)
Export Logical Image .(AD1) (Mantıksal imajı dışarı aktar)
Add to Custom Content Image (AD1) (özel içerik kutusuna ekle)
Create Custom Content Image (AD1) ( özel içerik görüntüsü ekle
Verify Drive/Image (sürücüyü doğrula)
Capture Memory (rem’in imajını al)
MetaCarve (Deep Scan) (Metadata bilgilerinin çıkartılması)
Obtain Protected Files (Korunan sistem dosyalarını almak)
Detect EFS Encryption (EFS’li dosyları tespit etmek)
Export Files (Dosyanın aktarılması)
Export File Hash List (Dosya listelerinin hash bilgileri)
Export Directory Listing ( Dizin listeleme)
Choose IE, text, or hex viewer automatically (Otomatik IE, metin veya hex
görüntüleyici seçin)
View files in plain text (Düz metin dosyaları görüntüleme)
View files in hex format (Hex formatında dosyaları görüntüleme)
Open FTK Imager User Guide (FTK Imager Kullanım Kılavuzu)
6
İMAJ ALMA İŞLEMİ
Uygulamayı indirip çalıştırdıktan sonra imaj alma işleminin başlatılması ve imajı alınacak
kaynağın seçilebilmesi için “File menüsünden Create Disk Image seçeneğinden veya Toolbar
üzerinden
simgesini seçip disk imajı oluşturma aşamasına geçiyoruz.
Bir sonraki aşamada karşımıza imaj alınacak diskin seçileceği “Select Source” başlıklı
aşağıda gösterilen pencere çıkar. Buradaki seçenekler yardımıyla fiziksel disk imajı mı alınacak
yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alınacak o belirlenir.
Birçok durumda sabit diskin fiziksel imajını almak en doğru yaklaşımdır. Bunun için ilk seçenek
olan “Physical Drive” seçeneğini seçip ilerlemeniz yeterli olacaktır. [13]
7
Bir sonraki aşamada aşağıda örneği gösterilen ve hangi diskin imajı alınacaksa onun
seçildiği “Source Drive Selection” penceresi karşımıza çıkar. Eğer imaj alınacak sabit disk
Windows tarafından sorunsuz tanınmışsa bu listede o diski görmeniz gerekir. Eğer imaj
alacağınız disk bu listede yer almıyorsa Windows tarafından tanınmamış demektir. [13]
Uygun disk seçilip bir sonraki aşamaya geçildiğinde ise bu kez karşımıza çıkan pencere
oluşturulacak imajın nereye kaydedileceğinin belirlendiği aşağıdaki pencere olacaktır.
8
Yukarıdaki pencerede “Add” butonuna basarak oluşturacağımız imaj dosyasının
formatını belirteceğimiz ve örneği aşağıda gösterilen bir sonraki pencereyi açıyoruz. FTK Imager
dört farklı formatta disk imajı oluşturmaya imkân tanır. Bunlar Raw (dd) formatı, SMART
formatı, E01 formatı ve AFF formatıdır. [13]
1- Raw (dd) formatını tüm adli bilişim yazılımları destekler. Fakat bu formatı seçtiğinizde
imajı alınan verinin kapasitesi kadar kopyalanacak alanda yer bulunması gerekmektedir.
2- E01 formatı seçilir ise imaj belirlenen ölçüde sıkıştırılır ve daha az yer kaplar. Fakat Raw
(dd) formatına göre daha uzun zamanda imaj işlemi tamamlanır. [14]
Uygun formatı seçip ilerlediğimizde bir sonraki pencerede ise oluşturduğumuz imaj
dosyası ile ilgili olarak dava numarası, delil numarası, açıklama vs gibi bilgileri girmemizi
isteyen aşağıdaki pencere ile karşılaşırız. Bu bilgiler imaj dosyasının oluşturulduğu dizinde yer
alan ve imaj alma işlemi hakkında özet bilginin yer aldığı text dosyasında yer alacaktır.
9
Sonraki aşamada imaj dosyasının nereye yazılacağını belirleyeceğimiz aşağıdaki pencere
karşımıza çıkar. Eğer oluşturulacak dosya tek dosya halinde oluşturulsun isteniyorsa bu durumda
Image Fragment Size(MB) kısmına 0 (sıfır) yazılmalıdır. Eğer tek part dosyası oluşturur ve
dosya hasar görür ise içeriğindeki verilere ulaşılamamaktadır. Adli bilişim alanında tavsiye
edilen part boyutu 2048 MB’tır. (FAT dosya sistemi 4 GB dan büyük dosyaları görmediğinden
dolayı). Bundan dolayı Compression seçeneği sadece imaj sıkıştırma desteği sunan formatlardan
birisinin seçilmesi durumunda aktif olur ve sıkıştırma oranını belirler. Eğer alınacak imajın
şifrelenmesi isteniyorsa bu durumda Use AD Encryption seçeneği seçilmelidir. [13]
Browse seçeneğinden imaj dosyasının nereye yazılacağını veya yeni bir klasör mü
oluşturulacağı belirleyeceği belirlenip seçim yapılır.
10
Daha sonra “ Image File name” alanına imaj dosya adı belirlenir.
Finish butonuna basıp ilgili adımlar bitirilir. Ve karşımıza aşağıdaki ekran çıkar.
Bu penceredeki “Verify images after they are created” seçeneğinin seçilmesi
durumunda imaj oluşturma işleminden sonra bir doğrulama işlemi gerçekleştirilir ve bu işlem
imaj alma süresini iki katına çıkartacak bir işlemdir. “Precalculate Progress
Statistics” seçeneğinin seçilmesi durumunda imaj alma işleminin yaklaşık olarak ne kadar
süreceği hesaplanır ve kullanıcıya gösterilir. “Create directory listings of all files in the image
after they are created” seçeneğinin seçilmesi durumunda da imaj alınacak diskin içinde yer alan
dosyaların detayları “csv” formatında çıkartılır ve imajın saklandığı dizinle aynı dizine yazılır.
İlgili yerler işaretlenir ve Start denilerek imaj alma işlemi başlar. [13]
11
Bittiğinde aşağıdaki ekranda gösterildiği gibi bir ekranla karşılaşılır. Bu ekranda imaj
alma işleminin ne kadar sürdüğü bilgisinin yanında ortalama olarak ne kadarlık bir hızla imaj
alındığı bilgisi de yer alır.
Image Summary butonuna basıldığında ise ilgili imaj alma işlemi hakkında özet
bilgilerin yer aldığı ve örneği aşağıda gösterilen bir pencere çıkar karşımıza. İmajın hash
değerlerinin de yer aldığı bu pencerede varsa bozuk sektör bilgisi de yer alır. [13]
12
İmaj alma işlemi bittikten sonra USB girişi üzerinden bilgisayara bağlanmış olan orijinal
disk çıkarılır. USB yazma korumasının pasif hale getirilmesi için “EnableUSBWrite” isimli
dosya çalıştırılır ve bilgisayar yeniden başlatılır. [12]
DESTEKLENEN DOSYA SİSTEMLERİ VE SÜRÜCÜ İMAJ FORMATLARI
AccessData Imager programının analiz ettiği dosya sistemleri aşağıdaki tabloda listelermiştir.[11]
AccessData Imager programının desteklediği Tüm Disk Şifreleme analiz (WDE) ürünleri
listelenmiştir. [11]
13
AccessData Imager programının desteklediği sabit disk görüntü formatları aşağıdaki
tabloda listelenmiştir. [11]
AccessData Imager programının desteklediği CD ve DVD görüntü formatları aşağıdaki
tabloda listelenmiştir. . [11]
14
KAYNAKÇA
[1] Çakır,
H. & Sert, E. (2011) Bilişim Suçları Ve Delillendirme Süreci S-144
http://utsam.org/images/upload/attachment/utsas_2010_secilmis/Bili%C5%9Fim%20Su%C3%
A7lar%C4%B1%20ve%20Delillendirme%20S%C3%BCreci.pdf (Erişim Tarihi: 06.12.2014)
[2] Şirikçi, A. S. & Cantürk, N. (Eylül 2012) Bilişim Teknolojileri Dergisi, Cilt: 5, Sayı: 3,
www.btd.gazi.edu.tr/article/viewFile/1041000152/pdf (Erişim Tarihi: 06.12.2014)
[3] Ceylan, R. & Şirikçi, A.S. ‘‘Bilişim Teknolojileri İncelemeleri- Veri İncelemeleri’’, Adli
Bilimler, Cilt 2, Editör: Cihangiroğlu, B. , Jandarma Kriminal Daire Başkanlığı Yayınları,
Ankara, 152-174, 2011.
[4] Carrier, B. ‘‘Digital Investigation Foundation’’, File System Forensic Analysis, Editor:
Carrier, B. , Addison Wesley Professional, NJ, 12-21, 2005.
[5] Botchek, R. ‘‘Benchmarking Hard Disk Duplication Performance in Forensic Applications’’,
23.09.2008,
https://www.digitalintelligence.com/files/Forensic_Duplicator_Benchmarks.pdf
(Erişim Tarihi: 06.12.2014)
[6] Jones, K. J. & Bejtlicj, R. & Rose, C.W. ‘‘Forensic Analysis Techniques’’, Real Digital
Forensics: Computer Security And Incident Response, Editors: Jones, K.J., Bejtlıcj R., Rose
C.W., Addison Wesley Professional, NJ, 205-246, 2006.
[7] Henkoğlu, T. (2014). Adli Bilişim, Dijital Delillerin Elde Edilmesi ve Analizi, S-49, 2. Baskı,
Pusula Yayınları, İstanbul
[8] Altheide, C. & Carvey, H. & Davidson, R. ‘‘Disk and File System Analysis’’, Digital
Forensics with Open Source Tools, Editor: Davıdson, R., Elsevier Inc, MA, 39-67, 2011.
[9] Arthur, K.K. & Venter, H.S. ‘‘An Investigation Into Computer Forensic Tools’’,1-9,
http://icsa.cs.up.ac.za/issa/2004/Proceedings/Full/060.pdf, (Erişim Tarihi: 07.12.2014)
[10] Editörler Çakır, H. & Kılıç, S.K. (2014) Adli Bilişim ve Elektronik Deliller, S-213, Seçkin
Yayınları, Ankara
[11] AccesData, ‘‘FTK Imager User Guide 2012’’, https://ad-pdf.s3.amazonaws.com/Imager
%203_1_4_UG.pdf, (Erişim Tarihi: 08.12.2014)
[12] Henkoğlu, T. (2014). Adli Bilişim, Dijital Delillerin Elde Edilmesi ve Analizi, S-52, 2.
Baskı, Pusula Yayınları, İstanbul
[13] Öztürkci, H. (2014) http://halilozturkci.com/adli-bilisim-ftk-imager-ile-disk-imaji-alma/,
(Erişim Tarihi: 09.12.2014)
[13] Insomnia, Crime Investigation (2013), http://cyber-warrior.org/Forum/ftk-imager-ile-imajalmak_488976,1.cwx, (Erişim Tarihi: 08.12.2014)
DIFOSE Bilişim Bilgisayar Eğitim (2013),
http://www.difose.com/blog/index.php/acikkaynak-yazilim/118-acik-kaynak-adli-bilisim-cozumleri, (Erişim Tarihi: 09.12.2014)
Ekizer, A. H. (2014). Adli Bilişim (Computer Forensics), http://www.ekizer.net/adli-bilisimcomputer-forensics/, (Erişim Tarihi: 09.12.2014)
15
GÖKTÜRK Bilgi Teknolojileri (2014). http://www.turkishforensic.com/adli-bilisim.html,
(Erişim Tarihi: 09.12.2014)
http://tr.wikipedia.org/wiki/Adli_bili%C5%9Fim, (Erişim Tarihi: 09.12.2014)