Odatv Davası'nda Sona Gelindi... Dosya Mütalaa İçin Savcıda

Nw18t6229459 seri numaralı Fujitsu marka "Barış Pehlivan" etiketli sabit disk içindeki imaj bozuk olduğundan, tarafımıza 1 Nisan 2016 tarihinde incelenmek üzere orjinal sabit disk ve bu diskten alınmış yeni bir imaj iletilmiştir. Orjinal disk tarafımızca incelenmemiştir. İletilen imajın MD5 kıyım (hash) değeri "C06BA4C2DF8B62217006FDB9F7CC28A" olup bu değer söz konusu bilgisayarın sabit diskine el konulduğu zaman alınan MD5 kıyım değeri olan "58F0C95FF0C794B1BEBAC1D5930C3C" den farklıdır. Bu diskin kıyım değeri diskin içindeki bütün dosyalara bağlıdır, ve bu dosylardan bir tanesi bile değişse kıyım değeri değişir. Bu şekilde alınan MD5 kıyım değeri disk için bir tür adli imza niteliği taşımaktadır. MD5 değerindeki değişiklik söz konusu sabit diskin ilk imaj alındıktan sonra değişikliğe uğradığını göstermektedir. Diğer bir deyişle incelenen imaj, orjinal sabit diskten farklıdır. Bu sebeple incelenen imajın delil olarak kabul edilmesi doğru değildir" denildi.

"115 TANE ZARARLI YAZILIM TESPİT EDİLMİŞTİR"

Raporda imaj incelemesinde şu bulguların tespit edildiği kaydedildi: "Yapılan virüs ve zararlı yazılım taraması sonucunda incelenen imaj üzerinde 375.935 dosya incelenmiş ve bunlardan 115 tanesine zararlı yazılım bulaştığı tespit edilmiştir. Bu zararlı yazılımların bazıları bilgisayar her açıldığında çalışmak üzere sisteme yüklenmiştir. Bazı zararlı yazılımların klavyeden yazılan yazıları kaydetme, uzaktaki bilgisayardaki gönderebilme, uzaktan başka bilgisayarlara bağlanma gibi özellikleri vardır. Tarafımıza incelenmesi için bildirilen dosya isimlerinden bu sabit disk üzerinden olan dosyaların hepsi oluşturulduktan hemen sonra silinmiştir. Fakat normal şartlar altında silindikten sonra bile izlerinin ana dosya tablosu üerinde kalması gerekir. Bu izlerin görünmüyor olmasının bir sebebi MFT'nin temizlenerek izlerinin silinmesi olabilir. Bu işlemin sıradan bir bilgisayar kullanıcı tarafından yapılması son derece zordur" ifadelerine yer verildi.

"DOSYALARIN BU SABİT DİSKTE GÖRÜNEN OLUŞTURMA, SON DEĞİŞİKLİK VE SON ERİŞİM ZAMANLARI GERÇEK İŞLEM TARİHLERİNİ YANSITMAMAKTADIR"

Raporda şu ifadelere yer verildi.: "Windows İşletim Sistemi üzerindeki hareketlerin izini tutan kütük dosyası üzerinde sözü geçen dosyaların oluşturma ve silinme hareketleri gözlenebilmektedir. Bu dosyalar windows işletim sisteminde peş peşe yaratılmış ve silinmişlerdir. Windows kütük dosyası, her işlem için bir kayıt tarih tutmadığı için dosyaların oluşturma tarihleri net söylenememekte ancak kayıt tarihi tutulmuş işlemlere göre bir zaman aralığı belirtilebilmektedir. Tarihi kayıt edilmiş sistem işlemlerine bakarak dosyaların 8 Şubat 2011 20.05 ile 13 Şubat 2011 03.44 zamanları arasında kaydedilip silindiği söylenebilir. Dosyalar yukarıda belirtilen 8-13 Şubat 2011 zaman aralığında kopyalanıp silinmiş olmalarına rağmen, dosyaların oluşturulma, son değişiklik, son erişim tarihleri Temmuz-Eylül 2010 aralığında görünecek şekilde değişitirilmiştir. Dolayısıyla sözü geçen dosyaların bu sabit diskte görünen oluşturma, son değişiklik ve son erişim zamanları gerçek işlem tarihlerini yansıtmamaktadır." - İstanbul