Solid State Disk (Drive) Adli Kopyalarının HASH Tutarsızlığı Problemi
DIFOSE LAB olarak Adli Bilişim alanında son günlerin en fazla tartışılan konularından birisi olan Solid State Disk (Drive) adli kopyalarının (imaj) elektronik imzalarının (hash value) tutarsızlığı konusunu test ettik. Test için kullanılan malzemelere ait bilgiler aşağıda sunulmuştur;
- 1 adet Corsair marka 40 GB kapasiteli Sata2 SSD
- 1 adet Kingston Hyperx marka 120 GB kapasiteli Sata3 SSD
- 1 adet OCZ Vertex marka 120 GB kapasiteli Sata3 SSD
- 1 Adet Western Digital marka 2 TB kapasiteli 7200 RPM 3.5’ sabit disk
- 1 Adet Tableau TD1 adli kopya alma cihazı
- 1 Adet Tableau TD2 adli kopya alma cihazı
- 1 Adet Tableau T35es yazmaya karşı koruma adaptörü (write blocker)
- 1 Adet Accessdata FTK Imager 3.1 yazılımı
TEST-1:
Corsair marka 40 GB kapasiteli Sata2 SSD’nin adli kopyası (imajı) Tableau TD1 adli kopyalama cihazı kullanılarak Western Digital Marka 2 TB kapasiteli sabit diske alınmıştır:
Kopyalama işlemi 7dk 41sn sürmüş ve kopyalama sonucunda oluşan elektronik imza aşağıda sunulmuştur:
SHA1: b4c17d41872c91f80cab7b25ef27735813c2edfd
MD5 : 5fa4d3a6924570b931841c28d747659a
TEST-2:
Corsair marka 40 GB kapasiteli Sata2 SSD’nin adli kopyası (imajı) Tableau TD2 adli kopyalama cihazı kullanılarak Western Digital Marka 2 TB kapasiteli sabit diske alınmıştır:
Kopyalama işlemi 6dk 44sn sürmüş ve kopyalama sonucunda oluşan elektronik imza aşağıda sunulmuştur:
SHA1: b4c17d41872c91f80cab7b25ef27735813c2edfd
MD5 : 5fa4d3a6924570b931841c28d747659a
TEST-3:
Corsair marka 40 GB kapasiteli Sata2 SSD’nin adli kopyası (imajı) Tableau TD1 adli kopyalama cihazı kullanılarak Kingston Hyperx marka 120 GB kapasiteli SSD’ye alınmıştır:
Kopyalama işlemi 7dk 42sn sürmüş ve kopyalama sonucunda oluşan elektronik imza aşağıda sunulmuştur:
SHA1: b4c17d41872c91f80cab7b25ef27735813c2edfd
MD5 : 5fa4d3a6924570b931841c28d747659a
TEST-4:
Corsair marka 40 GB kapasiteli Sata2 SSD’nin adli kopyası (imajı) Tableau TD2 adli kopyalama cihazı kullanılarak Kingston Hyperx marka 120 GB kapasiteli SSD’ye alınmıştır:
Kopyalama işlemi 5dk 29sn sürmüş ve kopyalama sonucunda oluşan elektronik imza aşağıda sunulmuştur:
SHA1: b4c17d41872c91f80cab7b25ef27735813c2edfd
MD5 : 5fa4d3a6924570b931841c28d747659a
TEST-5:
Corsair marka 40 GB kapasiteli Sata2 SSD’nin adli kopyası (imajı) Tableau T35es yazmaya karşı koruma adaptörü (write blocker) ve FTK Imager 3.1 kullanılarak içerisinde OCZ Vertex3 marka 120 GB kapasiteli Sata3 SSD bulunanan diz üstü bilgisayar içerisine alınmıştır:
Kopyalama işlemi 22dk 02sn sürmüş ve kopyalama sonucunda oluşan elektronik imza aşağıda sunulmuştur:
SHA1: b4c17d41872c91f80cab7b25ef27735813c2edfd
MD5 : 5fa4d3a6924570b931841c28d747659a
SONUÇ VE DEĞERLENDİRME:
Farklı metot ve teknikler ile farklı model sabit disk ve SSD kullanılarak yapılan bu çalışmada tüm adli kopyaların (imaj) elektronik imzaları (MD5 ve SHA1 hash value) bire bir aynı çıkmıştır. Bu nedenle aynı SSD için farklı elektronik imza çıkma olayına rastlanılmamıştır.
Bazı SSD modellerinin verileri özel bir chip kullanarak ve farklı bloklama adresleri ile yazdığı bilinmektedir. Farklı hash değerlerinin oluşmasının en temelinde bu durum yatmaktadır. Ancak yapılan testlerde 3 farklı marka ve model SSD kullanılmasına rağmen böyle bir sorunla karşılaşılmamış tüm hash değerleri birebir aynı çıkmıştır.
Test Sonuçları:
TEST-1 TEST-2 TEST-3 TEST-4 TEST-5
DIFOSE LAB olarak, SSD denemelerimize farklı hash değerleri tespit edene kadar devam edeceğiz. Siz de SSD’ler ile ilgili farklı sonuçlar ya da sorunlar tespit ederseniz lütfen bizimle paylaşınız. E-posta adresimiz: [email protected]
Güvenli ve huzurlu günler dileriz…
