Evet, çoğu durumda mümkündür. Bir mesaj ya da dosya silindiğinde dijital ortamdan tamamen yok olmaz yalnızca işletim sistemi tarafından erişilemez olarak işaretlenir. Depolama alanındaki fiziksel veri, üzerine yeni bir yazım gerçekleşene kadar büyük ölçüde bütünlüğünü korur. Bu nedenle adli bilişim uzmanları, doğru teknik yöntemler ve özel yazılımlar aracılığıyla silinen verileri kurtarabilmektedir.
Silme İşlemi Gerçekte Ne Anlama Gelir?
Kullanıcılar bir mesajı veya dosyayı sildiğinde, işletim sistemi söz konusu verinin üzerine yazmak yerine yalnızca dizin kaydını (inode) kaldırır ve ilgili depolama bloklarını boş olarak işaretler. Bu süreç NTFS, FAT32, ext4 ve APFS gibi yaygın dosya sistemlerinin tamamında benzer biçimde işlemektedir.
Nitekim dijital adli bilişim literatüründe bu durum logical deletion (mantıksal silme) kavramıyla tanımlanmakta olup verilerin fiziksel olarak ortadan kalkmasını değil, yalnızca dosya sistemi düzeyinde görünmez hale gelmesini ifade eder.
Hangi Mesajlar Geri Getirilebilir?
Silinen verinin kurtarılabilmesi birden fazla değişkene bağlıdır. Adli bilişim incelemelerinde kurtarma başarısını etkileyen başlıca faktörler şunlardır:
Kurtarma Olasılığı Yüksek Olan Durumlar:
- Silme işleminin üzerinden kısa süre geçmişse
- Cihaz silme sonrasında aktif olarak kullanılmamışsa
- Bulut yedekleme (iCloud, Google Drive, Samsung Cloud) aktifse
- Uygulama kendi yerel veritabanını henüz temizlememişse
Kurtarma Güçleşen Durumlar:
- Fabrika ayarlarına sıfırlama yapılmışsa
- Üzerine yoğun veri yazılmışsa
- Şifreli tam disk silme (secure wipe) uygulanmışsa
- SSD’lerde TRIM komutu devreye girmişse
Hangi Platformlarda Mesajlar Kurtarılabilir?
WhatsApp, SQLite tabanlı msgstore.db veritabanını kullanır. Silinen mesajlar bu veritabanında belirli bir süre orphan record (artık kayıt) olarak kalabilir. Google Drive veya iCloud yedekleri mevcutsa kurtarma oranı önemli ölçüde artar.
SMS / MMS
Kısa mesajlar, işletim sistemi tarafından yerel bir SQLite veritabanında depolanır. Cihaz üzerine yeni mesaj yazılmadıkça adli görüntüleme araçları (Cellebrite, Oxygen Forensics, UFED) bu veritabanından silinen kayıtları çıkarabilmektedir.
Telegram & Signal
Uçtan uca şifreli ve yerel depolama odaklı bu uygulamalarda kurtarma, şifreleme anahtarlarının elde edilmesine bağlıdır. Bununla birlikte cihaza fiziksel erişim sağlandığında adli görüntüleme yöntemleriyle kısmi kurtarma mümkün olabilmektedir.
E-posta
Silinen e-postalar sunucu tarafında belirli bir süre (çoğunlukla 30 gün) “Çöp Kutusu” klasöründe tutulur. Kalıcı olarak silindikten sonra ise mail sunucusunun log kayıtları ve yedekleme politikası belirleyici hale gelir.
Adli Bilişim Sürecinde Veri Kurtarma Nasıl Yapılır?
Adli bilişim uzmanları, silinen verileri kurtarmak için bilimsel temelli ve mahkemede geçerliliği kabul görmüş yöntemler uygulamaktadır:
- Adli Görüntü Alma (Forensic Imaging): Cihazın birebir sektör düzeyinde kopyası (bit-by-bit image) alınır. Bu işlem, orijinal veriye müdahale edilmeden çalışılmasını sağlar ve delil bütünlüğünü korur.
- Dosya Sistemi Analizi: Silinmiş dizin kayıtları ve meta veriler incelenerek kurtarılabilir dosyalar tespit edilir.
- Veri Kazıma (Data Carving): Dosya sistemi yapısından bağımsız olarak, ham depolama alanında bilinen dosya imzaları (file signature / magic bytes) aranır.
- Veritabanı Kurtarma: SQLite journal ve WAL (Write-Ahead Logging) dosyaları analiz edilerek silinmiş mesaj kayıtları elde edilmeye çalışılır.
- Bulut ve Yedek Analizi: Cihaz yedekleri ile bulut senkronizasyon geçmişi incelenerek mesaj içerikleri restore edilir.
Hukuki Boyutu: Kurtarılan Veriler Delil Olarak Kullanılabilir mi?
Adli bilişim sürecinde elde edilen veriler delil zinciri (chain of custody) kurallarına uygun biçimde toplandığında ve akredite bir laboratuvar tarafından raporlandığında Türk yargısında geçerli teknik delil niteliği taşımaktadır. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun 134. maddesi, bilgisayar sistemlerinde arama ve el koyma işlemlerine ilişkin usul kurallarını düzenlemekte bu kapsamda yapılan incelemelerde elde edilen bulgular teknik bilirkişi raporu olarak mahkemeye sunulabilmektedir.
Bu nedenle veri kurtarma işleminin yalnızca yetkili ve akredite bir adli bilişim bürosu tarafından yapılması kritik önem taşır. Amatör kurtarma girişimleri orijinal veriyi bozabileceği gibi kurtarılan delilin hukuki geçerliliğini de ortadan kaldırabilir.
Silinen mesajların geri getirilmesi cihazın türüne, silme yöntemine, geçen süreye ve kullanılan uygulamaya göre değişmekle birlikte adli bilişim bilimi açısından teknik olarak mümkün olan bir işlemdir. Önemli olan, bu sürecin delil bütünlüğünü koruyan, bilimsel yöntemlerle ve akredite uzmanlar tarafından yürütülmesidir.
Uzman Anadolu Kriminal olarak telefon ve bilgisayar inceleme, dijital delil analizi ve veri kurtarma konularında TÜRKAK akreditasyonlu laboratuvarımızda hizmet sunmaktayız. Hukuki süreçlerinizde teknik destek almak için bizimle iletişime geçebilirsiniz.