Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya, mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar. Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların kullanılması ile yapılabilmektedir.

Bilgisayarlar delil elde edilebilecek öncelikli materyaller arasındadır. Bilgisayarlarda kullanılan farklı işletim sistemleri, adli bilişim inceleme sürecinde farklı yöntemlerin kullanılmasını gerekli kılabilir. Ayrıca, adli imajı alınacak bilgisayarın, açık veya kapalı olması, internete bağlı olup olmaması, bilgisayarda tanımlı kullanıcı hesabının bağlı olduğu bulut depolama ortamlarının varlığı ve benzeri durumlar, adli imaj alma yöntemi ve inceleme sürecinin buna uygun planlanmasını gerekli hale getirir.

×