Adli Bilişim Açısından Önemli Kısımlar

Located Space

Disklerde bulunan mevcut dosyaların kapladığı alanlardır. Dosyaların kapladığı disk alanları, ilgili dosyalara tahsis edilmiştir. Silinmesi gerektiğinde, silinen dosyaların yerine yeni dosyalar tahsis edilerek yeni dosyalar için tahsis edilebilir.

Unallocated Space

Herhangi bir dosyanın bulunmadığı disk alanıdır. Silinmiş dosyaların verilerinin bulunduğu alanlar da bu kısım içine dahil edilir. Fakat yeni bir dosya disk içine eklene kadar böyle devam etmektedir. Eklendiği an itibariyle located space tarafına geçer.

Unallocated Space Nasıl Kullanılır ?

  • Bilgisayar Yönetim Konsolunu açın.
  • Tahsis edilmemiş diske sağ tıklayın.
  • Disk Tanımlama sihirbazı açılır.
  • MB boyutundan alanı ayarlayın.
  • Dosya sistemini ayarlayın.( İşletim sistemine göre değişmektedir.)
  • Yeni alan oluşturmak için bitire basıp diskin sistem üzerinde tanımlanmasını bekleyin ve sistem üzerinde tamamlandıktan sonra bilgisayar yönetimini kapatın.

 

 

Hiberfile

Hiberfile hazırda bekletme anlamına gelmektedir. Bilgisayarı hızlı bir şekilde yeniden başlatılmasını sağlamaktadır. Sistemi hazırda bekletmeye aldığımız da sistem üzerinde açık olan her şeyin kaldığımız yerden devam etmesini sağlayan bir dosya oluşturmaktadır.  Disk içerisinde hiberfil.sys adında dosya oluşturulur. Hiberfil.sys, Hazırda Bekletme de sistemi başlatmak için kullandığı sistem yapılandırmasıdır.

 

Uyku Modu ve Hazırda Bekletme Arasındaki Fark

Windows işletim sistemleri için farklı güç modlarıdır. Görünür olarak benzer olsalarda, aralarında farklılık vardır. Hiberfile, bilgisayar açık olduğu gibi beklemede kalır. Açık dosyalar, programlar sabit diskte konumunu korur. Uyku Modu ise her şeyi RAM’de muhafaza etmektedir.

 

Hiberfil.sys Dosyası Nasıl Silinir ?

    • hiberfil.sys dosyasını silmek istenirse ilk önce devre dışı bırakılmalıdır.
    • Windows 10 işletim sistemi ise devre dışı bırakıldığı an itibariyle C:/ sürücüsünden silinecektir.
    • Silinmediği halde komut yöneticisini açarak,
    • “powercfg.exe –h off” yazın (Komut yöneticisini Administrator olarak açınız.
    • Sisteminizi yeniden başlatınız.
    • C:/ üzerinden kontrol ederek dosyanın silindiğine emin olduysanız başarılı bir işlem olmuştur.

Swap Space

Swap space takas alanı olarak belirtilmektedir. İşletim sistemi tarafından sabir diskinizde ayrılmış bir bölümdür. İşlenecek veriler ön belleğe (RAM) sığmadığı zaman bu bölüm RAM gibi kullanılır ve böylelikle veri akışının ve proseslerin devam etmesini sağlar. Diskinizdeki okuma/yazma hızları RAM biriminden çok daha düşük olduğu için swap alanının kullanılması işlemleri yavaşlatır.

Linux işletim sisteminde bu alan disk üzerine ayrılır. Windows işletim sistemlerinde ise “pagefile.sys” isminde bir dosya oluşturulur.

 

Pagefile.sys Boyutu Nasıl Ayarlanır ve Nasıl Silinir ?

Yapılması gereken aşamalar;

  • Bilgisayar özelliklerine giriniz.
  • Gelişmiş sistem ayarlarına sonrasında performans ayarlarına giriniz.
  • Performans seçeneklerinden gelişmiş kısmına girerek Buradan hem pagefile.sys boyutunu hem de pagefile.sys kaldırabilirsiniz.

Not: Bu işlemleri yaptığınızda sistem üzerinde yavaşlamalar olacağını belirtmek isterim. Sebebi RAM boyutunu düşürüyorsunuz.

Pagefile.sys Windows 10 Konumu

C:\pagefile.sys olarak gizlenmiş bir şekilde bulunmaktadır. İster sistem üzerinde gizlilikleri kaldırarak ister, imaj alma programı ile sistem üzerinde nerede olduğunu tespit edebilirsiniz.

 

Slack Space

Slack Space artık alan olarak bilinmektedir. Adli bilişim açısından önemlidir. Çünkü silinen bir dosyanın hem kendi boyutu vardır, hem de disk üzerinden kapladığı bir bölüm vardır. Adli bilişim açısından önemi ise silinen dosyanın kapladığı alanın bir kısmına yeni bir dosya yazılırsa geri kalan kısmı ise eski dosyaya ait bilgiler içerebilir.

 

Üstte gördüğünüz bir metin belgesinin özelliklerinden yola çıkarak Boyut olarak 1.292 bayt içermektedir. Fakat disk içerisinde 4.096 baytlık yer verilmiştir. Metin belgesi silindiği halde bile olsa disk içerisinde ayrılan yer tamamlanmamıştır. Buraya yeni bir dosya eklenebilir. Buda 2.804 baytı geçmez ise ve aynı bloka yazılır ise yanda görünen metin belgesine adli bilişim programları ile geri getirilmesi ve bilgi edilmesi mümkündür.