Özet: Adli bilişimde export (dışa aktarma); inceleme sırasında tespit ettiğiniz belirli verileri (e-posta, sohbet kayıtları, log, fotoğraf, tarayıcı geçmişi vb.) araçtan seçip kanıt bütünlüğünü koruyarak dış bir dosyaya aktarma işlemidir. Amaç, rapora eklemek, mahkeme dosyasına koymak veya uzmanla paylaşmak için gerekli kısmı standart ve okunabilir formatta çıkarmaktır.

Export Nedir, Ne Değildir?

Export (dışa aktarma): İnceleme aracından seçilmiş bulguları (ör. belirli bir zaman aralığındaki e-postalar) okunabilir formata çıkarma işlemidir.

İmaj alma (imaging) değildir. İmaj alma, tüm diskin/cihazın bit-eş kopyasını üretir (RAW/E01/AFF4); export ise alt küme veriyi raporlama/analiz için dışarı çıkarır.

Kısa Karşılaştırma

Konu	Export (Dışa Aktarma)	İmaj Alma (Imaging)
Kapsam	Seçilmiş veri/bulgu	Tüm disk/cihaz (bit-eş kopya)
Amaç	Rapor, paylaşım, okunabilir çıktı	Kanıt bütünlüğünü koruyan ana kopya
Format	CSV, PDF, JSON, HTML, EML, JPG…	RAW, E01, AFF4
Değiştirilebilirlik	Okunabilir/işlenebilir dosyalar	Kanıt niteliğinde değişmez imaj
Zincir kaydı	Evet (özellikle teslim/paylaşımda)	Evet (her zaman kritik)

Adli Bilişimde Export Ne Zaman Yapılır?
Rapor ekleri için: Zaman çizelgesi, olay listesi, ekran görüntüleri.

Uzman/karşı taraf ile paylaşım: Sadece ilgili e-postalar, sadece ilgili log dilimleri.

İkincil analiz: SIEM/ELK, Excel, Jupyter gibi araçlarda yeniden inceleme.

Mahkeme uyumlu kopya: Okunabilir ve doğrulanabilir çıktı (hash ile birlikte).

• Rapor ekleri için: Zaman çizelgesi, olay listesi, ekran görüntüleri.

• Uzman/karşı taraf ile paylaşım: Sadece ilgili e-postalar, sadece ilgili log dilimleri.

• İkincil analiz: SIEM/ELK, Excel, Jupyter gibi araçlarda yeniden inceleme.

• Mahkeme uyumlu kopya: Okunabilir ve doğrulanabilir çıktı (hash ile birlikte).

Yaygın Export Formatları

CSV/XLSX: Loglar, zaman çizelgeleri, sohbet/arama kayıtları.

PDF/HTML: Rapor ekleri, görsel kanıtlar, kolay okunur çıktılar.

JSON/NDJSON: Yapılandırılmış olay kayıtları (sonradan işleme uygun).

EML/MBOX: E-posta mesajları ve kutuları.

PCAP: Ağ paket yakalama çıktısı.

Görsel/Medya: JPG/PNG (EXIF korunarak), MP4/WAV (orijinal hash ile).

• CSV/XLSX: Loglar, zaman çizelgeleri, sohbet/arama kayıtları.

• PDF/HTML: Rapor ekleri, görsel kanıtlar, kolay okunur çıktılar.

• JSON/NDJSON: Yapılandırılmış olay kayıtları (sonradan işleme uygun).

• EML/MBOX: E-posta mesajları ve kutuları.

• PCAP: Ağ paket yakalama çıktısı.

• Görsel/Medya: JPG/PNG (EXIF korunarak), MP4/WAV (orijinal hash ile).

Not: E01/AFF4/RAW bir “export formatı” değildir; bunlar imaj konteynerleridir.

Araçlarda Export (Genel Mantık)

Filtrele → Seç → Export: Zaman, kullanıcı, anahtar kelime gibi filtrelerle daralt; uygun formatta dışa aktar.

Artifakt-özgül export: Tarayıcı geçmişi, mesajlaşma, konum verisi gibi artefaktları tek tıkla CSV/HTML çıkar.

Hash/özetlerle birlikte: Export paketine hash listesi ve kısa README ekle.

• Filtrele → Seç → Export: Zaman, kullanıcı, anahtar kelime gibi filtrelerle daralt; uygun formatta dışa aktar.

• Artifakt-özgül export: Tarayıcı geçmişi, mesajlaşma, konum verisi gibi artefaktları tek tıkla CSV/HTML çıkar.

• Hash/özetlerle birlikte: Export paketine hash listesi ve kısa README ekle.

En İyi Uygulamalar (Checklist)

Amaçla sınırlı export: Sadece ilgili kayıtları çıkar; gereksiz kişisel veriyi dışarı taşıma.

Bütünlük kanıtı: Export edilen dosyalar için SHA-256 hash üret ve rapora yaz.

Dosya adlandırma standardı: CASEID_OLAY_YYYYMMDD_TUR_ACIKLAMA_v1.csv gibi.

Zaman dilimi netliği: Export alanlarında UTC ve yerel saat ayrımını belirt.

Bağlamı koru: Başlık satırları, alan açıklamaları, kaynak dosya/offset bilgisini ekle.

Zincir kaydı: Export paketinin kimden kime, ne zaman, nasıl teslim edildiğini kaydet.

Okunabilir + makineye uygun: İnsan için PDF/HTML, analiz için CSV/JSON ikilisini sağla.

Gizlilik: Paylaşım öncesi gerekli maskeleri uygula (TC, IBAN, kişisel adres vb.).

• Amaçla sınırlı export: Sadece ilgili kayıtları çıkar; gereksiz kişisel veriyi dışarı taşıma.

• Bütünlük kanıtı: Export edilen dosyalar için SHA-256 hash üret ve rapora yaz.

• Dosya adlandırma standardı: CASEID_OLAY_YYYYMMDD_TUR_ACIKLAMA_v1.csv gibi.

• Zaman dilimi netliği: Export alanlarında UTC ve yerel saat ayrımını belirt.

• Bağlamı koru: Başlık satırları, alan açıklamaları, kaynak dosya/offset bilgisini ekle.

• Zincir kaydı: Export paketinin kimden kime, ne zaman, nasıl teslim edildiğini kaydet.

• Okunabilir + makineye uygun: İnsan için PDF/HTML, analiz için CSV/JSON ikilisini sağla.

• Gizlilik: Paylaşım öncesi gerekli maskeleri uygula (TC, IBAN, kişisel adres vb.).

Sık Hatalar

İmaj ile export’u karıştırmak: E01 imajdır, export değil.

Hash üretmeden paylaşmak: Bütünlük kanıtı zayıflar.

Saat dilimlerini yazmamak: Zaman çizelgesinde sapma yaratır.

Gereksiz veri taşımak: KVKK/GDPR ihlali ve gereksiz risk.

• İmaj ile export’u karıştırmak: E01 imajdır, export değil.

• Hash üretmeden paylaşmak: Bütünlük kanıtı zayıflar.

• Saat dilimlerini yazmamak: Zaman çizelgesinde sapma yaratır.

• Gereksiz veri taşımak: KVKK/GDPR ihlali ve gereksiz risk.

Mini Sözlük

Export (dışa aktarma): Seçili bulguları okunabilir formata çıkarma.

Imaging (imaj alma): Disk/cihazın bit-eş kopyasını üretme.

Hash: Dosya bütünlüğünü kanıtlayan özet değer (örn. SHA-256).

Chain of Custody: Delilin kimden kime, nasıl geçtiğini belgeleyen kayıt.

• Export (dışa aktarma): Seçili bulguları okunabilir formata çıkarma.

• Imaging (imaj alma): Disk/cihazın bit-eş kopyasını üretme.

• Hash: Dosya bütünlüğünü kanıtlayan özet değer (örn. SHA-256).

• Chain of Custody: Delilin kimden kime, nasıl geçtiğini belgeleyen kayıt.

SSS (Adli Bilişimde Export)

Export mahkemede geçerli midir?
Geçerlilik, doğru süreç (hash, zincir kaydı, açıklayıcı rapor) ve bağlamın korunmasına bağlıdır. Export tek başına değil, imaj ve metodoloji ile birlikte anlamlıdır.

Export yaparken hangi formatı seçeyim?
İnsan-okur: PDF/HTML. Analiz: CSV/JSON. Gerekiyorsa ikisini birlikte sağlayın.

Tüm diski export etmek doğru mu?
Hayır. Export amaçla sınırlı olmalı; tüm disk imaj ile korunur, export seçili veriyi taşır.

Son Söz

Adli bilişimde export, gerekli olanı doğru formatta ve kanıt bütünlüğünü koruyarak dışa çıkarmaktır. İmajı koru, export’u amaca göre sınırla, hash ve zincir kaydı ekle.