Her olaya göre delilerin bulunabileceği yerler farklılık göstermektedir.

Bir olayda deliller Harddiskte, harici diskte, flash diskte, CD-DVD ortamında, hafıza kartlarında,  terebaytlarca büyüklüğü olan disk ünitelerinde,  fotograf makinesı ve cep telefonu üzerinde takılı olan hafıza kartlarında, yazıcı içinde takılı olan harddiskte olabileceği gibi, çalışmakta olan bilgisayarın RAM’inde, sistemde bulunan aktif ağ cihazının RAM’inde veya ADSL modem üzerinde bulunan loglarda, internet servis sağlayıcının veritabanında, veya bir güvenlik kamerasının kayıtlarının kaydedildiği veya internet kafedeki bir kullanıcı bilgisayarında yada binlerce kullanıcısı olan bir sistemin Proxysinde kayıtlı olabilmektedir.

Delil toplanırken delilleri 2 sınıfa ayırabiliriz.

1-Uçucu deliller
2-Uçucu olmayan deliller

Öncelikle uçucu olmayan delilleri ele alalım. Bir olayda ortamdaki uçucu olan deliller toplandıktan sonra uçucu olmayan delillerin toplanmasına geçilmelidir.

Uçucu Olmayan Delillerin Toplanması

Bir bilgisayar sistemindeki uçucu olmayan delillerin toplanmasında yöntem bilgisayarların fişinin çekilerek kapatılmasıdır. Normal yolla kapatıldığında kapanmaya ayarlanmış bir yazılım ile delillerin yok edilebileceği düşünülmektedir.

Yukarıdaki duruma uymayan hiç kapatılmaması gereken, saldırıya uğramış bir sistemden delil toplanmasıdır. Kapatılmaması ve bir taraftan hizmet vermesi  gereken sistemlerden aynı zamanda delil toplanmaya çalışılması oldukça sitrese sebep olmaktadır. Bir taraftan delil toplanmaya çalışılırken, bir taraftan da saldırgan logları silmeye çaba sarfetmektedir. Bu başlıkta yukarıdaki paragraftaki şekilde kapatabildiğimiz bilgisayar sistemleri ele alınmaya çalışılacaktır.

Bilgisayarların fişi çekilerek kapatıldığını varsayarak devam edersek, olayla ilgili delil olabilecek her türlü depolama biriminin birebir yedeği Adli Bilişim donanımları yada yazılımları ile alınır.  İmaj alma işlemi delil bir bilgisayara bağlanacak ve Adli Bilişim Yazılımı ile yapılacaksa kesinlikle yazma koruma donanımı kullanılmalıdır ki  delil diskinin imajı alınırken kullanılacak bilgisayardan virüs vb. zararlılar delile zarar vermesin ve sonrasında delil diskine ekleme yapıldı gibi itirazlarla karşılaşılmasın.

İmaj alma donanımı kullanılacaksa deliller donanımın delil bağlantı noktasına bağlanmışsa zaten delilin zarar görmesi gibi bir durum sözkonusu olmayacaktır. Tabi yanlış tarafa delilin bağlanması delil diskinin uçmasına sebep olunabilecektir.

İmaj alma işleminden sonra imaj doğrulanmalı, disk için bir hash hesaplanıp tutanak altına alınmalıdır. Aslında diskteki tüm dosyaların hashlerin alınması ile elektronik dosya olarak (varsa dosya elektronik imzalı olmalıdır) suçlanan kişiye de verilmesi ve bunun tutanak altına alınmasının sonradan çıkacak ihtilafları engelleyeceğini düşünmekteyim. Çünkü sadece diskin (yada depolama mediası neyse) hashinin alınmasının, disk beklerken bad sektörler oluşacağından, diskin tamamı için hesaplanan bir hash değerinin genelde değişecek olduğu gözardı edilmemesi gereken bir gerçektir.

Alınan delillerin birer kopyası CMK (Ceza Muhakemesi Kanununda)  134. maddesinde de belirtildiği gibi suçlanan tarafa verilmelidir. Her ne kadar kanunda istemesi halinde densede (içeriğinde bulundurulması suç oluşturan dijital dosyalar yoksa)  verilmelidir. Sonradan delile ekleme yapıldığı gibi ihtilaflar  olduğunda suçlanan tarafın haklarını da korumak amacıyla bu yapılmalıdır. Ancak buradaki sıkıntı harddisklerin yada depolama medialarının parasını kim verecektir. Bir olaya gidildi 80 HDD var. 1 disk 100 liradan olsa 8 milyar (yani bin) yapar. Birde suçlanan taraf için olacak oldumu 16 milyar. Bu parayı kim karşılayacaktır. Mevzuatta buna bir açıklık getirilip bu durumlar için ödenek ayrılmalıdır. 

Olay yerinden delil toplanması, suçlanan tarafında orda bulunduğu değerlendirildiğinde gergin bir ortamda yapılmaktadır. Bu nedenle hemen deliller toplanıp, inceleme ortamına nakledilmesi gerekmektedir. Ama eldeki iş bunu mümkün kılmamaktadır. 80 delil diskinin yanında 80 suçlanan tarafa verilecek diskte eklendiğinde 160 tane disk imajı  almanız gerekmektedir. Ve bu 80 disk için bir hash hesaplama yeterli zaman alırken, birde içindeki tüm dosyaların hashlerinin hesaplanması dosya boyuna bağlı olarak  oldukça zaman alacak işlemlerdendir.

Ayrıca diskteki her dosya için hash alınması ile diskteki tüm dosyaların hangi klasörde oldukları ile birlikte bir listesi olmaktadır. Yeri geldiğinde bu listede oldukça işe yaramaktadır.

Adli Bilişim faaliyetlerinin yerine getirilebilmesi için donanımlar ve yazılımlar mevcut olup bu donanım ve yazılımlar bir kişi tarafından alınıpta Bilirkişilik kapsamında kullanılabilecek tarzda değildir. Bazı yazılımlar ise sadece Devlet kurumlarına satılmaktadır.  
....