Digital Forensics Analysis of Mobile Phones Connected to Computers Running Windows Operating Systems

Öz

Thanks to innovations in the field of information and communication technology, computers and mobile phones are among the leading technological products that have entered our lives. Today, computers and mobile devices can connect to each other via wired or wireless connections, and there is a constant exchange of data between them. The Windows operating system works compatibly with many mobile phones, and when these phones are connected to a computer via wired or wireless connection, it records the actions performed, leaving behind digital traces. These digital traces can be examined using tools within Windows, or through an external forensic tool, playing a significant role in the evidence gathering and analysis process. This study aims to detect the digital traces left on the Windows 11 operating system by mobile phones with different mobile operating systems (Android and iOS) if connected to a computer via USB cable and wireless connection (Wi-Fi), using Windows Registry, Windows Event Log records, and other relevant software (USBDeview, DCode, Access Data Registry Viewer, etc.). Within this scope, a methodology is proposed, applications are carried out with real data, the results obtained are evaluated, and recommendations are presented.

Anahtar Kelimeler

• Digital Forensics
• Windows Registry
• Windows Event Logs
• Digital Forensic Tools.

Windows İşletim Sistemi Kurulu Bilgisayarlara Bağlanan Mobil Telefonların Adli Bilişim Açısından İncelenmesi

Öz

Bilişim ve iletişim alanında yaşanan yenilikler sayesinde hayatımıza giren teknolojik ürünlerin başında bilgisayar ve mobil cihazlar gelmektedir. Günümüzde bilgisayar ve mobil cihazlar birbirlerine kablolu ya da kablosuz olarak bağlanabilmekte ve birbirleri arasında sürekli bir veri alışverişi olmaktadır. Windows işletim sistemi, birçok mobil telefon ile uyumlu çalışmakta ve bu telefonların kablolu ya da kablosuz olarak bilgisayara bağlanması halinde yapılan işlemleri kayıt altına almakta ve ardında dijital izler bırakmaktadır. Bu dijital izler, gerek duyulduğunda Windows bünyesinde bulunan araçlar sayesinde incelenebileceği gibi harici bir adli bilişim aracı aracılığıyla da incelenebilmekte, delil elde etme ve analiz sürecinde önemli bir rol oynayabilmektedir. Bu çalışmada, farklı mobil işletim sistemlerine sahip (Android ve iOS) mobil telefonların USB bağlantı kablosu ve kablosuz bağlantı (Wi-Fi) aracılığıyla bilgisayara bağlanması durumunda Windows 11 işletim sistemi üzerinde bıraktıkları dijital izlerin, Windows Kayıt Defteri, Windows Olay Günlükleri kayıtları ve ilgili diğer yazılımlar (USBDeview, DCode, Access Data Registry Viewer vb.) kullanılarak tespit edilmesi amaçlanmıştır. Bu amaç kapsamında bir metodoloji önerilmiş, gerçek verilerle uygulamalar yapılmış, elde edilen sonuçlar değerlendirilmiş ve öneriler sunulmuştur.

Anahtar Kelimeler

• Adli Bilişim
• Kayıt Defteri
• Windows Olay Günlükleri
• Adli Bilişim Araçları.

Kaynakça

1. AccessData. (2014). Registry Viewer. https://d1kpmuwb7gvu1i.cloudfront.net/RegistryViewer_UG.pdf
2. Alghafli, K. A., Jones, A., & Martin, T. A. (2011). Forensic analysis of the Windows 7 registry. Journal of Digital Forensics, Security and Law, 5(4), 5–30. https://doi.org/10.15394/jdfsl.2010.1081
3. Arshad, A., Iqbal, W., & Abbas, H. (2018). USB storage device forensics for Windows 10. Journal of Forensic Sciences, 63, 856–867. https://doi.org/10.1111/1556-4029.13596
4. Casey, E. (2011). Digital evidence and computer crime (3rd ed.). Elsevier.
5. Çakır, H., & Kılıç, M. S. (2013). Bilişim suçlarına ilişkin delil elde etme yöntemlerine genel bir bakış. Polis Bilimleri Dergisi, 15(3), 23–44.
6. Çetin, A. (2025). Windows işletim sistemi kurulu bilgisayarlara bağlanan telefonların adli bilişim açısından incelenmesi [Yayımlanmamış yüksek lisans tezi]. Ankara Üniversitesi.
7. Digital Detective. (t.y.). DCode™ – Timestamp decoder. https://www.digital-detective.net/dcode/
8. Đuranec, A., Topolčić, D., Hausknecht, K., & Delija, D. (2019, Mayıs 20–24). Investigating file use and knowledge with Windows 10 artifacts. In 42nd International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO) (ss. 1213–1218). IEEE. https://ieeexplore.ieee.org/document/8756877

9. Dweikat, M., Eleyan, D., & Eleyan, A. (2021). Digital forensic tools used in analyzing cybercrime. Journal of University of Shanghai for Science and Technology, 23(3), 367–379. https://doi.org/10.51201/Jusst12621
10. Kondapally, B. P. (t.y.). Forensically important artifacts in Windows operating systems. https://www.academia.edu/29746363/Forensically_Important_Artifacts_in_Windows_Operating_systems
11. Kurtca, T., & Samet, R. (2024). MacOS bilgisayara bağlanan telefonların MAC adresi kayıtlarının incelenmesi. Journal of the Faculty of Engineering and Architecture of Gazi University, 39(3), 1637–1647. https://doi.org/10.17341/gazimmfd.1140690
12. Neyaz, A., & Shashidhar, N. (2019). USB artifact analysis using Windows event viewer, registry and file system logs. Electronics, 8(11), 1322. https://doi.org/10.3390/electronics8111322
13. Nirsoft. (t.y.). USBDeview v3.07. https://www.nirsoft.net/utils/usb_devices_view.html
14. Polis Akademisi. (2022). Adli bilişim: Güncel yaklaşım ve uygulamalar. https://cdn2.pa.edu.tr/Upload/Rapor/Dosya/adli-bilisim-raporu.pdf
15. Risto, J. (2010). Wireless networks and the Windows registry: Just where has your computer been? Global Information Assurance Certification. https://www.giac.org/paper/gawn/1623/wireless-networks-windows-registry-computer-been/121403
16. Sommer, P. (2004). The future for the policing of cybercrime. Computer Fraud & Security, 8–12. https://doi.org/10.1016/S1361-3723(04)00017-X
17. Tekin, E. (2017). Adli bilişimde açık kaynak kullanımı (Yayın No. 481806) [Yüksek lisans tezi, Polis Akademisi]. YÖK Ulusal Tez Merkezi.
18. Uçar, A. H. (2021). Windows işletim sistemi kalıntılarının analizini gerçekleştiren siber olay müdahale aracının geliştirilmesi ve olay zaman çizelgesinin çıkarılması (Yayın No. 688951) [Yüksek lisans tezi, Fırat Üniversitesi]. YÖK Ulusal Tez Merkezi.