Veri Kurtarma Rehberi 2026, Türkiye

TL;DR: Veri kurtarma, fiziksel ya da mantıksal olarak erişilemez hale gelmiş depolama birimlerinden (HDD, SSD, RAID, NAS, telefon, flash bellek) dosyaların geri alınması işidir. Yazılımsal vakalar saatler içinde, fiziksel hasarlı diskler temiz odada 3 ila 14 günde çözülür. Doğru ekiple başarı oranı yüksek (DSET %99.4) seyreder. İlk kural: cihazı kapat, tekrar açma, "kendin onar" videolarına uyma, uzmana getir.

Disk öldü, ilk 5 dakikada ne yapmalı?

Disk tıkırdamaya başladı, telefon açılmıyor, NAS "drive failed" diyor. Panik yapma. İlk yarım saatte yaptıkların, verinin geri gelip gelmeyeceğini büyük ölçüde belirler. Yanlış müdahale, hasarın boyutunu ikiye katlar.

İşte sırasıyla yapman gerekenler:

  1. Cihazı hemen kapat. Mekanik bir HDD tıkırdıyorsa her saniye kafa plakayı kazımaya devam eder, kurtarılacak alan azalır. Güç kablosunu çek.
  2. Tekrar tekrar açıp kapatma. "Belki bu sefer açılır" deme. Her power-cycle, controller'ı ve plakayı yorar. SSD'lerde controller iyice kilitlenir.
  3. Veri kurtarma yazılımı kurma. Recuva, EaseUS, R-Studio gibi araçları hasarlı diske kurmak en sık görülen hatadır. Yazılım, kurtarılacak alanın üzerine yazar.
  4. CHKDSK, fsck, "disk onar" çalıştırma. Windows'un "disk hatası var, onarayım mı?" mesajına ASLA evet deme. Onarım, dosya tablosunu yeniden yazar ve veriyi kalıcı olarak kaybedebilirsin.
  5. Diski dondurma, vurma, sallama. Forumlarda dolaşan bu efsaneler 2000'lerden kalmadır. Modern diskte fiziksel hasarı büyütür.
  6. Su veya sıvı temasında kurutmaya çalışma. Saç kurutma makinesi, pirinç poşeti, güneş yok. Kuruyunca korozyon başlar. Islak haliyle, anti-statik poşet içinde laboratuvara getir.
  7. Telefon ise factory reset deneme. "Belki düzelir" diye yapılan fabrika sıfırlaması, TRIM komutuyla NAND hücrelerini boşaltır ve veriyi geri dönüşsüz siler.

Özet: cihazı kapat, dokunma, ISO/IEC 27037 uyumlu çalışan bir laboratuvara getir.

Veri kurtarma nedir?

Veri kurtarma, depolama biriminin normal işletim sistemi üzerinden erişilemez hale geldiği durumlarda dosyaların özel donanım ve yazılımla geri alınması sürecidir. DSET'in 2003'ten bu yana izlediği prensip net: Verilerinizi önemsiyoruz. Müdahale, orijinal medyaya değil, bit düzeyinde alınmış birebir klon (forensic image) üzerinde yapılır. Bu, NIST SP 800-86 ile de uyumlu standart yaklaşımdır.

Sektörde iki ana hasar kategorisi vardır:

Mantıksal hasar. Disk fiziksel olarak sağlamdır ama dosya sistemi, partition tablosu, MBR/GPT ya da bootloader bozulmuştur. Yanlışlıkla silme, formatlama, fidye yazılımı şifrelemesi, virüs, OS çökmesi bu kategoridedir. Çözüm genelde yazılımsal, hızlı ve nispeten ucuzdur.

Fiziksel hasar. Diskin donanımında somut bir arıza vardır. HDD'de okuma kafası çakılmış, motor sıkışmış, plaka çizilmiş, PCB yanmış olabilir. SSD'de controller chip ölmüş, NAND'ler bozulmuş, firmware corrupt olmuştur. Bu vakalar ISO 14644-1 Sınıf 100 temiz oda, PC-3000, DeepSpar Disk Imager, donor parça stoku gerektirir.

Veri kurtarma kapsamına giren cihaz kategorileri:

  • HDD (3.5" masaüstü, 2.5" laptop, helium dolgulu enterprise diskler)
  • SSD ve NVMe (SATA, M.2, U.2, mSATA)
  • RAID dizileri (donanım kontrolcü, software RAID, hybrid)
  • NAS cihazları (Synology, QNAP, Drobo, Asustor, Buffalo)
  • Mobil cihazlar (iOS, Android, eski Windows Phone)
  • USB bellek, SD ve microSD, CompactFlash
  • Manyetik bant (LTO 4-9), eski floppy ve ZIP medya
  • Sanal disk imajları (VMDK, VHDX, QCOW2)
  • Veritabanı dosyaları (SQL, Exchange, Oracle DBF)

Süreç adli bilişimle aynı disiplini paylaşır: chain of custody korunur, her adım loglanır, hash'lerle bütünlük doğrulanır.

Hangi cihazlardan veri kurtarılır?

HDD (Mekanik Hard Disk)

Mekanik diskler hâlâ yedekleme ve arşiv pazarının belkemiği. Arıza belirtileri: "klik klik" tıkırtısı (kafa çakması), motor dönmüyor (stiction ya da sıkışmış motor yatağı), BIOS'ta görünmüyor (firmware corrupt), garip yavaşlık (kötü sektör birikimi). S.M.A.R.T. değerlerinden Reallocated Sector Count ve Current Pending Sector tırmandığında disk son demlerine girmiştir.

Mekanik müdahale temiz oda ister. Plakaya saç teli kalınlığında bir tozun düşmesi, head crash'e yol açar. DSET'in laboratuvarında imaj alma için PC-3000 Express ve DeepSpar kullanılır, kötü sektörler retry stratejileriyle dump'lanır, donor PCB ve donor head stack'leri eşleştirilir. Plaka çizilmişse yüzey haritası çıkarılıp sağlam track'lerden parsiyel veri kurtarma yapılır.

SSD ve NVMe

SSD kurtarmak, HDD'den teknik olarak daha zor. Tek bir controller chip, encryption, wear leveling ve garbage collection katmanları araya giriyor. Controller ölünce NAND chip'lerinde veri "şifreli" durur, doğru anahtar olmadan okuyamazsın. JEDEC standartları (JESD218, JESD219) endurance ve TBW (Total Bytes Written) limitlerini belirler, tüketici SSD'leri tipik olarak 150-600 TBW arası dayanır, sonra yavaş yavaş read-only moda geçer.

Veri kurtarma yolları: vendor-specific service mode (Samsung, Crucial, Kingston, SanDisk'in kendi servis komutları), chip-off (NAND'i lehimden söküp programmer'a takma), PC-3000 SSD ile firmware bypass. TRIM çalıştıysa silinmiş dosyaların büyük çoğunluğu fiziksel olarak NAND'den temizlenmiş olur, geri dönüş yoktur. Bu yüzden "silindi" anının üzerinden ne kadar az zaman geçtiyse şans o kadar artar.

RAID (5, 6, 10, 50)

RAID kurtarma, tek diskten farklı bir disiplin: önce her bir üye disk klonlanır, sonra stripe boyutu, disk sırası, parity rotasyonu ve offset bulunarak dizi sanal olarak yeniden kurulur. RAID 5'te iki disk aynı anda gittiyse ya da rebuild sırasında ikinci disk öldüyse, klasik dizi tamamen kapanır, ama her diskin imajından parsiyel kurtarma mümkündür. RAID 6 üç disk kaybına kadar tolere eder, RAID 10 stripe başına bir disk.

Synology, QNAP, Drobo, Asustor gibi NAS markaları üstüne bir de proprietary katman koyar. Synology Hybrid RAID (SHR), Drobo BeyondRAID, Btrfs ve ZFS RAID-Z her biri ayrı re-assembly mantığı ister. Klasik bir veri kurtarma yazılımı bunları okuyamaz. NAS firmware'i fail durumda dahi diskleri "init" etme uyarısı verirse, üzerinden geçme. Diskleri çıkar, etiketle, laboratuvara aynı sırayla getir.

Telefon (iOS / Android)

Mobil veri kurtarma, adli bilişimin (forensics) gri bölgesi. Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective gibi adli bilişim araçları aynı zamanda günlük veri kurtarma vakalarında da kullanılır. iPhone'da ekran kırığı varsa power durumuna göre Lightning/USB-C üzerinden mantıksal extraction çoğunlukla mümkündür. iOS şifreli backup varsa iTunes/Finder yedeğinden direkt erişim açıktır.

Android tarafı parçalı. Samsung Exynos, Qualcomm, MediaTek farklı bootloader ve EDL/Download mode komutları kullanır. Encrypted Android 10+ telefonlarda kullanıcı şifresi olmadan veri çıkarılamaz, donanım anahtarına bağlıdır. Telefon "factory reset" yapılmadıysa şansa, yapıldıysa TRIM nedeniyle çoğunlukla yok. iCloud/Google Drive yedeği varsa cloud üzerinden kurtarmak en sağlam yol.

Flash, USB, SD Kart

USB bellek ve SD kartlarda wear leveling daha agresiftir, NAND hücreleri hızlı eskir. Tipik arızalar: konnektör kopması, controller chip ölümü, NAND degradation. Konnektör kopmuşsa mikro-lehim ile onarım kolay. Controller öldüyse chip-off zorunlu: NAND'i sökersin, programmer'a takarsın, ham dump alırsın, sonra controller'ın yaptığı XOR/scrambling ve ECC'yi reverse engineer'lar çözer. MicroSD'lerde monolitik tasarım nedeniyle silicon-level prep (asit ile decapping, mikro tel bağlama) gerekir. Maliyet yüksek, başarı vakaya göre değişir.

Fidye yazılım sonrası

Ransomware bulaşmış sistemde önce panik kontrolü: bilgisayarı ağdan ayır, kapatma, ekran fotoğrafı çek, fidye notunu sakla. USOM ve No More Ransom Project üzerinden ailenin decryptor'u var mı bak. STOP/Djvu, GandCrab, Maze, REvil gibi bazı varyantların offline ID'lerinde decryption mümkün. Volume Shadow Copy silinmediyse vssadmin list shadows ile eski sürüm geri alınabilir.

Önemli: ransomware ödeme yapma. Ödeme, %100 anahtar gelmesini garanti etmiyor, hem bir sonraki saldırıya finansman oluyor. KVKK kapsamındaysan, kişisel veri ihlali olduğu için KVKK Kurumu'na 72 saat içinde bildirim zorunluluğun var. CISA ve ENISA bu sürecin uluslararası rehberlerini yayımlıyor.

Veri kurtarma süreci, adım adım

DSET laboratuvarında her vaka aynı disiplinli süreçten geçer. ISO/IEC 27037 ve NIST SP 800-86 referans alınır, chain of custody belgelenir.

  1. Teşhis ve ücretsiz keşif. Cihaz kabul edilir, fiziksel inceleme yapılır, S.M.A.R.T. okunabilirse loglanır. Mantıksal mı fiziksel mi olduğu bu aşamada netleşir. Müşteriye hasar tablosu ve süreç planı sunulur, fiyat netleşir. Bu aşamada para alınmaz.
  2. Forensic image (klon) alma. Orijinal medyaya bir daha dokunulmaz. Tüm çalışma birebir alınmış imaj üzerinde yapılır. Kötü sektörlü disklerde DeepSpar veya PC-3000 ile çoklu retry pasoları çekilir, sektör haritası çıkarılır. SHA-256 hash kayda geçer.
  3. Yapı analizi. RAID'se stripe, sıra, parity bulunur. Şifreli volume varsa (BitLocker, FileVault, LUKS, VeraCrypt) anahtar/parola sorgulanır. Dosya sistemi parse edilir (NTFS, ext4, APFS, HFS+, exFAT, Btrfs, ZFS).
  4. Veri çıkarma (carving). Önce dizin yapısı korunarak rebuild yapılır. Yapı bozuksa file signature carving (R-Studio, PhotoRec, X-Ways) ile dosya türüne göre çıkarım yapılır.
  5. Doğrulama. Çıkan dosyalar açılıp test edilir. Bozuk dosyalar ayrı klasöre ayrılır. JPG, MP4, DOCX, PST, MDF gibi formatlar için özel doğrulayıcılar koşturulur.
  6. Teslim. Müşteriye yeni bir disk üstünde veya şifreli klasörle teslim edilir. Liste raporu sunulur.
  7. Gizli imha. Müşteri onayıyla, çalışma kopyaları ve imajlar NIST SP 800-88 Purge seviyesinde silinir, hash'li imha tutanağı verilir.

Başarı oranını ne belirler?

Veri kurtarmada başarıyı dört faktör belirler. Birincisi cihaz türü: SSD ve modern NVMe, mekanik HDD'ye göre daha düşük kurtarılabilirlik gösteriyor, çünkü TRIM ve hardware encryption araya giriyor. RAID'de paritye ve disk sayısına bağlı, RAID 6 üç disk kaybına dek dayanıyor.

İkincisi hasar tarihi. Sıvı temasında ilk 24 saat kritik, korozyon hızla ilerler. Silinmiş dosyada TRIM'siz HDD'de aylar sonra bile şans var, TRIM'li SSD'de dakikalar içinde alan boşaltılabilir.

Üçüncüsü müdahale öncesi yapılanlar. Kullanıcının veya başka servisin yanlış müdahalesi (CHKDSK, format, "açma kapama", ucuz lehim onarımı) başarıyı düşürür. "Önce başka yerde denedik, olmadı" diye gelen vakalar her zaman daha zordur.

Dördüncüsü ekipman ve uzman kalitesi. PC-3000, DeepSpar, Atola Insight gibi sektör standardı cihazlar, ISO 14644 temiz oda, donor stoku, vendor-specific firmware bilgisi, deneyim. DSET'in açıkça paylaştığı %99.4 başarı oranı ve 20.000+ TB kurtarılmış veri rakamı bu altyapıya dayanıyor. 2003'ten beri biriken 20+ yıl deneyim, 100+ kurumsal müşteri ve 1.350+ akademi mezunu çerçevesinde sektörde sıkça atıf alıyor.

Veri kurtarma maliyeti neden değişir?

Veri kurtarmada sabit fiyat listesi yoktur, sektörde de yoktur. Bunun sebebi her vakanın benzersiz olması: aynı modelde iki HDD'den biri kafa çakmasıyla geliyor, diğeri sadece bad sector kümesiyle. İkincisinin maliyeti birincisinin onda biri.

Maliyeti belirleyen başlıca etmenler:

  • Hasar tipi. Yazılımsal (mantıksal) vakalar en uygun. Fiziksel mekanik en yüksek. Chip-off ve silicon-level müdahale en yüksek dilim.
  • Cihaz türü ve kapasite. Tüketici HDD ile enterprise helium drive ya da NVMe arasında fark var. Kapasite arttıkça imaj alma süresi uzar.
  • Temiz oda gerekliliği. Kafa, motor, plaka müdahalesi ISO Sınıf 100 ortam ister. Saat maliyeti yüksek bir kaynak.
  • Donor parça. Aynı model PCB, head stack, motor temin etmek bazen markete bağlı.
  • Aciliyet. Standart sıra mı, 7/24 öncelikli müdahale mi.

DSET'in iş akışı şu şekilde: önce ücretsiz keşif yapılır, cihaz incelenir, hasar tablosu çıkar, sana net bir fiyat ve teslim süresi söylenir. Onaylarsan çalışma başlar. Veri çıkmazsa ücret alınmaz. Bu "no data, no fee" prensibi sektörde standartlaşmış güven politikasıdır.

Gizlilik ve KVKK

Veri kurtarma kapsamına giren cihazlarda çoğunlukla kişisel veri, ticari sır, finansal tablo, müşteri kaydı, hasta dosyası gibi hassas içerik bulunur. KVKK ve Avrupa tarafında GDPR yükümlülükleri burada başlar.

DSET'in uyguladığı standart: müşteriyle çift taraflı NDA imzalanır, cihaz girişinden çıkışına kadar erişim sadece atanmış uzmana açıktır, çalışma kapalı devre laboratuvarda yapılır, dış ağ bağlantısı yoktur. Müşteri verisi hiçbir koşulda yurt dışına çıkmaz, üçüncü ülkeye aktarılmaz, Hacettepe Teknokent fiziksel güvenlik perimetresinde kalır. İş bittikten sonra, müşteri onayıyla çalışma kopyaları NIST SP 800-88 Purge seviyesinde, çoklu pass overwrite ile silinir, hash'li imha tutanağı imzalanır. Kurumsal müşteriler için ek olarak ISO/IEC 27037 uyumlu adli rapor düzenlenebilir, mahkeme delili gerektiren durumlarda chain of custody belgesi sağlanır.

Sık sorulan sorular

Veri kurtarma ortalama ne kadar sürer?

Yazılımsal vakalar (silme, format, partition kaybı) genelde birkaç saatten 1 iş gününe biter. Fiziksel hasarlı diskler 3 ila 7 iş günü sürer. Temiz oda gerektiren ağır mekanik vakalar ve chip-off işleri 1 ila 2 hafta alabilir. RAID dizilerinde disk sayısına ve kapasiteye bağlı olarak imaj alma süresi tek başına birkaç gün tutabilir.

Kurtaramazsanız ödeme alıyor musunuz?

Hayır. Veri çıkmazsa ücret alınmaz. Önce ücretsiz keşif yapılır, hasar tablosu çıkarılır, net fiyat verilir. Onayın olmadan çalışma başlamaz. Bu prensip sektörde "no data, no fee" olarak geçer ve DSET'in standart politikasıdır.

Hangi tip RAID konfigürasyonları çözülür?

RAID 0, 1, 5, 6, 10, 50, 60, JBOD, span. Buna ek olarak NAS markalarının kendi formatları: Synology Hybrid RAID (SHR ve SHR-2), Drobo BeyondRAID, Netgear X-RAID, Buffalo TeraStation native. Software RAID tarafında Btrfs RAID 1/5/6, ZFS RAID-Z1/Z2/Z3, mdadm, Storage Spaces, Apple Fusion Drive ve macOS Software RAID destekleniyor.

Cep telefonu ekranı kırık, veri kurtarılır mı?

Çoğu durumda evet. Telefon hâlâ açılabiliyor ve şifresi biliniyorsa USB üzerinden mantıksal extraction kolay. Açılmıyorsa servis ekran takılarak veri arayüzü canlandırılır, sonra extraction yapılır. Anakart yanmışsa chip-off ve JTAG/ISP yöntemleri devreye girer. iPhone'da kullanıcı şifresi olmadan bypass yok, ama iCloud yedeği varsa cloud üzerinden full restore mümkün.

Mahkemeye delil olarak kullanılabilir mi?

Evet, ama bunun için sürecin baştan adli bilişim disiplinine uygun yürütülmesi gerek. ISO/IEC 27037 uyumlu, chain of custody belgelenmiş, hash doğrulamalı, write-blocker ile alınmış imaj üzerinden yapılan kurtarma raporları Türkiye mahkemelerinde delil olarak kabul edilir. Eğer cihaz dava konusu olabilecekse en başta "veri kurtarma" değil "adli bilişim incelemesi" olarak prosedüre alınması daha sağlam.

Su altında kalan disk kurtarılır mı?

Evet, ama kurutmaya çalışma. Pirinç poşeti, saç kurutma makinesi, güneş, hiçbiri işe yaramaz, korozyonu hızlandırır. Disk ıslakken anti-statik bir poşete ya da kapaklı plastik kutuya koy, içine 1-2 silikajel paketi at, hemen laboratuvara getir. Temiz odada PCB sökülür, plakalar ultrasonik banyo ve izopropil alkolle temizlenir, donor stack ile imaj alınır.

Veri kurtarma garantisi nasıl?

Garanti dört temele dayanır: birincisi orijinal medyaya hiç dokunulmaz, tüm çalışma klon üzerinde yapılır, hata olursa orijinal hâlâ elindedir. İkincisi her kritik adımda SHA-256 hash alınır, bütünlük doğrulanır. Üçüncüsü NDA çerçevesinde gizlilik. Dördüncüsü iş bitince hash'li imha tutanağı. Çıkan dosyalar sana liste halinde teslim edilir, sen onaylayana kadar çalışma kopyası saklanır.

Kimlerden veri kurtarmayın

Veri kurtarma pazarı, "5 dakikada kurtarırız" diyenlerle dolu. Ucuza vaat eden, garanti vermeyen, temiz odası olmadığı halde HDD açan, ekipman fotoğrafı paylaşmayan servisler en büyük risk. Yanlış müdahale, daha sonraki profesyonel kurtarmayı imkansızlaştırabilir.

Kaçınılacaklar:

  • "Hemen aç, içine bak" diyen telefoncu, bilgisayarcı, AVM tamircisi. Mekanik HDD temiz oda dışında açıldığında plakaya toz yapışır, head crash başlar.
  • Diski freezer'a koymayı öneren forumlar. 2000'lerin urban legend'ı, modern diski direkt mahveder.
  • "PCB değiştirelim" diyen ucuz servis. Modern HDD'de PCB üstünde adaptive ROM vardır, doğru BIOS region transfer edilmeden tak-çıkar yapan motoru ya da kafayı yakar.
  • Garantisiz "veri çıkar, sonra konuşalım" diyenler. Önce yazılı fiyat ve teslim süresi olmalı.
  • Müşteri verisini test/demo amaçlı kullandığını söyleyenler. KVKK ihlalidir.
  • Cihazı ağa bağlı bir laboratuvarda işleyenler. Air-gap zorunlu.

Doğru servis: temiz oda fotoğrafı paylaşır, PC-3000/DeepSpar/Atola gibi sektör standardı ekipman adlarını söyler, NDA imzalar, ücretsiz keşif sunar, "no data, no fee" prensibiyle çalışır, KVKK uyumlu imha tutanağı düzenler.

DSET ile çalışmak

DSET, Hacettepe Teknokent · Çankaya · Ankara adresinde, 2003'ten bu yana veri kurtarma ve siber güvenlik alanında çalışıyor. 20+ yıl deneyim, 20.000+ TB kurtarılmış veri, 100+ kurumsal müşteri, 1.350+ akademi mezunu ve %99.4 başarı oranı.

İletişim:

  • Telefon (7/24 acil müdahale): +90 536 662 38 09
  • E-posta: [email protected]
  • Ücretsiz keşif: cihazı getir, hasar tablosu ve net fiyat çıksın, kararı sen ver.
  • ISO/IEC 27037 uyumlu rapor, NDA, KVKK uyumlu imha tutanağı, hash doğrulamalı teslim.
  • Kurumsal SLA, adli bilişim uzmanlığı, mahkemeye delil sunulacak vakalarda chain of custody belgesi.

Verilerinizi önemsiyoruz, Hacettepe Teknokent'te bekliyoruz.

Kaynaklar: