Chip-Off Nedir, Kim Yapar? NAND Flash Adli Bilişim Yöntemi

Chip-off = NAND flash bellek lehimden sökülerek programmer ile okunan veri kurtarma/adli bilişim yöntemi. JTAG, ISP alternatif. PC-3000 Flash, Easy JTAG Plus donanım.

Chip-off, NAND flash veya eMMC bellek yongasının PCB üzerinden lehim sökme istasyonuyla fiziksel olarak ayrılıp özel bir programmer cihazına takılarak ham okuma alınması işlemidir. Cep telefonu, USB stick, SSD ve gömülü cihazlardan, işletim sistemi başlatılamadığında veya cihaz fiziksel hasar gördüğünde uygulanan, donanım seviyesinde son aşama adli bilişim yöntemidir.

TL;DR

Chip-off, NAND/eMMC yongasının PCB'den sökülüp programmer ile okunmasıdır.
JTAG ve ISP, daha az invazif alternatiflerdir; chip-off en agresif yöntemdir.
Donanım: PC-3000 Flash, Easy JTAG Plus, FlashCAT-USB, Medusa Pro II.
Tipik süre: 4 ila 48 saat. Başarı oranı yonga sağlamsa %90+ civarındadır.
Mahkemede delil olarak kabul için ISO/IEC 27037 uyumlu süreç ve hash zorunludur.

Detaylı cevap

Chip-off ne zaman gerekir?

Chip-off, daha az invazif yöntemler tükendiğinde devreye alınır. Aşağıdaki durumlar tipik tetikleyicilerdir:

Senaryo	Önerilen yöntem
Şifre korumalı çalışan cihaz	Logical extraction, JTAG
Boot eden ama yazılım kilitli	ISP (In-System Programming)
Su, yangın, fiziksel darbe sonrası ölü cihaz	Chip-off
Kontrolcü yongası bozuk USB/SSD	Chip-off + sanal çevirici
Şifrelenmiş (BitLocker, FBE) cihaz	Chip-off + anahtar kurtarma sınırlı

Süreç adımları

Cihaz belgelenir, fotoğraflanır, ISO/IEC 27037'ye uygun delil zinciri başlatılır.
PCB sökülür, NAND/eMMC yongası BGA ısı istasyonu ile (genelde 220-240 derece preheat, 280-310 derece üst nozzle) lehimden ayrılır.
Yonga pad'leri temizlenir; gerekirse reball yapılır.
Yonga, soketli programmer'a yerleştirilir; üreticinin pinout'una göre okuma alınır.
Ham bin dosyasının SHA-256 ve MD5 değerleri hesaplanır, raporlanır.
ECC çözümü, page/spare ayrımı, XOR/scrambling ters mühendisliği uygulanır.
Üretici-spesifik FTL (Flash Translation Layer) toparlanır; mantıksal imaj oluşturulur.

Daha geniş bir adli bilişim sürecinin parçası olarak chip-off ile NAND flash veri kurtarma yazımızda donanım ayrıntılarını ele aldık.

Donanım envanteri (2026 piyasası)

ACE Lab PC-3000 Flash: monolitik USB stick, SSD chip-off için endüstri standardı.
Easy JTAG Plus: JTAG/ISP/eMMC, daha düşük maliyetli mobil odaklı set.
FlashCAT-USB Mk2: TSOP-48, BGA-152/162/169/221 adaptörlü genel amaçlı.
Medusa Pro II: mobil teknik servisin yaygın seçimi, ISP odaklı.
Rusolut Visual NAND Reconstructor: yazılım tarafında FTL çözümü için kullanılır.

Kim yapar?

Chip-off, sertifikalı dijital adli bilişim laboratuvarları, kolluk kuvvetlerinin siber suç birimleri ve özel veri kurtarma firmaları tarafından yürütülür. Türkiye'de bu kapsamda hizmet vermek için adli bilişim uzmanı yetkisi, yerleşik ESD korumalı temiz alan, kalibre lehim istasyonu ve hash-doğrulanabilir delil zinciri yazılımı gereklidir.

Başarı oranı ve risk

NAND yongası fiziksel olarak sağlamsa başarı oranı %90'ın üzerindedir. Ancak modern cihazlarda iki risk öne çıkar:

Tam disk şifreleme (Android FBE, iOS Secure Enclave, BitLocker, LUKS): ham okuma alınsa bile anahtar olmadan içerik anlamsızdır.
Yonga içi şifreleme (Apple A7+, modern Samsung): chip-off pratik olarak başarısızdır; JTAG/ISP da çözüm değildir.

Bu nedenle siber olay müdahale playbook sürecinde delil önceliği canlı bellek (RAM) ve mantıksal imaj olmalı, chip-off son çare olarak planlanmalıdır.

Hukuki çerçeve

Türkiye'de dijital delil toplama CMK 134 ve ISO/IEC 27037:2012 ile çerçevelenmiştir. Çıkartılan imajın bütünlüğü hash (SHA-256 önerilir) ile doğrulanır, iki tanık huzurunda tutanak imzalanır. Aksi takdirde delil yargılamada reddedilebilir. Kurumsal olay yönetiminde KVKK 72 saat veri ihlali bildirim şablonu ile paralel yürütülmesi tavsiye edilir.

Maliyet

Chip-off işlemi 2026 itibarıyla Türkiye'de tek cihaz için yaklaşık 8.000 ila 35.000 TL bandındadır. Yonga reball ve özel programmer adaptörü gerektiğinde fiyat yukarı çıkar. SSD multi-chip senaryolarında her yonga için ayrı okuma + FTL çözümü gerektiğinden iş gücü artar. Maliyet planlaması için RAID maliyet hesaplayıcı aracına bakılabilir; benzer mantık çok yongalı SSD için de geçerlidir.

Modern karşılaştırma: chip-off, JTAG, ISP

Yöntem	İnvazif mi?	Tipik süre	Şifreli cihaz	Donanım maliyeti
Logical	Hayır	1-4 saat	Sınırlı	Düşük
ISP	Hafif (test pad lehimleme)	4-12 saat	Zor	Orta
JTAG	Hafif (TAP pinleri)	4-12 saat	Zor	Orta
Chip-off	Yüksek (yonga sökümü)	8-48 saat	Anahtar yoksa veri ham şifreli kalır	Yüksek

Doğru yöntem seçimi cihazın durumu, üreticisi ve şifreleme şemasına bağlıdır. Karar matrisinde önce en az invazif yöntem denenir; başarısız olursa veya cihaz fiziksel hasarlı ise chip-off devreye alınır.

SSS

Chip-off yapılan cihaz tekrar kullanılabilir mi?

Hayır. Yonga söküldükten sonra cihazın orijinal işlevini geri kazanması beklenmez. Bazı vakalarda reball ile geri lehimleme yapılır, ancak bu işlem üretici garantisini ve cihazın güvenilirliğini etkiler.

iPhone'da chip-off işe yarar mı?

iPhone 5s ve sonraki modellerde Secure Enclave anahtarları yonganın içinde tutulduğundan chip-off ham okuma alsa bile içerik şifreli kalır. iPhone için günümüzde GrayKey veya Cellebrite gibi mantıksal yöntemler tercih edilir.

Chip-off ile silinen veriler kurtarılır mı?

Evet, NAND'da TRIM komutu çalışmamış veya overprovisioning alanında veri kaldıysa silinen bloklar kurtarılabilir. SSD'lerde TRIM aktifse silinen veri büyük ihtimalle geri dönüşsüzdür.

JTAG ve chip-off farkı nedir?

JTAG yongayı sökmez; PCB üzerindeki test pinleri (TAP) üzerinden okuma alır. Daha az risklidir ancak şifreli veya kilitli cihazlarda başarı oranı düşüktür. Chip-off ise yongayı fiziksel söker, ham erişim sağlar.

Türkiye'de chip-off hizmeti veren var mı?

Evet. DSET, Hacettepe Teknokent Beytepe lokasyonunda chip-off, JTAG ve ISP süreçlerini ISO/IEC 27037 uyumlu olarak yürütmektedir. İletişim: +90 536 662 38 09, [email protected].