Önceki yazım da registry nedir ve hangi bilgileri gözlemleyebiliriz anlatmaya çalıştım. Bu yazım da ise Registry dosyalarının analizini yapacağız. Öncelikle Registry dosyalarından bilgiyi doğrudan alabilmemiz mümkün değildir. Öncelikle inceleme yapacağımız dosyaları
Öncelikle inceleme yapacağımız dosyaları ADMİNİSTRATOR CMD ile kopyalayacağız. Sonrasında ise Registry Explorer ile dosyaları açacağız.
Registry dosyaları;
C:\Windows\System32\config alanında bulunmaktadır.
Run As CMD ile “SAM“, “SOFTWARE“, “SYSTEM” dosyalarını kopyalayacağız.
reg save hklm\SAM C:\Users\melih-altan\Desktop\SAM_copy
reg save hklm\SYSTEM C:\Users\melih-altan\Desktop\SYSTEM_copy
reg save hklm\SOFTWARE C:\Users\melih-altan\Desktop\SOFTWARE_copy
NTUSER.DAT dosyasını elde etmek ve incelemek adına AccessData FTK ile User klasörü altında melih-altan dosyasının imajını alacağız. Dosya imajını almak için aşağıdaki adımları izleyeceğiz.
C:\ dosyasının alınan imajı aşağıdadır. NTUSER.DAT VE ntuser.dat.log dosyalarını export edeceğiz.
Export edeceğimiz dosyayı seçiyoruz.
Export edilen dosyayı Registry Explorer ile birlikte dosyaları analiz edeceğiz. Registry Explorer da analiz yapmak adına
File>Load hive seçiyoruz.
Analiz edilecek dosyalar seçilmektedir.
Eklenen bu dosyalarda analiz yapabileceğimiz alanlardan örnekler vereceğim.
SAM
Kullanıcıların son giriş tarihi, parola ipucu ve parola değiştirme tarihleri analiz edebiliriz.
SYSTEM
Bu dizin altında cihaz ile ilgili donanım bilgilerine ulaşabiliriz.
Cihaz bilgisi
Timezone
USB Bağlantısı
Usb ile bağlantı yapılan cihazlar;
Windows
Shutdown,directory gibi bilgiler barındırmaktadır.
MountedDevices
Cihaza takılmış depolama aygıtları bulunmaktadır.
SOFTWARE
Burada sisteme yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
LogonUI
Son giriş yapan kullanıcı ile ilgili veriler içermektedir.
NetworkList
Bağlanılan kablosuz ağları içermektedir.
Run
Windows açılışta olan başlangıç programlarını görebiliriz.
Uninstall
Daha önce cihazdan kaldırılmış yazılımlara ait bilgileri içermektedir.
NTUSER.DAT;
kullanıcı profili içerisinde gizli olarak bulunmaktadır. Bu dosya içerisinde kullanıcı profil bilgilerini içerir.
RecentDocs
Kısayol dosyalarını içermektedir.
Count
User Assist >CEBFF5CD-ACE2–4F4F-9178–9926F41749EA>Count sekmesi altında bulunmaktadır.
Uygulamanın çalıştırma süreleri gibi bilgileri burada bulunabilir.
Count
User Assist>F4E57C4B-2036–45F0-A9AB-443BCFE33D9F>Count
Uygulamalara ait lnk dosyalarını içermektedir.
Word Whell Query
Arama bilgileri bulunmaktadır.
PrinterPorts
Dosya yazdırma ve yazıcılar hakkında bilgiler bulunmaktadır.
RunMRU
Çalıştır uygulaması(Windows tuşu + R) ile aranan ve çalıştırılan uygulamaları göstermektedir.
TypedPaths
Windows gezginde hızlı erişim kısmında dosya konumunu vererek yaptığımız aramaları bizler göstermektedir.
VolumeInfoCache
Cihaza bağlı olan depolama bölümlerini görmekteyiz.
About the Author
