Adli bilişim gerçekleştirirken ya canlı bir sistemle ya da sistemin alınmış bir imajıyla karşılaşırız. Doğruluk adına, sistemin görüntüsünü almak veya gerekli verilerin bir kopyasını oluşturmak ve üzerinde adli inceleme yapmak önerilen bir uygulamadır. Bu işlem veri toplama olarak adlandırılır.
Araştırmamız için aşağıdaki aracı kullanacağız:
(Zimmerman's Registry Explorer)
Sistem Bilgileri ve Sistem Hesapları Bilgileri:-
İşletim Sistemi Sürümü:
SOFTWARE\Microsoft\Windows NT\CurrentVersion
Geçerli kontrol seti:
Sistem başlangıcını kontrol etmek için kullanılan makinenin yapılandırma verilerini içeren arşivlere Kontrol Setleri denir. Genellikle, bir makinedeki SYSTEM dizininde ControlSet001 ve ControlSet002 olmak üzere iki Kontrol Seti görürüz. Çoğu durumda, ControlSet001 makinenin önyükleme yaptığı Kontrol Setine işaret eder ve ControlSet002 bilinen son iyi yapılandırma olur. Konumları şöyle olacaktır:
- SYSTEM\ControlSet001
- SYSTEM\ControlSet002
Bilgisayar Adı:
SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
Saat Dilimi Bilgileri:
SYSTEM\CurrentControlSet\Control\TimeZoneInformation
Ağ Arayüzleri ve Geçmiş Ağlar:
- SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
- SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
- SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
Aşağıdaki kayıt defteri anahtarları, bir kullanıcı oturum açtığında çalışan programlar veya komutlar hakkında bilgi içerir.
- NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
- NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce
- SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SYSTEM\CurrentControlSet\Services
- SAM hive and user information:
- SAM\Domains\Account\Users