Windows Kayıt Defteri Araştırması

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
registyforensics.jpeg


Adli bilişim gerçekleştirirken ya canlı bir sistemle ya da sistemin alınmış bir imajıyla karşılaşırız. Doğruluk adına, sistemin görüntüsünü almak veya gerekli verilerin bir kopyasını oluşturmak ve üzerinde adli inceleme yapmak önerilen bir uygulamadır. Bu işlem veri toplama olarak adlandırılır.

Araştırmamız için aşağıdaki aracı kullanacağız:

(Zimmerman's Registry Explorer)

Sistem Bilgileri ve Sistem Hesapları Bilgileri:-

İşletim Sistemi Sürümü:

SOFTWARE\Microsoft\Windows NT\CurrentVersion

Geçerli kontrol seti:

Sistem başlangıcını kontrol etmek için kullanılan makinenin yapılandırma verilerini içeren arşivlere Kontrol Setleri denir. Genellikle, bir makinedeki SYSTEM dizininde ControlSet001 ve ControlSet002 olmak üzere iki Kontrol Seti görürüz. Çoğu durumda, ControlSet001 makinenin önyükleme yaptığı Kontrol Setine işaret eder ve ControlSet002 bilinen son iyi yapılandırma olur. Konumları şöyle olacaktır:

  • SYSTEM\ControlSet001
  • SYSTEM\ControlSet002

Bilgisayar Adı:

SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName

Saat Dilimi Bilgileri:

SYSTEM\CurrentControlSet\Control\TimeZoneInformation

Ağ Arayüzleri ve Geçmiş Ağlar:
  • SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
Otomatik Başlatma Programları (Autoruns):

Aşağıdaki kayıt defteri anahtarları, bir kullanıcı oturum açtığında çalışan programlar veya komutlar hakkında bilgi içerir.
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • SYSTEM\CurrentControlSet\Services
  • SAM hive and user information:
  • SAM\Domains\Account\Users
 
Geri
Üst