Windows Kayıt Defteri Hakkında Bilgiler

Hüseyin

Hüseyin

Üye
Katılım
21 Ocak 2024
Mesajlar
39
Tepkime puanı
16
Puanları
8
Regedit


Windows Kayıt Defteri:

Windows Kayıt Defteri, sistemin yapılandırma verilerini içeren bir veritabanı koleksiyonudur. Bu yapılandırma verileri donanım, yazılım veya kullanıcı bilgileri hakkında olabilir. Ayrıca son kullanılan dosyalar, kullanılan programlar veya sisteme bağlı cihazlar hakkında veriler de içerir. Anlayabileceğiniz gibi, bu veriler adli bilişim açısından faydalıdır. Bu yazı boyunca, sistem hakkında gerekli bilgileri tespit etmek için bu verileri okumanın yollarını öğreneceğiz. Kayıt defterini görüntülemek ve düzenlemek için yerleşik bir Windows yardımcı programı olan regedit.exe'yi kullanarak kayıt defterini görüntüleyebilirsiniz. İlerleyen konularda kayıt defteri hakkında bilgi edinmek için diğer araçları keşfedeceğiz.

Windows kayıt defteri Anahtarlar ve Değerlerden oluşur. Kayıt defterini görüntülemek için regedit.exe yardımcı programını açtığınızda, gördüğünüz klasörler Kayıt Defteri Anahtarlarıdır. Kayıt Defteri Değerleri, bu Kayıt Defteri Anahtarlarında depolanan verilerdir. Bir Kayıt Defteri Arşivi, disk üzerinde tek bir dosyada depolanan bir Anahtarlar, alt anahtarlar ve değerler grubudur.

Kayıt Defterinin Yapısı:

Herhangi bir Windows sistemindeki kayıt defteri aşağıdaki beş kök anahtarı içerir:

  • HKEY_CURRENT_USER
  • HKEY_HKEY_USERS
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG

Kayıt Defteri Dizinlerine Erişim

Canlı bir sisteme erişiyorsanız, regedit.exe dosyasını kullanarak kayıt defterine erişebilirsiniz. Ancak, yalnızca bir disk görüntüsüne erişiminiz varsa, kayıt defteri arşivlerinin disk üzerinde nerede bulunduğunu bilmeniz gerekir. Bu arşivlerin çoğu C:\Windows\System32\Config dizininde bulunur ve şunlardır:

  • DEFAULT (HKEY_USERS\DEFAULT üzerine monte edilmiştir)
  • SAM (HKEY_LOCAL_MACHINE\SAM üzerine monte edilmiştir)
  • SECURITY (HKEY_LOCAL_MACHINE\Security üzerine monte edilmiştir)
  • SOFTWARE (HKEY_LOCAL_MACHINE\Software üzerine monte edilmiştir)
  • SYSTEM (HKEY_LOCAL_MACHINE\System üzerine monte edilmiştir)

Kullanıcı bilgilerini içeren arşivler:

Bu dizinlerin dışında, kullanıcı bilgilerini içeren iki dizin daha Kullanıcı profili dizininde bulunabilir. Windows 7 ve üzeri için, bir kullanıcının profil dizini C:\Users\<kullanıcıadı>\ dizininde bulunur ve burada arşivler şunlardır:

  • NTUSER.DAT (kullanıcı oturum açtığında HKEY_CURRENT_USER üzerine bağlanır)
  • USRCLASS.DAT (HKEY_CURRENT_USER\Software\CLASSES üzerine bağlı)
  • USRCLASS.DAT dizini C:\Users\<username>\AppData\Local\Microsoft\Windows dizininde bulunur.
  • USRCLASS.DAT dizini C:\Users\<kullanıcıadı>\AppData\Local\Microsoft\Windows dizininde bulunur.
  • NTUSER.DAT dizini C:\Users\<kullanıcıadı>\ dizininde bulunur.

Amcache Arşivi:

Bu dosyaların dışında AmCache arşivi adı verilen çok önemli bir arşiv daha vardır. Bu arşiv C:\Windows\AppCompat\Programs\Amcache.hve dizininde bulunur. Windows bu arşivi sistemde yakın zamanda çalıştırılan programlarla ilgili bilgileri kaydetmek için oluşturur.
İşlem Günlükleri ve Yedekler:

Adli verilerin diğer bazı çok önemli kaynakları kayıt defteri işlem günlükleri ve yedeklemeleridir. İşlem günlükleri, kayıt defteri arşivinin değişiklik günlüğünün günlüğü olarak düşünülebilir. Windows, kayıt defteri arşivlerine veri yazarken genellikle işlem günlüklerini kullanır. Bu, işlem günlüklerinin genellikle kayıt defterindeki kayıt defteri arşivlerine ulaşmamış en son değişikliklere sahip olabileceği anlamına gelir. Her bir arşiv için işlem günlüğü, arşivin kendisiyle aynı dizinde bir .LOG dosyası olarak saklanır. Kayıt defteri arşiviyle aynı ada sahiptir, ancak uzantısı .LOG'dur. Örneğin, SAM arşivi için işlem günlüğü C:\Windows\System32\Config dizininde SAM.LOG dosya adı altında bulunur. Bazen birden fazla işlem günlüğü de olabilir. Bu durumda, uzantıları .LOG1, .LOG2 vb. olacaktır. Kayıt defteri adli incelemesi gerçekleştirirken işlem günlüklerine de bakmak akıllıca olacaktır.

Kayıt defteri yedekleri, İşlem günlüklerinin tam tersidir. Bunlar C:\Windows\System32\Config dizininde bulunan kayıt defteri arşivlerinin yedekleridir. Bu arşivler her on günde bir C:\Windows\System32\Config\RegBack dizinine kopyalanır. Bazı kayıt defteri anahtarlarının yakın zamanda silinmiş/değiştirilmiş olabileceğinden şüpheleniyorsanız bakmak için mükemmel bir yer olabilir.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst