Windows Registry Analizi | Windows Forensics

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18
Furkan Öztürk tarafından yazılmıştır.

[TR] Windows Registry Analizi | Windows Forensics​


Merhaba Değerli Okurlar, bu konumuzda Windows Registry Üzerinde Adli inceleme işlemlerini gerçekleştireceğiz. Registry Yapısını anlatarak yazımıza başlayalım.

REGISTRY (KAYIT DEFTERİ) YAPISI​


Registry, Türkçesiyle Kayıt Defteri, anahtar ve değerlerden oluşan bir yapıya sahiptir. Burada anahtarlar dizinleri, değerler ise dosyaları temsil eder. Buradaki her değer “Name“, “Type“, “Data” olmak üzere 3 girdiden oluşur. Kayıt defterini görüntülemek için çalıştır komutu olarak regedit yazabilirsiniz.

Registry

Registry

Windows Kayıt defteri 5 adet kök anahtara sahiptir. Bu anahtarların her biri sistem ve kullanıcı hakkında farklı bilgiler depolamaktadır.

Kök Anahtarlar

Kök Anahtarlar

HKEY_CLASSES_ROOT​


Yukarıda bahsettiğimiz kök anahtarların ilki olan HKEY_CLASSES_ROOT ile tanışarak konumuza devam edelim. HKEY_CLASSES_ROOT, kısaca belirli bir uzantıdaki dosyanın varsayılan olarak nasıl açılacağının bilgisini tutan ve varsayılan programı tanımlayan anahtardır. Bu anahtar, içerisinde ProgID (Programatik Tanımlayıcı), IID (Arabirim Kimliği) ve CLSID (Sınıf Kimliği) verilerini bulundurur.
Örneğin sistemde .pdf uzantılı dosyanın varsayılan olarak hangi yazılımla çalıştırıldığı bilgisine ulaşmak için .pdf alt anahtarı bulunup değerlerine bakılabilir. Aşağıdaki resimde .pdf uzantılı dosyaların varsayılan olarak Adobe Acrobat ile açıldığının bilgisine ulaştık.

3-2-1024x444.png

HKEY_CLASSES_ROOT

HKEY_LOCAL_MACHINE​


Bu anahtar, içerisinde sistem başlatma ile ilgili yapılandırma ve ayarları barındırır. İçerisinde System, Software, SAM, Security, Hardware olmak üzere 5 adet alt anahtar bulunmaktadır.
SYSTEM : System subkeyi içerisinde, sistem yapılandırma verileri bulunmaktadır.
SOFTWARE : Bu subkey içerisinde yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
HARDWARE : Bilgisayara bağlı donanım aygıtları hakkında verilerin tutulduğu subkeydir.
SECURITY : Sistemdeki güvenlik politikalarının tutulduğu subkeydir.
SAM (Security Account Manager) : SAM subkeyi, içerisinde kullanıcı grubu ve kullanıcıyı güvenlik bilgileriyle (Kullanıcı ve grubu hakları, Giriş/Hatalı Giriş verileri, zaman damgaları) birlikte tutar.

4-3.png

HKEY_LOCAL_MACHINE

HKEY_USERS​


İçerisinde kullanıcılar ile ilgili alt anahtarları (Sistem profilleri, LocalService bilgileri, NetworkService bilgileri, ) barındıran kök anahtardır. Burada sistemdeki tüm kullanıcılar değil yalnızca oturum açmış kullanıcılar bulunmaktadır.
Sistem Profilleri Konumu : %systemroot%\system32\config\systemprofile
LocalService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\LocalService
NetworkService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\NetworkService

Sistemde yeni bir kullanıcı oluşturulduğunda varsayılan profil ayarları %SystemDrive%\Users\Default konumundan alınarak yeni kullanıcıya atanır.

HKEY_CURRENT_USER​


HKEY_USERS Anahtarı altındaki kullanıcılara işaretçi olarak kullanılan anahtardır. HKEY_USERS ile aynı yapılandırmaya sahiptir.

5-2-1024x638.png

HKEY_CURRENT_USER

DOSYALARIN ELDE EDİLMESİ VE ANALİZ İŞLEMLERİ​


Registry dosyaları direkt olarak sistemden çekilebilecek türden dosyalar değildir. Bu sebeple çeşitli yazılım ve komutlar ile bu dosyalar alınarak analiz edilir. Bu başlığa kadar Kayıt Defteri yapısından, neyin ne olduğundan bahsettik. Buradan itibaren analiz işlemlerine tam anlamıyla giriş yapmış olacağız.

Analiz edeceğimiz Registry dosyalarının bulunduğu konum;

C:\Windows\System32\config

Öncelikle cmd ekranında aşağıdaki komutları girerek “SAM“, “SOFTWARE“, “SYSTEM” dosyalarını kopyalayacağız.

reg save hklm\SAM C:\Users\Ozturk\Desktop\SAM_copy
reg save hklm\SYSTEM C:\Users\Ozturk\Desktop\SYSTEM_copy
reg save hklm\SOFTWARE C:\Users\Ozturk\Desktop\SOFTWARE_copy
6-2.png

cmd

Bu işlemin ardından NTUSER.DAT dosyalarını kopyalamak için FTK Imager isimli yazılımı çalıştırıyoruz.

NTUSER.DAT dosyalarının bulunduğu konum;

C:\users\kullaniciadi\NTUSER.DAT

Dosyaları bulup “Export Files” diyoruz

7-2-1024x544.png

FTK Export

Şimdi çıkarttığımız dosyaları RegistryExplorer yazılımını kullanarak açacağız. Yazılımı çalıştırdığımızda karşımıza aşağıdaki gibi bir ekran gelecek

8-2-1024x546.png

Registry Explorer

Burada File > Load Hive yolundan ilerleyerek dosya seçim ekranına geliyoruz. Burada az önce dışarı çıkarttığımız dosyaları seçip ilerliyoruz

9-1-1024x545.png

Load Hive

SAM​


İlk olarak SAM dosyasını “Available bookmarks” sayfasından incelediğimizde kullanıcılar ile ilgili verilere erişebiliyoruz. Burada son giriş tarihi, parola değişim tarihi, kullanıcı grubu, parola ipucu gibi veriler görünüyor

10-1-1024x547.png

SAM

SYSTEM​


System dizinin altında ise cihaz bilgisi, Timezone bilgisi, Devices kısmında bluetooth bağlantısı yapılmış cihazların bilgisini görüntüleyebiliyoruz

11-2-1024x545.png

cihaz bilgisi
12-1-1024x548.png

Timezone

Aynı şekilde USB bağlantısı ile bağlanmış cihazları USB kısmından görüntüleyebiliyoruz.

13-1024x519.png

USB Bağlantısı

Interfaces kısmında yapılan ağ bağlantıları ile ilgili detayları görebiliyoruz.
Windows kısmında shutdown, directory gibi bilgiler yer almakta.

14-1024x547.png

Windows

MountedDevices kısmında ise bilgisayara takılmış depolama aygıtları bulunmakta.

15-1024x548.png

MountedDevices

SOFTWARE​


Burada sisteme yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.

LogonUI kısmında en son giriş yapan kullanıcı ile ilgili veriler bulunmakta

16-1024x544.png

LogonUI

NetworkList kısmında bağlanılan kablosuz ağlar bulunmakta

17-1024x562.png

NetworkList

Run kısmında başlangıç programlarını görebiliyoruz

18-1024x527.png

Run

CurrentVersion kısmında işletim sistemi ile ilgili bilgiler bulunmakta.

19.png

CurrentVersion

Aynı dizinin Uninstall kısmında cihazdan kaldırılmış yazılımlara ait bilgi bulunmakta

20-1024x544.png

Uninstall

NTUSER.DAT​


Burada USB kayıtları, çalıştırılan programlar, Word Whell Query gibi veriler bulunmaktadır.

CD Burning kısmında yazdırma işlemlerine ait kayıtlar bulunmaktadır.

21-1024x545.png

CD Burning

RecentDocs kısmında ise kısayol dosyalarına ait detaylar bulunmakta

22-1024x546.png

RecentDocs

UserAssist klasörünün bir kısmında GUI özelliği olan uygulamalar yer almaktadır. Uygulamanın çalıştırma süreleri gibi bilgiler burada bulunabilir.

23-1024x547.png

UserAssist 1

Aynı klasör içerisinde uygulamalara ait lnk dosyaları da bulunmakta

24-1024x543.png

UserAssist 2

World Whell Query kısmında arama bilgileri bulunmakta

25-1024x548.png

World Wheel Query

PrinterPorts kısmında dosya yazdırma ile ilgili veriler bulunmaktadır

26-1024x547.png

PrinterPorts

Bu şekilde bazı verilere ulaşmış olduk. Tabii ki ben fazla uzatmamak maksadıyla analizimi burada sonlandırıyorum. Yöntemi öğrendiğinize göre siz dilerseniz analizi daha fazla detaylandırabilirsiniz.

Yazıma burada nokta koyuyorum. Bir sonraki yazımızda görüşmek dileğiyle…
 
Moderatör tarafında düzenlendi:
Geri
Üst