Furkan Öztürk tarafından yazılmıştır.
Merhaba Değerli Okurlar, bu konumuzda Windows Registry Üzerinde Adli inceleme işlemlerini gerçekleştireceğiz. Registry Yapısını anlatarak yazımıza başlayalım.
Registry, Türkçesiyle Kayıt Defteri, anahtar ve değerlerden oluşan bir yapıya sahiptir. Burada anahtarlar dizinleri, değerler ise dosyaları temsil eder. Buradaki her değer “Name“, “Type“, “Data” olmak üzere 3 girdiden oluşur. Kayıt defterini görüntülemek için çalıştır komutu olarak regedit yazabilirsiniz.
Registry
Windows Kayıt defteri 5 adet kök anahtara sahiptir. Bu anahtarların her biri sistem ve kullanıcı hakkında farklı bilgiler depolamaktadır.
Kök Anahtarlar
Yukarıda bahsettiğimiz kök anahtarların ilki olan HKEY_CLASSES_ROOT ile tanışarak konumuza devam edelim. HKEY_CLASSES_ROOT, kısaca belirli bir uzantıdaki dosyanın varsayılan olarak nasıl açılacağının bilgisini tutan ve varsayılan programı tanımlayan anahtardır. Bu anahtar, içerisinde ProgID (Programatik Tanımlayıcı), IID (Arabirim Kimliği) ve CLSID (Sınıf Kimliği) verilerini bulundurur.
Örneğin sistemde .pdf uzantılı dosyanın varsayılan olarak hangi yazılımla çalıştırıldığı bilgisine ulaşmak için .pdf alt anahtarı bulunup değerlerine bakılabilir. Aşağıdaki resimde .pdf uzantılı dosyaların varsayılan olarak Adobe Acrobat ile açıldığının bilgisine ulaştık.
HKEY_CLASSES_ROOT
Bu anahtar, içerisinde sistem başlatma ile ilgili yapılandırma ve ayarları barındırır. İçerisinde System, Software, SAM, Security, Hardware olmak üzere 5 adet alt anahtar bulunmaktadır.
SYSTEM : System subkeyi içerisinde, sistem yapılandırma verileri bulunmaktadır.
SOFTWARE : Bu subkey içerisinde yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
HARDWARE : Bilgisayara bağlı donanım aygıtları hakkında verilerin tutulduğu subkeydir.
SECURITY : Sistemdeki güvenlik politikalarının tutulduğu subkeydir.
SAM (Security Account Manager) : SAM subkeyi, içerisinde kullanıcı grubu ve kullanıcıyı güvenlik bilgileriyle (Kullanıcı ve grubu hakları, Giriş/Hatalı Giriş verileri, zaman damgaları) birlikte tutar.
HKEY_LOCAL_MACHINE
İçerisinde kullanıcılar ile ilgili alt anahtarları (Sistem profilleri, LocalService bilgileri, NetworkService bilgileri, ) barındıran kök anahtardır. Burada sistemdeki tüm kullanıcılar değil yalnızca oturum açmış kullanıcılar bulunmaktadır.
Sistem Profilleri Konumu : %systemroot%\system32\config\systemprofile
LocalService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\LocalService
NetworkService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\NetworkService
Sistemde yeni bir kullanıcı oluşturulduğunda varsayılan profil ayarları %SystemDrive%\Users\Default konumundan alınarak yeni kullanıcıya atanır.
HKEY_USERS Anahtarı altındaki kullanıcılara işaretçi olarak kullanılan anahtardır. HKEY_USERS ile aynı yapılandırmaya sahiptir.
HKEY_CURRENT_USER
Registry dosyaları direkt olarak sistemden çekilebilecek türden dosyalar değildir. Bu sebeple çeşitli yazılım ve komutlar ile bu dosyalar alınarak analiz edilir. Bu başlığa kadar Kayıt Defteri yapısından, neyin ne olduğundan bahsettik. Buradan itibaren analiz işlemlerine tam anlamıyla giriş yapmış olacağız.
Analiz edeceğimiz Registry dosyalarının bulunduğu konum;
C:\Windows\System32\config
Öncelikle cmd ekranında aşağıdaki komutları girerek “SAM“, “SOFTWARE“, “SYSTEM” dosyalarını kopyalayacağız.
reg save hklm\SAM C:\Users\Ozturk\Desktop\SAM_copy
reg save hklm\SYSTEM C:\Users\Ozturk\Desktop\SYSTEM_copy
reg save hklm\SOFTWARE C:\Users\Ozturk\Desktop\SOFTWARE_copy
cmd
Bu işlemin ardından NTUSER.DAT dosyalarını kopyalamak için FTK Imager isimli yazılımı çalıştırıyoruz.
NTUSER.DAT dosyalarının bulunduğu konum;
C:\users\kullaniciadi\NTUSER.DAT
Dosyaları bulup “Export Files” diyoruz
FTK Export
Şimdi çıkarttığımız dosyaları RegistryExplorer yazılımını kullanarak açacağız. Yazılımı çalıştırdığımızda karşımıza aşağıdaki gibi bir ekran gelecek
Registry Explorer
Burada File > Load Hive yolundan ilerleyerek dosya seçim ekranına geliyoruz. Burada az önce dışarı çıkarttığımız dosyaları seçip ilerliyoruz
Load Hive
İlk olarak SAM dosyasını “Available bookmarks” sayfasından incelediğimizde kullanıcılar ile ilgili verilere erişebiliyoruz. Burada son giriş tarihi, parola değişim tarihi, kullanıcı grubu, parola ipucu gibi veriler görünüyor
SAM
System dizinin altında ise cihaz bilgisi, Timezone bilgisi, Devices kısmında bluetooth bağlantısı yapılmış cihazların bilgisini görüntüleyebiliyoruz
cihaz bilgisi
Timezone
Aynı şekilde USB bağlantısı ile bağlanmış cihazları USB kısmından görüntüleyebiliyoruz.
USB Bağlantısı
Interfaces kısmında yapılan ağ bağlantıları ile ilgili detayları görebiliyoruz.
Windows kısmında shutdown, directory gibi bilgiler yer almakta.
Windows
MountedDevices kısmında ise bilgisayara takılmış depolama aygıtları bulunmakta.
MountedDevices
Burada sisteme yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
LogonUI kısmında en son giriş yapan kullanıcı ile ilgili veriler bulunmakta
LogonUI
NetworkList kısmında bağlanılan kablosuz ağlar bulunmakta
NetworkList
Run kısmında başlangıç programlarını görebiliyoruz
Run
CurrentVersion kısmında işletim sistemi ile ilgili bilgiler bulunmakta.
CurrentVersion
Aynı dizinin Uninstall kısmında cihazdan kaldırılmış yazılımlara ait bilgi bulunmakta
Uninstall
Burada USB kayıtları, çalıştırılan programlar, Word Whell Query gibi veriler bulunmaktadır.
CD Burning kısmında yazdırma işlemlerine ait kayıtlar bulunmaktadır.
CD Burning
RecentDocs kısmında ise kısayol dosyalarına ait detaylar bulunmakta
RecentDocs
UserAssist klasörünün bir kısmında GUI özelliği olan uygulamalar yer almaktadır. Uygulamanın çalıştırma süreleri gibi bilgiler burada bulunabilir.
UserAssist 1
Aynı klasör içerisinde uygulamalara ait lnk dosyaları da bulunmakta
UserAssist 2
World Whell Query kısmında arama bilgileri bulunmakta
World Wheel Query
PrinterPorts kısmında dosya yazdırma ile ilgili veriler bulunmaktadır
PrinterPorts
Bu şekilde bazı verilere ulaşmış olduk. Tabii ki ben fazla uzatmamak maksadıyla analizimi burada sonlandırıyorum. Yöntemi öğrendiğinize göre siz dilerseniz analizi daha fazla detaylandırabilirsiniz.
Yazıma burada nokta koyuyorum. Bir sonraki yazımızda görüşmek dileğiyle…
[TR] Windows Registry Analizi | Windows Forensics
Merhaba Değerli Okurlar, bu konumuzda Windows Registry Üzerinde Adli inceleme işlemlerini gerçekleştireceğiz. Registry Yapısını anlatarak yazımıza başlayalım.
REGISTRY (KAYIT DEFTERİ) YAPISI
Registry, Türkçesiyle Kayıt Defteri, anahtar ve değerlerden oluşan bir yapıya sahiptir. Burada anahtarlar dizinleri, değerler ise dosyaları temsil eder. Buradaki her değer “Name“, “Type“, “Data” olmak üzere 3 girdiden oluşur. Kayıt defterini görüntülemek için çalıştır komutu olarak regedit yazabilirsiniz.
Registry
Windows Kayıt defteri 5 adet kök anahtara sahiptir. Bu anahtarların her biri sistem ve kullanıcı hakkında farklı bilgiler depolamaktadır.
Kök Anahtarlar
HKEY_CLASSES_ROOT
Yukarıda bahsettiğimiz kök anahtarların ilki olan HKEY_CLASSES_ROOT ile tanışarak konumuza devam edelim. HKEY_CLASSES_ROOT, kısaca belirli bir uzantıdaki dosyanın varsayılan olarak nasıl açılacağının bilgisini tutan ve varsayılan programı tanımlayan anahtardır. Bu anahtar, içerisinde ProgID (Programatik Tanımlayıcı), IID (Arabirim Kimliği) ve CLSID (Sınıf Kimliği) verilerini bulundurur.
Örneğin sistemde .pdf uzantılı dosyanın varsayılan olarak hangi yazılımla çalıştırıldığı bilgisine ulaşmak için .pdf alt anahtarı bulunup değerlerine bakılabilir. Aşağıdaki resimde .pdf uzantılı dosyaların varsayılan olarak Adobe Acrobat ile açıldığının bilgisine ulaştık.
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
Bu anahtar, içerisinde sistem başlatma ile ilgili yapılandırma ve ayarları barındırır. İçerisinde System, Software, SAM, Security, Hardware olmak üzere 5 adet alt anahtar bulunmaktadır.
SYSTEM : System subkeyi içerisinde, sistem yapılandırma verileri bulunmaktadır.
SOFTWARE : Bu subkey içerisinde yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
HARDWARE : Bilgisayara bağlı donanım aygıtları hakkında verilerin tutulduğu subkeydir.
SECURITY : Sistemdeki güvenlik politikalarının tutulduğu subkeydir.
SAM (Security Account Manager) : SAM subkeyi, içerisinde kullanıcı grubu ve kullanıcıyı güvenlik bilgileriyle (Kullanıcı ve grubu hakları, Giriş/Hatalı Giriş verileri, zaman damgaları) birlikte tutar.
HKEY_LOCAL_MACHINE
HKEY_USERS
İçerisinde kullanıcılar ile ilgili alt anahtarları (Sistem profilleri, LocalService bilgileri, NetworkService bilgileri, ) barındıran kök anahtardır. Burada sistemdeki tüm kullanıcılar değil yalnızca oturum açmış kullanıcılar bulunmaktadır.
Sistem Profilleri Konumu : %systemroot%\system32\config\systemprofile
LocalService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\LocalService
NetworkService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\NetworkService
Sistemde yeni bir kullanıcı oluşturulduğunda varsayılan profil ayarları %SystemDrive%\Users\Default konumundan alınarak yeni kullanıcıya atanır.
HKEY_CURRENT_USER
HKEY_USERS Anahtarı altındaki kullanıcılara işaretçi olarak kullanılan anahtardır. HKEY_USERS ile aynı yapılandırmaya sahiptir.
HKEY_CURRENT_USER
DOSYALARIN ELDE EDİLMESİ VE ANALİZ İŞLEMLERİ
Registry dosyaları direkt olarak sistemden çekilebilecek türden dosyalar değildir. Bu sebeple çeşitli yazılım ve komutlar ile bu dosyalar alınarak analiz edilir. Bu başlığa kadar Kayıt Defteri yapısından, neyin ne olduğundan bahsettik. Buradan itibaren analiz işlemlerine tam anlamıyla giriş yapmış olacağız.
Analiz edeceğimiz Registry dosyalarının bulunduğu konum;
C:\Windows\System32\config
Öncelikle cmd ekranında aşağıdaki komutları girerek “SAM“, “SOFTWARE“, “SYSTEM” dosyalarını kopyalayacağız.
reg save hklm\SAM C:\Users\Ozturk\Desktop\SAM_copy
reg save hklm\SYSTEM C:\Users\Ozturk\Desktop\SYSTEM_copy
reg save hklm\SOFTWARE C:\Users\Ozturk\Desktop\SOFTWARE_copy
cmd
Bu işlemin ardından NTUSER.DAT dosyalarını kopyalamak için FTK Imager isimli yazılımı çalıştırıyoruz.
NTUSER.DAT dosyalarının bulunduğu konum;
C:\users\kullaniciadi\NTUSER.DAT
Dosyaları bulup “Export Files” diyoruz
FTK Export
Şimdi çıkarttığımız dosyaları RegistryExplorer yazılımını kullanarak açacağız. Yazılımı çalıştırdığımızda karşımıza aşağıdaki gibi bir ekran gelecek
Registry Explorer
Burada File > Load Hive yolundan ilerleyerek dosya seçim ekranına geliyoruz. Burada az önce dışarı çıkarttığımız dosyaları seçip ilerliyoruz
Load Hive
SAM
İlk olarak SAM dosyasını “Available bookmarks” sayfasından incelediğimizde kullanıcılar ile ilgili verilere erişebiliyoruz. Burada son giriş tarihi, parola değişim tarihi, kullanıcı grubu, parola ipucu gibi veriler görünüyor
SAM
SYSTEM
System dizinin altında ise cihaz bilgisi, Timezone bilgisi, Devices kısmında bluetooth bağlantısı yapılmış cihazların bilgisini görüntüleyebiliyoruz
cihaz bilgisi
Timezone
Aynı şekilde USB bağlantısı ile bağlanmış cihazları USB kısmından görüntüleyebiliyoruz.
USB Bağlantısı
Interfaces kısmında yapılan ağ bağlantıları ile ilgili detayları görebiliyoruz.
Windows kısmında shutdown, directory gibi bilgiler yer almakta.
Windows
MountedDevices kısmında ise bilgisayara takılmış depolama aygıtları bulunmakta.
MountedDevices
SOFTWARE
Burada sisteme yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
LogonUI kısmında en son giriş yapan kullanıcı ile ilgili veriler bulunmakta
LogonUI
NetworkList kısmında bağlanılan kablosuz ağlar bulunmakta
NetworkList
Run kısmında başlangıç programlarını görebiliyoruz
Run
CurrentVersion kısmında işletim sistemi ile ilgili bilgiler bulunmakta.
CurrentVersion
Aynı dizinin Uninstall kısmında cihazdan kaldırılmış yazılımlara ait bilgi bulunmakta
Uninstall
NTUSER.DAT
Burada USB kayıtları, çalıştırılan programlar, Word Whell Query gibi veriler bulunmaktadır.
CD Burning kısmında yazdırma işlemlerine ait kayıtlar bulunmaktadır.
CD Burning
RecentDocs kısmında ise kısayol dosyalarına ait detaylar bulunmakta
RecentDocs
UserAssist klasörünün bir kısmında GUI özelliği olan uygulamalar yer almaktadır. Uygulamanın çalıştırma süreleri gibi bilgiler burada bulunabilir.
UserAssist 1
Aynı klasör içerisinde uygulamalara ait lnk dosyaları da bulunmakta
UserAssist 2
World Whell Query kısmında arama bilgileri bulunmakta
World Wheel Query
PrinterPorts kısmında dosya yazdırma ile ilgili veriler bulunmaktadır
PrinterPorts
Bu şekilde bazı verilere ulaşmış olduk. Tabii ki ben fazla uzatmamak maksadıyla analizimi burada sonlandırıyorum. Yöntemi öğrendiğinize göre siz dilerseniz analizi daha fazla detaylandırabilirsiniz.
Yazıma burada nokta koyuyorum. Bir sonraki yazımızda görüşmek dileğiyle…
Moderatör tarafında düzenlendi: