Forensic

[TR] Windows Registry Analizi | Windows Forensics

[TR] Windows Registry Analizi | Windows Forensics

Merhaba Değerli Okurlar, bu konumuzda Windows Registry Üzerinde Adli inceleme işlemlerini gerçekleştireceğiz. Registry Yapısını anlatarak yazımıza başlayalım.

REGISTRY (KAYIT DEFTERİ) YAPISI

Registry, Türkçesiyle Kayıt Defteri, anahtar ve değerlerden oluşan bir yapıya sahiptir. Burada anahtarlar dizinleri, değerler ise dosyaları temsil eder. Buradaki her değer “Name“, “Type“, “Data” olmak üzere 3 girdiden oluşur. Kayıt defterini görüntülemek için çalıştır komutu olarak regedit yazabilirsiniz.

Registry
Registry

Windows Kayıt defteri 5 adet kök anahtara sahiptir. Bu anahtarların her biri sistem ve kullanıcı hakkında farklı bilgiler depolamaktadır.

Kök Anahtarlar
Kök Anahtarlar

HKEY_CLASSES_ROOT

Yukarıda bahsettiğimiz kök anahtarların ilki olan HKEY_CLASSES_ROOT ile tanışarak konumuza devam edelim. HKEY_CLASSES_ROOT, kısaca belirli bir uzantıdaki dosyanın varsayılan olarak nasıl açılacağının bilgisini tutan ve varsayılan programı tanımlayan anahtardır. Bu anahtar, içerisinde ProgID (Programatik Tanımlayıcı), IID (Arabirim Kimliği) ve CLSID (Sınıf Kimliği) verilerini bulundurur.
Örneğin sistemde .pdf uzantılı dosyanın varsayılan olarak hangi yazılımla çalıştırıldığı bilgisine ulaşmak için .pdf alt anahtarı bulunup değerlerine bakılabilir. Aşağıdaki resimde .pdf uzantılı dosyaların varsayılan olarak Adobe Acrobat ile açıldığının bilgisine ulaştık.

HKEY_CLASSES_ROOT

HKEY_LOCAL_MACHINE

Bu anahtari, içerisinde sistem başlatma esnasında ilgili yapılandırma ve ayarları barındırır. İçerisinde System, Software, SAM, Security, Hardware olmak üzere 5 adet alt anahtar bulunmaktadır.
SYSTEM : System subkeyi içerisinde, sistem yapılandırma verileri bulunmaktadır.
SOFTWARE : Bu subkey içerisinde yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.
HARDWARE : Bilgisayara bağlı donanım aygıtları hakkında verilerin tutulduğu subkeydir.
SECURITY : Sistemdeki güvenlik politikalarının tutulduğu subkeydir.
SAM (Security Account Manager) : SAM subkeyi, içerisinde kullanıcı grubu ve kullanıcıyı güvenlik bilgileriyle (Kullanıcı ve grubu hakları, Giriş/Hatalı Giriş verileri, zaman damgaları) birlikte tutar.

HKEY_LOCAL_MACHINE

HKEY_USERS

İçerisinde kullanıcılar ile ilgili alt anahtarları (Sistem profilleri, LocalService bilgileri, NetworkService bilgileri, ) barındıran kök anahtardır. Burada sistemdeki tüm kullanıcılar değil yalnızca oturum açmış kullanıcılar bulunmaktadır.
Sistem Profilleri Konumu : %systemroot%\system32\config\systemprofile
LocalService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\LocalService
NetworkService Bilgileri : %systemroot%\C:\Windows\ServiceProfiles\NetworkService

Sistemde yeni bir kullanıcı oluşturulduğunda varsayılan profil ayarları %SystemDrive%\Users\Default konumundan alınarak yeni kullanıcıya atanır.

HKEY_CURRENT_USER

HKEY_USERS Anahtarı altındaki kullanıcılara işaretçi olarak kullanılan anahtardır. HKEY_USERS ile aynı yapılandırmaya sahiptir.

HKEY_CURRENT_USER

DOSYALARIN ELDE EDİLMESİ VE ANALİZ İŞLEMLERİ

Registry dosyaları direkt olarak sistemden çekilebilecek türden dosyalar değildir. Bu sebeple çeşitli yazılım ve komutlar ile bu dosyalar alınarak analiz edilir. Bu başlığa kadar Kayıt Defteri yapısından, neyin ne olduğundan bahsettik. Buradan itibaren analiz işlemlerine tam anlamıyla giriş yapmış olacağız.

Analiz edeceğimiz Registry dosyalarının bulunduğu konum;

C:\Windows\System32\config

Öncelikle cmd ekranında aşağıdaki komutları girerek “SAM“, “SOFTWARE“, “SYSTEM” dosyalarını kopyalayacağız.

reg save hklm\SAM C:\Users\Ozturk\Desktop\SAM_copy
reg save hklm\SYSTEM C:\Users\Ozturk\Desktop\SYSTEM_copy
reg save hklm\SOFTWARE C:\Users\Ozturk\Desktop\SOFTWARE_copy
cmd

Bu işlemin ardından NTUSER.DAT dosyalarını kopyalamak için FTK Imager isimli yazılımı çalıştırıyoruz.

NTUSER.DAT dosyalarının bulunduğu konum;

C:\users\kullaniciadi\NTUSER.DAT

Dosyaları bulup “Export Files” diyoruz

FTK Export

Şimdi çıkarttığımız dosyaları RegistryExplorer yazılımını kullanarak açacağız. Yazılımı çalıştırdığımızda karşımıza aşağıdaki gibi bir ekran gelecek

Registry Explorer

Burada File > Load Hive yolundan ilerleyerek dosya seçim ekranına geliyoruz. Burada az önce dışarı çıkarttığımız dosyaları seçip ilerliyoruz

Load Hive

SAM

İlk olarak SAM dosyasını “Available bookmarks” sayfasından incelediğimizde kullanıcılar ile ilgili verilere erişebiliyoruz. Burada son giriş tarihi, parola değişim tarihi, kullanıcı grubu, parola ipucu gibi veriler görünüyor

SAM

SYSTEM

System dizinin altında ise cihaz bilgisi, Timezone bilgisi, Devices kısmında bluetooth bağlantısı yapılmış cihazların bilgisini görüntüleyebiliyoruz

cihaz bilgisi
Timezone

Aynı şekilde USB bağlantısı ile bağlanmış cihazları USB kısmından görüntüleyebiliyoruz.

USB Bağlantısı

Interfaces kısmında yapılan ağ bağlantıları ile ilgili detayları görebiliyoruz.
Windows kısmında shutdown, directory gibi bilgiler yer almakta.

Windows

MountedDevices kısmında ise bilgisayara takılmış depolama aygıtları bulunmakta.

MountedDevices

SOFTWARE

Burada sisteme yüklü uygulamalar ve hizmetler hakkında ayar ve yapılandırmalar bulunmaktadır.

LogonUI kısmında en son giriş yapan kullanıcı ile ilgili veriler bulunmakta

LogonUI

NetworkList kısmında bağlanılan kablosuz ağlar bulunmakta

NetworkList

Run kısmında başlangıç programlarını görebiliyoruz

Run

CurrentVersion kısmında işletim sistemi ile ilgili bilgiler bulunmakta.

CurrentVersion

Aynı dizinin Uninstall kısmında cihazdan kaldırılmış yazılımlara ait bilgi bulunmakta

Uninstall

NTUSER.DAT

Burada USB kayıtları, çalıştırılan programlar, Word Whell Query gibi veriler bulunmaktadır.

CD Burning kısmında yazdırma işlemlerine ait kayıtlar bulunmaktadır.

CD Burning

RecentDocs kısmında ise kısayol dosyalarına ait detaylar bulunmakta

RecentDocs

UserAssist klasörünün bir kısmında GUI özelliği olan uygulamalar yer almaktadır. Uygulamanın çalıştırma süreleri gibi bilgiler burada bulunabilir.

UserAssist 1

Aynı klasör içerisinde uygulamalara ait lnk dosyaları da bulunmakta

UserAssist 2

World Whell Query kısmında arama bilgileri bulunmakta

World Wheel Query

PrinterPorts kısmında dosya yazdırma ile ilgili veriler bulunmaktadır

PrinterPorts

Bu şekilde bazı verilere ulaşmış olduk. Tabii ki ben fazla uzatmamak maksadıyla analizimi burada sonlandırıyorum. Yöntemi öğrendiğinize göre siz dilerseniz analizi daha fazla detaylandırabilirsiniz.

Yazıma burada nokta koyuyorum. Bir sonraki yazımızda görüşmek dileğiyle…

Furkan Öztürk

Merhaba ben Furkan, Muğla Sıtkı Koçman Üniversitesi Bilişim Sistemleri Mühendisliği öğrencisiyim. Vakit buldukça Web Uygulama Güvenliği ve Adli Bilişim alanlarında kendimi geliştirmekte, bildiklerimi, öğrendiklerimi sizlere aktarmaktayım.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu