17 Ağu, 2021

Adli Bilişim Açısından En Önemli Windows Kayıt Dosyaları

Windows kayıt (Registry) dosyaları, Windows’un ve birçok programın yapılandırma ayarlarını depoladığı bir veri tabanıdır.

Sistemin tüm yazılımı ve donanımı hakkında bilgi içerir, Microsoft Windows işletim sistemlerinin tüm sürümlerinde yüklü programlar ve donanımlar için bilgiler, ayarlar, seçenekler ve diğer değerleri içerir.

Bir program yüklendiğinde, kayıt defterinde yeni bir alt anahtar oluşturulur. Bu alt anahtar bir programın konumu, sürümü ve birincil yürütülebilir dosyası gibi ayarları içerir.

Windows kayıt defteri, Windows\System32\Config\ altında bulunmaktadır, her Windows kullanıcı hesabının kendi NTUSER.dat dosyası vardır. C:\Windows\Users\Name dizininde kullanıcıya özel anahtarlarını içeren dat dosyasıdır.

Kayıt Defteri Kovanı (Regitry Hives)

Kovanlar, işletim sistemi başlatıldığında veya bir kullanıcı oturum açtığında belleğe yüklenen bir dizi destekleyici dosyaya sahip kayıt defterindeki mantıksal bir anahtar, alt anahtar ve değer grubudur. Kullanıcı profili için ayrı bir dosya ile bu kullanıcı için yeni bir kovan oluşturulur.

En önemli Windows kayıt kovanları

  • SYSTEM (Sistem)
  • SOFTWARE (Yazılım)
  • SECURITY (Güvenlik)
  • SAM
  • DEFAULT (Varsayılan)
  • Her kullanıcı profili, Ntuser.dat dosyasına sahiptir.

Windows Kayıt Defterini Analiz Etme

Öncelikli olarak kayıt defteri kovanlarının bir kopyasını almalıyız. Daha sonra ise Registry Explorer veya O&O RegEditor gibi kovanları Offline analiz etmek için bir yazılım kullanmamız gerekmektedir.

  1. HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation sistemin adli bir analizini yapmak için zaman dilimi bilgisi çok önemlidir. Bu nedenle, yaptığınız herhangi bir zaman dilimi dönüştürmesi veya gerçekleştirdiğiniz olay korelasyonunu analizimize başlamadan önce kaydetmemiz gerekir.
  2. HKLM\SYSTEM\CurrentControlSet\Control\ComputerName Bilgisayar adını içerir.
  3. HKCU\ SOFTWARE \Microsoft\Windows\Shell
  • \BagMRU
  • \Bags

– Shellbags çok önemli dosyalardır, bir kullanıcı işletim sistemindeki bir klasörü en az bir kez ziyaret ettiğinde oluşturulur. Shellbags bize bir sistemde silinmiş bir dosyanın yolunu gösterebilir, böylece o yolun sistemde var olduğunu gösteren ağaç yapısını görebiliriz. Shellbag Explorer, Shellbags dosyalarını analiz etmeye yarayan bir araçtır.

  1. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  • \ComDlg32
  • \LastVistedPidlMRU
  • \OpenSavePidlMRU

MRU, en son kullanılan anlamına gelir. Bu anahtar, Windows Gezgini aracılığıyla en son açılan veya kaydedilen dosyaların bilgilerini listeler.

  • \RecentDocs – Sistemde etkileşimde bulunulan son dosyaları, en son açılan veya kaydedilen dosyaları göster.
  • \RunMRUCMD komut satrı geçmişini, CMD’ye yazılan tüm komutları içerir.
  • \TypedPathsWindows gezgininde yazılmış dosya yollarını içerir.
  • \UserAssist – bir uygulamanın adı ve kaç kez çalıştırıldığı gibi uygulama kullanım geçmişini içerir. Rot13 decoder kullanarak, burada Rot 13 ile şifrelenmiş değerleri çözümleyebiliriz.
  1. HKCU\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

– Windows ile otomatik olarak başlayan programların konumlarını içerir.

  1. HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR – Tüm USB aygıtlarının seri numarasını ve son yazma saatini saklar.
  2. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices – USB cihazının birim adını (Volume Name) saklar.
  3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt –EMDMgmt, harici aygıtın bellek yönetimi anlamına gelir. Aygıtın sistemi SSD değilse bu anahtarı bulabiliriz. Aygıtın biçimlendirilmiş olsa bile birim Seri Numaralarının tam geçmişini bulabiliriz.
  4. NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountpointVolume GUID kullanarak bu aygıtın kimin tarafından kullanıldığını tespit edebiliriz. Ayrıca kaldırma zamanı, cihazın ilk kez veya son kez bağlandığı zamanlar gibi bilgileri elde edebiliriz.
  5. HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\SharesLanmnServer, sistemde yapılandırılan paylaşımlarla ilgili bazı bilgiler içerir.
  6. HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces – Ağın arabirimleri ve bunlarla ilişkili IP adresi yapılandırmasını içerir.
  7. HKLM\SYSTEM\CurrentControlSet\Control\FileSystemNtfsDisableLastAccessUpdate değeri 0x1 olarak ayarlanmışsa, bu durum erişim zaman damgalarının varsayılan olarak KAPALI olduğu anlamına gelir.

Sonuç:

Kayıt dosyaları adli bilişimciler için bir altın madeni gibidir. Vaka ile ilgili çok faydalı kanıtlar içerir. Yukarıda adı geçen kayıt dosyaları adli analizde en çok kullanılan dosyalardır. Fakat bunlarla sınırlı değildir. Windows Registry dosyaları düzgün bir şekilde analiz yapılır ise, vaka ile ilgili bize genel bir bakış sağlayacak ve bize çok önemli bulgular sunacaktır.

Kaynakça:

https://www.howtogeek.com/370022/windows-registry-demystified-what-you-can-do-with-it/#:~:text=On%20Windows%2010%20and%20Windows,t%20edit%20these%20files%20directly.

https://en.wikipedia.org/wiki/Windows_Registry

https://docs.microsoft.com/en-us/troubleshoot/windows-server/performance/windows-registry-advanced-users

https://www.13cubed.com/downloads/dfir_cheat_sheet.pdf

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram