17 Ağu, 2021

[:tr]Adli Bilişim Açısından En Önemli Windows Kayıt Dosyaları[:en]The Most Important Windows Registry Files From a Digital Forensics Perspective[:]

[:tr]Windows kayıt (Registry) dosyaları, Windows’un ve birçok programın yapılandırma ayarlarını depoladığı bir veri tabanıdır.

Sistemin tüm yazılımı ve donanımı hakkında bilgi içerir, Microsoft Windows işletim sistemlerinin tüm sürümlerinde yüklü programlar ve donanımlar için bilgiler, ayarlar, seçenekler ve diğer değerleri içerir.

Bir program yüklendiğinde, kayıt defterinde yeni bir alt anahtar oluşturulur. Bu alt anahtar bir programın konumu, sürümü ve birincil yürütülebilir dosyası gibi ayarları içerir.

Windows kayıt defteri, Windows\System32\Config\ altında bulunmaktadır, her Windows kullanıcı hesabının kendi NTUSER.dat dosyası vardır. C:\Windows\Users\Name dizininde kullanıcıya özel anahtarlarını içeren dat dosyasıdır.

Kayıt Defteri Kovanı (Regitry Hives)

Kovanlar, işletim sistemi başlatıldığında veya bir kullanıcı oturum açtığında belleğe yüklenen bir dizi destekleyici dosyaya sahip kayıt defterindeki mantıksal bir anahtar, alt anahtar ve değer grubudur. Kullanıcı profili için ayrı bir dosya ile bu kullanıcı için yeni bir kovan oluşturulur.

En önemli Windows kayıt kovanları

  • SYSTEM (Sistem)
  • SOFTWARE (Yazılım)
  • SECURITY (Güvenlik)
  • SAM
  • DEFAULT (Varsayılan)
  • Her kullanıcı profili, Ntuser.dat dosyasına sahiptir.

Windows Kayıt Defterini Analiz Etme

Öncelikli olarak kayıt defteri kovanlarının bir kopyasını almalıyız. Daha sonra ise Registry Explorer veya O&O RegEditor gibi kovanları Offline analiz etmek için bir yazılım kullanmamız gerekmektedir.

 

  1. HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation sistemin adli bir analizini yapmak için zaman dilimi bilgisi çok önemlidir. Bu nedenle, yaptığınız herhangi bir zaman dilimi dönüştürmesi veya gerçekleştirdiğiniz olay korelasyonunu analizimize başlamadan önce kaydetmemiz gerekir.
  2. HKLM\SYSTEM\CurrentControlSet\Control\ComputerName Bilgisayar adını içerir.
  3. HKCU\ SOFTWARE \Microsoft\Windows\Shell
  • \BagMRU
  • \Bags

Shellbags çok önemli dosyalardır, bir kullanıcı işletim sistemindeki bir klasörü en az bir kez ziyaret ettiğinde oluşturulur. Shellbags bize bir sistemde silinmiş bir dosyanın yolunu gösterebilir, böylece o yolun sistemde var olduğunu gösteren ağaç yapısını görebiliriz. Shellbag Explorer, Shellbags dosyalarını analiz etmeye yarayan bir araçtır.

  1. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  • \ComDlg32
  • \LastVistedPidlMRU
  • \OpenSavePidlMRU

MRU, en son kullanılan anlamına gelir. Bu anahtar, Windows Gezgini aracılığıyla en son açılan veya kaydedilen dosyaların bilgilerini listeler.

  • \RecentDocs – Sistemde etkileşimde bulunulan son dosyaları, en son açılan veya kaydedilen dosyaları göster.
  • \RunMRUCMD komut satrı geçmişini, CMD’ye yazılan tüm komutları içerir.
  • \TypedPathsWindows gezgininde yazılmış dosya yollarını içerir.
  • \UserAssist – bir uygulamanın adı ve kaç kez çalıştırıldığı gibi uygulama kullanım geçmişini içerir. Rot13 decoder kullanarak, burada Rot 13 ile şifrelenmiş değerleri çözümleyebiliriz.
  1. HKCU\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

– Windows ile otomatik olarak başlayan programların konumlarını içerir.

  1. HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR – Tüm USB aygıtlarının seri numarasını ve son yazma saatini saklar.
  2. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices – USB cihazının birim adını (Volume Name) saklar.
  3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt –EMDMgmt, harici aygıtın bellek yönetimi anlamına gelir. Aygıtın sistemi SSD değilse bu anahtarı bulabiliriz. Aygıtın biçimlendirilmiş olsa bile birim Seri Numaralarının tam geçmişini bulabiliriz.
  4. NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountpointVolume GUID kullanarak bu aygıtın kimin tarafından kullanıldığını tespit edebiliriz. Ayrıca kaldırma zamanı, cihazın ilk kez veya son kez bağlandığı zamanlar gibi bilgileri elde edebiliriz.
  5. 10. HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\SharesLanmnServer, sistemde yapılandırılan paylaşımlarla ilgili bazı bilgiler içerir.
  6. 11. HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces – Ağın arabirimleri ve bunlarla ilişkili IP adresi yapılandırmasını içerir.
  7. HKLM\SYSTEM\CurrentControlSet\Control\FileSystemNtfsDisableLastAccessUpdate değeri 0x1 olarak ayarlanmışsa, bu durum erişim zaman damgalarının varsayılan olarak KAPALI olduğu anlamına gelir.

 

Sonuç

Kayıt dosyaları adli bilişimciler için bir altın madeni gibidir. Vaka ile ilgili çok faydalı kanıtlar içerir. Yukarıda adı geçen kayıt dosyaları adli analizde en çok kullanılan dosyalardır. Fakat bunlarla sınırlı değildir. Windows Registry dosyaları düzgün bir şekilde analiz yapılır ise, vaka ile ilgili bize genel bir bakış sağlayacak ve bize çok önemli bulgular sunacaktır.

 

Kaynakça

https://www.howtogeek.com/370022/windows-registry-demystified-what-you-can-do-with-it/#:~:text=On%20Windows%2010%20and%20Windows,t%20edit%20these%20files%20directly.

https://en.wikipedia.org/wiki/Windows_Registry

https://docs.microsoft.com/en-us/troubleshoot/windows-server/performance/windows-registry-advanced-users

https://www.13cubed.com/downloads/dfir_cheat_sheet.pdf

 

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]The  Windows registry is a database where Windows and many programs store their configuration settings.

It contains information about all the software and hardware’s settings, options, and other values. When a program is installed, a new subkey is created in the registry. This subkey contains settings specific to that program, such as its location, version, and primary executable.

The  Windows registry are located under Windows\System32\Config\ while each Windows user account has its own NTUSER. dat file containing its user-specific keys in its C:\Windows\Users\Name directory.

Registry Hive

A hive is a logical group of keys, subkeys, and values in the registry that has a set of supporting files loaded into memory when the operating system is started or a user logs in. Each time a new user logs on to a computer, a new hive is created for that user with a separate file for the user profile.

The most important registry Hives

  • System
  • Software
  • Security
  • SAM
  • Default
  • Every user profile has Ntuser.dat file which plugs in into the Registry as HKCU (HKEY current user)

Analyzing Windows Registry

First of all, we need to grab a copy of the registry hives that we need to analyzes and use any software to analyze offline hives like Registry Explorer or O&O RegEditor.

 

  1. HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation – conducting a forensic analysis of the system the time zone information is very critical so we need to record that before begin our analysis that way any time zone conversion that you make or event correlation you perform is accurate.
  2. HKLM\SYSTEM\CurrentControlSet\Control\ComputerName Contains the computer name.
  3. HKCU\SOFTWARE\Microsoft\Windows\Shell
  • \BagMRU
  • \Bags
  • Shellbags is very important files, the window position, the size, the icons, the sorting methods all those things stored in the shellbags. shellbags can show us path of a file that have been deleted on a system so we might be able to find entire trees showing that path did exist on the system. There is many tools to analyze shellbag files like Shellbag Explorer.
  1. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  • \ComDlg32
  • \LastVistedPidlMRU
  • \OpenSavePidlMRU
  • MRU stands for most-recently-used. This key can provide information list of recently opened or saved files via Windows Explorer.
  • \RecentDocs – Show recent files that have been interacted with in the system, recent files have been opened or saved.
  • \RunMRU – Contains run prompt history, all the commands which had been typed latterly on the CMD
  • \TypedPaths – Contains file paths that have been written in the windows explorer.
  • \UserAssist – Contains application execution history like the name of the application and how many times it was executed, it is rot13 encoded, we can use any rot 13 decoder.
  1. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Contains locations of programs that starting automatically with windows
  1. HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR store all USB devices, the serial number of this device and the last write time
  2. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Contains the Volume Name of the USB device.
  3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt – stands for external memory device management. We will find this if the system drive is not solid state drive (SSD). it contains complete history of Volume Serial Numbers, even if the device has been formatted multiple times.
  4. NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Mountpoint – we can find the user who used this particular device using the Volume GUID and we can obtain the first time, last time device is connected additional to removal time.
  5. HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Shares LanmnServer, contains some information with regards to any shares that configured on the system.
  6. HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces Contains interfaces and their associated IP address configuration
  7. HKLM\SYSTEM\CurrentControlSet\Control\FileSystem If NtfsDisableLastAccessUpdate value set to 0x1 which means that access time stamps are turned OFF by default.

Conclusion
Registry files is like a goldmine for digital forensics, it contains very useful evidence regarding the case, above-mentioned some of these files. After properly analyzing the Windows Registry files, it will give us a solid understanding about the case.

References
howtogeek.com

wikipedia.org

microsoft.com

13cubed.com[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram