Registry Dosyaların Çıkartılması:
Adli Bilişim alanın inceleme yapacak uzman için önemli olan dosyalar; SAM, SOFTWARE, SECURİTY, SYSTEM dosyalarıdır. Bunların önemli olmasının nedeni muhtemel delil kalıntılarını barındırıyor olmasıdır. Registry de bulunan bu dosyaları dump ederken 3.parti bir yazılım kullanmadan cmd yi yönetici olarak çalıştırdıktan sonra ilgili komutları yazmamız yeterlidir.
SAM Key çıkarmak için;
1- CMD yönetici olarak çalıştırılır.
2- “ reg save hklmsam c:sam “ komutu yazılarak HKEY_LOCAL_MACHINE altındaki SAM keyi c: kayıt edilir.
.
System Key Çıkarılması
1- cmd yönetici olarak çalıştırılır.
2- “reg save hklmsystem c:system” komutu yazılarak HKEY_LOCAL_MACHINE altındaki system keyi c: kayıt edilir.
Software Key çıkarılması
1- cmd yönetici olarak çalıştırılır.
2- “reg save hklmsoftware c:software” komutu yazılır HKEY_LOCAL_MACHINE altındaki software keyini c: çıkartır.
Security Key çıkarılması:
1- cmd yönetici olarak çalıştırılır.
2- “reg save hklmsecurity c:security” komutu yazılır HKEY_LOCAL_MACHINE altındaki security keyini c: çıkartır.
Registry kayıtlarını Analiz edebilmek için Kullanılabilecek Araçlar;
· Registry Viewer
· RegScanner
· RegRipper
· Registry Changes Views
· RegFromAppp
· RegDllView
· ActiveXHelper
Registry Analiz Edilmesi
Registry analiz edebilmesi için araçlara ihtiyacımız vardır çünkü normal kullanılan editörler ile içerisine baktığımız zaman içerisinde anlamsız string değerleri ile karşılaşırız. Bu yazımda RegRipper aracı ile Registry analiz edeceğim.
RegRipper, Perl ile yazılmış açık kaynaklı bir araç bir araçtır. Kayıt defterindeki bilgileri ayıklamak, ayrıştırmak, analiz etmek için kolay ve kullanışlı bir araçtır.
GUI sürümünde, analizi yapılacak keyi have file kısmına, sonuçların rapor çıktısının nereye çıkarılması için report file kısmına seçim yapması gerekir.
SAM Key incelenmesi:
SAM Keyi kullanıcı parolalarını LM veya NTLM hash oalrak karma biçimde saklanır. Analiz açısından önemlidir.
Have file ve report file kısmına gerekli yollar seçilir ve rip butonuna basarak analiz işlemini gerçekleştiririz.
işlem bittikten sonra rapor yerini seçtiğimiz yolda bize .log uzantılı bir log dosyası da beraberinde sunmaktadır.
Sırasıyla bize sunmuş olduğu dosyaları inceleyelim. İlk olarak bize sunmuş olduğu log dosyasını txt editörü ile açtım.
temel log dosyasının tutmuş olduğu bilgileri karşımıza sunmaktadır. log dosyasının açıldığı, key nereden alındığı ne zaman başlayıp ve ne zaman bittiği gibi temel bilgileri karşımıza sunar.
Analiz raporuna bakacak olursak
Kullanıcılar hakkında bilgi verir.
görüldüğü gibi ana kullanıcının hesap detaylarını elde etmiş olduk.
ardından Grup Üyelik Bilgilerini (Group Membership Information) bulduk.
Grup üyelerinin bilgisi, grubun adı, sistem tarafından yönetilen hesaplar ve yöneti
ci ayrıntılarını bu kısımda görebilmekteyiz.
ardından Grup Üyelik Bilgilerini (Group Membership Information) bulduk.
Grup üyelerinin bilgisi, grubun adı, sistem tarafından yönetilen hesaplar ve yönetici ayrıntılarını bu kısımda görebilmekteyiz.
En son kısımda analiz aşamasında bize kullanışlı olabilecek analiz ipuçları vermektedir.
System Key İncelenmesi
En başta yaptığımız gibi key konumunu ve rapor konumunu seçip aracımızda ripe butonuna basıyoruz.
Oluşturulan raporu açıp incelemeye başlıyoruz.
Yüklenen tüm yazılımları görebilmekteyiz.
burada bize backupları, yedekleme detaylarını göstermektedir.
Sisteme bağlı ağ cihazları burada donanıma bağlı olarak işimize yarayabilecek bilgilere ulaşabiliriz. USB bağlanmış cihazların ıd adresleri, bilgisayara bağlanmış donanım ayrıntılarına, bilgisayarın daha önceden almış olduğu IP adresi ve alan adlarına ulaşılabilmektedir.
Software Key İncelenmesi
Başlangıçta anlatıldığı gibi RegRipper aracını çalışmasını sağlıyoruz.
Raporu incelemeye başlıyoruz.
Bu raporda ilk olarak Applnint DLL değerleriyle ilgili ayrıntıları gösterir. Ağğlnit DLL, sistemdeki her kullanıcı modu işlemine rastgele bir DLL listesinin yüklenmesine izin veren bir mekanizmadır.
Burada ise bize uygulama ayrıntıları ve uygulamaya ait yolları ve ayrıntıları göstermektedir.
Burada sisteme giriş ve çıkış yapmış aygıtlar ile ilgili sürücüleri göstermektedir.
Raporun son anahtarı CLSID anahtarı ile ilgili bilgiler içermektedir. CLSID, bir COM sınıfı nesnesini tanımlayan küresel olarak benzersiz bir tanımlayıcıdır. CLSID anahtarı, varsayılan COM işleyicisi tarafından, çalışırken bir sınıf hakkında bilgi döndürmek için kullanılan bilgileri içerir.
Security Key İncelenmesi
RegRipper ile dosya yollarımızı beliriyoruz. Güvenlik Key Adli bilişim sürecinde analiz edilen sistemin güvenlik önlemlerini almamıza yardımcı olur.
Raporu inceleme aşamasına geçiyoruz.
Bu rapor sayfası tamamen güvenlik Key denetim politikaları hakkında bilgi verir. Bir denetim politikasında olarak bir kullanıcı grubu için bir veya daha fazla kaynağın hesap sınırlarını belirleyebilir.
Bu rapor incelendikten sonra iş akışı belirlenmelidir.
N -> hiçbir denetim yok
S -> Başarılı
F -> Başarısız
anlamına gelmektedir.
Windows Registry
Manuel Analiz Edilmesi
Registry Forensics
Kayıt defteri Analiz Edilmesi
Windows Registry Forensics
Registry Nedir
Registry Kayıtları
Windows Kayıt defteri
Registry Analizi Registry nasıl İncelenir