Yazılarım

Windows Regedit İçeriğinin Gruplandırılması


Merhaba , Bu yazımızda windows registry içeriğinden bahsedeceğiz ve hangi grupta hangi verilerin olduğunu inceleyeceğiz.

Adli incelemer esnasında windows işletim sistemine sahip olan bir bilgisayarda registy kayıtlarının incelemesi çok önemlidir.
Bu kayıtlardan soruşturma kapsamında önemli deliller elde etmemize olanak sağlayacak olan birçok veriyi elde edebiliriz.
Bu verilerin elde edilmesi işlemini bizim yerimize yapan bir çok yazılım mevcuttur.

(Yazılımlar hakkında bilgi edinmek için Adli İncelemeler makalesini okuyabilirsiniz.)

Bahsi geçen yazılımlar regedit içerisinden belli başlı dizinleri ve dosyaları ziyaret ederek bu bilgileri otomatik olarak önümüze getirmektedir.
Şimdi önümüze hazır olarak getirilen bu verilerin nerelerden getirildiğine bakalım.Ne de olsa bazen manuel olarak bu verilere ulaşmamız gerekebilir.

 

Yukarıdaki görselde olduğu gibi registry içerisinde 5 üst başlık mevcuttur.Bu başlıklar kendi içerisinde birçok alt başlığa ve bölüme ayrılırlar.Şimdi ise HKEY_LOCAL_MACHINE altındaki dizinlerden ve bu dizinlerde bulunabilecek verilere bakalım.

NT USER DOSYASI
  • Explorerda en son açılan DOC dosyaları
  • Explorer’da yazılmış adreslerin yeri
  • IE’da yazılmış olan adresler
  • Son ziyaretler
  • Aç/kaydet
  • Varsayılan Yazıcı
  • MS Office XXXX ile en son açılanlar
  • Windows otomatik çalıştırılanlar
  • En son açılan dosyalar
  • WinZip ile açılanlar
  • Word Whell (windows 7)
SİSTEM DOSYASI
  • Bilgisayar adı
  • mevcut kontrol Seti
  • Ağ bilgileri
  • NTFS son erişim güncellemeri
  • Kapatılma tarihi
  • Zaman dilimi
  • USB veri depolama aygıtları (isim listesi)
  • USB veri depolama aygıtları (Analiz Raporu)
SOFTWARE DOSYASI
  • Bilgisayar tanımlamaları
  • Mevcut kullanıcı adı
  • E-Posta kullanıcıları
  • Mevcut E-posta
  • IE mevcut indirilenler klasörü
  • Ağ kartları
  • Kablosuz Ağlar
  • Kablolu Ağlar
  • İşletim sisteminin kurulum tarihi
  • Yazıcılar
  • Ürün adı ve kimlik numarası
  • Kayıtlı kullanıcı  ve organizasyonlar
  • SystemRoot
  • Kaldırılan programlar ( Üset veri / Metadata)
  • Kaldırılan Programlar (Liste Halinde)
SAM DOSYASI
  • Yerel kullanıcı bilgileri

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir