Registry Dosyaların Çıkartılması Ve Analiz Edilmesi (Registry Forensics Bölüm-3)
Registry Dosyaların Çıkartılması:
Adli Bilişim alanın inceleme yapacak uzman için önemli olan
dosyalar; SAM, SOFTWARE, SECURİTY, SYSTEM dosyalarıdır. Bunların önemli
olmasının nedeni muhtemel delil kalıntılarını barındırıyor olmasıdır. Registry
de bulunan bu dosyaları dump ederken 3.parti bir yazılım kullanmadan cmd yi
yönetici olarak çalıştırdıktan sonra ilgili komutları yazmamız yeterlidir.
SAM Key çıkarmak için;
1-
CMD yönetici olarak çalıştırılır.
2-
“ reg
save hklm\sam c:\sam “ komutu yazılarak HKEY_LOCAL_MACHINE altındaki SAM
keyi c:\ kayıt edilir.
.
System Key Çıkarılması
1-
cmd yönetici olarak çalıştırılır.
2-
“reg
save hklm\system c:\system” komutu yazılarak HKEY_LOCAL_MACHINE
altındaki system keyi c:\ kayıt edilir.
Software
Key çıkarılması
1-
cmd yönetici olarak çalıştırılır.
2-
“reg save hklm\software
c:\software” komutu yazılır HKEY_LOCAL_MACHINE altındaki software keyini
c:\ çıkartır.
Security
Key çıkarılması:
1-
cmd yönetici olarak çalıştırılır.
2-
“reg save hklm\security
c:\security” komutu yazılır HKEY_LOCAL_MACHINE altındaki security keyini
c:\ çıkartır.
Registry kayıtlarını Analiz edebilmek
için Kullanılabilecek Araçlar;
·
Registry Viewer
·
RegScanner
·
RegRipper
·
Registry Changes Views
·
RegFromAppp
·
RegDllView
·
ActiveXHelper
Registry Analiz Edilmesi
Registry analiz edebilmesi için araçlara ihtiyacımız vardır çünkü normal
kullanılan editörler ile içerisine baktığımız zaman içerisinde anlamsız string
değerleri ile karşılaşırız. Bu yazımda RegRipper aracı ile Registry analiz
edeceğim.
RegRipper, Perl ile
yazılmış açık kaynaklı bir araç bir araçtır. Kayıt defterindeki bilgileri
ayıklamak, ayrıştırmak, analiz etmek için kolay ve kullanışlı bir araçtır.
GUI sürümünde, analizi
yapılacak keyi have file kısmına, sonuçların rapor çıktısının nereye
çıkarılması için report file kısmına seçim yapması gerekir.
SAM Key
incelenmesi:
SAM Keyi kullanıcı
parolalarını LM veya NTLM hash oalrak karma biçimde saklanır. Analiz açısından
önemlidir.
Have file ve report file
kısmına gerekli yollar seçilir ve rip butonuna basarak analiz işlemini
gerçekleştiririz.
işlem bittikten sonra
rapor yerini seçtiğimiz yolda bize .log uzantılı bir log dosyası da beraberinde
sunmaktadır.
Sırasıyla bize sunmuş olduğu dosyaları
inceleyelim. İlk olarak bize sunmuş olduğu log dosyasını txt editörü ile açtım.
temel log dosyasının tutmuş
olduğu bilgileri karşımıza sunmaktadır. log dosyasının açıldığı, key nereden
alındığı ne zaman başlayıp ve ne zaman bittiği gibi temel bilgileri karşımıza
sunar.
Analiz raporuna bakacak
olursak
Kullanıcılar hakkında
bilgi verir.
görüldüğü gibi ana
kullanıcının hesap detaylarını elde etmiş olduk.
ardından Grup Üyelik
Bilgilerini (Group Membership Information) bulduk.
Grup üyelerinin bilgisi, grubun adı, sistem tarafından yönetilen hesaplar ve yöneti
ci ayrıntılarını bu
kısımda görebilmekteyiz.
ardından Grup Üyelik
Bilgilerini (Group Membership Information) bulduk.
Grup üyelerinin bilgisi,
grubun adı, sistem tarafından yönetilen hesaplar ve yönetici ayrıntılarını bu
kısımda görebilmekteyiz.
En son kısımda analiz aşamasında bize kullanışlı olabilecek analiz ipuçları vermektedir.
System
Key İncelenmesi
En başta yaptığımız gibi
key konumunu ve rapor konumunu seçip aracımızda ripe butonuna basıyoruz.
Oluşturulan raporu açıp
incelemeye başlıyoruz.
Yüklenen tüm yazılımları
görebilmekteyiz.
burada bize backupları,
yedekleme detaylarını göstermektedir.
Sisteme bağlı ağ
cihazları burada donanıma bağlı olarak işimize yarayabilecek bilgilere
ulaşabiliriz. USB bağlanmış cihazların ıd adresleri, bilgisayara bağlanmış
donanım ayrıntılarına, bilgisayarın daha önceden almış olduğu IP adresi ve alan
adlarına ulaşılabilmektedir.
Software
Key İncelenmesi
Başlangıçta anlatıldığı
gibi RegRipper aracını çalışmasını sağlıyoruz.
Raporu incelemeye başlıyoruz.
Bu raporda ilk olarak
Applnint DLL değerleriyle ilgili ayrıntıları gösterir. Ağğlnit DLL, sistemdeki
her kullanıcı modu işlemine rastgele bir DLL listesinin yüklenmesine izin veren
bir mekanizmadır.
Burada ise bize uygulama
ayrıntıları ve uygulamaya ait yolları ve ayrıntıları göstermektedir.
Burada sisteme giriş ve
çıkış yapmış aygıtlar ile ilgili sürücüleri göstermektedir.
Raporun son anahtarı CLSID
anahtarı ile ilgili bilgiler içermektedir. CLSID, bir COM sınıfı nesnesini
tanımlayan küresel olarak benzersiz bir tanımlayıcıdır. CLSID anahtarı,
varsayılan COM işleyicisi tarafından, çalışırken bir sınıf hakkında bilgi
döndürmek için kullanılan bilgileri içerir.
Security
Key İncelenmesi
RegRipper ile dosya
yollarımızı beliriyoruz. Güvenlik Key Adli bilişim sürecinde analiz edilen
sistemin güvenlik önlemlerini almamıza yardımcı olur.
Raporu inceleme aşamasına
geçiyoruz.
Bu rapor sayfası tamamen güvenlik Key denetim politikaları
hakkında bilgi verir. Bir denetim politikasında olarak bir kullanıcı grubu için
bir veya daha fazla kaynağın hesap sınırlarını belirleyebilir.
Bu rapor incelendikten sonra iş akışı belirlenmelidir.
N -> hiçbir denetim yok
S -> Başarılı
F -> Başarısız
anlamına gelmektedir.
Windows Registry
Manuel Analiz Edilmesi
Registry Forensics
Kayıt defteri Analiz Edilmesi
Windows Registry Forensics
Registry Nedir
Registry Kayıtları
Windows Kayıt defteri
Registry Analizi Registry nasıl İncelenir
