Windows Registry Manuel Analiz Edilmesi (Registry Forensics Bölüm -2)
Manuel Registry Kayıtlarının İncelenmesi
Bilgisayarın İşletim Sistemi ve Versiyon Bilgisinin Öğrenilmesi;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrenVersion
Bilgisayarın Time Zone Bilgisinin Öğrenilmesi:
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Control\TimeZoneInformation
Bilgisayardan Silinmiş Yazılımların öğrenilmesi;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsft\Windows\CurrentVersion\Uninstall
Bilgisayara Takılan Yazıcıları Öğrenilmesi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsft\WindowsNT\CurrentVersion\Print\Printers
Bilgisayarda Bağlanmış Olduğu Kablosuz Ağların Öğrenilmesi
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Bilgisayara Bağlanmış USB lerin Öğrenilmesi;
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\
Bilgisayar Adının Öğrenilmesi
İncelediğimiz sistemlerde bilgisayar isimlerini öğrenmemiz log kayıtlarında ki isim karmaşasının olmasını engeller.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
MRU Listelerinin Öğrenilmesi
MRU, en son kullanılanların listesi, kullanıcı tarafından gerçekleştirilen belirli eylemler nedeniyle yapılan girişleri içerir. Regsitry, kullanıcının gelecekte dosyalara geri dönmesi durumunda bu öğe listesini tutar.
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU
RecentDocs Öğrenilmesi
Dosya uzantısına göre sistemde kullanılan veya açılan en son belgeleri gösterir.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs
Internet Explorer Ziyaret Edilen url Adreslerinin Öğrenilmesi
HKEY_CURRENT_USER \ Yazılım \ Microsoft \ Internet Explorer \ TypedURLs
Bilgisayara Takılan Cihazların Öğrenilmesi
Şüpheli olarak bir donanım bilgisayara takılmışsa(CD-ROM, DVD, sabit sürücü, flash bellek) kayıt defterine kayıt edilecektir.
HKEY_LOCAL_MACHINE\System\MountedDevices
Windows Registry
