Windows Registry & Digital Forensic

Windows Registry & Digital Forensic

Modern bilgisayar sistemleri, suç soruşturmaları ve adli bilişim incelemeleri için vazgeçilmez bir kaynak olan Windows işletim sistemi ile birlikte gelen Windows Registry, sıklıkla göz ardı edilen ancak son derece değerli bir bilgi deposunu temsil eder.

Windows Kayıt Defteri, Windows işletim sistemlerinin vazgeçilmez bir bileşenidir ve sistem yapılandırmasıyla ilgili önemli verileri içerir. Ancak, Kayıt Defteri yalnızca bu bilgileri depolamaz; aynı zamanda kullanıcı etkinliğiyle ilgili tarih damgası taşıyan çeşitli verilere de ev sahipliği yapar.Kayıt Defteri, herhangi bir uygulamanın açılma zamanını, Kontrol Paneli'ne erişimi ve hatta pencere konumları ile boyutlarını kaydeder.

Özellikle bir adli analist için, bu verileri anlamak ve etkili bir şekilde kullanmak, olayların zaman çizelgesini oluşturmak veya olayları çözümlemek için hayati önem taşır.

İncelemeyi etkileyebilecek diğer birçok önemli Registry değeri vardır.

• Dosya Sistemi Tüneli: Bu, dosya sistemlerinin işleyişini değiştirmeye veya devre dışı bırakmaya yönelik bir Kayıt Defteri değeridir.  
• Sistem Kilitlenme Dökümü, Önceden Getirici ve Sistem Geri Yükleme Noktası Davranışı: Bu değerler, sistem kilitlenmeleri veya geri yükleme noktaları oluşturma işlevlerini etkiler. 
• Sayfayı Temizleme Sistemi: Bu, sistem kapatıldığında belleği temizleme işlemini düzenleyen bir Kayıt Defteri değeridir. Bu, gizli bilgilerin veya geçmiş verilerin korunmasını veya silinmesini etkiler.
• Olay Günlüğü Denetimi: Bu değer, olay günlüklerinin etkinleştirilip devre dışı bırakılmasını kontrol eder. Olay günlüğü kayıtları, güvenlik ve izleme açısından hayati öneme sahiptir.
• Windows Güvenlik Duvarı: Bu, Windows güvenlik duvarının etkinleştirilip devre dışı bırakılmasını düzenleyen bir Kayıt Defteri değeridir. Güvenlik duvarı, ağ trafiğini kontrol etme ve güvenlik tehditlerini engelleme konusunda kritik bir rol oynar.

Windows Registry, bir tür log dosyası olarak da düşünülebilir, çünkü hive dosyasındaki bilgilerin çoğu bir zaman damgası ile ilişkilendirilebilir, aynı zamanda veriyi veya zaman damgasını etkileyen bir olay vardır.

Not: Registry içindeki ana dosyalar "hive" dosyaları olarak adlandırılır ve bunlar sistem yapılandırması ve kullanıcı bilgilerini içerir.Kullanıcı özgü bilgiler, kullanıcı profili içindeki NTUSER.dat hive dosyasında saklanır ve kullanıcıya özgü ayarları ve bilgileri içerir.Bazı Windows sürümlerinde, kullanıcının NTUSER.dat hive dosyasındaki bilgilerin bir kısmı USRCLASS.dat hive dosyasına taşınmıştır, bu nedenle farklı Windows sürümlerinde bu iki dosya arasındaki farklılıklar dikkate alınmalıdır

Not: Tüm uygulamalar Kayıt Defteri'nde varlık oluşturmaz. Örneğin, bazı eşler arası (P2P) paylaşım uygulamaları platformlar arası ve Java tabanlıdır ve bu nedenle bilgi depolamak için Windows Kayıt Defterine güvenmezler. Bunun yerine platformlar arası kodlamayı kolaylaştırmak için yapılandırma dosyalarını kullanıyorlar.

Windows Kayıt Defterinin Diskteki Konumu

Bir analistin bu dosyaların diskte nerede bulunduğunu bilmesi önemlidir, böylece bunlar alınabilir ve analiz edilebilir. Ana, temel sistem Kayıt Defteri hive dosyaları (SAM, Security, Software ve System), Windows\system32\config dizininde bulunabilir.

1. SAM (Security Accounts Manager):
• Yolu: C:\Windows\System32\config\SAM
• Açıklama: SAM hive dosyası, Windows işletim sistemi tarafından kullanıcı hesapları ve kimlik doğrulama bilgilerini depolamak için kullanılır. Bu dosya, kullanıcı adları, parola hash'leri ve kullanıcı hesaplarına ilişkin diğer güvenlik bilgilerini içerir. SAM, kullanıcıların sisteme oturum açmasına izin verir.
2. Security:
• Yolu: C:\Windows\System32\config\Security
• Açıklama: Security hive dosyası, Windows işletim sisteminin güvenlik ayarlarını ve politikalarını içerir. Bu dosya, güvenlik politikaları, kullanıcı erişimi düzenlemeleri, parola politikaları ve diğer güvenlik ayarlarını barındırır. Güvenli bir işletim sistemi için gereklidir.
3. Software:
• Yolu: C:\Windows\System32\config\Software
• Açıklama: Software hive dosyası, yüklü yazılım ve uygulamaların yapılandırma bilgilerini içerir. Kullanıcıların ve uygulamaların sistemi nasıl etkileyeceğini belirleyen önemli bilgileri içerir. Yazılım ve ayarlar hakkında bilgi sağlar.
4. System:
• Yolu: C:\Windows\System32\config\System
• Açıklama: System hive dosyası, işletim sisteminin temel yapılandırma bilgilerini içerir. Donanım ayarları, sürücüler, hizmetler ve sistem başlangıcıyla ilgili bilgiler bu dosyada bulunur. İşletim sisteminin temel işleyişini ve donanım uyumluluğunu sağlar.

Peki bu konumlar ile neleri elde edebiliriz?

Time Zone İnformation: HKEY_LOCAL_MACHINE\ SYSTEM \ ControlSet001 \ Control \ TimeZone Inf \ Time Zone Key Name

Bilgisayar Adı:  HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Computer Name

Cihaza takılan USB belleklerin son takılma zamanı:HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses

Sistemin Kaydedilmiş En Son Kapatılma Tarihi:HKEY_LOCAL_MACHINE \ SYSTEM\ ControlSet001 \ Control \ Windows \ ShutDownTime

Bilgisayarda sanal makine bulunup bulunmadığının öğrenilmesi:HKLM\SYSTEM\CurrentControlSet\Enum\PCI

İşletim Sistemi Kurulduktan Sonra Yüklenen Tüm Programlar:HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall

Ağ Sürücüsünden Açılan / Geçen Tüm Dosya Hiyerarşi Bilgisi;HKEY_USERS \ [Kullanıcı]\ SOFTWARE \ Classes \ Local Settings \ Software \ Microsoft\ Windows \ Shell \ BagMRU \ 8\0\..

İnternet Explorer tarayıcısı ile ziyaret edilen internet siteleri:HKU\SOFTWARE\Microsoft\Internet Explorer\TypedURLs

E Posta Haberleşmesi İçin Hangi Uygulama / Yazılımın Kullanıldığı;HKEY_LOCAL_MACHINE \ SOFTWARE \Classes \mailto\ shell \ open \command

Bilgisayara Bağlanmış Olan Harici Depolama Birimleri;“setupapi.dev.og” dosyası içerisinde;HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Search \ VolumeInfoCache

Başlangıçta çalışan uygulamalar:HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Run

Kullanılan Tarayıcının Dosya Yolu:C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

Kullanıcı E-Posta Bilgilerinin Saklandığı Yer:C:\ Kullanıcılar \ [Kullanıcı_AUBdı] \AppData \Local \Microsoft \Outlook

Windows Registry, kök dizini gibi bir dizin yapısına sahiptir. Root key'ler, Registry'nin en üst seviyesini temsil eder ve bu noktada farklı kategorilere ayrılırlar. Key'ler, bu kategoriler altındaki alt dizinlere karşılık gelir ve bu alt dizinler içinde Subkey'ler yer alır, en alt düzeydeki dizinleri ifade ederler. Value'lar ise dosyaların karşılığıdır ve bu yapı içindeki verileri depolarlar.

Registry Yapısı

Registry yapısında 5 adet Root Key bulunmaktadır, bunlar:

1. HKEY_CURRENT_USER (HKCU):
   •  Bu anahtar, mevcut kullanıcının oturum açtığı sistemdeki kullanıcı özelleştirmelerini ve ayarlarını içerir. Örneğin, masaüstü arka planı, ekran çözünürlüğü ve uygulama tercihleri gibi kullanıcı özelleştirmeleri burada saklanır. Her kullanıcı farklı bir HKEY_CURRENT_USER anahtarıyla temsil edilir.
2. HKEY_USERS (HKU):
   •  Bu anahtar, tüm kullanıcı profillerinin yapılandırma bilgilerini içerir. Her kullanıcı için benzersiz bir alt anahtar oluşturur. HKEY_CURRENT_USER aslında buradan gelir ve oturum açılan kullanıcının alt anahtarı burada bulunur.
3. HKEY_LOCAL_MACHINE (HKLM):
   •  Bu anahtar, bilgisayarın fiziksel donanımı ve işletim sistemi ayarları gibi sistem genelindeki yapılandırma bilgilerini içerir. Sistem hizmetleri, sürücüler, donanım profilleri ve daha fazlası burada yer alır. Bu anahtar, tüm kullanıcılar için ortak yapılandırma bilgileri sağlar.
4. HKEY_CLASSES_ROOT (HKCR):
   •  Bu anahtar, dosya uzantılarına, dosya türlerine ve ilişkilendirilmiş uygulamalara yönelik kayıtları içerir. 
5. HKEY_CURRENT_CONFIG (HKCC):
   • Bu anahtar, mevcut sistem donanımının ve yapılandırmasının anlık bir görünümünü içerir. Donanım profilleri ve aygıt sürücüleri gibi donanım ayarlarını içerir. 

Windows işletim sisteminin daha modern sürümleriyle, Microsoft, Registry (Kayıt Defteri) ile ilgili olarak yönlendirme (redirection) ve sanallaştırma (virtualization) uygulamıştır.

Registry Yönlendirme (Registry Redirection): 64-bit Windows sürümlerinde, 32-bit uygulamaların bazı Registry çağrıları, Yazılım hive'ının başka bir bölümüne yönlendirilir. Bu, analistler için bazı 32-bit uygulama bilgilerinin HKEY_LOCAL_MACHINE\Software yerine HKEY_LOCAL_MACHINE\Software\Wow6432Node yolunda görüneceği anlamına gelir.

Registry Sanallaştırma (Registry Virtualization): Bu, sistemin genel etkisi olan Registry değişikliklerinin (yazma işlemleri, anahtar veya değer oluşturma) "sanal bir depo"ya (HKEY_USERS_Classes\VirtualStore\Machine\Software\anahtar yolu) yazılacağı anlamına gelir.

Önemli Bilgiler

Amcache Hive: Windows işletim sistemindeki özellikle uygulama çalıştırma bilgilerini saklamak için kullanılan bir bileşen veya veri deposudur. Bu hive, hangi uygulamaların ne zaman çalıştırıldığını ve hangi dosyaların etkilenip değiştirildiğini takip etmek için kullanılır.

Current Control Set:Current Control Set, sistem başlangıcını kontrol etmek ve sistem yapılandırma verilerini içeren hive'ları ifade eder. Genellikle bir bilgisayarın SYSTEM hive'ında iki farklı Kontrol Kümesi bulunur: ControlSet001 ve ControlSet002. ControlSet001 genellikle bilgisayarın başladığı Kontrol Kümesini temsil ederken, ControlSet002 son bilinen iyi yapılandırmayı ifade eder.

Not:Geçerli Kontrol Kümesi'nin hangi Kontrol Kümesi olarak kullanıldığını belirlemek için SYSTEM\Select\Current yolundaki kayıt değerine bakabiliriz. Benzer şekilde, son bilinen iyi yapılandırmayı belirlemek için ise SYSTEM\Select\LastKnownGood yolundaki kayıt değerini kullanabiliriz.

ShimCache: ShimCache, işletim sistemi ile uygulamalar arasındaki uyumluluğu takip etmek ve makinede başlatılan tüm uygulamaları kaydetmek için kullanılan bir mekanizmadır. Windows'taki başlıca amacı uygulamaların geriye dönük uyumluluğunu sağlamaktır. Ayrıca Application Compatibility Cache (Uygulama Uyumluluk Önbelleği - AppCompatCache) olarak da adlandırılır. Bu önbellek, SYSTEM hive'ının aşağıdaki konumunda bulunur: SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache ShimCache, yürütülebilir dosyaların dosya adını, dosya boyutunu ve son değiştirilme zamanını saklar.

AmCache: Bu, ShimCache ile benzer bir işlevi yerine getirir ve program çalıştırmalarına ilişkin ek verileri saklar. Bu veriler, yürütme yolu, kurulum, yürütme ve silme zamanları ve yürütülen programların SHA1 özetlerini içerir.

BAM/DAM Background Activity Monitor veya BAM, arka plandaki uygulamaların etkinliklerini izler.Desktop Activity Moderator veya DAM, cihazın güç tüketimini optimize eden Microsoft Windows'un bir parçasıdır. Her ikisi de Microsoft Windows'un Modern Standby sisteminin bir parçasıdır. Windows kayıt defterinde, BAM ve DAM ile ilgili bilgileri içeren aşağıdaki konumlar bulunur. Bu konum, en son çalışan programlar, bunların tam yolları ve son yürütme zamanları hakkında bilgi içerir.

SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}