DFIR - Registry Sam ( Security Account Manager ) Forensics

Bu dökümanımızda registry dosyası olan SAM dosyasını parse edicez. SAM dosyası nedir ne işe yarar bunlara bir göz atalım.


SAM : Sam dosyası Windows işletim sistemlerinde kullanıcı hesap bilgilerini ve parola hashlerini depolayan bir veritabanıdır.

C:\Windows\System32\config\SAM yolunda bulunur. SAM dosyası, kullanıcıların oturum açma bilgilerini doğrulamak ve sisteme erişimlerini yönetmek için kullanılır. SAM dosyasındaki parolalar, düz metin olarak değil, hashlenmiş bir şekilde saklanır.


Bu parse etme işleminde kullanacağımız araç RegRipper aracı olacak


Ve şimdi SAM dosyamızın exportunu sağlayıp parse etme işlemine geçelim.

işaretlenmiş kısım olan “add evidence ıtems” kısmına tıklayıp imajımızı açıyoruz.


daha sonra imajımızın içinden SAM dosyasının konumunu buluyoruz.

 

SAM dosyasının üzerine sağ tık atıp export kısmına tıklıyoruz.


daha sonra RegRipper aracımızı açıyoruz Hive File, Report File olmak üzere 2 tane textbox girdisi istiyor gerekli şekilde doldurduktan sonra Rip! kısmına tıklıyoruz ve SAM dosyamız parse edilmeye başlıyor.

işlem bittikten sonra rapor yerini seçtiğimiz yolda bize .log uzantılı bir log dosyası da beraberinde sunmaktadır.

Sırasıyla bize sunmuş olduğu dosyaları inceleyelim. İlk olarak bize sunmuş olduğu log dosyasını txt editörü ile açtım.

Temel log dosyasının tutmuş olduğu bilgileri karşımıza sunmaktadır. log dosyasının açıldığı, key nereden alındığı ne zaman başlayıp ve ne zaman bittiği gibi temel bilgileri karşımıza sunar.


Diğer raporumuz ise kullanıcılar hakkında bilgi içerir.

Bu parse işlemi sonucunda çıktılara göre edindiğimiz bilgiler şunlardır.

kullanıcı hesaplar hakkında bilgi

Ana hesap hakkında bilgiler

Grup üyelik bilgilerini edindik(grubun adı, sistem tarafından yönetilen hesaplar ve yönetici ayrıntıları)

Registry Sam Forensics Anlatım Videosu : https://www.youtube.com/watch?v=HIbkrU5Z2No