DFIR - Registry Software Forensics

Bu dökümanımızda registry dosyası olan SOFTWARE dosyasını parse edicez. SOFTWARE dosyası nedir ne işe yarar bunlara bir göz atalım.


SOFTWARE : Software dosyası, Windows işletim sisteminde yüklü olan yazılımlar ve bu yazılımların yapılandırma ayarları hakkında kritik bilgileri içeren bir kayıt defteri dosyasıdır. C:\Windows\System32\config\SOFTWARE yolunda bulunur. 

Bu parse etme işleminde kullanacağımız araç RegRipper aracı olacak.


Ve şimdi SOFTWARE dosyamızın exportunu sağlayıp parse etme işlemine geçelim.

işaretlenmiş kısım olan “add evidence ıtems” kısmına tıklayıp imajımızı açıyoruz.

daha sonra imajımızın içinden SOFTWARE dosyasının konumunu buluyoruz.

SOFTWARE dosyasının üzerine sağ tık atıp export kısmına tıklıyoruz.

daha sonra RegRipper aracımızı açıyoruz Hive File, Report File olmak üzere 2 tane textbox girdisi istiyor gerekli şekilde doldurduktan sonra Rip! kısmına tıklıyoruz ve SOFTWARE dosyamız parse edilmeye başlıyor.

Bu çıktıda önce Applnint DLL değerleriyle ilgili detaylar sunulmaktadır. Ağğlnit DLL, her kullanıcı modu işlemi için sistemde rastgele bir DLL listesinin yüklenmesini sağlayan bir mekanizma olarak tanımlanır.

Bu çıktıda, uygulama ayrıntıları ve uygulamaya ait yolları detaylı bir şekilde gösterilmektedir. Ayrıca, sisteme giriş ve çıkış yapmış aygıtlarla ilgili sürücüler de raporda yer almaktadır.

Registry Software Forensics Anlatım Videosu : https://www.youtube.com/watch?v=mfbDrh6Mc8s