DFIR - Registry System Forensics




Bu dökümanımızda registry dosyası olan SYSTEM dosyasını parse edicez. SYSTEM dosyası nedir ne işe yarar bunlara bir göz atalım.


SYSTEM : Windows işletim sisteminde kayıt defterinin güvenlik ayarlarını ve yapılandırmalarını içerir. Bu dosya, kayıt defterindeki anahtarlar ve değerler üzerindeki erişim izinlerini yönetir, böylece hangi kullanıcıların veya grupların belirli anahtarlara erişebileceğini veya değiştirebileceğini belirler. Ayrıca, bu dosya güvenlik politikalarının uygulanmasına yardımcı olur ve sistemin güvenliğini artırarak yetkisiz erişimlerin önlenmesine katkıda bulunur. C:\Windows\System32\config\SYSTEM yolunda bulunur.


Bu parse etme işleminde kullanacağımız araç RegRipper aracı olacak


Ve şimdi SYSTEM dosyamızın exportunu sağlayıp parse etme işlemine geçelim.






İşaretlenmiş kısım olan “add evidence ıtems” kısmına tıklayıp imajımızı açıyoruz.
Daha sonra imajımızın içinden SYSTEM dosyasının konumunu buluyoruz.




SYSTEM dosyasının üzerine sağ tık atıp export kısmına tıklıyoruz.




Daha sonra RegRipper aracımızı açıyoruz Hive File, Report File olmak üzere 2 tane textbox girdisi istiyor gerekli şekilde doldurduktan sonra Rip! kısmına tıklıyoruz ve SYSTEM dosyamız parse edilmeye başlıyor.




Çıktılarda yüklenen yazılımlar ve backup’lar hakkında bilgi edinebiliyoruz.



Registry System Forensics Anlatım Videosu : https://www.youtube.com/watch?v=1xm5X1YM7mE


Yorum Gönder

0 Yorumlar