Bu dökümanımızda registry dosyası olan SYSTEM dosyasını parse edicez. SYSTEM dosyası nedir ne işe yarar bunlara bir göz atalım.
SYSTEM : Windows işletim sisteminde kayıt defterinin güvenlik ayarlarını ve yapılandırmalarını içerir. Bu dosya, kayıt defterindeki anahtarlar ve değerler üzerindeki erişim izinlerini yönetir, böylece hangi kullanıcıların veya grupların belirli anahtarlara erişebileceğini veya değiştirebileceğini belirler. Ayrıca, bu dosya güvenlik politikalarının uygulanmasına yardımcı olur ve sistemin güvenliğini artırarak yetkisiz erişimlerin önlenmesine katkıda bulunur. C:\Windows\System32\config\SYSTEM yolunda bulunur.
Bu parse etme işleminde kullanacağımız araç RegRipper aracı olacak
Ve şimdi SYSTEM dosyamızın exportunu sağlayıp parse etme işlemine geçelim.
İşaretlenmiş kısım olan “add evidence ıtems” kısmına tıklayıp imajımızı açıyoruz.
Daha sonra imajımızın içinden SYSTEM dosyasının konumunu buluyoruz.
Registry System Forensics Anlatım Videosu : https://www.youtube.com/watch?v=1xm5X1YM7mE
0 Yorumlar