Bir bilgisayarda soruşturma veya denetim yaptığımızda, önemli yönlerden biri şudur: yetkisiz cihazların bağlanıp bağlanmadığını veya hangi cihazların kullanıldığını öğrenin, kalem sürücüler, yazıcılar veya diğer cihazlar gibi. Windows'ta bu cihazları tespit etmek için, bu bilgileri saklayan ve hangi cihazların bağlı olduğunu, denetlediğimiz bilgisayarda kimin, neyin, nerede ve aktivitenin nasıl gerçekleştirildiği hakkında bilgileri belirlememize izin veren Windows kayıt defterini kullanacağız. ya da FTK Imager ile disk görüntüsünü analiz et öğreticisinde gördüğümüz gibi bir disk görüntümüz varsa.
Bu eğitimde göreceğiz Windows kayıt defterini kullanarak bağlı cihazların geçmişi nerede ve nasıl bulunur. USB veya başka bir konektör aracılığıyla bir cihazı her bağladığımızda, bu olay Windows kayıt defterinde saklanır, bu nedenle bir iz bırakır ve aracılığıyla kayıt defteri içindeki depolama aygıtlarını aramaya odaklanacağız.
Bir Windows sistemindeki kayıt defteri, bir sürümden diğerine biraz değişir, ancak özü araştırırsak, hemen hemen tüm Windows sürümlerinde ve diğer işletim sistemlerinde aynıdır. Bu eğitim için Windows 7 kullanıyoruz, genel olarak adımlar herhangi bir sürüm için benzer.
İlk adım olacak Regedit'i açÇalıştır seçeneği ile Windows menüsünden veya redegit yazdığımız arama kutusuna yapabiliriz.
sonra basarız tamam aşkım ve Windows Kayıt Defteri Düzenleyicisi açılacak, burada kayıt defteri anahtarlarının bir anahtar ağacındaki klasörler olduğunu göreceğiz, bunlar veri olan değerlere ek olarak içerdikleri her anahtar alt anahtarlar içerebilir.
Anahtar içeriğiHKEY_CLASSES_ROOTBu anahtar, varsayılan olarak bu uzantının hangi uygulama ile kullanıldığını belirlemek için dosya ilişkilendirmeleri gibi kayıtlı uygulamalar hakkında bilgiler içerir. Örnek * .html varsayılan olarak Firefox, * .txt varsayılan olarak Wordpad, orada açıldığı yazılımı değiştirebiliriz veya her dosya uzantısı için varsayılan olarak çalışır.
HKEY_USERSBilgisayarda oturum açmış veya aktif olan kullanıcıların profiline karşılık gelen bilgileri içerir, sistem de bir kullanıcıdır (Varsayılan), otomatik olarak çalışsa da iz de bırakır.
HKEY_LOCAL_MACHINEBilgisayarda kurulu donanım hakkında bilgi içerir, bilgilerin çoğu RAM belleğinde saklanır ve sadece bazı izleri kayıt defterine kaydeder, bu nedenle bu anahtardaki bilgiler geçicidir ve bilgisayar her yeniden başlatıldığında yeniden oluşturulur.
HKEY_CURRENT_USERBu anahtar, oturum açan kullanıcının, yani mevcut kullanıcının bilgilerini ve ayarlarını saklar.
NS USB depolama cihazlarının izini bul, kayıt defterinde aşağıdaki anahtarda arama yapmalıyız:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBiki alt anahtar ControlSet001, KontrolSet002 bilgisayar başarılı bir önyükleme gerçekleştirdiğinde yapılan bir kopyadır, bu kontrol seti, hangisinin sorunsuz son önyükleme olduğunu veya bilinen en son iyi yapılandırmayı belirlemeye izin veren şeydir. Bu anahtarda, bu sisteme bağlı herhangi bir USB depolama aygıtının kanıtını bulacağız. Örneğin, USB anahtarının içinde birkaç aygıt alt anahtarı bulduk ve bunlardan birinin Motorola XT1040 cep telefonuna karşılık geldiğini görebiliriz. bir noktada USB üzerinden bağlandı.
BÜYÜT
Başka bir alt anahtarı analiz ettiğimizde, bir Lexmark X1100 Serisi tarayıcının üzerinden bağlandığını görüyoruz, bu cihaz çok işlevli bir yazıcıdır, ancak kayıt defteri, usbprint değil usbscan hizmetinin kullanıldığını gösterir.
BÜYÜT
USB anahtarı ile artık bağlı olmayan cihazların geçmişini göreceğiz. Bağlı cihazları görmek veya yakalamak için alt anahtara bakmalıyız:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
BÜYÜT
Bu durumda bilgisayara bağlı bir Kingston pendrive görebiliriz, cihaz kaldırılırsa alt anahtar bilgisayar kapatılana kadar USBSTOR'da kayıtlı kalır, ancak USB alt anahtarında bir kayıt kalır.
Sisteme monte edilmiş cihazları arayın.
Bir kullanıcı, harici DVD oynatıcı, harici sabit sürücü, flash bellek gibi takılması gereken herhangi bir donanım aygıtı kullanıyorsa, kayıt defteri takılan aygıtın izini bırakacaktır. Bu bilgiler alt anahtarda depolanır:
HKEY_LOCAL_MACHINE \ Sistem \ Monte Edilen CihazlarAşağıda, bilgisayara monte edilmiş veya monte edilmiş tüm aygıtların, C: D: ve F: sürücülerinin bir listesini görebiliriz. D sürücüsüne çift tıklarsak VirtualBox'tan bağlı bir CD ROM olduğunu ve aynısını F sürücüsü ile yaparsak bir süre sonra bağlı olanın kingston pendrive olduğunu göreceğiz.
Hangi cihaz olduğunu belirleyemezsek, key'e ikili olarak bakarak MountDevices anahtarının cihazlarını ve diğer alt mağaralarda aradığımız o benzersiz id'yi ilişkilendirebiliriz. Kullanabileceğimiz bir araç, şu anda ve daha önce bilgisayara bağlı olan USB aygıtları hakkında bilgi görüntüleme imkanı sunan basit ve taşınabilir bir araç olan USBViewer'dır.
BÜYÜT
Windows kayıt defteri, farklı teknikler ve prosedürler kullanarak bir Windows sisteminde olanlarla ilgili olayların geçmişini tutmamıza izin verir, gerçekleri yeniden oluşturabilir ve kullanılan öğeleri belirleyebiliriz.
