Registry Forensics Bölüm-1 Registry Yapısı

4 min readNov 20, 2019

Registry Nedir?

Dos ve Windows’un eski sürümlerin de sistem için yapılandırma bilgileri(sürücüler, sistem ayarları) büyük oranda bir kaç dosya tarafından yönetiliyordu. Bu dosyalar autoexec.bat, config.sys, win.ini ve system.ini gibi dosyalardı. Bu dosyalarda ki çeşitli ayarlar hangi programların yüklendiğini ve sistemin kullanıcı girdisine nasıl baktığını ve nasıl tepki verdiğini belirlemekteydi. Windows’un 3.1 sonraki sürümleri bu dosyaları merkezi hiyerarşik veri tabanı olan Registry ile değiştirmişlerdir. Registry, Windows’un yapılandırılmış veri tabanı olarak düşünülebilir. Bu, işletim sisteminin yapılandırılmalarını ve ayarlarını içermektedir ve ayrıca, çalışan servislerin ve kurulu olan uygulamaların ayarlarını da kullanıcı tercihleri ile birlikte içermektedir. O zaman girişi şöyle bir toparlarsak, Registry Windows işletim sistemleri için,

Uygulamalar
Donanım aygıtları
kullanıcı
Yapılandırma

Ayarlarını bulunduran merkezi hiyerarşik bir yapıdır. Peki registry içerisinde hangi değerli bilgiler bulunmaktadır.

Sitem Konfigürasyon Bilgileri
Sistemde Tanımlı bulunan Cihazlar
Kullanıcı Adları
Kişisel ayarlar Browser Tercihleri
İnternet Gezinme Geçmişi
Çalıştırılan Programlar

Registry, anahtarlara (keys) ve değerlere (values) ayrılmış belirli bir yapıya sahiptir. Dizin yapısı gibi Root key’ler kök dizini, Key’ler onu altındaki dizinleri, Subkey’ler en alt dizinleri ve Value’lar dosyaları temsil etmektedir.

Registry Yapısı

Registry yapısında 5 adet Root Key bulunmaktadır, bunlar:

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG

HKEY_CLASSES_ROOT & HKCR

Bu hive sürükle bırak işlemleri ile ilgili yazılım ayarları, kısa yol, diğer tüm kullanıcı ara birimi ilgili bilgileri ve temel Windows sistem klasör bilgisini tutar.
Bu hive’de ilişkilendirilmiş her dosya için bir alt anahtar daha bulunur.
Her bir alt anahtara .exe, .jpeg gibi sistemde bulunabilen bir uzantı adı verilir.
Ayrıca bu hive, sağ tıklama menüsünün ayrıntılarını ve programların simgesini depolar.
Bu hive silinirse Windows açılsa bile dosyalarınızın hiç biri açılmaz.

HKEY_CURRENT_USER & HKCU

Bu Root Key, o an oturum açmış kullanıcı ile ilgili bilgileri içermektedir.
AppEvents: Windows için kullanılan ses olay dosyaları için çalınacak ses dosya ayarları.
Control Panel: Kontrol paneli ayarları.
Keyboard Layout: Kullanılan klavye düzeni.
Software: Logon olan kullanıcı için software konfigürasyon ayarları.

HKEY_LOCAL_MACHINE & HKLM

Bilgisayara özgü yapılandırma bilgilerini içermektedir.
Bu bölüm bilgisayardan bilgisayara donanım bağımlı ayarları tutmaktadır. Bunun dışında diğer yazılım ve ayarlarda burada barındırılmaktadır.
Bu anahtar, başlatma sırasında sistem tarafından kullanılan yapılandırma ve ayarları içerir.
Kullanıcı oturumlarından bağımsızdır, her kullanıcı için bu ayarlar uygulanmaktadır.

Bu kök anahtar önemli olarak beş alt anahtar içermektedir.

System: Bilgisayar adı, sistem zaman dilimi ve ağ arabirimleri gibi sistem yapılandırmasını içerir.

Software: Sistemdeki yüklü uygulamalar ve işletim sistemi hizmetleri ile ilgili ayarları ve yapılandırmaları içerir.

Security: Varsa, sistemdeki güvenlik ilkesini içerir. Canlı sistemden görülmez.

SAM: Güvenlik Hesap Yöneticisi(Security Account Manager) ve kullanıcı-grup güvenlik bilgilerini saklar. Kullanıcı adını, kullanıcının unique SID’sini ve kullanıcının parolasının bir hash özetini içerir.

Hardware: Sisteme bağlı donanım aygıtları hakkında bilgi içerir. Bu bilgi sistem önyüklemesi(BIOS) sırasında saklanır.

HKEY_USERS & HKU

İşletim sistemine bağlanan her kullanıcı için masaüstü ve kullanıcı ayarlarını içerir.
Bu başlık altında her kullanıcıya ait bir anahtar daha bulunur. Ancak sadece tek bir kullanıcı varsa, bu durumda sadece “DEFAULT” altında tek anahtar olacaktır.
S-1–5–18: Sistem Profilidir.
S-1–5–19: LocalService ile ilgili profildir.
S-1–5–21–363130492–3477868961–3561532406–1001: Oturum açmış olan kullanıcının tam SID’siyle birlikte verilmiştir.