Merhabalar, değerli Türk Hack Team ailesi bu gün sizlere "Registry Dosyalarının Analizi" konusunu anlatacağım.
Önemli olan başlıkları inceleyelim.
Registry Dosyalarının Analizi
Windows ve Dos'un eski sürümlerinde sistemin yapılandırma ayar ve bilgileri bazı dosyalar ve yönetici katmanlar tarafından yönetiliyordu. Bu dosyalar tam olarak sistemin
giriş çıkışları ve sistemin açılışındaki olayları gözlemekle görevliydi. Bunlardan bazıları autoexec.bat, win.ini, system.ini, config.sys gibi dosyalardır.
Fakat günümüzde Windows ve 3.1 sürümü ve ardındaki tüm sürümler merkezi bir düzen olarak veri tabanlaması Registry ile değiştirilmiştir. Registry'i tanımlayabilmek
için Windows'un bir yapılandırılmış veri tabanı olduğunu söyleyebiliriz. Registry görev olarak sistemin açılışından kapanışına kadar süre gelen
olayların gözlemi ve kullanıcı tercihleri, sistem ayarlamaları, işlem gören yazılımların kontrolü gibi birçok görev yapmaktadır. Sistemde Mevcut Cihazlar, Kullanıcı Bilgileri,
Kişisel Ayarlamalar, Sistem Konfigürasyon Bilgileri, Browser Tercih ve Ayarları, İnternette Gezinme Geçmişi Programları gibi katmanlı dereceli bilgiler
bulunmaktadır. Registry anahtar ve değerlere ayrılmış belirli bir yapıya sahiptir. Root Keyler, Key'ler, Sub Key'ler ve Value'ler yani dosyalardan oluşur.
Registry Yapısında Bulunan Root Keyler: Uygulamalar, Donanım aygıtları, Kullanıcı, Yapılandırma gibi başlıca değerleri denetler ve kontrolden geçirir.
Registry Dosyaların Çıkartılması
Temel olarak bu işlem için birçok kullanıcı aracı kullanılabilir. Fakat bunlar arasından "FTK Imager" aracı oldukça kullanışlı ve kullanımı bir
o kadar kolay bir araçtır. Bu yüzden FTK Imager aracını dosyalarımızın çıkartılması işleminde kullanabiliriz. FTK Imager sistemler üzerinde adli
belirlemelere göre imaj almamıza yarayan alınan imajları okuyabilmemizi sağlayan temel araçlardan biridir.
İlk olarak FTK Imager uygulamamıza giriş yaptıktan sonra "Add All Attached Devices" butonu ile sistemde bulunan depolama birimlerini görüntüleyebiliriz.
Ardından C:\Windows\System32\config bölümüne gelerek
kayıtlı registry dosyalarını görebilir, görüntüleyebiliriz. Buradan başlıca işimize yarayacak dosyalar sam, security, software, system başlıklı dosyalardır. Daha sonra tüm
dosyaları seçip "Export Files" butonuna tıklayarak işlemimizi gerçekleştiriyoruz. Böylece "Registry Dosyalarının Çıkartılması" işlemimizi tamamlamış oluyoruz.
Önemli olan başlıkları inceleyelim.
Registry Dosyalarının Analizi
Windows ve Dos'un eski sürümlerinde sistemin yapılandırma ayar ve bilgileri bazı dosyalar ve yönetici katmanlar tarafından yönetiliyordu. Bu dosyalar tam olarak sistemin
giriş çıkışları ve sistemin açılışındaki olayları gözlemekle görevliydi. Bunlardan bazıları autoexec.bat, win.ini, system.ini, config.sys gibi dosyalardır.
Fakat günümüzde Windows ve 3.1 sürümü ve ardındaki tüm sürümler merkezi bir düzen olarak veri tabanlaması Registry ile değiştirilmiştir. Registry'i tanımlayabilmek
için Windows'un bir yapılandırılmış veri tabanı olduğunu söyleyebiliriz. Registry görev olarak sistemin açılışından kapanışına kadar süre gelen
olayların gözlemi ve kullanıcı tercihleri, sistem ayarlamaları, işlem gören yazılımların kontrolü gibi birçok görev yapmaktadır. Sistemde Mevcut Cihazlar, Kullanıcı Bilgileri,
Kişisel Ayarlamalar, Sistem Konfigürasyon Bilgileri, Browser Tercih ve Ayarları, İnternette Gezinme Geçmişi Programları gibi katmanlı dereceli bilgiler
bulunmaktadır. Registry anahtar ve değerlere ayrılmış belirli bir yapıya sahiptir. Root Keyler, Key'ler, Sub Key'ler ve Value'ler yani dosyalardan oluşur.
Registry Yapısında Bulunan Root Keyler: Uygulamalar, Donanım aygıtları, Kullanıcı, Yapılandırma gibi başlıca değerleri denetler ve kontrolden geçirir.
Registry Dosyaların Çıkartılması
Temel olarak bu işlem için birçok kullanıcı aracı kullanılabilir. Fakat bunlar arasından "FTK Imager" aracı oldukça kullanışlı ve kullanımı bir
o kadar kolay bir araçtır. Bu yüzden FTK Imager aracını dosyalarımızın çıkartılması işleminde kullanabiliriz. FTK Imager sistemler üzerinde adli
belirlemelere göre imaj almamıza yarayan alınan imajları okuyabilmemizi sağlayan temel araçlardan biridir.
İlk olarak FTK Imager uygulamamıza giriş yaptıktan sonra "Add All Attached Devices" butonu ile sistemde bulunan depolama birimlerini görüntüleyebiliriz.
Ardından C:\Windows\System32\config bölümüne gelerek
kayıtlı registry dosyalarını görebilir, görüntüleyebiliriz. Buradan başlıca işimize yarayacak dosyalar sam, security, software, system başlıklı dosyalardır. Daha sonra tüm
dosyaları seçip "Export Files" butonuna tıklayarak işlemimizi gerçekleştiriyoruz. Böylece "Registry Dosyalarının Çıkartılması" işlemimizi tamamlamış oluyoruz.
Reg.exe İşleminin Kullanılması ve Detayları
Bu tarz işlemlerin yanı sıra komut satırı ile de benzer kontrol ve denetlemeler gerçekleştirmemiz mümkün. Bu yöntem genellikle başlangıçta
çalışan zararlı yazılımları denetlemek için kullanılmaktadır. Zararlı yazılımlar registry dosyalarına kendi kayıtlarını ekleyebilirler. Bunu aşağıdaki şekilde denetleyebiliriz:
çalışan zararlı yazılımları denetlemek için kullanılmaktadır. Zararlı yazılımlar registry dosyalarına kendi kayıtlarını ekleyebilirler. Bunu aşağıdaki şekilde denetleyebiliriz:
Kod:
Reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Name Yöntemi ve Kullanım Amaçları
İnceleme ve analizini yaptığımız sistemin kullanıcı adı ve detayları oldukça önemli bir yere sahiptir. Örneğin incelenen sistem kayıtları yani logların tespitinde
önemli bir yeri vardır. Bu derecelendirme kısaca"HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName
içerisindeki ComputerName derecesindedir. Fakat bu değerler canlı sistemler üzerindedir. Bundan dolayı aşağıdaki şekilde RegRipperın modülleri kullanılarak
öğrenilebilir. Aşağıdaki komutu, komut satırında kısa bir işlemden geçirdikten sonra gerekli modülü elde edebiliriz.
NOT: Bu işlem için "rip.exe" ve registry explorer uygulamasına genel olarak ihtiyacınız vardır. Yeni sürümünü bulamadığım için bu tarz bir hata var.
Kod:
rip.exe -r C:\Users\<user_name>\Desktop\Registry Hive\SYSTEM -p compname
Autoruns Kullanılması ve Genel Detayları
Autoruns windows tabanlı olarak sunulan bir sistem başlangıç paketidir. Sistemlerin başlangıcındaki çalışan program ve klasörleri
denetleyebileceğimiz ve direkt olarak işlemler gerçekleştirebileceğimiz bir geniş kullanım aracıdır.
REGRIPPER Aracı ve Kullanımı Hakkında Detaylar
REGRIPPER genel olarak açık kaynaklı bir araçtır. Genel olarak analiz ve detay işlemlerde kullanılabilmektedir. Aracı kurmak oldukça
kolay ve kullanışlıdır. Aynı zamanda aracı "rr.exe" veya "rip.exe" şeklinde çalıştırabilirsiniz.
Ayrıca aracı "GUİ veya Line" modunda çalıştırabilirsiniz. GUİ Modu aşağıdaki şekildedir ve "rip.exe" ekindedir.
PERSISTENCY
Bu başlık altında bulunan yöntemler saldırganların genel olarak kullandığı yöntemlerdir. Bu
bölümde kısacası saldırganların kullandığı yöntemler ve korunma yöntemleri vardır.
RUN/RUNONCE
Bu kayıtlar ve detaylar genel olarak bilgisayarın çalışması ile başlatılan kayıtlardır. Kısacası bilgisayarın başlangıcında çalıştırılan
uygulamalar ve yazılımların genel detaylarıdır. Saldırganlar bu özelliği genelde zararlı yazılımların veya uygulamaların sistemde
kalıcılık göstermesi için kullanmaktadır. Aşağıdaki resimde görülen uygulama ve yazılımlar sistem başlangıcında çalışan yazılım ve uygulamalardır.
Kısacası defalarca sızmayı denemek yerine tek seferde kalıcılık verebilen bir yöntemdir.
WINLOGON Yöntemi ve Kullanımı
WINLOGON Sistemde birçok görevle beraber oldukça çok işlemi gerçekleştiren bir yönetim birimidir. Bu birim başladığı
zaman alt "userinit" anahtarlamasından aldığı değerleri yanı beraberinde kullanıma geçirir.
Her değer değişmesi durumunda "userinit.exe" değeri de değişir. Aynı zamanda bu değerlerin ve birimlerin kontrolünü "Registry
Kayıtlarından" gerçekleştirebiliriz.
Aşağıdaki resimde bulunan dizinlere sırasıyla girdiğimizde bu birime ulaşım sağlamış oluruz.
Evet Türk Hack Team ailesi konum bu kadar. Bir sonraki konumda görüşmek üzere. Esenlikler.
Son düzenleme: