- 24 Haz 2015
- 2,336
- 190
- 112
Silinen Registry Kurtarma İşlemi
Herkesi selamlayarak fazla uzatmadan konuma geçiş yapacağım.
Anti Forensics işlemlerinden birinde kullanılan registry anahtarlarının delete edilmesi çoğu zaman söz konusu olabilir.
Yahut istenmeden delete durumu da yaşanabilir.
Tabii ki bu anahtarlar üzerinde kurtarma işlemi yapabiliriz.
Bahsettiğim anahtarlar kayıt defteri anahtarlarıdır.
Uzmanlar bu işlemi daha çok Adli vakaların aydınlatılması durumunda kullanırlar.
Kurtarma işlemi için YARU isimli programdan yardım alacağız.
Kurulumunu bırakacağım linkten basitçe yapabilirsiniz.
Kod:
https://yet-another-registry-utility.softag.com
İndirme işlemini tamamladıktan sonra YARU'yu administrator olarak başlatalım.
File yani dosya bölümünden almış olduğumuz anahtarı inceleme için seçeceğiz.
Görselde belirttiğim gibi ilerliyoruz.
Seçtiğimiz anahtarı ilerlettiğimizde kısa bir inceleme süreci gerçekleşir.
İnceleme bittikten sonra anahtar kayıtlarında olduğu şekilde delete edilmiş ya da hali hazırda bulunan anahtarları göreceğiz.
Daha sonra YARU'nun bulmuş olduğu delete edilen anahtarları göreceğiz.
Bunların yeniden aktif olabilmesi için aktarma işlemi yapacağız.
Yukarıda verdiğim görselde delete edilmiş usb disk verileri var.
Yeniden aktif etmek için export keys to file'ye tıklıyoruz.
Daha sonra aktif olacağı yeri seçeceğiz ve tekrardan adlandıracağız.
Adlandırma işlemini yaparken .reg bağlantısı içeren bir ad vereceğiz ki açtığımızda tekrardan anahtar kaydı olması için.
Malware İle Anahtar Analizi
Malware trojan yürütüp anahtar kayıtlarına göz atacağız bu bölümde.
Daha doğrusu kullandığımız malware'nin hedefini öğrenmeyi amaçlayacağız.
Tabii ki bu incelemeden önce yapmamız gereken ufak bir işlem var.
Şimdi ona geçiyoruz.
Regshot adlı yazılımı kuruyoruz.
Regshot'u open source olduğu için seçtim, kullananların içinin rahat olması açısından önemli diye düşünüyorum.
Malware'yi yürütmeden önce anahtar kayıtlarını alabilmek için indirdiğimiz yazılımı başlatıyoruz.
Görselde vereceğim şekilde Shot ile anahtar kayıtlarını kaydedeceğiz.
Ardından malware'yi yürüttük, yürütülürken sessiz ve kendini belli etmeyecek şekilde arka planda işlemlerini yapıyor.
Bir kaç saniye sonra Regshot'a geçiş yapalım.
İkinci shot kısmına tıklıyoruz, görseli bırakıyorum.
Tıkladıktan sonra inceleme yapmasını bekliyoruz, inceleme bitince yine görselini vereceğim yere tıklayalım.
Buradan sonra bizlere değiştirilmiş olan anahtar kayıtlarını listelenmiş halde veriyor.
Okuyanlara teşekkür ederim.