Windows

Windows Forensics – Registry Məhkəmə Analizi və Konfiqurasiyası

Windows forensics sahəsində registry, bir sistemin fəaliyyətini və istifadəçi davranışlarını araşdırmaq üçün əhəmiyyətli bir mənbədir. Registry, Windows əməliyyat sisteminin konfiqurasiya məlumatlarını saxlayan bir verilənlər bazasıdır. Məhkəmə analizi və konfiqurasiyası kontekstində registry aşağıdakı aspektlərdə istifadə olunur.

Windows Registry Windows əməliyyat sisteminin və bəzi proqramların parametrlərini və konfiqurasiyalarını saxlayan verilənlər bazasıdır. Bir sözlə, bu, kompüterinizdə sistem parametrlərini, istifadəçi seçimlərini və proqram məlumatlarını ehtiva edən bir növ mərkəzi “notepad” dir. Bu reyestr sayəsində sistemlər və proqramlar bu məlumatları tez tapıb istifadə edə bilirlər. Burada açarlar qovluqları və faylları təmsil edir. Buradakı hər bir dəyər “Name”, “Type” və “Data” qeydlərindən ibarətdir.

Reyestrə giriş və idarəetmə adətən regedit.exe yazaraq daxil ola bilərsiniz. Siz buradan düymələri əlavə edə, redaktə edə və ya silə bilərsiniz, lakin səhv dəyişikliklər sisteminizə zərər verə bilər.

Regstry -də əsas fayllar (Hive) sistem konfiqurasiyası və istifadəçi məlumatlarını ehtiva edir. İstifadəçiyə məxsus məlumat NTUSER.dat faylında saxlanılır. Bu fayldakı məlumatların bəziləri USRCLASS.dat faylında mövcuddur. Fərqli versiyalarda bu iki fayl arasındakı fərqlər nəzərə alınmalıdır.

Hər bir Windows istifadəçi hesabının öz NTUSER.dat faylı var. Yer; C:\Windows\Users\<istifadəçi adı>

NTUSER.dat hər bir istifadəçi profilində gizlidir. Bu faylda istifadəçi profili məlumatı var. Bu, Windows reyestrindən saxlanılan qeydlərin surətidir.

USRCLASS.DAT HKCU\Software\CLASSES-ə quraşdırılmışdır.
Yer; C:\Users\<istifadəçi adı>\AppData\Local\Microsoft\Windows

 

Sistemdə mövcud istifadəçiləri görmək;

SAM\Domains\Hesab\İstifadəçilər

İstənilən Windows əməliyyat sistemindəki reyestr beş kök açarı özündə saxlayır.

HKEY_CLASSES_ROOT (HKCR), Windows qeyd defterindəki bir açardır və sistemin fayl uzantıları, proqramlar və obyektlər arasında əlaqələri idarə edir. Bu açar, sistemin hansı proqramın hansı fayl tipini açacağını müəyyən etməyə kömək edir.HKCR, iki əsas açardan – HKEY_LOCAL_MACHINE\Software\Classes və HKEY_CURRENT_USER\Software\Classes – birləşərək formalaşır. Fayl uzantıları, COM obyektləri və digər sistem resursları haqqında məlumatlar burada saxlanılır.Məsələn, fayl uzantısı olan .txt üçün HKCR açarı, onun Notepad və ya başqa bir mətn redaktoru ilə açılacağını göstərə bilər.Bu açarda dəyişikliklər etmək, sistemin davranışını dəyişə bilər, buna görə də diqqətli olmaq vacibdir.

 

 

HKEY_CURRENT_USER (HKCU), Windows qeyd defterinin bir hissəsidir və cari istifadəçinin konfiqurasiyası və parametrləri üçün məlumatları saxlayır. Bu açar, istifadəçi profili ilə bağlı olan bütün tənzimləmələri əhatə edir. HKCU aşağıdakı əsas funksiyaları yerinə yetirir:

  1. İstifadəçi Parametrləri: İstifadəçi interfeysi tənzimləmələri, masaüstü fonları, ekran qətnaməsi və digər fərdi parametrlər burada saxlanılır.
  2. Proqram Tənzimləmələri: İstifadəçinin istifadə etdiyi proqramların xüsusi parametrləri (məsələn, brauzer ayarları) bu açarda qeyd olunur.
  3. İstifadəçi İcazələri: İstifadəçinin proqramlara və resurslara olan icazələri burada müəyyən edilir.

HKCU, HKEY_USERS açarının bir hissəsi kimi fəaliyyət göstərir və sistemdəki digər istifadəçilərin konfiqurasiyalarından ayrılır. Bu, hər bir istifadəçi üçün fərdi tənzimləmələr etməyə imkan tanıyır.

registr-də dəyişikliklər etməzdən əvvəl ehtiyat nüsxəsi yaratmaq tövsiyə olunur, çünki yanlış düzəlişlər sistemin davranışına təsir edə bilər.

 

 

HKEY_LOCAL_MACHINE (HKLM), Windows qeyd defterinin ən vacib açarlarından biridir və sistemin bütün istifadəçiləri üçün qlobal konfiqurasiyaları və parametrləri saxlayır. Bu açar, aşağıdakı əsas funksiyaları yerinə yetirir:

  1. Sistem Konfiqurasiyası: Operativ sistemin və hardware komponentlərinin konfiqurasiyaları burada saxlanılır. Məsələn, sistemin quraşdırılmış proqramları, sürücülər və cihaz parametrləri.
  2. Proqram Qeydiyyatı: Quraşdırılmış proqramların məlumatları (nümunə olaraq, versiya, istehsalçı) burada qeyd olunur.
  3. Təhlükəsizlik və İcazələr: Sistem səviyyəsində təhlükəsizlik parametrləri və icazələr bu açarda saxlanılır, beləliklə bütün istifadəçilər üçün uyğun qaydalar müəyyən olunur.
  4. Hardware Məlumatları: Kompüterin hardware komponentləri (məsələn, CPU, RAM, disk sürücüləri) haqqında məlumatlar burada yer alır.

HKLM, sistemin düzgün işləməsi üçün vacib olan bir çox məlumatı ehtiva edir. Bu səbəbdən, qeyd defterindəki dəyişikliklər etməzdən əvvəl ehtiyat nüsxəsi yaratmaq tövsiyə olunur, çünki yanlış düzəlişlər sistemin sabitliyinə və funksionallığına təsir göstərə bilər.

 

 

HKEY_USERS (HKU), Windows qeyd defterinin bir hissəsidir və sistemdəki bütün istifadəçi profillərinə aid məlumatları saxlayır. Bu açar, hər bir istifadəçi üçün fərdi tənzimləmələri ehtiva edir. HKEY_USERS aşağıdakı əsas funksiyaları yerinə yetirir:

  1. İstifadəçi Profilləri: Hər bir istifadəçinin fərdi konfiqurasiyası burada saxlanılır. Bu, HKEY_CURRENT_USER (HKCU) açarına bənzəyir, lakin HKU bütün istifadəçilərin profillərini əhatə edir.
  2. Sistem Ayarları: İstifadəçilərin masaüstü, qrafik parametrləri və proqram tənzimləmələri bu açarda yer alır.
  3. Fərdi Tənzimləmələr: İstifadəçilərin fərdi proqram tənzimləmələri, adətən, onların UID (Unique Identifier) ilə qeyd olunur.

 

HKEY_CURRENT_CONFIG (HKCC), Windows qeyd defterinin bir hissəsidir və sistemin aktiv hardware konfiqurasiyası ilə bağlı məlumatları saxlayır. Bu açar, aşağıdakı əsas funksiyaları yerinə yetirir:

  1. Aktiv Hardware Konfiqurasiyası: Sistem açıldığında istifadə edilən hardware parametrləri burada qeyd olunur. Məsələn, monitorun, printerin və digər periferik cihazların parametrləri.
  2. Sürücü Məlumatları: Cihaz sürücüləri və onların parametrləri haqqında məlumatlar burada yer alır.
  3. Sistem Tənzimləmələri: Quraşdırılmış hardware komponentlərinin spesifik tənzimləmələri (məsələn, ekran qətnaməsi, səs kartı ayarları) HKCC-də saxlanılır.

HKCC, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current açarına istinad edir. Bu, sistemin cari hardware profilini və ona bağlı parametrləri əhatə edir.

Qeyd defterindəki dəyişikliklər etməzdən əvvəl ehtiyat nüsxəsi yaratmaq vacibdir, çünki yanlış düzəlişlər sistemin düzgün işləməsinə təsir göstərə bilər.

Registry-in İdarə Edilməsi

Registry(regedit) vasitəsilə istifadəçilər qeydiyyat açarlarını və dəyərlərini dəyişdirə, əlavə edə və silə bilərlər. Bu, sistem parametrlərini özəlləşdirmək, proqramların davranışını tənzimləmək və digər konfiqurasiya əməliyyatları üçün faydalıdır.

Registy yoxlamaq üçün

Qeydiyyat analizi, sistemdəki problemleri aşkar etmək və performansı artırmaq üçün vacibdir. Bunun üçün aşağıdakı alətlərdən istifadə edilə bilər:

  • RegScanner: Qeydiyyat axtarışı üçün istifadə edilən proqramdır.
  • CCleaner: Qeydiyyat təmizləmək və sistemin performansını artırmaq üçün istifadə edilə bilər.

Diqqət Ediləcək Məsələlər

  1. Backup: Qeydiyyat ilə hər hansı bir dəyişiklik etməzdən əvvəl ehtiyat nüsxə yaratmaq vacibdir.
  2. Dəyişikliklərə Diqqət: Yanlış dəyişikliklər sistemin işini poza bilər.
  3. Viruslar və Zərərli Proqramlar: Bəzi zərərli proqramlar qeydiyyatdan istifadə edərək sistemə ziyan vura bilər.

Yekun olaraq

Windows Qeydiyyatı, sistemin və proqramların düzgün işləməsi üçün kritik bir komponentdir. Onu anlamaq və düzgün idarə etmək, sistemin performansını artırmağa kömək edə bilər

Related Articles

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

Həmçinin bax
Close
Back to top button