Kayıt Defteri Kurtarma İşlemleri

P

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112

Silinen Registry Kurtarma İşlemi


Herkesi selamlayarak fazla uzatmadan konuma geçiş yapacağım.

Anti Forensics işlemlerinden birinde kullanılan registry anahtarlarının delete edilmesi çoğu zaman söz konusu olabilir.

Yahut istenmeden delete durumu da yaşanabilir.

Tabii ki bu anahtarlar üzerinde kurtarma işlemi yapabiliriz.

Bahsettiğim anahtarlar kayıt defteri anahtarlarıdır.

Uzmanlar bu işlemi daha çok Adli vakaların aydınlatılması durumunda kullanırlar.


Kurtarma işlemi için YARU isimli programdan yardım alacağız.
Kurulumunu bırakacağım linkten basitçe yapabilirsiniz.

Kod: 
https://yet-another-registry-utility.softag.com

İndirme işlemini tamamladıktan sonra YARU'yu administrator olarak başlatalım.
File yani dosya bölümünden almış olduğumuz anahtarı inceleme için seçeceğiz.


Görselde belirttiğim gibi ilerliyoruz.


jmu4rhs.png



Seçtiğimiz anahtarı ilerlettiğimizde kısa bir inceleme süreci gerçekleşir.

İnceleme bittikten sonra anahtar kayıtlarında olduğu şekilde delete edilmiş ya da hali hazırda bulunan anahtarları göreceğiz.


aijyjwg.png


Daha sonra YARU'nun bulmuş olduğu delete edilen anahtarları göreceğiz.

Bunların yeniden aktif olabilmesi için aktarma işlemi yapacağız.


dts18c2.png


Yukarıda verdiğim görselde delete edilmiş usb disk verileri var.

Yeniden aktif etmek için export keys to file'ye tıklıyoruz.

jtdgl07.png



Daha sonra aktif olacağı yeri seçeceğiz ve tekrardan adlandıracağız.

Adlandırma işlemini yaparken .reg bağlantısı içeren bir ad vereceğiz ki açtığımızda tekrardan anahtar kaydı olması için.

d5ipjp7.png



5yfmv1u.png


Malware İle Anahtar Analizi


Malware trojan yürütüp anahtar kayıtlarına göz atacağız bu bölümde.

Daha doğrusu kullandığımız malware'nin hedefini öğrenmeyi amaçlayacağız.

Tabii ki bu incelemeden önce yapmamız gereken ufak bir işlem var.

Şimdi ona geçiyoruz.

Regshot adlı yazılımı kuruyoruz.

Regshot'u open source olduğu için seçtim, kullananların içinin rahat olması açısından önemli diye düşünüyorum.

Malware'yi yürütmeden önce anahtar kayıtlarını alabilmek için indirdiğimiz yazılımı başlatıyoruz.

Görselde vereceğim şekilde Shot ile anahtar kayıtlarını kaydedeceğiz.

bh6z042.png


Ardından malware'yi yürüttük, yürütülürken sessiz ve kendini belli etmeyecek şekilde arka planda işlemlerini yapıyor.

Bir kaç saniye sonra Regshot'a geçiş yapalım.

İkinci shot kısmına tıklıyoruz, görseli bırakıyorum.

plt3gry.png


Tıkladıktan sonra inceleme yapmasını bekliyoruz, inceleme bitince yine görselini vereceğim yere tıklayalım.

dn6ljy1.png


Buradan sonra bizlere değiştirilmiş olan anahtar kayıtlarını listelenmiş halde veriyor.

Okuyanlara teşekkür ederim.
 
Crosslightxp

Crosslightxp

Katılımcı Üye
26 Eyl 2021
590
221
19
Fransa
'PedroDavis' Alıntı:

Silinen Registry Kurtarma İşlemi


Herkesi selamlayarak fazla uzatmadan konuma geçiş yapacağım.

Anti Forensics işlemlerinden birinde kullanılan registry anahtarlarının delete edilmesi çoğu zaman söz konusu olabilir.

Yahut istenmeden delete durumu da yaşanabilir.

Tabii ki bu anahtarlar üzerinde kurtarma işlemi yapabiliriz.

Bahsettiğim anahtarlar kayıt defteri anahtarlarıdır.

Uzmanlar bu işlemi daha çok Adli vakaların aydınlatılması durumunda kullanırlar.


Kurtarma işlemi için YARU isimli programdan yardım alacağız.
Kurulumunu bırakacağım linkten basitçe yapabilirsiniz.

Kod: 
https://yet-another-registry-utility.softag.com

İndirme işlemini tamamladıktan sonra YARU'yu administrator olarak başlatalım.
File yani dosya bölümünden almış olduğumuz anahtarı inceleme için seçeceğiz.


Görselde belirttiğim gibi ilerliyoruz.


jmu4rhs.png



Seçtiğimiz anahtarı ilerlettiğimizde kısa bir inceleme süreci gerçekleşir.

İnceleme bittikten sonra anahtar kayıtlarında olduğu şekilde delete edilmiş ya da hali hazırda bulunan anahtarları göreceğiz.


aijyjwg.png


Daha sonra YARU'nun bulmuş olduğu delete edilen anahtarları göreceğiz.

Bunların yeniden aktif olabilmesi için aktarma işlemi yapacağız.


dts18c2.png


Yukarıda verdiğim görselde delete edilmiş usb disk verileri var.

Yeniden aktif etmek için export keys to file'ye tıklıyoruz.

jtdgl07.png



Daha sonra aktif olacağı yeri seçeceğiz ve tekrardan adlandıracağız.

Adlandırma işlemini yaparken .reg bağlantısı içeren bir ad vereceğiz ki açtığımızda tekrardan anahtar kaydı olması için.

d5ipjp7.png



5yfmv1u.png


Malware İle Anahtar Analizi


Malware trojan yürütüp anahtar kayıtlarına göz atacağız bu bölümde.

Daha doğrusu kullandığımız malware'nin hedefini öğrenmeyi amaçlayacağız.

Tabii ki bu incelemeden önce yapmamız gereken ufak bir işlem var.

Şimdi ona geçiyoruz.

Regshot adlı yazılımı kuruyoruz.

Regshot'u open source olduğu için seçtim, kullananların içinin rahat olması açısından önemli diye düşünüyorum.

Malware'yi yürütmeden önce anahtar kayıtlarını alabilmek için indirdiğimiz yazılımı başlatıyoruz.

Görselde vereceğim şekilde Shot ile anahtar kayıtlarını kaydedeceğiz.

bh6z042.png


Ardından malware'yi yürüttük, yürütülürken sessiz ve kendini belli etmeyecek şekilde arka planda işlemlerini yapıyor.

Bir kaç saniye sonra Regshot'a geçiş yapalım.

İkinci shot kısmına tıklıyoruz, görseli bırakıyorum.

plt3gry.png


Tıkladıktan sonra inceleme yapmasını bekliyoruz, inceleme bitince yine görselini vereceğim yere tıklayalım.

dn6ljy1.png


Buradan sonra bizlere değiştirilmiş olan anahtar kayıtlarını listelenmiş halde veriyor.

Okuyanlara teşekkür ederim.
Genişletmek için tıkla ...
Elinize emeğinize sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.