Windows Registry (Windows Kayıt Defteri), işletim sistemi ve uygulamaların yapılandırma bilgilerini, kullanıcı tercihlerini ve çalışma durumlarını sakladığı merkezi bir veritabanıdır. Sistem davranışlarının neredeyse tamamı doğrudan ya da dolaylı olarak registry ile ilişkilidir. Bu nedenle dijital adli bilişim (DFIR) süreçlerinde registry, çoğu zaman başka hiçbir artefakta rastlanamayacak kritik ipuçlarını barındırır.
Registry üzerinden elde edilebilecek başlıca adli bilgiler; kullanıcı aktiviteleri (program çalıştırma, erişilen dosya ve klasörler, URL’ler), sistem yapılandırması (işletim sistemi bilgileri, hostname, timezone, ağ yapılandırması ve denetim politikaları), kurulu uygulamalar, takılan harici depolama aygıtları, kalıcılık (persistence) mekanizmaları ve zararlı yazılım izleridir. Bu yönüyle Windows Registry, bir olayın ne zaman, kim tarafından ve hangi bağlamda gerçekleştiğini anlamak için vazgeçilmez bir veri kaynağıdır.
Temel Kavramlar
Registry’ye Ait Temel Kavramlar
Registry’nin adli analiz açısından doğru yorumlanabilmesi için temel kavramların net biçimde anlaşılması gerekir.
Registry Dosyaları (REGF)
Registry verileri, REGF formatında ikili (binary) dosyalar halinde saklanır. Bu dosyalar registry’nin disk üzerindeki kalıcı hâlini temsil eder.Örnek:C:\Windows\System32\Config\SOFTWARE
Registry Hive
Hive, registry dosyalarının bellek üzerinde yüklenmiş (mounted) mantıksal görünümüdür. Diskte bulunan bir registry dosyası, belleğe alındığında ilgili HKLM veya HKU dalı altında görünür.Örneğin disk üzerindeki SYSTEM dosyası, bellekte HKLM\SYSTEM olarak temsil edilir.
Key, Subkey ve Value
Key ve subkey’ler klasör benzeri yapılardır ve hiyerarşik bir yapı oluşturur. Asıl veriler ise value’lar içinde tutulur. Her value; ad (Value Name), veri (Value Data) ve veri türü (Value Type) bileşenlerinden oluşur.
Last Write Time
Last Write Time, bir registry key’inin en son ne zaman değiştirildiğini gösteren zaman damgasıdır. Timeline analizlerinde kritik rol oynar; ancak yalnızca key seviyesinde tutulduğu, value bazlı kesin zaman bilgisi vermediği unutulmamalıdır.
Registry Verileri Nerede Bulunur?
Registry verileri hem bellek hem de disk üzerinde farklı katmanlarda bulunur.
Bellek (Memory)
Sistem açılışında sistem hive’ları, kullanıcı oturum açtığında ise kullanıcıya ait hive’lar belleğe yüklenir. Bellek görünümü registry’nin en güncel hâlidir; ancak yalnızca aktif kullanıcıların hive’larını içerir. Oturum açmamış kullanıcıların registry verileri bellekte yer almaz.
Disk Üzerinde (On-Disk)
Disk üzerindeki registry verileri tek bir dosya ile sınırlı değildir. Bir ana hive dosyası ve ona ait transaction log dosyaları birlikte çalışır. Offline adli analizlerde bu dosyaların tamamı birlikte değerlendirilmelidir.
Registry değişiklikleri önce bellekte yapılır, ardından transaction log dosyalarına yazılır ve en son aşamada ana hive dosyasına commit edilir.
Transaction Log Mekanizması
Registry değişiklikleri doğrudan ana hive dosyasına yazılmaz. Bunun yerine LOG1 ve LOG2 uzantılı transaction log dosyaları kullanılır. Bu mekanizma, sistem çökmesi veya ani kapanma durumlarında veri kaybını önlemek amacıyla tasarlanmıştır.
Bir hive “dirty” durumdaysa, yani bellek üzerindeki değişiklikler henüz ana hive dosyasına yazılmamışsa, asıl güncel veri transaction log dosyalarında bulunur. Bu nedenle yalnızca ana hive dosyasını incelemek, eksik ve hatalı analizlere yol açabilir.
Bellekten Yazılmadan Önce Log Nerede Tutulur?
Bellekten diske yazım öncesinde registry değişiklikleri, ilgili hive’a ait transaction log dosyalarında tutulur. Bu log dosyaları disk üzerindedir; RAM içinde ayrı bir log alanı bulunmaz.
Örnek konumlar:
SYSTEM hive
C:\Windows\System32\Config\SYSTEM
C:\Windows\System32\Config\SYSTEM.LOG1
C:\Windows\System32\Config\SYSTEM.LOG2
SOFTWARE hive
C:\Windows\System32\Config\SOFTWARE
C:\Windows\System32\Config\SOFTWARE.LOG1
C:\Windows\System32\Config\SOFTWARE.LOG2
NTUSER.DAT
C:\Users\kullanıcı\NTUSER.DAT
C:\Users\kullanıcı\NTUSER.DAT.LOG1
C:\Users\kullanıcı\NTUSER.DAT.LOG2
Registry Verilerinin Katmanlı Yapısı
Registry verileri üç temel katmanda değerlendirilmelidir:
Bellek (Memory): En güncel veriyi içerir, ancak yalnızca yüklü hive’lar görünür.
Disk – Ana Hive Dosyaları: Kalıcı registry verisinin büyük kısmını barındırır ve offline analizlerin temelini oluşturur.
Disk – Transaction Log Dosyaları: Henüz commit edilmemiş son değişiklikleri içerir ve olay zaman çizelgesi için kritik önemdedir.
Bu katmanlardan herhangi birinin göz ardı edilmesi, analiz sonuçlarının eksik kalmasına neden olur.
Yüksek Değerli Registry Hive’ları
HKLM\SYSTEM, sistem ve donanım yapılandırmasının merkezidir. Servisler, sürücüler, USB ve depolama aygıt geçmişi, zaman dilimi, bilgisayar adı, ağ arayüzleri, ShimCache ve BAM/DAM verileri bu hive altında bulunur.
HKLM\SOFTWARE, sistem genelinde kurulu uygulamaları ve yapılandırmaları içerir. Autorun kayıtları, scheduled task tanımları, ağ profilleri, işletim sistemi sürüm bilgileri ve kullanıcı SID–profil eşleşmeleri bu hive’dan elde edilir.
NTUSER.DAT, kullanıcı bazlı aktivitelerin ana kaynağıdır. UserAssist, RunMRU, OpenSaveMRU, TypedPaths ve MountPoints2 gibi kullanıcı davranışlarını yansıtan artefaktlar burada yer alır.
UsrClass.dat, kullanıcının shell ve Explorer aktivitelerine odaklanır. Shellbags ve MUICache verileri bu dosya üzerinden analiz edilir.
Amcache.hve, Windows registry ağacına mount edilmez; ancak REGF formatındadır. Uygulama ve sürücü kurulumları ile PE dosyalarına ait hash ve header bilgileri içerir ve dosya varlığına dair güçlü kanıtlar sunar.
Windows Registry, tek başına kesin hükümler vermese de disk, bellek ve diğer adli artefaktlarla birlikte değerlendirildiğinde bir sistemde ne yaşandığını en sessiz ama en tutarlı şekilde ortaya koyan temel adli veri kaynaklarından biridir.
