Merhaba arkadaşlar, bu videoda sizlere herhangi bir program çalıştırmanın ya da bir yazılım kurmanın ardından Windows kayıt defteri yani regedit üzerinde nasıl izler bıraktığını göstereceğim. Bu izler sayesinde sistemde arka planda neler olup bittiğini, hangi uygulamaların nereye müdahale ettiğini, özellikle de bir saldırgan sistemde kalıcılık sağlamak istiyorsa bunu hangi yollarla yapabileceğini göreceksiniz.
Windows işletim sisteminin temel yapı taşlarından biri olan kayıt defteri, sistemin adeta beynidir. Kullanıcı ayarları, program davranışları, sistem politikaları ve daha birçok detay burada tutulur. Özellikle “Run” anahtarları gibi bazı bölümler, sistem başlangıcında otomatik olarak çalıştırılacak programların listesini barındırır. Yani bir uygulama kendisini bu anahtarlardan birine eklerse, sistem her açıldığında otomatik olarak o uygulama da çalışır. Bir saldırganın sistemde kalıcı hale gelmek için başvuracağı ilk yöntemlerden biri işte budur.
Bu vb. değişiklikleri gözlemleyebilmek için kullanacağımız araç: Regshot. Regshot, sistemin kayıt defteri yapısını bir anlık görüntü (snapshot) olarak alır. Daha sonra sistemde bir işlem yaptıktan sonra ikinci bir görüntü alınır ve bu iki yapı karşılaştırılarak nelerin değiştiği net bir şekilde ortaya konur. Bu sayede bir yazılımın ya da komut dosyasının sistemde ne gibi değişikliklere neden olduğunu görebiliriz.