Bu hafta çevrimiçi olarak paylaşıldı ve PowerShell'i zaman içinde Windows kayıt defterindeki değişiklikleri izlemek için nasıl kullanabileceğinizi gösterdi.
Windows güncellemeleri, uygulama yüklemeleri, değişiklik ayarları ve kötü amaçlı yazılımlar sürekli olarak Windows kayıt defterinde değişiklikler yaparken, bu mod, neyin değiştirildiğini hızlı bir şekilde tespit etmenize, sorunları teşhis etmenize, kötü niyetli girişleri kaldırmanıza ve hangi ayarların değiştirildiğini görmenize olanak tanır.
Bu hafta, Popüler Güvenlik ve Teknoloji Twitter hesabı Swiftonsority, varsayılan olarak oluşturulmayan tüm kayıt defteri girişlerini görüntüleyecek bir Windows Kayıt Defteri Düzenleyici Modu'nu nasıl görmek isteyeceklerini tweetledi.
Swift'in Tweet'ine yanıt olarak, Microsoft'un Azure Security'deki ana güvenlik mimarı Lee Holmes, PowerShell'de benzer bir şey yapabileceğinize dair bir örnek tweetledi.
Holmes'un örneği, mevcut tüm Windows kayıt defteri anahtarlarını listelemek ve bunları $ anlık bir değişkente saklamak için PowerShell'i nasıl kullanabileceğinizi gösterir. Ardından, daha sonraki bir noktada, geçerli kayıt defteri anahtarlarının bir anlık görüntüsünü oluşturur ve bunları $ current değişkeninde saklarsınız.
Örnek daha sonra ilk anlık görüntüsünü aldığınızdan beri hangi kayıt defteri anahtarlarının eklendiğini belirlemek için bu değişkenlerin içeriğini karşılaştırır.
Bu tam olarak Swift'in aradığı şey olmasa da, bizi yeni bir Windows yüklemesi ile başlayan kayıt defteri değişikliklerini nasıl izleyebileceğiniz veya mevcut Windows kurulumunuzda en azından bir zaman noktasını doğru yönde gösteriyor.
Ayrıca, Holmes örneği, bir cihaz yeniden başlatıldığında kaldırılacak değişkenler kullandığından, aşağıda nasıl yapılacağını açıkladığımız kayıt defteri anlık görüntülerinizi dosyalarda daha sonra karşılamak için saklamak daha iyidir.
Holmes'un örneğini kullanarak BleepingComputer, Windows kayıt defteri anlık görüntülerini kaydetmenin diğer yollarıyla oynadı ve anlık görüntüleri bir dosyaya kaydetmek için Holmes'un örneğini değiştirmenin en büyük çok yönlülüğü sağladığını buldu.
Dosyaları kullanarak, sonraki anlık görüntülerle karşılaştırılacak zaman içinde çeşitli noktalarda anlık görüntüler oluşturabilirsiniz. Dosyalarla, bunları diğer cihazlarda oluşturulan kayıt defteri anlık görüntüleriyle de karşılaştırabilirsiniz.
Başlamak için, gelecekteki anlık görüntülerle karşılaştıracağınız mevcut HKLM ve HKCU kayıt defteri anahtarlarının temel bir görüntüsünü oluşturmanız gerekir. İdeal olarak, ancak gerekli değil, pencereleri yükledikten hemen sonra bu temel anlık görüntüleri oluşturacaksınız.
Temel Windows Kayıt Defteri Anlık Görüntüleri oluşturmak için, tüm kayıt defteri anahtarlarına erişebildiğinizden emin olmak için Windows PowerShell (Admin) isteminde aşağıdaki PowerShell komutlarını yürütürsünüz:
Bu komutlar, geçerli klasörde bas-hklm.txt ve bas-hkcu.txt anlık görüntü dosyalarını yapar.
BleepingComputer'ın Windows 11 ve Windows 10'un yeni yüklü sürümleri üzerindeki testlerinde, bu anlık görüntüler aşağıdaki boyutlara sahiptir:
Windows 11 Kayıt Defteri Anlık Görüntüleri:
Windows 10 Kayıt Defteri Anlık Görüntüleri:
Temel anlık görüntülerinizi oluşturduktan sonra, artık programları yükleyebilir veya bilgisayarınızı her zamanki gibi kullanabilirsiniz.
Bir süre sonra, geçerli Windows kayıt defterini temel anlık görüntülerinizle karşılaştırmak istiyorsanız, bu komutları bir Yönetici PowerShell isteminde kullanarak yeni anlık görüntüler oluşturabilirsiniz:
Not: Yukarıdaki komutlar, anlık görüntünün ne zaman oluşturulduğunu belirleyebilmeniz için tarihi geçerli anlık görüntü dosya adlarına ekler.
Artık hem temel anlık görüntüler hem de güncel anlık görüntüler oluşturduğunuza göre, bunları aşağıdaki PowerShell komutunu kullanarak karşılaştırabilirsiniz:
Karşılaştırma nesnesi komutu, temel anlık görüntüsünü geçerli anlık görüntü ile karşılaştıracak ve aşağıda görülebileceği gibi değiştirilenleri görüntüleyecektir. SideIndicator sütunu, hangi dosyanın değişikliği içerdiğini gösterir.
Bu yöntemin yalnızca Windows kayıt defteri anahtarlarını karşılaştırdığı ve Windows ayarları ve kötü amaçlı yazılımlarla yaygın olarak değiştirilen değerlerini karşılaştırmadığı belirtilmelidir.
Dışa aktarma değerleri de anlık görüntülerinizin boyutunu önemli ölçüde artıracak ve bunları düzgün bir şekilde karşılaştırmak için daha karmaşık bir komut dosyası gerektirecektir. Örneğin, yeni bir Windows 10 kurulumundaki kayıt defteri değerlerine sahip temel HKCU anlık görüntüsü 1.45 MB'den 11,6 MB'a, 8x kat değişim.
Bununla birlikte, kayıt defteri anahtarlarının karşılaştırılması, yöneticilerin yönettikleri cihazlardaki sorunları daha iyi gidermek için otomatikleştirebileceği yararlı bir araçtır.
Google Play eklemek için Windows 11 Aracı gizlice yüklü kötü amaçlı yazılım
Microsoft: Windows AutoPatch Salı günleri Yama'dan 'Eğlenceyi' çalıyor
Microsoft: Windows 7 Kurtarma Uygulaması Ocak güncellemelerinden sonra başarısız olur
Microsoft Mart 2022 Patch Salı günü 71 kusur, 3 sıfır gün düzeltmesi
Windows 'RemotePotato0' Zero-Day resmi olmayan bir yama alır
Kaynak: Bleeping Computer