Windows da Yapılan Eski İşlemlerin Kayıtlarına Nasıl bakılır?
Bilgisayarımızda yapmış olduğunuz tüm işlemler belirli girdilerle kayıt altına alınır. Bir sorun olduğunda sistem yöneticilerinin ihtiyaç duyduğu yada özellikle bilgisayardan anlayanların çevresindekilere ne oldu diye sorduklarında "Ben hiç bir şey yapmadım kendi kendine bozuldu" diye mazeret üretenlere karşı bu kayıtları açmak ve neler yapıldığına bakmak hatanın nereden kaynaklandığını anlamak ve çözüm yolu bulmak bakımından önem teşkil etmektedir.Bilgisayarda Yapılan Son İşlemler ve Dosya Kayıtlarının İncelenmesi
Kısaca Windows'un "sevgili günlük" sayfalarına nasıl bakılır ?
1.) Bilgisayar Format Tarihini Öğrenmek
Bilgisayara en son format atılma tarihini öğrenmek için
cmd ile komut istemcisini açıp
systeminfo | find /i "original"
Komutunu enter'lediğimizde işletim sistemi yükleme tarihini (Original İnstall Date) verir.
2.) Son Yüklenen Programlara Bakmak
Yüklenmiş programları tarih sırasına göre sıralama yaparak, hangi programların hangi tarih de yüklendiğini öğrenebiliriz.
Denetim Masası > Programlar > Program Kaldır
3.) Son Kullanılan Ögelere Bakmak
Bilgisayarda kullanılmış son dosya ve klasörlere kolayca ulaşabiliriz.
C: > Admin > AppData > Roaming > Microsoft > Windows > Son Kullanılan Ögeler
Yada
Arama alanına
%appdata%\Microsoft\Windows\Recent
Yolunu izleyerek bilgisayarda kullanılmış dosya ve klasörlere bakabiliriz.
4.) Tarayıcı Geçmişine Bakmak
Kullanılan internet tarayıcısının geçmiş dosyasına bakılır. Örneğin Google Chrome da
Ayarlar > Geçmiş
Yolu izlenir.
5.) Silinmiş Dosya, Klasör veya Çalıştırılan Programların Kalıntılarını Taramak
Bilgisayardan silinmiş her şey ardında bir log kaydı ve artık bırakır , eğer bu kayıtlar silinmemiş ise buradan tarih bilgisi ile ulaşılabilinir.
Bilgisayar > Yerel disk (C:) > ProgramData / Program Files / Program Dosyaları
Bilgisayar > Yerel disk (C:) > Kullanıcılar > "Admin" > AppData > Local / LocalLow / Roaming
Bilgisayar > Yerel disk (C:) > Windows > Prefetch
6.) Kayıt Defteri Girdilerini Taramak
Bilgisayardan silinmiş her şey kayıt defterinde kök dizinde sıralanır , eğer bu kayıtlar silinmemiş ise buradan tarih bilgisi ile ulaşılabilinir.
Win+r > "regedit" > Bilgisayarım > HKEY_CURRENT_USER > Software
Win+r > "regedit" > Bilgisayarım > HKEY_LOCAL_MACHINE > Software
Win+r > "regedit" > Bilgisayarım > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Versiyon > Uninstall
Win+r > "regedit" > Bilgisayarım > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Versiyon > Run / RunOnce
7.) Performans Kontrolü Yapmak
Bilgisayarımızın performans sağlığında oluşmuş hataların neler olduğunu öğrenebiliriz
Win+r > "perfmon /report"
8.) Güvenilirlik İzleyicisi İle Sorun Geçmişine Bakmak
Windows'un karşılaştığı hata ve sorunlara bir zaman çizelgesinde görebiliriz.
Win+r > "perfmon /rel"
9.) Sorun Raporlarını Görüntülemek
Arama alanına Sorun Rapor yazdığımızda
Windows sorun raporları bölümüne ulaşırız . Burada bize bilgisayarımızda oluşmuş sorunları gösterir. Sorunların üzerine çift tıklayarak ayrıntıları öğrenebiliriz.
10.) Bilgisayarın Açılış Kapanış Saatlerini Öğrenmek
Bilgisayarın format atıldığı zamandan itibaren tüm açılış ve kapanış saatlerine kolayca ulaşabiliriz.
Olay Görüntüleyici > Windows Günlükleri > Sistem > Bul > 6005 / 6006
6005 - Bilgisayar açılış zamanı
6006 - Bilgisayar kapanış zamanı
11.) Olay Görüntüleyicisi Kullanımı
Bilgisayarımızda gerçekleşen tüm yazılımsal ve donanımsal günlüklerinin kayıtlarının tutulduğu yerdir.
- Event Log (Olay Günlüğü) Nedir ?
Windows sistemlerde log kayıtlarının tutulduğu yere Olay Günlükleri (Event log) denir. Bir işletim sistemi çalışırken arka planda birçok işlem gerçekleşir. Sistem üzerinde gerçekleşen bu işlemler bilgisayar günlüğünde kayıt altına alınır. Olay günlüğü kayıt değerleri; Event ID (Etkinlik Kimliği) olarak tanımlayabiliriz.
- Önemli Olay Kimliklerinden Bazıları
1102 – Denetim kaydı temizlendi.
(Sisteminizde audit log silindiğinde ilk oluşan log'dur ve oldukça önemlidir. Önemli olmasının en etkin sebebi ise istisnai durumlar dışında silinme ihtimalinin olmamasıdır. Böyle bir log kaydının düşmesi sisteme birinin sızmış olabileceğini sonrasında ise iz bırakmamak için logları silmiş olabileceğini düşündürebilir.)
4624 – Başarılı Login
4625 – Başarısız Login
4672 – Admin Hesabı Logini
4634 , 4647 – Başarılı Logoff
4771 – Etki alanında ön kimlik doğrulama başarısız oldu
4768 – Kerberos Ticket istemi
4776 – Etki alanında başarılı ya da başarısız login
7034 – Servis beklenmedik bir şekilde çöktü
7035 – Servis, başlatma veya durdurma komutu gönderdi
7036 – Servis durdu veya başladı
7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
5140 – Ağ paylaşımı planlandı
4778 – RDP oturum isteği
4779 – RDP oturumu kapandı
Listenin tamamına
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
adresinden ulaşabilirsiniz.
- Olay Günlüklerinin Depolanması
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Şeklinde olur.
Bonus-) Yardımcı Programlar Kullanmak
* UserAssistView
Bu yardımcı program, Kayıt Defteri'ndeki HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist anahtarı altında saklanan tüm UserAssist girişlerinin listesini çözer ve görüntüler. UserAssist anahtarı, sık sık açtığınız exe dosyaları ve bağlantılar hakkında bilgi içerir.
http://www.nirsoft.net/utils/userassist_view.html
* Last Changed Files
Bu yardımcı program, sabit diskinizdeki veya birden çok alt dizindeki değiştirilmiş dosyayı bulur. Dosyalardaki dosya adı, tam klasör yolu, dosya boyutu ve son değişikliğin tarihi bilgilerini size verir.
https://www.file.net/freeware/last-changed-files.html
* CrystalDiskInfo
Sabit Diskinizin çalışmaya başladığı ilk günden itibaren toplam kaç saat çalıştığını gösteren faydalı bir program.
https://crystalmark.info/en/download/#CrystalDiskInfo
* TurnedOnTimesView
Bilgisayarınızın açılış - kapanış zamanlarını görüntülemenizi sağlayan Nirsoft'dan bir program.
https://www.nirsoft.net/utils/computer_turned_on_times.html
* WinLogOnView
Bilgisayarınızın açılış - kapanış zamanlarını görüntülemenizi sağlayan yine Nirsoft'dan başka bir program.
https://www.nirsoft.net/utils/windows_log_on_times_view.html
...
Daha derinlere inilerek de araştırma yapılabilinir, bu yolların dışında program kurularak kayıt alınabilinir , tabi ki bu kayıtların hepsi uzman kullanıcılar tarafından kolayca silinebilinir.
Zaten o seviyede bir kullanıcı ise ne yaptığını araştırmak yerine ondan bir şeyler öğrenmeye çalışın :)
efsane blogtan yine efsane bir paylaşım
YanıtlaSilTeşekkürler :)
Sil