Bilgisayarın Geçmiş Tarihli İşlemlerini Öğrenmek

Windows da Yapılan Eski İşlemlerin Kayıtlarına Bakmak

Bilgisayarımızda yapmış olduğunuz tüm işlemler belirli girdilerle kayıt altına alınır. Bir sorun olduğunda sistem yöneticilerinin ihtiyaç duyduğu yada özellikle bilgisayardan anlayanların çevresindekilere ne oldu diye sorduklarında "Ben hiç bir şey yapmadım kendi kendine bozuldu" diye mazeret üretenlere karşı bu kayıtları açmak ve neler yapıldığına bakmak hatanın nereden kaynaklandığını anlamak ve çözüm yolu bulmak bakımından önem teşkil etmektedir.



Bilgisayarda Yapılan Son İşlemler ve Dosya Kayıtlarının İncelenmesi

Kısaca Windows'un "sevgili günlük" sayfalarına nasıl bakılır ?


1-) Bilgisayar Format Tarihini Öğrenmek

Bilgisayara en son format atılma tarihini öğrenmek için

cmd ile komut istemcisini açıp

systeminfo | find /i "original"

Komutunu enter'lediğimizde işletim sistemi yükleme tarihini (Original İnstall Date) verir.




2-) Son Yüklenen Programlara Bakmak

Yüklenmiş programları tarih sırasına göre sıralama yaparak, hangi programların hangi tarih de yüklendiğini öğrenebiliriz.

Denetim Masası > Programlar > Program Kaldır



3-) Son Kullanılan Ögelere Bakmak 

Bilgisayarda kullanılmış son dosya ve klasörlere kolayca ulaşabiliriz.

C: > Admin > AppData > Roaming > Microsoft > Windows > Son Kullanılan Ögeler

Yada

Arama alanına

%appdata%\Microsoft\Windows\Recent

Yolunu izleyerek bilgisayarda kullanılmış dosya ve klasörlere bakabiliriz.



4-) Tarayıcı Geçmişine Bakmak

Kullanılan internet tarayıcısının geçmiş dosyasına bakılır. Örneğin Google Chrome da

Ayarlar > Geçmiş
Yolu izlenir.


5-) Silinmiş Dosya, Klasör veya Çalıştırılan Programların Kalıntılarını Taramak

Bilgisayardan silinmiş her şey ardında bir log kaydı ve artık bırakır , eğer bu kayıtlar silinmemiş ise buradan tarih bilgisi ile ulaşılabilinir.

Bilgisayar > Yerel disk (C:) > ProgramData / Program Files / Program Dosyaları

Bilgisayar > Yerel disk (C:) > Kullanıcılar > "Admin" > AppData > Local /  LocalLow /  Roaming

Bilgisayar > Yerel disk (C:) > Windows > Prefetch


6-) Kayıt Defteri Girdilerini Taramak

Bilgisayardan silinmiş her şey kayıt defterinde kök dizinde sıralanır , eğer bu kayıtlar silinmemiş ise buradan tarih bilgisi ile ulaşılabilinir.


Win+r > "regedit"  > Bilgisayarım > HKEY_CURRENT_USER > Software 

Win+r > "regedit"  > Bilgisayarım > HKEY_LOCAL_MACHINE > Software 

Win+r > "regedit"  > Bilgisayarım > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Versiyon > Uninstall 

Win+r > "regedit"  > Bilgisayarım > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Versiyon > Run / RunOnce


7-) Performans Kontrolü Yapmak

Bilgisayarımızın performans sağlığında oluşmuş hataların neler olduğunu öğrenebiliriz

Win+r > "perfmon /report"  



8-) Güvenilirlik İzleyicisi İle Sorun Geçmişine Bakmak

Windows'un karşılaştığı hata ve sorunlara bir zaman çizelgesinde görebiliriz.

Win+r > "perfmon /rel"  




9-) Sorun Raporlarını Görüntülemek

Arama alanına Sorun Rapor yazdığımızda
Windows sorun raporları bölümüne ulaşırız . Burada bize bilgisayarımızda oluşmuş sorunları gösterir. Sorunların üzerine çift tıklayarak ayrıntıları öğrenebiliriz.




10-) Bilgisayarın Açılış Kapanış Saatlerini Öğrenmek

Bilgisayarın format atıldığı zamandan itibaren tüm açılış ve kapanış saatlerine kolayca ulaşabiliriz.

Olay Görüntüleyici > Windows Günlükleri > Sistem > Bul > 6005 / 6006

6005 - Bilgisayar açılış zamanı
6006 - Bilgisayar kapanış zamanı




11-) Olay Görüntüleyicisi Kullanımı

Bilgisayarımızda gerçekleşen tüm yazılımsal ve donanımsal günlüklerinin kayıtlarının tutulduğu yerdir.

- Event Log (Olay Günlüğü) Nedir ?

Windows sistemlerde log kayıtlarının tutulduğu yere Olay Günlükleri (Event log) denir. Bir işletim sistemi çalışırken arka planda birçok işlem gerçekleşir. Sistem üzerinde gerçekleşen bu işlemler bilgisayar günlüğünde kayıt altına alınır. Olay günlüğü kayıt değerleri; Event ID (Etkinlik Kimliği) olarak tanımlayabiliriz.

- Önemli Olay Kimliklerinden Bazıları

1102 – Denetim kaydı temizlendi.
(Sisteminizde audit log silindiğinde ilk oluşan log'dur ve oldukça önemlidir. Önemli olmasının en etkin sebebi ise istisnai durumlar dışında silinme ihtimalinin olmamasıdır. Böyle bir log kaydının düşmesi sisteme birinin sızmış olabileceğini sonrasında ise iz bırakmamak için logları silmiş olabileceğini düşündürebilir.)

4624 – Başarılı Login
4625 – Başarısız Login
4672 – Admin Hesabı Logini
4634 , 4647 – Başarılı Logoff
4771 – Etki alanında ön kimlik doğrulama başarısız oldu
4768 – Kerberos Ticket istemi
4776 – Etki alanında başarılı ya da başarısız login
7034 – Servis beklenmedik bir şekilde çöktü
7035 – Servis, başlatma veya durdurma komutu gönderdi
7036 – Servis durdu veya başladı
7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
5140 – Ağ paylaşımı planlandı
4778 – RDP oturum isteği
4779 – RDP oturumu kapandı

Listenin tamamına
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
adresinden ulaşabilirsiniz.

- Olay Günlüklerinin Depolanması

HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

Şeklinde olur.


Bonus-) Yardımcı Programlar Kullanmak

- UserAssistView

Bu yardımcı program, Kayıt Defteri'ndeki HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist anahtarı altında saklanan tüm UserAssist girişlerinin listesini çözer ve görüntüler. UserAssist anahtarı, sık sık açtığınız exe dosyaları ve bağlantılar hakkında bilgi içerir.

http://www.nirsoft.net/utils/userassist_view.html


- Last Changed Files

Bu yardımcı program, sabit diskinizdeki veya birden çok alt dizindeki değiştirilmiş dosyayı bulur. Dosyalardaki dosya adı, tam klasör yolu, dosya boyutu ve son değişikliğin tarihi bilgilerini size verir.

https://www.file.net/freeware/last-changed-files.html


- CrystalDiskInfo

Sabit Diskinizin çalışmaya başladığı ilk günden itibaren toplam kaç saat çalıştığını gösteren faydalı bir program.

https://crystalmark.info/en/download/#CrystalDiskInfo
...


Daha derinlere inilerek de araştırma yapılabilinir, bu yolların dışında program kurularak kayıt alınabilinir , tabi ki bu kayıtların hepsi uzman kullanıcılar tarafından kolayca silinebilinir.
 Zaten o seviyede bir kullanıcı ise ne yaptığını araştırmak yerine ondan bir şeyler öğrenmeye çalışın :)




2 yorum: