Windows PowerShell, cmdlet adı verilen küçük programları kullanan komut dosyası dili özelliklerine sahip etkileşimli bir nesne yönelimli komut ortamıdır. Bu platform, IT profesyonellerine ve sistem yöneticilerine geniş bir kontrol sağlayarak otomasyon ve görev yönetimi konularında güçlü bir çözüm sunar. Ancak, özellikle güvenlik açısından, PowerShell geçmişinin analizi önem arz etmektedir.
Sistemlere izinsiz erişim sağlayan saldırganların, hacklenmiş Windows sistemlerinde bıraktığı izlerin analizi, güvenlik profesyonelleri için kritik bir görevdir. Bu kapsamda, PowerShell geçmişinin incelenmesi, saldırganın gerçekleştirdiği komutları belirlemede önemli ipuçları sağlar. Bu makalede, PowerShell geçmiş dosyasının nasıl ulaşılacağını ve bu geçmişin nasıl analiz edileceğini detaylı bir şekilde ele alacağız.
Analiz süreci sırasında, geçmişte çalıştırılan komutların incelenmesi, sisteme yapılan müdahalelerin doğası hakkında bilgi edinmemizi sağlar. Böylece, güvenlik uzmanları, sistemi güçlendirmek ve benzer saldırıları önlemek için gerekli tedbirleri alabilirler. PowerShell geçmiş analizi, bilgi güvenliği alanında etkili bir savunma stratejisi oluşturmak isteyenler için vazgeçilmez bir araçtır.
Şimdi, PowerShell geçmiş dosyasına nasıl erişildiğine dair yöntemlere odaklanarak konumuza derinlemesine giriş yapalım.
“C:\Users\Ozturk\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\”
Yukarıdaki dizine gittiğimizde karşımıza “ConsoleHost_history.txt” isimli bir text dosyası
çıkıyor.
Dosyayı herhangi bir text editör ile açtığımızda ise aşağıdaki gibi powershell üzerinde çalıştırılan geçmiş komutları burada görüntüleyebiliyoruz. Daha önceden test amaçlı çalıştırmış olduğum komutlar ekteki gibidir.