Perşembe, Mart 20, 2025
Ana SayfaYazılarAdli BilişimRecentFileCache Analizi: Windows'ta Kullanıcı Etkinliklerini İzlemek için Önemli Bir Kaynak
Adli BilişimWindowsSiber Güvenlik

RecentFileCache Analizi: Windows’ta Kullanıcı Etkinliklerini İzlemek için Önemli Bir Kaynak

Onur Atalı
Yazar: Onur Atalı
0
21

RecentFileCache Analizi: Windows’ta Kullanıcı Etkinliklerini İzlemek için Önemli Bir Kaynak

Windows işletim sistemleri, kullanıcı deneyimini artırmak ve dosya erişimlerini hızlandırmak amacıyla çeşitli önbellek mekanizmaları kullanır. Bu mekanizmalardan biri de RecentFileCache olarak bilinen yapıdır. RecentFileCache, kullanıcıların son zamanlarda açtığı dosyaların ve klasörlerin bilgilerini saklar. Bu veriler, hem kullanıcıların hızlı erişim ihtiyaçlarını karşılamak hem de adli bilişim araştırmalarında değerli ipuçları elde etmek için kullanılır. Bu makalede, RecentFileCache’in ne olduğunu, nasıl çalıştığını, analiz yöntemlerini ve bu verilerin neden önemli olduğunu detaylı bir şekilde inceleyeceğiz.

1. RecentFileCache Nedir?

RecentFileCache, Windows’un “Son Kullanılan Dosyalar” (Recent Files) özelliğini desteklemek için oluşturduğu bir önbellek dosyasıdır. Bu dosya, kullanıcıların son zamanlarda açtığı dosyaların ve klasörlerin bilgilerini içerir. Özellikle, kullanıcıların sık kullandığı dosyalara hızlı erişim sağlamak amacıyla tasarlanmıştır. Ancak, bu veriler aynı zamanda adli bilişim uzmanları için de büyük bir öneme sahiptir. Çünkü bu dosyalar, kullanıcıların hangi dosyalara ne zaman eriştiğini, hangi klasörleri kullandığını ve hatta potansiyel olarak şüpheli faaliyetler gerçekleştirdiğini ortaya çıkarabilir.

RecentFileCache, genellikle binary veya XML formatında saklanır. Bu formatlar, dosyaların içeriğini okumak ve analiz etmek için özel araçlar gerektirebilir.

2. RecentFileCache Dosyalarının Bulunduğu Yerler

RecentFileCache dosyaları, Windows işletim sisteminde belirli dizinler altında saklanır. En yaygın olarak kullanılan konumlar şunlardır:

  • C:\Users\<kullanıcı_adı>\AppData\Local\Microsoft\Windows\Recent\
  • C:\Users\<kullanıcı_adı>\AppData\Roaming\Microsoft\Windows\Recent\

Bu dizinlerde, kullanıcıların son zamanlarda açtığı dosyaların kısayolları (LNK dosyaları) ve diğer ilgili bilgiler bulunur. Ayrıca, bazı durumlarda bu veriler kayıt defterinde de saklanabilir. Örneğin, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs anahtarı altında da benzer bilgiler bulunabilir.

3. RecentFileCache Dosyalarının Analizi

RecentFileCache dosyalarını analiz etmek, özellikle adli bilişim araştırmalarında ve güvenlik incelemelerinde kritik bir adımdır. Aşağıda, bu dosyaları analiz etmek için izlenebilecek adımlar sıralanmıştır:

3.1. RecentFileCache Dosyalarını Toplayın

İlk adım, ilgili dizinden RecentFileCache dosyalarını toplamaktır. Bu işlem için aşağıdaki adımları takip edebilirsiniz:

  1. İlgili kullanıcı hesabı için C:\Users\<kullanıcı_adı>\AppData\Local\Microsoft\Windows\Recent\ dizinine gidin.
  2. Bu dizinde bulunan .lnk uzantılı dosyaları (kısayollar) ve diğer ilgili önbellek dosyalarını toplayın.
  3. Eğer mümkünse, dosyaların orijinal konumunu bozmadan bir forensik kopyasını alın. Bu, veri bütünlüğünü korumanıza yardımcı olacaktır.

3.2. Dosyayı İnceleyin

RecentFileCache dosyaları genellikle binary veya XML formatındadır. Bu nedenle, bu dosyaları incelemek için özel araçlar kullanmanız gerekebilir. Bazı popüler araçlar şunlardır:

  • FTK Imager: Forensik görüntüleme ve analiz için kullanılan bir araçtır.
  • EnCase: Adli bilişim araştırmalarında yaygın olarak kullanılan bir yazılımdır.
  • LNK Parser: .lnk dosyalarını ayrıştırmak için özel olarak tasarlanmış bir araçtır.
  • Registry Explorer: Kayıt defterindeki RecentFileCache verilerini analiz etmek için kullanılabilir.

Bu araçlar, dosyaların içeriğini okuyup, kullanıcıların hangi dosyalara eriştiğini, ne zaman eriştiğini ve dosyaların tam yollarını gösterebilir.

3.3. Bilgi Çıkartma

RecentFileCache dosyalarından çıkarabileceğiniz bilgiler şunlardır:

  • Dosya Yolu: Erişilen dosyanın tam yolu.
  • Erişim Tarihi: Dosyaya ne zaman erişildiği.
  • Dosya Adı: Erişilen dosyanın adı.
  • Klasör Yolu: Erişilen dosyanın bulunduğu klasörün yolu.
  • Son Değişiklik Tarihi: Dosyanın en son ne zaman değiştirildiği.
  • Oluşturma Tarihi: Dosyanın oluşturulma tarihi.

Bu bilgiler, kullanıcıların dosya erişim alışkanlıklarını anlamak ve potansiyel şüpheli faaliyetleri tespit etmek için kullanılabilir.

3.4. Zaman Çizelgesi Oluşturma

Elde ettiğiniz bilgileri kullanarak, kullanıcı etkinliklerinin bir zaman çizelgesini oluşturabilirsiniz. Bu, dosyaların ne zaman açıldığını, değiştirildiğini veya silindiğini anlamak için önemlidir. Zaman çizelgesi oluşturmak için aşağıdaki adımları izleyebilirsiniz:

  1. Tüm dosya erişim tarihlerini kronolojik sıraya göre düzenleyin.
  2. Her bir dosya erişiminin bağlamını analiz edin. Örneğin, bir dosyanın birden fazla kez erişilmesi, bu dosyanın kullanıcı için önemli olduğunu gösterebilir.
  3. Zaman çizelgesini grafiksel olarak temsil ederek daha kolay analiz yapabilirsiniz.

3.5. Potansiyel İzleri Takip Etme

RecentFileCache analizi, sadece dosya erişim tarihlerini göstermekle kalmaz, aynı zamanda potansiyel izleri de ortaya çıkarabilir. Örneğin:

  • Şüpheli Dosya Yolları: Bilinmeyen veya şüpheli dosya yollarına erişim, kötü niyetli faaliyetlerin bir göstergesi olabilir.
  • Silinen Dosyalar: Silinen dosyaların izleri bile RecentFileCache’de kalabilir. Bu, dosyaların ne zaman silindiğini anlamak için faydalı olabilir.
  • Kullanıcı Davranışları: Kullanıcıların belirli saatlerde veya belirli dosyalara odaklanması, davranış analizi açısından önemlidir.

4. RecentFileCache Dosyalarındaki Önemli Bilgiler

RecentFileCache dosyalarında bulabileceğiniz bilgiler, adli bilişim araştırmalarında ve güvenlik incelemelerinde büyük bir öneme sahiptir. İşte bu dosyalarda yer alan başlıca bilgiler:

Sütun AdıAçıklama
Dosya YoluErişilen dosyanın tam yolu.
Erişim TarihiDosyaya ne zaman erişildiği.
Dosya AdıErişilen dosyanın adı.
Klasör YoluErişilen dosyanın bulunduğu klasörün yolu.
Son Değişiklik TarihiDosyanın en son ne zaman değiştirildiği.
Oluşturma TarihiDosyanın oluşturulma tarihi.

Bu bilgiler, kullanıcıların dosya erişim alışkanlıklarını anlamak ve potansiyel tehditleri tespit etmek için kullanılabilir.

5. RecentFileCache Dosyalarının Analizinde Dikkat Edilmesi Gerekenler

RecentFileCache dosyalarını analiz ederken dikkat edilmesi gereken birkaç önemli nokta vardır:

  • Veri Formatı: RecentFileCache dosyalarının veri formatını (binary, XML, vb.) doğru bir şekilde anlamak önemlidir. Bu, doğru araçları seçmenizi sağlar.
  • Gizlilik ve Güvenlik: RecentFileCache dosyaları, kişisel bilgiler içerebilir. Bu nedenle, analiz sırasında gizlilik ve güvenlik konularına dikkat etmek önemlidir.
  • Araçlar: RecentFileCache dosyalarını analiz etmek için uygun adli bilişim araçlarını kullanın. Örneğin, FTK Imager, EnCase ve LNK Parser gibi araçlar kullanılabilir.

6. Örnek RecentFileCache Analizi

Aşağıda, bir RecentFileCache analizi örneği bulunmaktadır:

  1. RecentFileCache Dosyasını Toplayın:
  • C:\Users\<kullanıcı_adı>\AppData\Local\Microsoft\Windows\Recent\ dizinindeki dosyaları alın.
  1. Dosyayı İnceleyin:
  • RecentFileCache dosyasını bir adli bilişim aracıyla açın.
  1. Bilgi Çıkartma:
  • Dosya yolları, erişim tarihleri ve diğer ilgili bilgileri çıkarın.
  1. Zaman Çizelgesi Oluşturma:
  • Kullanıcı etkinliklerinin zaman çizelgesini oluşturun.
  1. Potansiyel İzleri Takip Edin:
  • Erişim tarihlerini ve dosya yollarını analiz ederek potansiyel izleri takip edin.

Önceki İçerik
Active Directory (AD) Güvenliği / Saldırılar & Tespit Yöntemleri
Onur Atalı
Onur Atalı
İLGİLİ PAYLAŞIMLAR

En Popüler Yazılar

Devamını Göster

Son Gönderiler

EDİTÖRÜN SEÇTİKLERİ

POPÜLER PAYLAŞIMLAR

POPÜLER KATEGORİLER

HAKKIMIZDA

Cyber Shield, topluma ve ülkemize fayda sağlayacak öğretici yazılar paylaşan ve eğitimler veren bir topluluktur.

İletişim: [email protected]

BİZİ TAKİP EDİN

© Cyber Shield Community