Windows Kayıt Defteri

Bilgisayarımızda bir ayarı değiştirdik ya da bir program kurduk veya da kaldırdık, diyelim. Yaptığımız tüm işlemler Windows Kayıt Defteri’ne kaydedilir. Kaydedildiği için de bilgisayarlarımızı her açıp kapattığımızda aynı ayar ve uygulamalarımız ile devam ederiz. Kayıtlar kaybolmaz.

 

Kayıt Defteri’ndeki kayıtlar Windows’un kendi veri tabanını destekleyen dosya türü ile tutulur ve Word ya da Excel gibi Office uygulamaları ile açılmaz. Windows, Regedit adında bir toolu bizlere bu iş için sunmaktadır. Ayrıca doğrudan kayıt defteri ile iletişim kuran, not defteri ile açılabilen ve metin dosyası olan “REG” özel dosya türü ile de kayıt defteri yedekleri görüntülenebilir.

 

Bilgisayarlarımızdan yazılımları, sürücüleri kaldırsak bile Kayıt Defteri birçok işlem türüne ait binlerce kayıt tutar. Bazı kayıt türleri aşağıdaki gibidir:

 

• Ağ Paylaşım Bilgileri
• Çalıştırılan Programlar
• Kişisel Ayarlar, İnternet Tarayıcı Tercihleri
• Takılmış USB Cihazlar
• Sistemde Tanımlı Bulunan Cihazlar
• Bilgisayar Adları
• En Son Kullanılan Yazılım
• Sistem Konfigürasyon Bilgileri

 

Registery Kayıtlarına Nasıl Erişiriz?

 

Tüm Windows sürümlerinde uygulanabilecek olan “Başlat > Çalıştır > regedit ” adımlarını takip ederek Regedit penceresine ulaşabiliriz.

 

 

 

Kayıt Defteri Yapısı

 

Hkey ile başlayan kısımlara anahtar (key) diyoruz ve registry yapımızda 5 çeşit Key&Rootkey’imiz mevcut. Yukarıda da görülen 5 adet Root Key’in her birinin altında Subkey’ler ve her Subkey’in altında Value’lar yani değerler bulunur.

 

Kritik olan nokta binlerce kayıt içinde bir şey ararken hangi bilginin nerede saklandığını bilmektir, aksi halde bilmeden yapılan incelemelerde zaman kayıpları yaşanabilir. Hadi, birlikte bu 5 adet Rootkey’imizin detaylarını inceleyelim.

 

1. HKEY_CLASSES_ROOT (HKCR) : Bu bölümde dosya türleri, dosyaların ilişkilendirilmeleri, yazılım ve uygulama ayarları saklanır ve bu Rootkey olmadan Windows çalışabilse dahi dosyalar açılırken hata ile karşılaşılır ve açılmaz. Aynı zamanda sistemin içerik menüleri de buradan değiştirilebilir. Böylece developerlar dosya ya da klasörleri kendi programları ile etkileştirebilirler.
   
   
    
2. HKEY_CURRENT_USER (HKCU) : İşletim sistemi üzerinde kayıtlı birçok kullanıcı olabilir ve bu kısımda sadece oturumu açık bulunan kullanıcı ile ilgili ayar ve veriler bulunur. Bu kayıtlar arasında uygulamalara; yazıcılara ilişkin ayarları, ağ bağlantılara ilişkin kayıtları örnek olarak gösterebiliriz. Ayrıca kişisel programlarınıza ilişkin ayarları da yine HKEY_CURRENT_USER\Software yolunu izleyerek görüntüleyebilirsiniz.
   
   
    
3. HKEY_LOCAL_MACHINE (HKLM) : Örneğin bilgisayarımıza birçok kullanıcının erişim sağlayacağı bir program kurdunuz ve tüm kullanıcıları aynı etkileyecek ayarlar yaptınız. İşte o kayıtların da tutulduğu yer bu Key. Bu kısımda ayarlar oturum açan tüm kullanıcılar için uygulanmaktadır. Alt Key’lerinde yine bilgisayar adı, sistemin zaman dilimi, sistem güvenlik ilkeleri, sisteme entegre donanım bilgileri, kullanıcı adları ve SID bilgilerinin hash formatındaki halleri burada saklanır.
   
   
    
4. HKEY_USERS (HKU) : HKLM’deki her kullanıcıyı etkileyen aynı ayarların aksine burada her oturum açan kullacanıcının kendi oturumu içindeki kişisel ayarlarının kaydının tutulduğu yer burasıdır. SID bilgilerini içeren kullanıcı bilgileri burada görüntülenebilir. İlk 4 Sub Key (.DEFAULT, S18,S19,S20) herkeste vardır ancak sonrasında görüntülenen uzun SID’li kısımlar asıl kullanıcıları temsil eden kısımdır.
   
   
    
5. HKEY_CURRENT_CONFIG (HKCC) : Donanımsal konfigürasyon bilgilerini içeren kısımdır. HKLM Key ile bağlantılı kayıtlar tutulur. Aslında HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles\Current’ın kısayolu görevini görür.