Artık işletim sisteminin kabuğundan çekirdeğine iniyoruz. Sürücü yapıları, donanım kesmeleri ve olay günlüklerinin adli analizi.
Sistemde yüklü olan tüm çekirdek sürücülerini ve durumlarını listeler. "BSOD" (Mavi Ekran) hatalarını ayıklamak için temeldir.
driverquery /v /fo list
Güvenlik riski oluşturabilecek, dijital imzası doğrulanmamış sürücüleri bulur.
sigverif
-- Not: Bu komut görsel bir arayüz tetikleyerek tarama yapar.
Windows Olay Günlükleri (Event Logs), sistemde olan her şeyin kara kutusudur. `wevtutil` ile bu devasa veriyi filtreleyerek analiz edebilirsiniz.
Sistem günlüğündeki en son 5 "Hata" mesajını gösterir.
wevtutil qe System /c:5 /f:text /q:"*[System[(Level=2)]]"
Belirli bir log kanalını tamamen temizler. (Dikkatli kullanın!)
wevtutil cl Security
| Low-Level Tool | Mimari Katman | Fonksiyonel Analiz |
|---|---|---|
| msinfo32 /report out.txt | Hardware Abstraction | IRQ, I/O ve DMA adreslerini içeren tam donanım dökümü alır. |
| fltmc filters | File System Mini-Filters | Dosya sistemini izleyen antivirüs veya yedekleme sürücülerini listeler. |
| lodctr /s:backup.txt | Performance Counters | Sistem performans sayaçlarını yedekler veya geri yükler. |
WMIC üzerinden sanal bellek (pagefile) boyutunu manuel olarak yönetin.
wmic pagefileset where name="C:\\pagefile.sys" set InitialSize=4096,MaximumSize=8192
Hangi işlemin hangi dosyayı "kilitlediğini" ve bellek adresini bulun.
openfiles /query /v
-- Not: Bu özellik "setlocal" ayarı gerektirebilir.
Gerçek bir sistem çökmesi veya güvenlik ihlali analizi için şu akışı simüle et:
`driverquery` ile sistemdeki tüm 3. parti sürücüleri CSV olarak dışa aktar.
`wevtutil` kullanarak sistemin son açılış (Boot) süresini Olay Günlüklerinden yakala.
Sistemdeki tüm IRQ (Kesme İsteği) çakışmalarını bulacak bir rapor oluştur.