أهلا بكم في هذه المقالة سوف نتحدث عن Windows Registry (سجل النظام)

عناصر المقالة

• مقدمة

• مصطلحات مهمة

• تحليل Windows Registry

مقدمة

Windows Registry أو ما يسمي ب العربية (سجل النظام)، هو قاعدة بيانات تحتوي على إعدادات البرامج والأجهزة ومعلومات وقيم متعلقة فيها؛ هذه القيم تساعد في تهئية النظام (Windows) و تشغيل هذه البرامج ب الشكل المطلوب، كما تحتوي على معلومات تخص المستخدم وملفاته البرامج والأدوات التي يستخدمها، ومعلومات تخص الأنشطه التي يقوم بها المستخدم في النظام والكثير من المعلومات المهمة ل عملية التحليل الجنائي الرقمي.

مصطلحات مهمة:

قيم السجلات

Registry Value

هي التعليمات والقيم الخاصة بكل برنامج ب النظام، يوجد هناك خمسة أنواع لهذه القيم وهي ك التالي:

1. String value: يتم حفظ هذه النوع من القيم بشكل قابل للقراءة ويتكون من قيمة واحدة.

2. String array value تمام مثل String value ولكن ب اختلاف وجود عدة قيم وليس قيمة واحدة.

3. Expanded string value يختلف هذا النوع عن String array value بوجود متغيرات (variables) بمعنى عند إستدعاء هذه النوع من القيم عند الحاجة اليه بدوره سيقوم بإستدعاء قيم المتغيرات الذي يحتوي عليها.

4. Binary value هذا النوع من القيم يتم حفظة بالنظام الثنائي (0,1)

5. DWORD value يتم حفظة ب شكل hexadecimal او decimal ل ملفات 32 bit

6. QWORD value تمام مثل DWORD value ولكن ل ملفات 64 bit

مفاتيح السجلات

Registry keys

يمكن تشبيهها ب المجلدات ولكنها في الحقيقة ليست كذلك، ال مفاتيح او (keys) تحتوي على مجموعة من القيم وهي Registry Value او مجموعة مفاتيح جزئية (subkeys).

الخلايا

Hive/Registry root keys

مجموعة المفاتيح الجزئية في النظام تكون مرتبه داخل خمسة مجموعات (مفاتيح) رئيسية تسمى خلايا (Hive) أو root keys وهي ك التالي:

1. HKEY_CLASSES_ROOT
   يحتوي على قيم خاصة ب انواع الملفات و إمتدادها مثل
   .pdf / .exe / .aspx

2. HKEY_CURRENT_USER يحتوي عل/ي معلومات خاصة ب المستخدم الحالي للنظام والاعدادت الخاصة به مثل اعدادات الخلفية الوان النظام، اعدادات الشبكة .. الخ.

3. HKEY_LOCAL_MACHINE يحتوي على قيم خاصة ب البرامج و الأجهزة المرتبطة ب النظام.

4. HKEY_USERS يحتوي على قيم تخص كل المستخدمين للنظام

5. HKEY_CURRENT_CONFIG قيم خاصة ب الأجهزة المرتبطة ب النظام مثل لوحة المفاتيح و الطابعة

تحليل Windows Registry

الهدف الأساسي من تحليل سجل النظام (Windows Registry) هو جمع معلومات كافية عن النظام مثل عدد المستخدمين للنظام معلومات تخص كل مستخدم الاسم البرامج المستخدمه الملفات، الأجهزة المضافة للنظام مثل الطابعات الكاميرا أو أجهزة التخزين ... الخ، ايضا يمكن جمع معلومات تخص الشبكة مثل (IP Address, Mac address, subnet mask,DHCP, DNC ) وغيرها الكثير من المعلومات التي سيتم التطرق لها في هذا القسم مع التوضيح بالصور.
يوجد الكثير الكثير من المعلومات في هذه السجلات ولكن بما يخص التحليل الجنائي الرقمي هذه هي أكثر المفاتيح التي تهمنا هي:

• SAM
  (HKEY_LOCAL_MACHINE\SAM)

• SECURITY
  (HKEY_LOCAL_MACHINE\SECURITY)

• SOFTWARE
  (HKEY_LOCAL_MACHINE\SOFTWARE)

• SYSTEM
  (HKEY_LOCAL_MACHINE\SYSTEM)

• Default
  HKEY_USERS\.DEFAULT

والتي يتم حفظها في

%SystemRoot%\System32\Config\:

• NTUSER.DAT أيضا يعد من المفاتيح التي تهمنا ويتم حفظة في الملف الخاص لكل مستخدم

لتحليل هذا السجلات سوف أستخدم برنامج Registry Explorer

وحتى تكون عملية التحليل أكثر وضوحا يُفضل أن يكون هناك مجموعة من الأسئلة ونجيب عليها من خلال تحليلنا لهذه السجلات.

الاسئلة:

1. ماهو أسم جهاز الكمبيوتر؟

2. ما هي نسخة نظام التشغيل المستخدمة؟

3. من أخر مستخدم قام بالتسجيل للنظام؟

4. ماهي أخر برامج التي تم استخدامها؟

5. متى تمت عملية تحميل وتنصيب النظام؟

6. معلومات الخاصة ب الشبكة المستخدمة، (IP Address, DHCP, Gateway)

7. الملفات والمستندات الموجودة بالنظام؟

الحل

1- ماهو أسم جهاز المستخدم؟

يمكننا إيجاد هذه المعلومة في مفتاح SYSTEM

 2- ما هي نسخة نظام التشغيل المستخدمة؟
تلاحظون ب الصورة أيضًا معلومات كثيرة ومهمة مثل RegisteredOwner

يمكننا إيجاد هذه المعلومة في مفتاح