Windows Registry
(سجل النظام)
كتب في 2020-05-28
أهلا بكم في هذه المقالة سوف نتحدث عن Windows Registry (سجل النظام)
عناصر المقالة
مقدمة
مصطلحات مهمة
تحليل Windows Registry
مقدمة
Windows Registry أو ما يسمي ب العربية (سجل النظام)، هو قاعدة بيانات تحتوي على إعدادات البرامج والأجهزة ومعلومات وقيم متعلقة فيها؛ هذه القيم تساعد في تهئية النظام (Windows) و تشغيل هذه البرامج ب الشكل المطلوب، كما تحتوي على معلومات تخص المستخدم وملفاته البرامج والأدوات التي يستخدمها، ومعلومات تخص الأنشطه التي يقوم بها المستخدم في النظام والكثير من المعلومات المهمة ل عملية التحليل الجنائي الرقمي.
مصطلحات مهمة:
قيم السجلات
Registry Value
هي التعليمات والقيم الخاصة بكل برنامج ب النظام، يوجد هناك خمسة أنواع لهذه القيم وهي ك التالي:
String value: يتم حفظ هذه النوع من القيم بشكل قابل للقراءة ويتكون من قيمة واحدة.
String array value تمام مثل String value ولكن ب اختلاف وجود عدة قيم وليس قيمة واحدة.
Expanded string value يختلف هذا النوع عن String array value بوجود متغيرات (variables) بمعنى عند إستدعاء هذه النوع من القيم عند الحاجة اليه بدوره سيقوم بإستدعاء قيم المتغيرات الذي يحتوي عليها.
Binary value هذا النوع من القيم يتم حفظة بالنظام الثنائي (0,1)
DWORD value يتم حفظة ب شكل hexadecimal او decimal ل ملفات 32 bit
QWORD value تمام مثل DWORD value ولكن ل ملفات 64 bit
مفاتيح السجلات
Registry keys
يمكن تشبيهها ب المجلدات ولكنها في الحقيقة ليست كذلك، ال مفاتيح او (keys) تحتوي على مجموعة من القيم وهي Registry Value او مجموعة مفاتيح جزئية (subkeys).
الخلايا
Hive/Registry root keys
مجموعة المفاتيح الجزئية في النظام تكون مرتبه داخل خمسة مجموعات (مفاتيح) رئيسية تسمى خلايا (Hive) أو root keys وهي ك التالي:
HKEY_CLASSES_ROOT
يحتوي على قيم خاصة ب انواع الملفات و إمتدادها مثل
.pdf / .exe / .aspxHKEY_CURRENT_USER يحتوي عل/ي معلومات خاصة ب المستخدم الحالي للنظام والاعدادت الخاصة به مثل اعدادات الخلفية الوان النظام، اعدادات الشبكة .. الخ.
HKEY_LOCAL_MACHINE يحتوي على قيم خاصة ب البرامج و الأجهزة المرتبطة ب النظام.
HKEY_USERS يحتوي على قيم تخص كل المستخدمين للنظام
HKEY_CURRENT_CONFIG قيم خاصة ب الأجهزة المرتبطة ب النظام مثل لوحة المفاتيح و الطابعة
تحليل Windows Registry
الهدف الأساسي من تحليل سجل النظام (Windows Registry) هو جمع معلومات كافية عن النظام مثل عدد المستخدمين للنظام معلومات تخص كل مستخدم الاسم البرامج المستخدمه الملفات، الأجهزة المضافة للنظام مثل الطابعات الكاميرا أو أجهزة التخزين ... الخ، ايضا يمكن جمع معلومات تخص الشبكة مثل (IP Address, Mac address, subnet mask,DHCP, DNC ) وغيرها الكثير من المعلومات التي سيتم التطرق لها في هذا القسم مع التوضيح بالصور.
يوجد الكثير الكثير من المعلومات في هذه السجلات ولكن بما يخص التحليل الجنائي الرقمي هذه هي أكثر المفاتيح التي تهمنا هي:
SAM
(HKEY_LOCAL_MACHINE\SAM)SECURITY
(HKEY_LOCAL_MACHINE\SECURITY)SOFTWARE
(HKEY_LOCAL_MACHINE\SOFTWARE)SYSTEM
(HKEY_LOCAL_MACHINE\SYSTEM)Default
HKEY_USERS\.DEFAULT
والتي يتم حفظها في
%SystemRoot%\System32\Config\:
NTUSER.DAT أيضا يعد من المفاتيح التي تهمنا ويتم حفظة في الملف الخاص لكل مستخدم
لتحليل هذا السجلات سوف أستخدم برنامج Registry Explorer
وحتى تكون عملية التحليل أكثر وضوحا يُفضل أن يكون هناك مجموعة من الأسئلة ونجيب عليها من خلال تحليلنا لهذه السجلات.
الاسئلة:
ماهو أسم جهاز الكمبيوتر؟
ما هي نسخة نظام التشغيل المستخدمة؟
من أخر مستخدم قام بالتسجيل للنظام؟
ماهي أخر برامج التي تم استخدامها؟
متى تمت عملية تحميل وتنصيب النظام؟
معلومات الخاصة ب الشبكة المستخدمة، (IP Address, DHCP, Gateway)
الملفات والمستندات الموجودة بالنظام؟
الحل
قبل ان نبدأ بالإجابة على هذه الأسئلة أود التنوية بأن يمكن الحصول على سجلات النظام لقضايا وأمثلة مختلفة كثيرة من الإنترنت، ومن ثم تحميلها ورفعها في البرنامج المستخدم في التحليل Registry Explorer أو من الممكن أن نقوم ب تحليل هذه السجلات مباشرة ك Live System Analysis. انا هنا قمت بالتحليل النظام الخاص بي مباشرة Live System.
1- ماهو أسم جهاز المستخدم؟
يمكننا إيجاد هذه المعلومة في مفتاح SYSTEM
2- ما هي نسخة نظام التشغيل المستخدمة؟
تلاحظون ب الصورة أيضًا معلومات كثيرة ومهمة مثل RegisteredOwner
يمكننا إيجاد هذه المعلومة في مفتاح