Windows registry - part (1)

[H4x0r]

​

في عالم الكمبيوترات الذي نعيش فيه اليوم، هناك عالم مخفي يحمل أسرارًا لا تُصدق، عالم يعمل في الخلفية ويتحكم في سير عمل النظام بأكمله وهو عالم “السجل” أو ما يُعرف بـ “Registry” في ويندوز. إنه العقل الخفي والمكتبة السرية لنظام التشغيل الشهير ويندوز.

عندما نتصفح إعدادات النظام ونبحث عن السبب وراء أداء الكمبيوتر العجيب أو المشكلة الغامضة التي تواجهنا، نجد أنفسنا غالبًا نتوجه إلى هذا العالم السري. هناك حيث تُخزن معلومات حول كل شيء، من إعدادات البرامج إلى التحديثات والتراخيص، كما يحتفظ بأدق التفاصيل حول جميع عمليات النظام.

لكن هذا العالم ليس مكانًا عاديًا. إنه كأنك دخلت إلى متاهة سرية تحت الأرض، حيث ينبغي لك أن تكون حذرًا للغاية في استكشافه. إذا قمت بتغيير شيء واحد بشكل غير صحيح، يمكن أن تسبب تلك التلاعبات كوارث لنظامك بأكمله.

️ هل سبق لك أن تساءلت عن كيفية عمل الكمبيوتر بسلاسة دون أن تعرف الدور الخفي لهذا السجل
️ هل ترغب في معرفة كيف يمكن أن تغيير صغير في هذا العالم يمكن أن يحسن من أداء حاسوبك بشكل مذهل، أو على العكس، يمكن أن يحوِّله إلى كارثة متنقلة

دعونا نخوض سويًا في هذه المتاهة المعقدة، ونكتشف أسرار السجل ويندوز.
هذا العالم الخفي الذي يعيش تحت سطح نظام التشغيل، ونكتشف كيف يؤثر على حياتنا اليومية مع أجهزتنا الإلكترونية. إنها رحلة ستكون مثيرة ومشوقة، فترقبوا معنا!

كان هناك عالمٌ سرياً خفياً، لا يُرى من الخارج، يعيش في أعماق أنظمة التشغيل ويندوز. هذا العالم كان يتألف من مفاتيح ذهبية وأسرار مشفرة، وكان يُعرف بالسجل. لنستكشف هذا العالم السري الذي يحمل في داخله الأسرار والإعدادات السحرية.

في بداية الأمر، كان هناك “المفاتيح”، وهي كمفاتيح قديمة يتم حفظها في صناديق خشبية خفية. كل مفتاح كان يمثل جزءاً من النظام. وكان لكل مفتاح دوره الخاص ومكانه السري. كان هناك مفتاح لإعدادات المستخدمين، ومفتاح آخر لإعدادات النظام، ومفتاح لإعدادات البرامج.

ولكن لا يكتفي الأمر بالمفاتيح فحسب، بل هناك “القيم” أيضاً. القيم هي الأحجار الكريمة داخل هذه المفاتيح، وهي تحمل المعلومات القيمة. عندما تفتح مفتاحاً، ستجد قيمًا توضح للنظام كيف يجب تشغيل نفسه. قد تجد قيمة تخبر النظام أين يمكنه البحث عن برنامج معين، أو قيمة تُخبئ اسم المستخدم وكلمة المرور للوصول إلى شبكة الإنترنت.

وهناك أيضًا “أنواع القيم”، حيث يتم تصنيف القيم حسب الغرض منها. هناك النصوص القيمة التي تحمل سلاسل من النصوص، والقيم الثنائية التي تمثل معلومات مشفرة، والقيم الصحيحة التي تُستخدم لتخزين الأرقام.

ولكن هذا العالم ليس للضعفاء، إذا دخلته بدون توجيه أو معرفة، قد تتعرض للخطر. هناك مفاتيح وقيم تحتفظ بسرها وتسيطر على النظام بأكمله. إذا لم تكن حذرًا، قد تحطم نفس النظام الذي حاولت تخصيصه.

لذا، لنكمل رحلتنا في هذا العالم السري بحذر، لنتعلم كيفية استخدام هذه المفاتيح الذهبية بحكمة وإبداع. إنها قصة مليئة بالغموض والإثارة تنتظر أن نكتشفها ونجعلها تخدم أغراضنا وتصبح جزءًا من سر العالم الرقمي الذي نعيش فيه.

مما يتكون أساس الريجستري؟​

يتكون الهرم التسلسلي لريجستري الويندوز من ما يلي:
1- الشجرة Tree
2- إلتقاء التقاطع أو العقد Nodes
3- المفاتيح Keys

ولتبسيط الأمر للقارئ العربي الكريم، نتخيل الريجستري كشجرة، مكونة من ساق وغصون أو أغصان بحيث يكون الحد الأعلى لعدد الغصون المنبثقة من الساق بستة وغالباً ما تكون أربعة أو خمسة ولكن لا تكون بأي حال من الأحوال أقل من أربعة غصون وسنعلم السبب لا حقاً إن شاء الله تعالى…

​

نقطة إلتقاء الغصن بالساق تسمى بالعقدة Node ولكل عقدة مفتاح Key (عنوان أو إسم) من دون أية قيمة أنظر إلى الصورة 1. وبما أن الغصن الواحد ممكن أن يتفرع إلى فروع رئيسية ثم إلى فروع جانبية …إلخ بحيث تصبح التفرعات متشعبة ومتشابكة إلى الحد الذي يمكن إعتبار الغصن الواحد كخلية نحل لذلك أطلق إسم Hive على الغصن الواحد.

وبنفس الطريقة التي ارتبط الساق بالغصن بعقدة ومفتاح يرتبط الفرع الرئيسي بالغصن بعقدة ومفتاح ولكن هنا مع إمكانية إعطاء قيمة للمفتاح وممكن أن لا يمتلك المفتاح هنا على قيمة أيضاً. كما يرتبط الفرع الجانبي مع الفرع الرئيسي للغصن الواحد أيضاًُ بعقدة ومفتاح وأيضاً للمفتاح هنا على الأقل له قيمة واحدة أو أكثر وقد لا يمتلك قيمة. وهكذا يستمر التفرع بنفس الطريقة إلى أن يصل إلى الثمرة أو مفتاح الشفرة وعندها يجب أن تكون هناك قيمة أو عدت قيم . ومما تجدر الإشارة إليه هو أنه ليس هناك أي تشابك أو إتصال مباشر بين غصن وآخر بل لكل غصن تفرعاته وثماره المستقلة عن الغصن الآخر.

ما هي ال key :

1. مفتاح HKEY_LOCAL_MACHINE (HKLM):
في هذا المفتاح، توجد العديد من المفاتيح والقيم التي تتعامل مع إعدادات النظام بشكل عام. على سبيل المثال، توجد مفاتيح تحت “SOFTWARE” تحتفظ بإعدادات البرامج المثبتة على النظام. يمكن العثور على المفتاح “Microsoft” والذي يحتوي على قيم تخص إعدادات منتجات مايكروسوفت المثبتة.

و يحتوي هذا المفتاح على 7 مفاتيح اخرى او ملفات مهمة جداا :

1. ملف SAM (Security Accounts Manager):

• المسار: HKLM\SAM
• وظيفة الملف: يحتوي على معلومات حول حسابات المستخدمين والصلاحيات وكلمات المرور المشفرة. هذا الملف حاسم للأمان في ويندوز.

2. ملف SOFTWARE:

• المسار: HKLM\SOFTWARE
• وظيفة الملف: يحتوي على العديد من المفاتيح والقيم التي تتعلق ببرامج النظام والتطبيقات المثبتة.

3. ملف SYSTEM:

• المسار: HKLM\SYSTEM
• وظيفة الملف: يحتوي على معلومات حول إعدادات النظام بشكل عام، بما في ذلك إعدادات الأجهزة وملفات التعريف والتكوين.

4. ملف HARDWARE:

• المسار: HKLM\SECURITY
• وظيفة الملف: يوفر معلومات حول الأجهزة المثبتة على النظام مثل المعالج وبطاقات الرسومات.

5. ملف SECURITY:

• المسار: HKLM\SECURITY
• وظيفة الملف: يحتوي على معلومات حول أمان النظام وصلاحيات المستخدمين.

6. ملف SAMLOGON:

• المسار: HKLM\SAM\SAMLogon
• وظيفة الملف: يحتوي على معلومات حول تسجيل الدخول وعمليات التحقق من هوية المستخدمين.

7. ملف COMPONENTS:

• المسار: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Components
• وظيفة الملف: يتعامل مع التحديثات والإصلاحات والتعديلات على النظام.

بدي اعطيكم مثال يوضح اهمية Registry بس سمحولي هون بدي احكي بلغة عامية الان انتا لما تشغل الجهاز بيطلع عند ال desktop طيب عمرك سئلت حالك كيف بشتغل هذا desktop و هل ممكن اقدر اغيرو يعني لما اشغل الجهاز يفتحلي اشي غير desktop يلي انا بعرف ؟ الان بقدر اجاوبك نعم ليش لانو جميع الاوامر و الامور المرتببط و التعليمة التي في جهازك هي في Registry تمام هذا السؤال رح نبقو بس لو سمحت الاشي يلي رح اعملو لا تجربو لانو ممكن ما تعرف ترجع ال desktop و رح اورجيك كيف لما اشغل الجهاز ما رح يطلعلي desktop رح يطلعلي اشي انا محددو يعني مثالا بدل ما يطلعل desktop رح اخلي يطلعلي الرسام ههههه يعني لما اشغل الجهاز بس قدامي الرسام و مش الرسام كا ايقونة لا هو الاشي الوحيد يلي قدامي رح يكون رسام خلينا نشوف كيف و مش رح اشرحلك كيف تغيرها او تعدل على القيم غير لقدام بس نتعمق في الموضوع.

خلينا نفتح الان ما رح اعطيك الباث لقدام بس نتعمق في الموضوع لانو زي ما حكينا فوق اي تغير بدون علم ممكن بخرب الدنيا :

​

طبعا في معلومات كثير قيمة رح نتعرف عليها في المقالات القادمة الان بس بدنا نعطي مثال عشان نبين اهمية الموضوع :

الان هاد ملف معلومات لما يشتغل الجهاز فيه قيم بتعرف النظام شو يشغل و شو يعرض و هاي الامور احنا بدنا Shell الان لما يشتغل الجهاز رح يشتغل shell طيب خلينا نشوط شو قيمة shell :

​

افتح الان بجهازك task manager رح تلاقي explorer.exe يلي هو Default shell for windows
دايما شغال جرب وقفو من تاسك رح تحس انو desktop سكر ورجع فتح طيب يعني نفهم انو لما يشتغل الجهاز بشتغل ال shell وقيمة ال shell هي explorer.exe يلي هي بصورة مبسطة خلينا نحكي ال desktop طيب لو بدي اغيرو هههه اخلي جهاز يفتح على الرسام خلينا نغير القيمة و نحط في القيمة ال رسام عشان يشتغل الرسام اول ما يشتغل الجهاز فقط .

هي مسار الرسام :

بدنا حطو في shell

تمت العملية خلينا نعيد تشغل الجهاز و نشوف شو بعطيني :

و هيو اشتغل :

شوف فش اشي غير الرسام في ايقونات فش واجهة مستخدم الرسام فقط :

حتى ال task manager ما في غير الرسام :

الفكرة يلي بدي اوصلها انو تغير قيمة وحدة ممكن يغير النظام و يخربه و هذا يدل على الحساسية و الاهمية .

2. مفتاح HKEY_CURRENT_USER (HKCU):

هذا المفتاح يحتوي على معلومات متعلقة بالمستخدم الحالي. بعد فتحه، ستجد مجلدًا لكل مستخدم يمكنهم تخصيص تجربتهم على النظام. وفي داخل هذه المجلدات، يمكنك العثور على الإعدادات الخاصة بسطح المكتب وقائمة ابدأ والثيمات المفضلة للمستخدم. يعني بلغة العامية " يلي مسجل دخول على الجهاز الان و بكون فيه اعدادات الكيبورد و اللغة و الماوس جميع التفاصيل الشخصية و ذات الطباع الشخصي للشخص الذي على الجهاز الان "

3. مفتاح HKEY_CLASSES_ROOT (HKCR):

هذا المفتاح يرتبط بمعلومات تعريف أنواع الملفات في النظام. هنا يمكنك العثور على قوائم البرامج المشهورة والملحقات المرتبطة بأنواع الملفات. على سبيل المثال، إذا فتحت المجلد “txtfile”، ستجد معلومات حول ملفات النص العادية والبرنامج الذي يفتحها افتراضيًا.

4. مفتاح HKEY_CURRENT_CONFIG (HKCC):

يُستخدم هذا المفتاح لتخزين معلومات حول الأجهزة الحالية المتصلة بالكمبيوتر. هذا يشمل إعدادات الشاشة وبطاقات الصوت والشبكة. إنه المكان الذي يجد فيه النظام معلومات حول كيفية التفاعل مع الأجهزة الخارجية.

5. مفتاح HKEY_USERS (HKU):

يحتوي هذا المفتاح على معلومات حول المستخدمين الذين قاموا بتسجيل الدخول إلى النظام. لكل مستخدم مجلد في هذا المفتاح يحتوي على إعداداته الخاصة. يمكن العثور على معلومات حول الحسابات والصور الشخصية والإعدادات الشخصية في هذا المكان.

يعني بلغة عامية لو في اكثر من مستخدم للجهاز كل مستخدم بكون اله ID خلينا نحكي بكون الو اعداداتو هون عشان تتحمل الى HKCU يلي اليوز المسجل الان .

الان لهون لمفروض عرفنا عن Registry و اهميتها المقال القادم رح نحكي عن المعلومات يلي فيها و كيف نستفيد منها في التحقيق …

احنا تعرفنا شو هو Registry و اهميتو صحيح و فهمنة كل key نبذه بسيطة عنو طيب رح تسئلني سؤال
️ممكن اشوفهم و اعدل على القيم
مايكروسوفت عاملة tool في نظام windows هاي tool بتسمحلك تشوف ال Registry وتعدل على القيم هاي tool هي Registry Editor يلي هي regedit

️ كيف ممكن نفتحها طيب

1 -

2-

بهاي البساطة وصلت

كتبت بهذا المقال على غير العادة بلغتي الخاصة العامية بسبب ان هذا المقال هو المدخل و يجب ان يكون بهذا التنسيق و شكرا

إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان

الجزء الثاني

 

[STORMSTORM is verified member.]

الله يعطيك الف عافيه يا وحش

 

[laith_alyousef]

ملك المفاتيح اخووووي

اجمل مقدمة بانتظر تكملة

 

[H4x0r]

القادم اجمل ان شاء الله

 

[H4x0r]

الله يعطيك الف عافيه يا وحش

الله يعافيك يا باشا

 

[tango]

ماشاء الله ولا حول ولا قوة إلا بالله
شرح فى منتهى الدسامه والسلاسه

 

[αв∂υℓℓαн]

يعطيك العافيه بصراحه موضوع رائع ومفيد ويفيد الاخوه الذين يبحثون عن حلول تخطي الدفاعات الاستباقية لتخطي الحمايات .
ايضاً لا ننسى نستطيع دمج الملف dll مع ماذكرته بالاعلى لملفات التي تعمل في الريجيستري بس تحتاج تفكير من الاخوه كم حركه تمرد ويضبط معهم التخطي .

شاكرلك تحياتي لك